企業(yè)網(wǎng)站被攻擊了怎么辦��,網(wǎng)站被攻擊的正確處理方式
分類: 百科
常識詞典
編輯 : 常識
發(fā)布 : 04-15
閱讀 :297
編者按:最近國內(nèi)網(wǎng)站頻繁被攻擊�,阿里云上周就遭受兩次,還好未造成業(yè)務(wù)損失����。所以,網(wǎng)絡(luò)防御永遠(yuǎn)是防患于未然�����,平日沒有準(zhǔn)備,待到攻擊時候亡羊補牢就慘了�����。我們看看國外公司是怎么做的����。 一般來說,企業(yè)網(wǎng)絡(luò)被攻擊����,在攻擊者通過精心構(gòu)筑的防御系統(tǒng)之前,IT安全主管應(yīng)該做的第一件事�,是要確保應(yīng)急預(yù)案發(fā)揮作用。但有時候防御攻擊并不是嚴(yán)格按照一定的步驟就可以實現(xiàn)����,所以在事故發(fā)生時,整體團(tuán)隊在配合中應(yīng)該明確的主要目標(biāo)是:盡快地讓網(wǎng)絡(luò)恢復(fù)如常����。不要局限在循規(guī)蹈矩。 關(guān)于如何使網(wǎng)絡(luò)恢復(fù)運營���,有七個關(guān)鍵點是企業(yè)應(yīng)該做到的�。 1 兵來將擋、水來土掩 就像一個球隊需要不同位置的球員來防守��,一家網(wǎng)絡(luò)公司也需要針對不同情況來委派不同的人員去應(yīng)對�。例如,如果事故通知來自國家安全局的告知��,說發(fā)現(xiàn)企業(yè)網(wǎng)絡(luò)被攻破���,那么��,首先要派出的就應(yīng)該是公司法律人員進(jìn)行應(yīng)對�。 如果攻擊中涉及關(guān)鍵的企業(yè)數(shù)據(jù)丟失���, 這就代表了公司商業(yè)機密被泄漏,這就要通知受波及的具體個人����,并依照法律法規(guī)來處理。 這既是根據(jù)被攻擊的情況采取不同的應(yīng)對方法��。 2 盡快收集各方情況 最終決策 一般情況下���,調(diào)查網(wǎng)絡(luò)攻擊的關(guān)鍵時刻是第24至48小時���,包括收集哪些機器遭到破壞�、它們是如何被黑客攻擊��、哪些信息可能已經(jīng)被盜�����、哪些被盜的硬盤數(shù)據(jù)是至關(guān)重要的等方面��,這將決定采取何種具體行動��。 收集各方情況的過程需要依靠整個團(tuán)隊的及時響應(yīng)���,這可以幫助確定網(wǎng)絡(luò)攻擊中發(fā)生了什么�,何時以及如何對各種事件作出回應(yīng)�。 在這個階段,安全主管需要與團(tuán)隊進(jìn)行有效地溝通���,認(rèn)真聽取他們已經(jīng)發(fā)現(xiàn)的����,這樣可以確保正在進(jìn)行的決策和分析都是基于事實而不是自己的假設(shè)�����。 3 制定計劃 這個計劃是指針對當(dāng)前的攻擊事件,勾畫出對特定的損害作出具體回應(yīng)的包涵各細(xì)節(jié)部分的計劃表���。 它應(yīng)該包括事故通告內(nèi)容方面�,即:怎么告訴員工�����、董事會�����、執(zhí)法和監(jiān)管部門����。這個官方的通告是針對所有締約方而制定的,需要及時����、有效地傳遞�����。 計劃必須包括攻擊方、被攻擊目標(biāo)���、確定攻擊的范圍�,并針對那些受影響最嚴(yán)重的機器做具體的技術(shù)分析���。還必須通過分析�,找出其中是否還存在網(wǎng)絡(luò)威脅�����,如果還存在必須做到徹底清理����。 最重要的是,計劃必須包括如何恢復(fù)正常的業(yè)務(wù)流程��,無論是通過調(diào)用備份�、防火墻調(diào)整、封鎖IP地址���,還是重新修復(fù)映像機器損壞等方式�����,要具體說明��。 4 鎖定調(diào)查的范圍�����、分析并修復(fù) 這一步有三個部分�。首先團(tuán)隊需要迅速分流影響主機的指標(biāo)。這必須迅速完成�����,通常是兩到四個小時之內(nèi)����,包括查看竊聽事件日志、文件系統(tǒng)等����,以創(chuàng)建損壞機器的所受攻擊時間表。 如果發(fā)現(xiàn)更多受損主機時��,它們需要被分流���,并且如果更多IOCS都找到了���,它們需要被供給到安全系統(tǒng)。 經(jīng)過深入調(diào)查���,分析最易受到攻擊的主機是什么系統(tǒng)的���,并使用該分析來創(chuàng)建一個修復(fù)計劃。這個步驟需要有自己的目標(biāo)�,最終確保攻擊者已經(jīng)被清除。 5 引導(dǎo)并強化團(tuán)隊 領(lǐng)導(dǎo)者首先需要清除路障���,以便團(tuán)隊成員可以全身心地投入到補救的工作中�。在許多組織中���,網(wǎng)絡(luò)攻擊響應(yīng)團(tuán)隊是一組專職的團(tuán)隊�。因此����,他們與其他工作職責(zé)的職工的區(qū)別是,他們需要明確職責(zé)�,以處理網(wǎng)絡(luò)攻擊為第一要務(wù)。 安全主管還要掌握通過簡單的技巧來保護(hù)密碼,并確保團(tuán)隊中的信息共享快速��、透明��,以便各個成員迅速獲取相關(guān)信息��,并執(zhí)行相關(guān)的任務(wù)��,這樣才可以起到應(yīng)發(fā)揮的作用�����。 6 主動有效地溝通 在網(wǎng)絡(luò)攻擊事件后���,多少都會有各種外界的猜測����。懷疑是必要的���,以便權(quán)衡發(fā)生了什么����,可以作為一種可能性去檢測��,但這種猜測不應(yīng)該被四處傳播。 需要特別注意的是���,任何團(tuán)隊之外的猜測,都應(yīng)該由充分的證據(jù)來支持����。畢竟,最尷尬的事情莫過于向老板回復(fù)�,“最初的報告是不準(zhǔn)確的”。 而老板想要被告知的是��,“怎么樣才可以讓企業(yè)恢復(fù)正常�?” 7 善于總結(jié)并運用經(jīng)驗教訓(xùn) 在網(wǎng)絡(luò)被攻擊的一周之內(nèi),除了徹底清理攻擊者�����,團(tuán)隊還應(yīng)該重新梳理�����,并討論其對抗攻擊行動中什么是對的�、什么地方出了錯,以及如何更好地應(yīng)對下一次的攻擊��。 可以組織個討論會議,這些會議還應(yīng)該包括可以提供不一樣視角的團(tuán)隊成員之外的人��。他們可能已經(jīng)聽說過一個版本的經(jīng)驗�,對會議可以貢獻(xiàn)些有幫助的想法。并且�,他們可能還可以幫助團(tuán)隊吸取別的案例經(jīng)驗,使團(tuán)隊更好地接受下一次網(wǎng)絡(luò)攻擊的挑戰(zhàn)�,做到未雨綢繆。
