監(jiān)理公司管理系統(tǒng) | 工程企業(yè)管理系統(tǒng) | OA系統(tǒng) | ERP系統(tǒng) | 造價咨詢管理系統(tǒng) | 工程設計管理系統(tǒng) | 簽約案例 | 購買價格 | 在線試用 | 手機APP | 產品資料
X 關閉

事件響應中常見的5種錯誤

申請免費試用、咨詢電話:400-8352-114

文章來源:泛普軟件

【錯誤一】沒有計劃

第一個錯誤就是在事件開始發(fā)生之前,企業(yè)仍然沒有創(chuàng)建事件響應計劃。如果有了計劃,一切都會變得完全不同。這類計劃應當包含事件響應流程的所有階段,從準備基礎設施和第一次響應,一直到從成功解決的事件中吸取經驗。

如果您已經有了自己的計劃,那么在最初的驚慌階段(“噢,老天,我們被黑了!”)之后,就可以迅速進入計劃中下一階段的活動,包括將事件帶來的損失限制在最低的程度。在事件發(fā)生后的緊張環(huán)境中,最為重要的就是根據計劃清單的內容辦事,并且與計劃中的有關聯系人及時取得聯系。

要想立即開始計劃活動,您可以使用現成的方法,如SANS學會的6步驟事件響應流程。有了計劃和方法,安全小組將在實戰(zhàn)中得到鍛煉,并能更快更有效地響應下一波的病毒攻擊。通過這種方式,就可以將企業(yè)遭受的損失減至最低的程度。

【錯誤二】未能增加監(jiān)視和監(jiān)督

第二個錯誤是在每一次事件發(fā)生后,并沒有部署額外的監(jiān)視和監(jiān)督資源。這就像您是在事件響應的過程中把子彈打進自己的腳里。盡管一些企業(yè)沒有足夠的財力來承受24×7的安全監(jiān)視,但如果企業(yè)在某一次事件發(fā)生后不增加監(jiān)視資源,那是無論如何也說不過去的。

另外還有一點,在任何一次事件發(fā)生之后,第一件要做的事就是提高受影響的網絡和系統(tǒng)中所有的日志、審查和監(jiān)視能力。這樣一個簡單的措施很可能對于調查工作的成敗具有決定性的作用,因為它可以提供關鍵的證據,查出事件的原因并加以解決。

在響應流程的后期階段,許多調查員都發(fā)現一些關鍵的日志文件都已不復存在,或者是人們忘記打開現有的監(jiān)視特性,使其一直處于“關閉”狀態(tài)下。在事件發(fā)生后,如果您的IT環(huán)境中仍然保存著大量的數據,那么它們不僅會使調查工作變得更加容易,也會大大提高調查成功的機率。

另外一項副產效應是,提高后的日志和監(jiān)視能力將使調查人員能夠確定對自己的保管工作進行確認─以書面的形式確保數據的安全性,并且將相關內容反映在犯罪調查記錄中。

【錯誤三】沒有為法庭上的戰(zhàn)斗做好準備

一些專家宣稱,我們在調查任何一件安全事件時,都應當將其看作是將要上法庭的案例。換句話來說就是,企業(yè)需要在調查的過程中保證法庭證據的質量并遵循既定的保管鏈原則。

即使案件看起來并不大,甚至不會驚動犯罪嫌疑人的經理、人力資源部門或安全小組(指外部黑客和病毒事件),但總會有上法庭的可能性。如果發(fā)現了新的證據,原本一件很小的不當Web 訪問事件也會變成兒童色情刑事案件。

此外,就算不打算將某些問題訴諸法律,但嫌疑人很可能會反訴您的公司,指控公司對他采取的紀律行動是不正確的。老練的事件調查員應當總是將這一點可能性也考慮在內。另外,較高的調查質量標準必然會提供巨大的幫助,因為如果備份證據所用的手續(xù)非常全面詳細,文檔記錄也非常完整,那么這樣的證據將具有更高的可靠度和說服力。

【錯誤四】原封不動

如果企業(yè)要趕在某個期限之前恢復IT功能,那么第四個錯誤就有可能發(fā)生。雖然這樣做的動機是完全可以理解的,但最簡單的道理是,如果沒有找到事件的原因,那么這類事件就會接連不斷地發(fā)生在同一系統(tǒng)或不同的系統(tǒng)上。

例如,在黑客攻擊事件中,如果沒有實施補丁的計算機被攻陷后,公司使用原來的操作系統(tǒng)介質重新安裝了操作系統(tǒng),但在這一過程中系統(tǒng)中存在的漏洞并沒有清除,那么黑客就很有可能再次光顧并且發(fā)動攻擊。此外,這種命運也很有可能降臨在其他使用同類操作系統(tǒng)的計算機上。因此,雖然業(yè)務運營是第一要務,但第二目標也不應被忽略,我們需要看清問題的所在,并且防止事件再次發(fā)生。

事件響應不應當被看作是一種“消防工作”。很明顯,雖然火災發(fā)生后,它能起到一定的有益作用,但最關鍵的是它能夠防止未來火災的發(fā)生。

【錯誤五】沒有從錯誤中吸取教訓

最后一個錯誤聽起來簡單,但卻很常見。通過創(chuàng)建一個出色的事件響應計劃并遵循計劃辦事,企業(yè)可以有效地保護自己,但同樣重要的是,在每次事件發(fā)生后,都應當對計劃加以修改完善,因為隨著時間的推移,企業(yè)的響應小組和工具都有可能發(fā)生了變化。

另外一個非常重要的組件是在事件發(fā)生的過程中對事件進行詳細的文檔記錄,而不僅僅是在事后進行事件描述。這樣可以確保將事件處理中的“好”、“不好”和“惡劣”方法捕捉下來,供事后進行分析研究,并且從中吸取教訓。企業(yè)應將這類評估的結果和所有的有關方面聯系起來,包括IT資源擁有者和系統(tǒng)管理員。

在理想狀況下,企業(yè)應當建立起一個有關事件的知識庫,確保處理程序的連貫性,并且使這些程序能夠在實踐中得以重現。后者在法規(guī)遵從方面也具有非常重要的作用。
 
來源:CCW

發(fā)布:2007-04-22 10:13    編輯:泛普軟件 · xiaona    [打印此頁]    [關閉]
沈陽OA系統(tǒng)
聯系方式

成都公司:成都市成華區(qū)建設南路160號1層9號

重慶公司:重慶市江北區(qū)紅旗河溝華創(chuàng)商務大廈18樓

咨詢:400-8352-114

加微信,免費獲取試用系統(tǒng)

QQ在線咨詢

泛普沈陽OA快博其他應用

沈陽OA軟件 沈陽OA新聞動態(tài) 沈陽OA信息化 沈陽OA快博 沈陽OA行業(yè)資訊 沈陽軟件開發(fā)公司 沈陽門禁系統(tǒng) 沈陽物業(yè)管理軟件 沈陽倉庫管理軟件 沈陽餐飲管理軟件 沈陽網站建設公司