讓我們以2012 RSA網(wǎng)絡(luò)安全大會(huì)上，前FBI局長(zhǎng)羅伯特·米勒的話作為開場(chǎng)白吧：

“我很確信，世界上只有兩種公司：一種已經(jīng)被黑，一種即將被黑。甚至二者正合為同一個(gè)類別：已經(jīng)被黑且即將再被黑一次。”

很多安全專業(yè)人士也持有類似的評(píng)論：

“不是是否被黑的問(wèn)題，而是何時(shí)被黑的問(wèn)題。”

“不是你尚未發(fā)生數(shù)據(jù)泄露，只是你還沒意識(shí)到自己的數(shù)據(jù)早已一瀉千里而已。”

如今我們都承認(rèn)，曾經(jīng)的噩夢(mèng)已變成了現(xiàn)實(shí)。事實(shí)無(wú)可辯駁，那么我們?cè)撛鯓哟_保公司企業(yè)在最短的時(shí)間內(nèi)做出最好的修復(fù)呢?

好吧，在響應(yīng)數(shù)據(jù)泄露事件之前，你得先意識(shí)到有數(shù)據(jù)泄露發(fā)生了。然而，不幸的是，太多的公司企業(yè)只有事發(fā)數(shù)月之后，在被司法機(jī)構(gòu)、媒體或在暗網(wǎng)上看到這些數(shù)據(jù)被售賣的人士通知之時(shí)，才會(huì)意識(shí)到自己已經(jīng)被攻破了。

怎樣檢測(cè)數(shù)據(jù)泄露?

企業(yè)想要檢測(cè)數(shù)據(jù)泄露，必須具備3個(gè)條件：有相關(guān)知識(shí)的人，受監(jiān)管的策略和過(guò)程，以及正確的技術(shù)。缺乏這3個(gè)條件，就跟蒙上眼在上下班高峰時(shí)期行駛在5車道的高速公路上一樣，距離升天只是時(shí)間問(wèn)題。

有鑒于把小命玩完不在人生計(jì)劃之列，我們還是來(lái)看一下數(shù)據(jù)泄露檢測(cè)的這3駕馬車吧。

人

不僅僅是安全團(tuán)隊(duì)需要網(wǎng)絡(luò)安全培訓(xùn)。所有公司員工都必須具備識(shí)別基本的攻擊指示器的能力，包括釣魚郵件、非正常系統(tǒng)活動(dòng)，以及IT部門發(fā)來(lái)的非預(yù)期憑證索取請(qǐng)求。

公司企業(yè)應(yīng)當(dāng)考慮實(shí)現(xiàn)一個(gè)覆蓋全公司范圍的網(wǎng)絡(luò)安全培訓(xùn)項(xiàng)目，建立強(qiáng)有力的安全文化，培養(yǎng)員工對(duì)網(wǎng)絡(luò)安全的認(rèn)知，定義他們對(duì)潛在及真實(shí)安全事件的響應(yīng)方式。

過(guò)程

對(duì)公司企業(yè)而言，維護(hù)自身數(shù)據(jù)泄露風(fēng)險(xiǎn)情況是十分重要的。應(yīng)至少每年一次，審核所有公司數(shù)據(jù)，確定數(shù)據(jù)使用方式和保護(hù)方法。

另外附上其他一些面向過(guò)程的建議：

確定事件響應(yīng)團(tuán)隊(duì)，確保他們完全理解自己的角色和責(zé)任;

確保安全策略和規(guī)程定期更新，保證它們跟上公司和技術(shù)變遷。弄個(gè)援引早已過(guò)時(shí)的過(guò)程或技術(shù)的古怪計(jì)劃沒有任何好處;

務(wù)必事先與法務(wù)和公關(guān)團(tuán)隊(duì)一起制定出良好的溝通計(jì)劃。

技術(shù)

響應(yīng)團(tuán)隊(duì)要有合適的技術(shù)工具來(lái)做好自己的工作。成功的安全事件響應(yīng)，要求團(tuán)隊(duì)手握功能齊全的事件通知和管理工具集。

最后，如果不能運(yùn)轉(zhuǎn)良好，最好的人、過(guò)程和技術(shù)都沒啥卵用。定期測(cè)試/實(shí)踐是絕對(duì)必須的。

假設(shè)公司已在人、過(guò)程和技術(shù)上做出了投入。接下來(lái)便該考慮當(dāng)不可避免的數(shù)據(jù)泄露發(fā)生時(shí)應(yīng)該做些什么了。

怎樣響應(yīng)數(shù)據(jù)泄露?

數(shù)據(jù)泄露發(fā)生之后，通常問(wèn)題會(huì)比答案多。其中一些應(yīng)該自我問(wèn)詢的問(wèn)題有：

系統(tǒng)受損程度如何?

破壞范圍延伸到哪兒了?

被損壞或竊取的數(shù)據(jù)有哪些?

我能信任哪個(gè)系統(tǒng)?

影響評(píng)估需要多久?

應(yīng)該通報(bào)哪些人?

怎樣預(yù)防類似的事情再次發(fā)生?

要回答以上乃至更多問(wèn)題，讓我們先為恢復(fù)受損系統(tǒng)和公司信譽(yù)制定出一套有條理的章程。

數(shù)據(jù)泄露發(fā)生之后最該做的第一步，就是后退!

后退一步，深呼吸。別讓當(dāng)前的緊張情緒和壓力迫使你陷入不由自主的下意識(shí)反應(yīng)中。先評(píng)估發(fā)生了什么，哪些系統(tǒng)受到了影響，是最重要的。

一旦有機(jī)會(huì)評(píng)估當(dāng)前狀況，應(yīng)先通過(guò)減少進(jìn)一步損害的機(jī)會(huì)來(lái)穩(wěn)定系統(tǒng)。這意味著移除或減少對(duì)產(chǎn)品環(huán)境的訪問(wèn)，變更產(chǎn)品憑證，或者凍結(jié)對(duì)產(chǎn)品做出任何修改。另外，別忘了考慮第三方系統(tǒng)、托管解決方案等等。

時(shí)刻謹(jǐn)記，你無(wú)法同時(shí)搞定所有事情。利用你的數(shù)據(jù)泄露風(fēng)險(xiǎn)情況幫助制定目標(biāo)優(yōu)先級(jí)。評(píng)估數(shù)據(jù)源，確保數(shù)據(jù)源受到足夠的保護(hù)。監(jiān)測(cè)事件進(jìn)展，確保與公司管理一致。

隨著修復(fù)進(jìn)程開始加速，確保建立起可信參考點(diǎn)，以便能定義什么是“好”什么是“可疑”。黃金構(gòu)建，或者其他供應(yīng)源、可信備份和預(yù)生產(chǎn)系統(tǒng)，都是有效的起始點(diǎn)。

然后，收集系統(tǒng)狀態(tài)信息，比如操作系統(tǒng)、應(yīng)用、配置文件、用戶信息和文件散列信息等，評(píng)估當(dāng)前系統(tǒng)狀態(tài)。將所收集的信息轉(zhuǎn)移到一個(gè)不聯(lián)網(wǎng)存儲(chǔ)地，以備離線分析和后續(xù)的調(diào)查。

接下來(lái)，將每個(gè)系統(tǒng)與當(dāng)初的部署進(jìn)行對(duì)比。系統(tǒng)狀態(tài)信息可以與其他源進(jìn)行關(guān)聯(lián)以獲取更高的準(zhǔn)確度。在風(fēng)險(xiǎn)和價(jià)值的基礎(chǔ)上為你的發(fā)現(xiàn)定下優(yōu)先級(jí)，開始從環(huán)境中隔離或移除可疑系統(tǒng)。

如果某個(gè)受損系統(tǒng)必須保持運(yùn)行，你得實(shí)現(xiàn)一套強(qiáng)力控制措施來(lái)預(yù)防它感染或重復(fù)感染其他系統(tǒng)。

現(xiàn)在，我們可以開始分析可用數(shù)據(jù)來(lái)確定感染路徑和原因了。

緣由找出，則可以開始從可信源上重建系統(tǒng)，重新在環(huán)境中部署可信系統(tǒng)了。基于分析結(jié)果，你可能會(huì)想進(jìn)行額外的強(qiáng)化以防止重復(fù)感染。

隨著可信系統(tǒng)重新部署到環(huán)境中，建立一套持續(xù)的監(jiān)測(cè)策略來(lái)確保能檢測(cè)出進(jìn)一步的異?；虿灰恢轮幘惋@得特別重要了。你最不需要的東西，就是攻你不備，讓你所有的努力付之一炬的異常因素了。

整個(gè)過(guò)程中，應(yīng)該保持溝通順暢。在內(nèi)部，公司管理層應(yīng)對(duì)進(jìn)展知情。外部，要與法務(wù)和公關(guān)團(tuán)隊(duì)合作，確保主要客戶、利益相關(guān)者和必要的政府部門以正確的方式獲悉事件進(jìn)展。

當(dāng)系統(tǒng)穩(wěn)定下來(lái)，公司恢復(fù)正軌，別急著慶賀。先對(duì)公司的表現(xiàn)、成功、失敗和教訓(xùn)進(jìn)行一個(gè)詳細(xì)的評(píng)估。確保計(jì)劃和過(guò)程都經(jīng)過(guò)了調(diào)整，必要的地方甚至重寫了。另外，管理層和董事會(huì)那里也要提交一份報(bào)告，論功行賞。