首要措施
公司可以参考由相关各方一起制定的计划。理想情况下,该计划描述了安全损害响应团队、成员及其责任,并确定了如何与高级管理部门沟通等问题。
现实情况是,许多公司并没有提前准备好一套这样的计划,所以在其遭受攻击后,关键的问题是立即保障受影响的系统安全,并形成一个由安全、技术、法律等关键成员以及为最终用户负责的任何人所组成的响应团队。
同样关键的一个问题是,IT不能立即重新恢复受攻击损害的服务器镜像,使其重新联网。否则会破坏被攻击范围的证据,因而关键是不要破坏第三方的取证专家用于获得数据受损范围的证据及其完整性。
除隔离、取证、清除危害之外,由于法律和人力资源的原因,公司还需要立即披露安全损害。
寻求第三方的帮助
在评估安全损害的后果时,企业应当请第三方的安全专家,并遵循其建议,首先评估哪些方面出了问题,并对受影响的系统进行取证,以便于日后分析。
第三方会观察攻击者的行为,然后确认安全漏洞。虽然有些公司可能拥有进行取证的适当人员,但其团队未必拥有企业真正需要的专业技术,所以企业最好从外部聘请一直从事计算机取证的专业技术人员,可以让内部的专业人士与其协同工作。
执行技术和业务损害的控制
企业需要检查安全损害的很多方面,但需要解决的许多问题基本上属于技术和业务恢复的范围。
例如,从技术的观点来看,企业要通过加密所有的敏感数据和隔离可疑系统来快速响应,从而限制安全损害。然后,根据企业的架构用各种方法评估危害程度。
企业需要实施的下一步措施包括向受到影响的各方真诚地告知发生的问题及有可能发生的后果,以及如何实施保护等。
经验很重要
在着手解决安全危害之前,要避免让不熟练的雇员(或者在减轻灾难方面没有专门技术的某人)成为决策者。
在发生安全危害期间,你会发现很多公司资源被吸引到了灾难中,但其中的许多几乎不能提供有意义的支持,甚至带来副作用,这是因为没有适当专业背景的人容易反应过度。
笔者记得某公司的一位雇员在对着电话大叫“我们被黑了!”。其实,经过初步分析之后,发现其实只不过是一个下游的供应商遭受了攻击。没有经验的人员会带来恐慌,所以企业准备好一份计划,并且知道哪些人需要参与其中是很有必要的。