轉(zhuǎn)行或開啟一份新工作的最大挑戰(zhàn)之一,不是了解該做什么,而是學(xué)會不能做什么。
人非圣賢,孰能無過?但在安全行業(yè),小過失往往造成大損失。下面是安全響應(yīng)中一些常見的錯誤,以及安全專家給出的真知灼見。
1. 無準(zhǔn)備
對沒準(zhǔn)備的公司,發(fā)現(xiàn)自己被攻擊的事實可能會帶來恐慌、無效響應(yīng)和難以承受的賬單。你知道攻擊事件中得弄清哪些問題,不妨設(shè)置好整體計劃以應(yīng)對這些問題,有備無患。
比如說:哪些數(shù)據(jù)被盜了?攻擊者是怎么進(jìn)到公司網(wǎng)絡(luò)的?他們在公司網(wǎng)絡(luò)中暢游多久了?都有哪些系統(tǒng)被他們?nèi)局噶耍?/p>
對這些問題的回答,表現(xiàn)出的是一家公司是否具備合適的人、過程和技術(shù)切實處理好數(shù)據(jù)泄露的能力。答不出,那這家公司基本上就是在盲目行動,只能希望自己永遠(yuǎn)不成為攻擊者的目標(biāo)了。
在安全問題上,“希望”這詞兒可不是人們想聽到的,“有備而來”才是。
2. 沒有準(zhǔn)確把握影響范圍
也許一臺,也許20臺,被入侵的機(jī)器數(shù)量不定。如果是20臺,那意味著將有很多機(jī)器有待清理。把握住安全事件范圍的大小,對制定合適的響應(yīng)和恢復(fù)策略至關(guān)重要。
響應(yīng)不僅僅是清理計算機(jī)。漏洞、后門、被添加的賬戶等等,其他的問題或許還有很多。沒能把握到事件的全貌,通常意味著你根本就沒在解決真正的問題。
3. 法律介入太晚
雖然法律程序總是遠(yuǎn)遠(yuǎn)落后于安全事件(而且絕對沒有攻擊者行動得快),總有那么幾次盡早引入法律介入有助于在保密特權(quán)下限制住信息泄露范圍,尤其是在法律界人士應(yīng)負(fù)責(zé)協(xié)調(diào)外部各方以避免信息泄露或被其他團(tuán)體獲悉的情況下。發(fā)生了什么、怎么發(fā)生的、都有哪些人受影響——只有圍繞這些相關(guān)事實形成合理解釋,信息才可以被披露。
4. 妄言“任務(wù)完成”
自己都不完全了解影響范圍(或事件還在解決過程中),就大言不慚地宣布僅有XX條記錄被竊,或者嚴(yán)肅臉宣稱一切盡在掌握,其實是一條非常危險的解決之道,會讓公司負(fù)擔(dān)更重。
千萬別說你徹底搞定了,要說:“我們?nèi)栽谡{(diào)查中。這是我們目前所知的”。急吼吼得擺出一副“我們知道發(fā)生了什么”的樣子,然后最初報告的只有400萬條記錄變成了1千萬條、5千萬條什么的,情何以堪。
5. 不清楚根本原因和攻擊方式
不知道當(dāng)下遭攻擊的原因和攻擊類型,會讓公司在未來繼續(xù)面對同樣的威脅。如果不清楚攻擊者侵入方式,就難以把握全局。又怎么能確定你已經(jīng)把他們都請出去了呢?如果沒關(guān)上這次讓他們溜進(jìn)來的后門,那明天、后天、下個月、來年,他們還會照原路卷土重來。
京公網(wǎng)安備 11010502049343號