（一）安全服務小組的主要工作

（1）應急響應和取證溯源。
（2）對客戶中出現的網絡威脅進行分析和處置。
（3）配合公司自有產品發現威脅和解決網絡安全問題。
（4）關註重大威脅事件，跟蹤並能及時將解決方案同步到客戶側。

（二）安全服務小組在現實中的任務

1）網絡安保 ：在國家重大活動中提供的安保服務，分兩種；
由公安部牽頭，支撐單位配合的無償安保任務。在活動期間派駐一名工程師7*24小時駐守，不需要主動接管安保單位的網絡安全。發生安全事件，而安保單位自己的安全團隊不能解決時，我方需介入並上報CNCERT；
另一種為甲方購買了重大活動安保服務。我方將按合同派1到2名工程師到現場值守，需要主動利用網絡安全設備來發現問題，解決問題。

2）會議交流：為宣傳文化或由主管部門組織的行業專題交流。

3）應急響應：客戶網絡遭受攻擊，派工程師前往阻止網絡攻擊，恢復系統正常運行，完成後期加固溯源。

4）項目支撐：支持其他部門項目，主要為銷售、售前、售後、研發。

5）威脅分析：樣本、流量，安全日誌等分析工作。

6）產品巡檢：按合同，依據公司產品提供安全檢查服務，完成巡檢報告，配合客戶處理威脅。

7）培訓項目：主要為惡意代碼分析方向、安全意識、滲透、加固等培訓。

8）技術研究：個人技術提升或項目技術研究。

9）研發項目：平臺搭建，工具編寫等研發。

10）其他項目： 不在以上9類的。

（三）按照任務和規劃要求小組具備以下能力

（1）樣本分析能力，主要是快速鑒別的能力。

以下是面對各任務下的思考

（一）應急響應思考（描述問題比解決問題重要）

1、負責人接聽客戶應急電話，詢問情況，初步判定事態，組建應急團隊。
      詢問的問題包括：
      發現問題的現象是什麽樣的？
      出現問題的時間？
      做了什麽處理？
      是否影響業務、能否斷網？
      問題機器是什麽系統？
      能否遠程？
 遠程指導客戶意見：不影響業務的情況下斷網，啟用備份；不影響業務情況下，安裝殺毒軟件全盤查殺；保留現場，等待工程師取證。
 

2 、現場
要求管理員陪同全程參與、以將業務恢復正常為主要目的、充分了解網絡架構完 成溯源和加固。

目前在實施過程中較為突出的問題有：安服人員對linux服務器應急經驗薄弱、網絡設備日誌沒有重點。

（二）樣本分析思考
1、查看md5值，將ms5值或文件名在威脅情報平臺檢索或google。
2、動態監控，查看文件行為，網絡行為。將監控到的文件路徑、註冊表、網絡地址等在威脅平臺關聯。
3、脫殼後，靜態查看字符串，在威脅平臺關聯字符串。
4、調試分析。
註意關鍵點的截圖。

目前問題：漏洞利用類樣本分析難度較大，感染式病毒修復、批量樣本分析，勒索解密。

（三）基於公司安全產品的巡檢工作思考

了解客戶的關註點，有些客戶關註威脅，有些希望大事化小。

客戶關註重點及有價值的威脅：

（1）監管部門事件通報。
（2）網頁篡改
（3）服務器故障
（4）數據泄露

甲方可能面臨的高級威脅場景：
（1）個人U盤帶到內網的高級攻擊。
（2）以員工個人PC作為跳板的橫向攻擊。
（3）員工點擊網絡鏈接，利用瀏覽器0day的攻擊。
（4）員工郵件附件文檔或可執行程序的攻擊。
（5）員工賬號信息獲取轉入下一環節的攻擊。
（6）服務器弱口令用戶賬戶爆破攻擊。
（7）服務器組件0day漏洞利用攻擊。

某些高級威脅場景現象：

（1）深夜時段連接通信。
（2）服務器主動外聯IP。
（3）文件傳輸量大，數據包大，引發的威脅場景。
（4）ddos拒絕服務攻擊。
（5）主動防禦攔截的威脅
（6）沙箱前置檢出的未知威脅的威脅場景。

（四）小組其它規劃

（1）在遇到疑難安全事件，無法判定時，組織其它安全小組一起參與威脅研判，這一環節可以理解為：專家會診  
（2）召開安全例會，每周一次，或每日早晨開始，對工作進行安排，對自己處置的威脅在會議中通報審核。
（3）案例分享，面對較為重要的事件，比如新出現的一些攻擊手法，做報告分享。

（五）企業應該做的

  （1）做好郵件防護
    （2）做好U盤防護
（3）安裝最新漏洞補丁
    （4）終端殺毒，主動防禦

安全服務的一些思考