应急响应服务

// our service

服务简述

数默科技为客户提供专业的应急响应服务。应急响应服务指当安全事件发生后，安全运维服务团队根据预案快速响应。应急响应预案应按照准备、检测、抑制、根除、恢复、跟踪等一系列标准措施制定，保证网络安全无忧，预防危险发生。

数默科技应急响应服务人员配合客户前端被检单位进行安全事件核查，根据线索对被检单位网络环境、个人主机、服务器及各类边界设备进行网络攻击排查，负责和被检单位技术人员对接，对受害主机进行现场应急处置。根据工作中遇到的高级安全事件，对具体事件或攻击进行详细分析，包括但不限于分析可疑行为，从中找出异常并溯源，对恶意程序、脚本、嵌入恶意代码的文档文件进行逆向工程。核查工作结束后，提供对整体工作的总结报告进行总结分析，并以此为基础对客户系统部署、网络设备部署的调整提出可行性建议。

// Service advantages

服务优势

快速应急响应

数默在大中华区具有完善的销售体系与区域覆盖，按照行业划分设有政府、金融、能源、运营商等行业客户服务团队，在全国拥有22个本地支撑中心，各地应急响应服务可以保证在两小时内到现场得到快速响应，分秒必争应急响应黄金时间。

自主知识产权安全服务产品

依托于数默的网络安全研究实验室和专业的安全研发团队，自主研制了多款安全服务产品和内部专用的安全服务工具，这些独有的工具能够更好地为用户提供差异化服务。

专业安全服务人才队伍

数默十多年以来一直深耕行业客户，历年来承接了各类重大专项攻坚工作，不仅积累了丰富的专项工作开展经验，还锻炼了一支能力强、安全可靠经验丰富的网络安全分析团队。数默安全服务团队分为前场服务（驻场）和专项支撑两大类，主要提供涉及网络安全应急响应的全链环节，包括数据分析、样本研判、威胁情报、反制溯源和分析报告撰写等环境。

依托优质数据支撑

网络安全检测服务过程中，需要依赖于海量决策数据，才能高校准确的进行安全检测服务，数默在安全检测服务过程中，有多种类型海量的情报数据平台，提供给前场安全分析人员使用。

// service content

服务内容

主机取证

应急响应服务人员使用数默科技专业的取证设备，主要是对可能存在受控的设备操作系统进行取证及后续分析，并形成专业的操作系统镜像分析报告，包含对于主机风险事件的描述、内存取证的镜像文件、提炼的日志、还原文件以及分析结论。

样本分析

支持对客户提供的各类网络攻击相关样本进行逆向分析，利用庞大的样本库及专业工具，对样本进行扩线，最终能够提取样本的检测特征如yara检测规则和IOC信息。用以对相关安全事件进行证据固化、溯源核查，形成专业的样本分析报告。

日志分析

日志服务主要是对现场核查取回的各类操作系统及应用日志进行入侵排查分析，日志包括Windows操作系统日志、MacOS系统日志、Linux操作系统日志、其它边界设备日志、邮服日志、Nginx访问日志等其他网络应用日志。

攻击溯源

根据攻击事件进行取证，还原攻击链，挖掘情报线索，通过样本找出同源性以及木马家族；并根据以上信息采用社工、爬虫等手段对攻击者的背景和意图进行研判；对攻击者的身份及组织进行定位，为反制攻击者提供证据和策略。

流量取证

提供对在外部署的全流量采集设备进行安全分析，梳理被检单位的网络情况，提供在线全流量数据分析服务。服务内容包括异常流量分析、流量警报分析和验证、网络流量深度威胁分析、应急演练、自身安全、web安全监测、高危账号攻击分析，以及发现被检单位网络安全攻击事件并形成专业的流量分析报告。

//application scenario

应用场景

企业被入侵

部署有数默威胁分析取证系统的被入侵企业后，分析人员能够快速分析事件原因，还原攻击路径，封堵攻击者，并进行流量取证溯源，事后对整个事件进行全面复盘，对入侵节点进行安全加固，保障企业网络安全。

→

网站被黑

通过出事Web服务器的日志分析及流量分析，快速定位网站被黑攻击源头，确认网站挂马文件网络传输方式，查清作为跳板的失陷主机，通过网站被黑全路径排查，清理一切感染文件，使网站尽早恢复正常状态。

→

DDOS攻击

DDOS攻击是导致相关网络瘫痪的头号杀手，通过专业人员的网络分析，不仅可以帮助用户发现网络当中的DDOS攻击行为，还能从中提取异常流量特征，并通过这些特征去发现网络当中可能存在的其他问题，彻底清楚网络当中的安全隐患。

→

主机失陷

主机失陷往往需要通过主机取证配合其他分析方式，主机取证能够快速分析失陷主机的内存信息，针对于移动介质摆渡病毒导致的主机感染具有极好的甄别效果。如果已导致僵尸网络规模，也可迅速定位所有失陷主机，进行相关技术处理。

→

Gallery

Contacts