事件響應(yīng)中常見(jiàn)的5種錯(cuò)誤

申請(qǐng)免費(fèi)試用、咨詢電話：400-8352-114

【錯(cuò)誤一】沒(méi)有計(jì)劃

第一個(gè)錯(cuò)誤就是在事件開(kāi)始發(fā)生之前，企業(yè)仍然沒(méi)有創(chuàng)建事件響應(yīng)計(jì)劃。如果有了計(jì)劃，一切都會(huì)變得完全不同。這類計(jì)劃應(yīng)當(dāng)包含事件響應(yīng)流程的所有階段，從準(zhǔn)備基礎(chǔ)設(shè)施和第一次響應(yīng)，一直到從成功解決的事件中吸取經(jīng)驗(yàn)。

如果您已經(jīng)有了自己的計(jì)劃，那么在最初的驚慌階段（“噢，老天，我們被黑了！”）之后，就可以迅速進(jìn)入計(jì)劃中下一階段的活動(dòng)，包括將事件帶來(lái)的損失限制在最低的程度。在事件發(fā)生后的緊張環(huán)境中，最為重要的就是根據(jù)計(jì)劃清單的內(nèi)容辦事，并且與計(jì)劃中的有關(guān)聯(lián)系人及時(shí)取得聯(lián)系。

要想立即開(kāi)始計(jì)劃活動(dòng)，您可以使用現(xiàn)成的方法，如SANS學(xué)會(huì)的6步驟事件響應(yīng)流程。有了計(jì)劃和方法，安全小組將在實(shí)戰(zhàn)中得到鍛煉，并能更快更有效地響應(yīng)下一波的病毒攻擊。通過(guò)這種方式，就可以將企業(yè)遭受的損失減至最低的程度。

【錯(cuò)誤二】未能增加監(jiān)視和監(jiān)督

第二個(gè)錯(cuò)誤是在每一次事件發(fā)生后，并沒(méi)有部署額外的監(jiān)視和監(jiān)督資源。這就像您是在事件響應(yīng)的過(guò)程中把子彈打進(jìn)自己的腳里。盡管一些企業(yè)沒(méi)有足夠的財(cái)力來(lái)承受24×7的安全監(jiān)視，但如果企業(yè)在某一次事件發(fā)生后不增加監(jiān)視資源，那是無(wú)論如何也說(shuō)不過(guò)去的。

另外還有一點(diǎn)，在任何一次事件發(fā)生之后，第一件要做的事就是提高受影響的網(wǎng)絡(luò)和系統(tǒng)中所有的日志、審查和監(jiān)視能力。這樣一個(gè)簡(jiǎn)單的措施很可能對(duì)于調(diào)查工作的成敗具有決定性的作用，因?yàn)樗梢蕴峁╆P(guān)鍵的證據(jù)，查出事件的原因并加以解決。

在響應(yīng)流程的后期階段，許多調(diào)查員都發(fā)現(xiàn)一些關(guān)鍵的日志文件都已不復(fù)存在，或者是人們忘記打開(kāi)現(xiàn)有的監(jiān)視特性，使其一直處于“關(guān)閉”狀態(tài)下。在事件發(fā)生后，如果您的IT環(huán)境中仍然保存著大量的數(shù)據(jù)，那么它們不僅會(huì)使調(diào)查工作變得更加容易，也會(huì)大大提高調(diào)查成功的機(jī)率。

另外一項(xiàng)副產(chǎn)效應(yīng)是，提高后的日志和監(jiān)視能力將使調(diào)查人員能夠確定對(duì)自己的保管工作進(jìn)行確認(rèn)─以書面的形式確保數(shù)據(jù)的安全性，并且將相關(guān)內(nèi)容反映在犯罪調(diào)查記錄中。

【錯(cuò)誤三】沒(méi)有為法庭上的戰(zhàn)斗做好準(zhǔn)備

一些專家宣稱，我們?cè)谡{(diào)查任何一件安全事件時(shí)，都應(yīng)當(dāng)將其看作是將要上法庭的案例。換句話來(lái)說(shuō)就是，企業(yè)需要在調(diào)查的過(guò)程中保證法庭證據(jù)的質(zhì)量并遵循既定的保管鏈原則。

即使案件看起來(lái)并不大，甚至不會(huì)驚動(dòng)犯罪嫌疑人的經(jīng)理、人力資源部門或安全小組（指外部黑客和病毒事件），但總會(huì)有上法庭的可能性。如果發(fā)現(xiàn)了新的證據(jù)，原本一件很小的不當(dāng)Web 訪問(wèn)事件也會(huì)變成兒童色情刑事案件。

此外，就算不打算將某些問(wèn)題訴諸法律，但嫌疑人很可能會(huì)反訴您的公司，指控公司對(duì)他采取的紀(jì)律行動(dòng)是不正確的。老練的事件調(diào)查員應(yīng)當(dāng)總是將這一點(diǎn)可能性也考慮在內(nèi)。另外，較高的調(diào)查質(zhì)量標(biāo)準(zhǔn)必然會(huì)提供巨大的幫助，因?yàn)槿绻麄浞葑C據(jù)所用的手續(xù)非常全面詳細(xì)，文檔記錄也非常完整，那么這樣的證據(jù)將具有更高的可靠度和說(shuō)服力。

【錯(cuò)誤四】原封不動(dòng)

如果企業(yè)要趕在某個(gè)期限之前恢復(fù)IT功能，那么第四個(gè)錯(cuò)誤就有可能發(fā)生。雖然這樣做的動(dòng)機(jī)是完全可以理解的，但最簡(jiǎn)單的道理是，如果沒(méi)有找到事件的原因，那么這類事件就會(huì)接連不斷地發(fā)生在同一系統(tǒng)或不同的系統(tǒng)上。

例如，在黑客攻擊事件中，如果沒(méi)有實(shí)施補(bǔ)丁的計(jì)算機(jī)被攻陷后，公司使用原來(lái)的操作系統(tǒng)介質(zhì)重新安裝了操作系統(tǒng)，但在這一過(guò)程中系統(tǒng)中存在的漏洞并沒(méi)有清除，那么黑客就很有可能再次光顧并且發(fā)動(dòng)攻擊。此外，這種命運(yùn)也很有可能降臨在其他使用同類操作系統(tǒng)的計(jì)算機(jī)上。因此，雖然業(yè)務(wù)運(yùn)營(yíng)是第一要?jiǎng)?wù)，但第二目標(biāo)也不應(yīng)被忽略，我們需要看清問(wèn)題的所在，并且防止事件再次發(fā)生。

事件響應(yīng)不應(yīng)當(dāng)被看作是一種“消防工作”。很明顯，雖然火災(zāi)發(fā)生后，它能起到一定的有益作用，但最關(guān)鍵的是它能夠防止未來(lái)火災(zāi)的發(fā)生。

【錯(cuò)誤五】沒(méi)有從錯(cuò)誤中吸取教訓(xùn)

最后一個(gè)錯(cuò)誤聽(tīng)起來(lái)簡(jiǎn)單，但卻很常見(jiàn)。通過(guò)創(chuàng)建一個(gè)出色的事件響應(yīng)計(jì)劃并遵循計(jì)劃辦事，企業(yè)可以有效地保護(hù)自己，但同樣重要的是，在每次事件發(fā)生后，都應(yīng)當(dāng)對(duì)計(jì)劃加以修改完善，因?yàn)殡S著時(shí)間的推移，企業(yè)的響應(yīng)小組和工具都有可能發(fā)生了變化。

另外一個(gè)非常重要的組件是在事件發(fā)生的過(guò)程中對(duì)事件進(jìn)行詳細(xì)的文檔記錄，而不僅僅是在事后進(jìn)行事件描述。這樣可以確保將事件處理中的“好”、“不好”和“惡劣”方法捕捉下來(lái)，供事后進(jìn)行分析研究，并且從中吸取教訓(xùn)。企業(yè)應(yīng)將這類評(píng)估的結(jié)果和所有的有關(guān)方面聯(lián)系起來(lái)，包括IT資源擁有者和系統(tǒng)管理員。

在理想狀況下，企業(yè)應(yīng)當(dāng)建立起一個(gè)有關(guān)事件的知識(shí)庫(kù)，確保處理程序的連貫性，并且使這些程序能夠在實(shí)踐中得以重現(xiàn)。后者在法規(guī)遵從方面也具有非常重要的作用。
 
來(lái)源：CCW