事件响应
Darin Roberts //
注意: 本博客中提到的技术和工具可能已过时,不适用于当前情况。然而,这篇博客仍可作为学习机会,并可能更新或整合到现代工具和技术中。
根据身份盗窃资源中心的数据,2015年共追踪到781起数据泄露事件。平均每天超过2起。这仅包括法律要求报告或新闻媒体报道的数据泄露事件。这是自2005年以来记录的第二高年份。问题不在于你是否会被入侵,而在于何时会发生。
那么,你打算怎么做?你可以尽可能预防,但当不可避免的入侵发生时,你该怎么办?以下是一些在不幸事件发生时应采取的措施的简要概述。我将以SANS事件管理模型的信息为基础。
在整个过程中,你应该记住记录所有发生的事情和你的操作。如果在过程中出现问题,你将能够看到你做了什么并纠正任何错误。如果一切顺利,你将为未来发生其他事件时提供宝贵的信息。
准备
在发生事件之前,你需要提前做好准备。你需要在问题出现之前制定所有政策和程序。如果你需要检查员工的电脑,你有权限吗?当你发现问题时,谁将负责?你将采取哪些步骤恢复正常工作状态?如果你的组织不够大,没有自己的IT部门,或者需要一些支持,你会联系谁来帮助你?这些以及许多其他问题都需要在事件发生前考虑清楚。
准备好后,接下来的步骤会更容易管理。虽然恢复正常生活仍会带来问题,但你不会不知所措。准备是第一步,也可能是最重要的一步,但必须在事件发生前完成。
识别
你应该首先识别负责处理事件的人员。你应该有一个系统,以便知道联系谁以及谁将负责。
你还需要确认是否真的发生了事件。哪些系统受到影响,需要通知谁?是孤立事件还是广泛影响多个系统?识别可能很困难。即使你确认了事件的发生或正在发生,理解问题的类型、范围和严重程度更具挑战性。准备好一家公司来协助事件识别可能是个好主意。
遏制
在事件发生前,你需要制定一个计划,帮助确定遏制策略。如果你的系统被入侵,你应该在识别问题之前就知道该怎么做。你会关闭系统、断开网络连接,还是仅关闭某些功能?显然,问题的严重性将决定你采取的遏制措施,但提前决定会使这些决策更简单、更快速。
在遏制阶段,你应该收集信息和证据。证据应用于帮助解决问题,也可能在法律程序中发挥作用。再次强调,此阶段的文档记录至关重要。你应该记录所有操作。
根除
在遏制事件后,下一步是清除它。这有时可能是过程中的棘手步骤。有时可能像运行防病毒或间谍软件扫描程序一样简单,或者你可能需要从备份中恢复并修补系统以修复已知漏洞。如果进行恢复,请确保原始系统也未受感染。
作为准备阶段的一部分,你可以采取一些措施使根除更容易。如果你花时间为系统制定标准配置,恢复将比每个系统都有自己配置的情况更容易。系统越标准化,恢复速度越快。
恢复
恢复是将一切重新组合起来。再次强调,系统标准化将使这一过程更容易。你将采取什么措施防止这种情况再次发生?是硬件更改、软件更改、补丁、密码规则更改,还是建筑安全?即使你恢复运行,也需要致力于预防,以免事件重演。
经验总结
在将所有事情恢复后,你需要与事件响应团队坐下来讨论经验教训。凭借你详尽的笔记和文档,你将有一些宝贵的信息可以回顾和讨论。也许你需要回去做更多准备,或者需要进一步明确谁应该负责。你可能需要修改遏制程序。如果你不从发生的事情中学习,你就浪费了一个宝贵的机会。
虽然被入侵从来不是令人舒适的情况,但你可以让它对你和你的组织更容易。事件发生前的准备在恢复正常方面大有帮助。从事件本身以及你如何应对中学习,将帮助你改进准备并在下一次事件发生时更好地处理。