论文部分内容阅读
公司网络和系统被黑客攻击之后积极应对非常重要,如果应对得当可以减少事件给公司带来的负面影响,反之则可能让事情更糟。
如果公司网络和IT系统被黑客入侵后我们应该做呢?这无疑是一个重要的问题。此前家得宝、索尼影视娱乐和其他很多公司都曾遭遇过这种不幸。在当今日益严峻的安全形势之下,一个不得不承认的现实是,今后进入被黑名单的公司名录还会不断增加。
公司网络和系统被黑是一件很不幸的事情,尤其是涉及到客户数据被盗、营收受到影响时,但既然已经发生,现在的关键问题是如何避免事情扩大,以尽可能降低被黑事件对公司经营带来的负面影响,从而让公司业务尽快回到正轨。
比如,及时和有效的反应可以尽量减少事件带来的损失或至少通过一种积极的态度来安抚客户、业务合作伙伴,而应对不力或反应迟缓则可能使原本糟糕的情况变得更糟,其影响可能需要公司多年才能弥补。以下是公司遭受了黑客攻击且被其成功入侵之后需要做的六件关键的事情。
保持冷静,制定并执行应对计划
公司被黑客成功攻击之后的第一件事是要马上启动之前制定的应急响应计划。当然,之前公司必须已经制定,如果没有,公司需要组织必要的人员迅速地制定出来。
应急响应计划需要包括谁应该对应急响应计划全面负责、哪些人需要参与到该计划、具体应该有哪些行动以及这些行动具体由谁负责,还有需要哪些技术工具来检测以快速应对等。
“一旦事件发生,很容易陷入恐慌之中,并立即试图控制影响。”SANS研究院SANS网络防御计划负责人Eric Cole说,“很多时候,如果没有适当的计划,你可能是在毁灭证据,使事情更糟。”
应急计划还应包括:确定该事件可能造成的破坏程度、哪些数据遭到破坏,并决定如何与法律部门更好地合作,以确定是否要向执法和其他结构披露该事件,另外还要搞清楚该事件可能对公司的整体业务带来的影响,以及进行具体的损害评估工作。
“一旦应急响应计划明确,下一步的重点就应是执行。”Cole说,在执行应急响应计划期间公司应该专注于几个重点,其中一个就是隔离以控制攻击事件的波及范围,防止事态进一步恶化。
“一旦你开始实施应急响应计划,首先要确保攻击者不再能进入公司的网络,这一点非常关键。”Cole说,“攻击者通常会很有办法,如果他们知道你正在清理系统,他们必然要设法继续潜入你的系统,这可能造成重大伤害。”
通常情况下,公司应设法隔离或控制网络流量,以尽量减少可能带来进一步的损害。
另一个工作重点是清理。“在应对攻击事件期间,长时间完全停止系统通常是不现实的,因此尽快找出问题根源解决问题,防止二次感染至关重要。”Cole说,大多数时候,在事件处理期间公司都会要求尽快让系统运行起来,但是没有找出所有漏洞并彻底解决问题就让系统重新上线是很冒险的,因为黑客完全有可能借助这些安全漏洞再次进入系统。
“只要黑客进到企业网络内部一次,他就希望进来第二次,如果你不花点时间来彻底解决问题。黑客几乎肯定还会再次光临。”他说。
应急响应计划的第三个重点工作是恢复。一旦被黑客用来进入系统的漏洞找到并被解决,下一步的工作重点就要马上转向恢复数据,让系统重新运行。“尤其值得注意的是,在让系统恢复运行前,对系统进行检验,确信问题被彻底解决。”Cole说,“很多时候在恢复期间,系统可能会意外地重新感染。”
最后别忘了,在系统通过了检验,确信系统安全之后,还要密切监视其运行,以确保攻击者不会再次入侵。
集众人之力
“在发生系统被攻击事件后,成立一个应急响应团队来对事件进行全面评估至关重要。”Travelers公司网络安全部负责人Tim Francis表示,这个团队应包括IT部门、业务部门、人力资源、公共关系、法律和运营部门等多个部门的相关人员。
Francis说,“IT部门可以担任总负责人,但要和其他人一起群策群力。比如,你需要一个在安全和隐私法规遵从方面有经验的律师来协助你,他会利用其经验来帮助你应对各种隐私保护以及数据泄露方面的法律问题。”
请供应商和安全专家协助
很多时候,企业还需要关键的安全供应商和安全咨询公司的帮助,来确定系统出现漏洞的原因,并确保在黑客有进一步的攻击之前阻止他们,以避免进一步的损失。
在2014年年初,伊利诺伊州技术研究所的虚拟机 (VM) 被黑客入侵,并被用作向另一所大学发起DDoS(分布式拒绝服务)的跳板。
“我们发现,在VMware平台中有一个未打补丁的安全漏洞。”该研究所IT和管理研究兼职副教授兼电脑系统管理Louis McHugh介绍说,“这是我们在对系统进行了仔细检查,并直接与VMware的技术支持人员进行咨询后才发现的。实际上,这是一种简单的黑客技术,即利用NTP反射攻击来放大DDoS,因为我们仍在使用NTP来保持我们不同服务器时间的同步。”
该研究所没有按照最佳实践的要求及时打上安全补丁,其中有一个关于NTP的漏洞补丁程序当时就错过了。McHugh说,“后来,我们根据VMware的推荐在所有服务器上打上了这个补丁,以确保类似攻击不再发生。”
另外,McHugh还采取了一系列步骤来改善服务器的安全性,包括关闭所有非必需的服务,无论是Windows还是Linux服务器都定期坚持打安全补丁,在网络边界路由器上安装防火墙等,从而强化整个IT环境的安全。”
小心处理法律方面的问题
发生黑客入侵事件之后,IT部门、安全部门和其他高级管理人员应该和企业内外部的法律团队讨论事件可能潜在的影响。
“律师可以根据不同地方的要求来帮忙通知所有利益相关方,此外,还有与供应商的合同问题以及信用卡方面的问题需要处理。”律师事务所Morris Manning
如果公司网络和IT系统被黑客入侵后我们应该做呢?这无疑是一个重要的问题。此前家得宝、索尼影视娱乐和其他很多公司都曾遭遇过这种不幸。在当今日益严峻的安全形势之下,一个不得不承认的现实是,今后进入被黑名单的公司名录还会不断增加。
公司网络和系统被黑是一件很不幸的事情,尤其是涉及到客户数据被盗、营收受到影响时,但既然已经发生,现在的关键问题是如何避免事情扩大,以尽可能降低被黑事件对公司经营带来的负面影响,从而让公司业务尽快回到正轨。
比如,及时和有效的反应可以尽量减少事件带来的损失或至少通过一种积极的态度来安抚客户、业务合作伙伴,而应对不力或反应迟缓则可能使原本糟糕的情况变得更糟,其影响可能需要公司多年才能弥补。以下是公司遭受了黑客攻击且被其成功入侵之后需要做的六件关键的事情。
保持冷静,制定并执行应对计划
公司被黑客成功攻击之后的第一件事是要马上启动之前制定的应急响应计划。当然,之前公司必须已经制定,如果没有,公司需要组织必要的人员迅速地制定出来。
应急响应计划需要包括谁应该对应急响应计划全面负责、哪些人需要参与到该计划、具体应该有哪些行动以及这些行动具体由谁负责,还有需要哪些技术工具来检测以快速应对等。
“一旦事件发生,很容易陷入恐慌之中,并立即试图控制影响。”SANS研究院SANS网络防御计划负责人Eric Cole说,“很多时候,如果没有适当的计划,你可能是在毁灭证据,使事情更糟。”
应急计划还应包括:确定该事件可能造成的破坏程度、哪些数据遭到破坏,并决定如何与法律部门更好地合作,以确定是否要向执法和其他结构披露该事件,另外还要搞清楚该事件可能对公司的整体业务带来的影响,以及进行具体的损害评估工作。
“一旦应急响应计划明确,下一步的重点就应是执行。”Cole说,在执行应急响应计划期间公司应该专注于几个重点,其中一个就是隔离以控制攻击事件的波及范围,防止事态进一步恶化。
“一旦你开始实施应急响应计划,首先要确保攻击者不再能进入公司的网络,这一点非常关键。”Cole说,“攻击者通常会很有办法,如果他们知道你正在清理系统,他们必然要设法继续潜入你的系统,这可能造成重大伤害。”
通常情况下,公司应设法隔离或控制网络流量,以尽量减少可能带来进一步的损害。
另一个工作重点是清理。“在应对攻击事件期间,长时间完全停止系统通常是不现实的,因此尽快找出问题根源解决问题,防止二次感染至关重要。”Cole说,大多数时候,在事件处理期间公司都会要求尽快让系统运行起来,但是没有找出所有漏洞并彻底解决问题就让系统重新上线是很冒险的,因为黑客完全有可能借助这些安全漏洞再次进入系统。
“只要黑客进到企业网络内部一次,他就希望进来第二次,如果你不花点时间来彻底解决问题。黑客几乎肯定还会再次光临。”他说。
应急响应计划的第三个重点工作是恢复。一旦被黑客用来进入系统的漏洞找到并被解决,下一步的工作重点就要马上转向恢复数据,让系统重新运行。“尤其值得注意的是,在让系统恢复运行前,对系统进行检验,确信问题被彻底解决。”Cole说,“很多时候在恢复期间,系统可能会意外地重新感染。”
最后别忘了,在系统通过了检验,确信系统安全之后,还要密切监视其运行,以确保攻击者不会再次入侵。
集众人之力
“在发生系统被攻击事件后,成立一个应急响应团队来对事件进行全面评估至关重要。”Travelers公司网络安全部负责人Tim Francis表示,这个团队应包括IT部门、业务部门、人力资源、公共关系、法律和运营部门等多个部门的相关人员。
Francis说,“IT部门可以担任总负责人,但要和其他人一起群策群力。比如,你需要一个在安全和隐私法规遵从方面有经验的律师来协助你,他会利用其经验来帮助你应对各种隐私保护以及数据泄露方面的法律问题。”
请供应商和安全专家协助
很多时候,企业还需要关键的安全供应商和安全咨询公司的帮助,来确定系统出现漏洞的原因,并确保在黑客有进一步的攻击之前阻止他们,以避免进一步的损失。
在2014年年初,伊利诺伊州技术研究所的虚拟机 (VM) 被黑客入侵,并被用作向另一所大学发起DDoS(分布式拒绝服务)的跳板。
“我们发现,在VMware平台中有一个未打补丁的安全漏洞。”该研究所IT和管理研究兼职副教授兼电脑系统管理Louis McHugh介绍说,“这是我们在对系统进行了仔细检查,并直接与VMware的技术支持人员进行咨询后才发现的。实际上,这是一种简单的黑客技术,即利用NTP反射攻击来放大DDoS,因为我们仍在使用NTP来保持我们不同服务器时间的同步。”
该研究所没有按照最佳实践的要求及时打上安全补丁,其中有一个关于NTP的漏洞补丁程序当时就错过了。McHugh说,“后来,我们根据VMware的推荐在所有服务器上打上了这个补丁,以确保类似攻击不再发生。”
另外,McHugh还采取了一系列步骤来改善服务器的安全性,包括关闭所有非必需的服务,无论是Windows还是Linux服务器都定期坚持打安全补丁,在网络边界路由器上安装防火墙等,从而强化整个IT环境的安全。”
小心处理法律方面的问题
发生黑客入侵事件之后,IT部门、安全部门和其他高级管理人员应该和企业内外部的法律团队讨论事件可能潜在的影响。
“律师可以根据不同地方的要求来帮忙通知所有利益相关方,此外,还有与供应商的合同问题以及信用卡方面的问题需要处理。”律师事务所Morris Manning