如何快速恢復(fù)企業(yè)業(yè)務(wù)

■濰坊 郝長(zhǎng)明 趙長(zhǎng)林

首要措施

公司可以參考由相關(guān)各方一起制定的計(jì)劃。理想情況下，該計(jì)劃描述了安全損害響應(yīng)團(tuán)隊(duì)、成員及其責(zé)任，并確定了如何與高級(jí)管理部門溝通等問題。

現(xiàn)實(shí)情況是，許多公司并沒有提前準(zhǔn)備好一套這樣的計(jì)劃，所以在其遭受攻擊后，關(guān)鍵的問題是立即保障受影響的系統(tǒng)安全，并形成一個(gè)由安全、技術(shù)、法律等關(guān)鍵成員以及為最終用戶負(fù)責(zé)的任何人所組成的響應(yīng)團(tuán)隊(duì)。

同樣關(guān)鍵的一個(gè)問題是，IT不能立即重新恢復(fù)受攻擊損害的服務(wù)器鏡像，使其重新聯(lián)網(wǎng)。否則會(huì)破壞被攻擊范圍的證據(jù)，因而關(guān)鍵是不要破壞第三方的取證專家用于獲得數(shù)據(jù)受損范圍的證據(jù)及其完整性。

除隔離、取證、清除危害之外，由于法律和人力資源的原因，公司還需要立即披露安全損害。

尋求第三方的幫助

在評(píng)估安全損害的后果時(shí)，企業(yè)應(yīng)當(dāng)請(qǐng)第三方的安全專家，并遵循其建議，首先評(píng)估哪些方面出了問題，并對(duì)受影響的系統(tǒng)進(jìn)行取證，以便于日后分析。

第三方會(huì)觀察攻擊者的行為，然后確認(rèn)安全漏洞。雖然有些公司可能擁有進(jìn)行取證的適當(dāng)人員，但其團(tuán)隊(duì)未必?fù)碛衅髽I(yè)真正需要的專業(yè)技術(shù)，所以企業(yè)最好從外部聘請(qǐng)一直從事計(jì)算機(jī)取證的專業(yè)技術(shù)人員，可以讓內(nèi)部的專業(yè)人士與其協(xié)同工作。

執(zhí)行技術(shù)和業(yè)務(wù)損害的控制

企業(yè)需要檢查安全損害的很多方面，但需要解決的許多問題基本上屬于技術(shù)和業(yè)務(wù)恢復(fù)的范圍。

例如，從技術(shù)的觀點(diǎn)來看，企業(yè)要通過加密所有的敏感數(shù)據(jù)和隔離可疑系統(tǒng)來快速響應(yīng)，從而限制安全損害。然后，根據(jù)企業(yè)的架構(gòu)用各種方法評(píng)估危害程度。

企業(yè)需要實(shí)施的下一步措施包括向受到影響的各方真誠(chéng)地告知發(fā)生的問題及有可能發(fā)生的后果，以及如何實(shí)施保護(hù)等。

經(jīng)驗(yàn)很重要

在著手解決安全危害之前，要避免讓不熟練的雇員（或者在減輕災(zāi)難方面沒有專門技術(shù)的某人）成為決策者。

在發(fā)生安全危害期間，你會(huì)發(fā)現(xiàn)很多公司資源被吸引到了災(zāi)難中，但其中的許多幾乎不能提供有意義的支持，甚至帶來副作用，這是因?yàn)闆]有適當(dāng)專業(yè)背景的人容易反應(yīng)過度。

筆者記得某公司的一位雇員在對(duì)著電話大叫“我們被黑了！”。其實(shí)，經(jīng)過初步分析之后，發(fā)現(xiàn)其實(shí)只不過是一個(gè)下游的供應(yīng)商遭受了攻擊。沒有經(jīng)驗(yàn)的人員會(huì)帶來恐慌，所以企業(yè)準(zhǔn)備好一份計(jì)劃，并且知道哪些人需要參與其中是很有必要的。