事件响应

Darin Roberts //
注意：本文中提到的技术和工具可能已过时，不适用于当前情况。然而，这篇博客仍可作为学习机会，并可能用于更新或集成到现代工具和技术中。

根据身份盗窃资源中心的数据，2015年共追踪到781起数据泄露事件，平均每天超过2起。这仅包括法律要求报告或新闻媒体报道的数据泄露，是自2005年以来第二高的年份。数据泄露不是“如果”会发生，而是“何时”会发生的问题。

那么，您将如何应对？您可以尽可能预防，但当不可避免的泄露发生时，您该怎么办？以下是一个简要概述，基于SANS事件管理模型，介绍在不幸事件发生时应采取的措施。

在整个过程中，请记住记录所有发生的事件和您采取的行动。如果过程中出现问题，您可以查看所做操作并纠正错误。如果一切顺利，您将为未来可能发生的其他事件积累宝贵信息。

准备

在事件发生之前，您需要提前准备。您需要在问题出现之前制定所有政策和程序。例如，如果您需要检查员工的计算机，是否有权限？当发现问题时，谁将负责？您将采取哪些步骤恢复正常工作状态？如果您的组织没有专门的IT部门或需要外部支持，您将联系谁？这些以及其他许多问题都需要在事件发生前考虑清楚。

准备完成后，后续步骤将更容易管理。虽然恢复正常状态仍会带来问题，但您不会不知所措。准备是第一步，也可能是最重要的一步，但必须在事件发生前完成。

首先，您应确定负责处理事件的人员。您应有一个系统，以便知道联系谁和谁负责。

您还需要确认事件是否真的发生。哪些系统受到影响？需要通知谁？是孤立事件还是广泛影响多个系统？识别可能很困难。即使您确认了事件的发生或正在发生，理解问题的类型、范围和严重程度更具挑战性。提前准备一家公司协助事件识别可能是个好主意。

在事件发生前，您需要制定计划，帮助确定遏制策略。如果系统被入侵，您应在识别问题之前就知道该做什么。您会关闭系统、断开网络连接，还是关闭特定功能？显然，问题的严重性将决定您采取的遏制措施，但提前决策将使这些决定更简单、更快速。

在遏制阶段，您应收集信息和证据。证据不仅有助于解决问题，还可能用于法律程序。再次强调，此阶段的文档记录至关重要。您应记录所有操作。

在遏制事件后，下一步是清除它。这有时可能是过程中的棘手步骤。有时可能只需运行防病毒或反间谍软件扫描，或者您可能需要从备份恢复并修补系统以修复已知漏洞。如果进行恢复，请确保原始系统未受感染。

作为准备阶段的一部分，您可以采取一些措施使根除更容易。如果您花时间让系统具有标准配置，恢复将比每个系统都有独特配置更容易。系统越标准化，恢复越快。

恢复是将一切重新组合在一起。再次强调，系统标准化将使这一过程更容易。您将采取什么措施防止事件再次发生？是硬件更改、软件更改、补丁、密码规则更改，还是建筑安全？即使在恢复运行后，您仍需致力于预防，以避免事件重演。

在一切恢复后，您需要与事件响应团队坐下来讨论经验教训。凭借您详尽的笔记和文档，您将有大量信息可供回顾和讨论。也许您需要回头做更多准备，或者需要更明确谁应负责。您可能需要修改遏制程序。如果您不从事件中学习，就浪费了一个宝贵的机会。

虽然遭受入侵从来不是令人舒适的情况，但通过准备可以让您和组织更容易应对。事件前的准备对恢复正常大有帮助。从事件本身以及您的响应方式中学习，将帮助您改进准备，并在下一次事件到来时更好地处理。