企業(yè)網(wǎng)站被攻擊了怎么辦�,網(wǎng)站被攻擊的正確處理方式
編者按:最近國(guó)內(nèi)網(wǎng)站頻繁被攻擊,阿里云上周就遭受兩次��,還好未造成業(yè)務(wù)損失�����。所以�,網(wǎng)絡(luò)防御永遠(yuǎn)是防患于未然,平日沒(méi)有準(zhǔn)備���,待到攻擊時(shí)候亡羊補(bǔ)牢就慘了��。我們看看國(guó)外公司是怎么做的�����。 一般來(lái)說(shuō)�����,企業(yè)網(wǎng)絡(luò)被攻擊�����,在攻擊者通過(guò)精心構(gòu)筑的防御系統(tǒng)之前���,IT安全主管應(yīng)該做的第一件事���,是要確保應(yīng)急預(yù)案發(fā)揮作用。但有時(shí)候防御攻擊并不是嚴(yán)格按照一定的步驟就可以實(shí)現(xiàn)�����,所以在事故發(fā)生時(shí)���,整體團(tuán)隊(duì)在配合中應(yīng)該明確的主要目標(biāo)是:盡快地讓網(wǎng)絡(luò)恢復(fù)如常�����。不要局限在循規(guī)蹈矩��。 關(guān)于如何使網(wǎng)絡(luò)恢復(fù)運(yùn)營(yíng)���,有七個(gè)關(guān)鍵點(diǎn)是企業(yè)應(yīng)該做到的。 1 兵來(lái)將擋�����、水來(lái)土掩 就像一個(gè)球隊(duì)需要不同位置的球員來(lái)防守�,一家網(wǎng)絡(luò)公司也需要針對(duì)不同情況來(lái)委派不同的人員去應(yīng)對(duì)。例如�����,如果事故通知來(lái)自國(guó)家安全局的告知����,說(shuō)發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)被攻破,那么�����,首先要派出的就應(yīng)該是公司法律人員進(jìn)行應(yīng)對(duì)。 如果攻擊中涉及關(guān)鍵的企業(yè)數(shù)據(jù)丟失�, 這就代表了公司商業(yè)機(jī)密被泄漏,這就要通知受波及的具體個(gè)人�,并依照法律法規(guī)來(lái)處理。 這既是根據(jù)被攻擊的情況采取不同的應(yīng)對(duì)方法����。 2 盡快收集各方情況 最終決策 一般情況下,調(diào)查網(wǎng)絡(luò)攻擊的關(guān)鍵時(shí)刻是第24至48小時(shí)�,包括收集哪些機(jī)器遭到破壞、它們是如何被黑客攻擊����、哪些信息可能已經(jīng)被盜、哪些被盜的硬盤(pán)數(shù)據(jù)是至關(guān)重要的等方面��,這將決定采取何種具體行動(dòng)�。 收集各方情況的過(guò)程需要依靠整個(gè)團(tuán)隊(duì)的及時(shí)響應(yīng),這可以幫助確定網(wǎng)絡(luò)攻擊中發(fā)生了什么����,何時(shí)以及如何對(duì)各種事件作出回應(yīng)。 在這個(gè)階段�����,安全主管需要與團(tuán)隊(duì)進(jìn)行有效地溝通����,認(rèn)真聽(tīng)取他們已經(jīng)發(fā)現(xiàn)的,這樣可以確保正在進(jìn)行的決策和分析都是基于事實(shí)而不是自己的假設(shè)��。 3 制定計(jì)劃 這個(gè)計(jì)劃是指針對(duì)當(dāng)前的攻擊事件�����,勾畫(huà)出對(duì)特定的損害作出具體回應(yīng)的包涵各細(xì)節(jié)部分的計(jì)劃表����。 它應(yīng)該包括事故通告內(nèi)容方面,即:怎么告訴員工����、董事會(huì)、執(zhí)法和監(jiān)管部門(mén)�。這個(gè)官方的通告是針對(duì)所有締約方而制定的,需要及時(shí)�、有效地傳遞。 計(jì)劃必須包括攻擊方�、被攻擊目標(biāo)、確定攻擊的范圍���,并針對(duì)那些受影響最嚴(yán)重的機(jī)器做具體的技術(shù)分析�。還必須通過(guò)分析,找出其中是否還存在網(wǎng)絡(luò)威脅�,如果還存在必須做到徹底清理。 最重要的是��,計(jì)劃必須包括如何恢復(fù)正常的業(yè)務(wù)流程�,無(wú)論是通過(guò)調(diào)用備份、防火墻調(diào)整�、封鎖IP地址,還是重新修復(fù)映像機(jī)器損壞等方式����,要具體說(shuō)明。 4 鎖定調(diào)查的范圍�、分析并修復(fù) 這一步有三個(gè)部分。首先團(tuán)隊(duì)需要迅速分流影響主機(jī)的指標(biāo)��。這必須迅速完成�,通常是兩到四個(gè)小時(shí)之內(nèi),包括查看竊聽(tīng)事件日志�����、文件系統(tǒng)等,以創(chuàng)建損壞機(jī)器的所受攻擊時(shí)間表�。 如果發(fā)現(xiàn)更多受損主機(jī)時(shí),它們需要被分流�,并且如果更多IOCS都找到了,它們需要被供給到安全系統(tǒng)����。 經(jīng)過(guò)深入調(diào)查�����,分析最易受到攻擊的主機(jī)是什么系統(tǒng)的�����,并使用該分析來(lái)創(chuàng)建一個(gè)修復(fù)計(jì)劃��。這個(gè)步驟需要有自己的目標(biāo)�����,最終確保攻擊者已經(jīng)被清除����。 5 引導(dǎo)并強(qiáng)化團(tuán)隊(duì) 領(lǐng)導(dǎo)者首先需要清除路障,以便團(tuán)隊(duì)成員可以全身心地投入到補(bǔ)救的工作中。在許多組織中�,網(wǎng)絡(luò)攻擊響應(yīng)團(tuán)隊(duì)是一組專職的團(tuán)隊(duì)。因此�����,他們與其他工作職責(zé)的職工的區(qū)別是�,他們需要明確職責(zé),以處理網(wǎng)絡(luò)攻擊為第一要?jiǎng)?wù)�。 安全主管還要掌握通過(guò)簡(jiǎn)單的技巧來(lái)保護(hù)密碼,并確保團(tuán)隊(duì)中的信息共享快速��、透明����,以便各個(gè)成員迅速獲取相關(guān)信息,并執(zhí)行相關(guān)的任務(wù)����,這樣才可以起到應(yīng)發(fā)揮的作用。 6 主動(dòng)有效地溝通 在網(wǎng)絡(luò)攻擊事件后�,多少都會(huì)有各種外界的猜測(cè)。懷疑是必要的����,以便權(quán)衡發(fā)生了什么�����,可以作為一種可能性去檢測(cè)���,但這種猜測(cè)不應(yīng)該被四處傳播。 需要特別注意的是��,任何團(tuán)隊(duì)之外的猜測(cè)����,都應(yīng)該由充分的證據(jù)來(lái)支持��。畢竟�����,最尷尬的事情莫過(guò)于向老板回復(fù)�,“最初的報(bào)告是不準(zhǔn)確的”。 而老板想要被告知的是�,“怎么樣才可以讓企業(yè)恢復(fù)正常?” 7 善于總結(jié)并運(yùn)用經(jīng)驗(yàn)教訓(xùn) 在網(wǎng)絡(luò)被攻擊的一周之內(nèi)�����,除了徹底清理攻擊者,團(tuán)隊(duì)還應(yīng)該重新梳理���,并討論其對(duì)抗攻擊行動(dòng)中什么是對(duì)的����、什么地方出了錯(cuò)�����,以及如何更好地應(yīng)對(duì)下一次的攻擊���。 可以組織個(gè)討論會(huì)議���,這些會(huì)議還應(yīng)該包括可以提供不一樣視角的團(tuán)隊(duì)成員之外的人。他們可能已經(jīng)聽(tīng)說(shuō)過(guò)一個(gè)版本的經(jīng)驗(yàn)��,對(duì)會(huì)議可以貢獻(xiàn)些有幫助的想法���。并且�����,他們可能還可以幫助團(tuán)隊(duì)吸取別的案例經(jīng)驗(yàn)��,使團(tuán)隊(duì)更好地接受下一次網(wǎng)絡(luò)攻擊的挑戰(zhàn)�,做到未雨綢繆。
