企業(yè)網(wǎng)絡(luò)被攻破應(yīng)采取的措施

　　如果公司網(wǎng)絡(luò)和IT系統(tǒng)被黑客入侵后我們應(yīng)該做呢?這無(wú)疑是一個(gè)重要的問(wèn)題。此前家得寶、索尼影視娛樂(lè)和其他很多公司都曾遭遇過(guò)這種不幸。在當(dāng)今日益嚴(yán)峻的安全形勢(shì)之下，一個(gè)不得不承認(rèn)的現(xiàn)實(shí)是，今后進(jìn)入被黑名單的公司名錄還會(huì)不斷增加。

　　公司網(wǎng)絡(luò)和系統(tǒng)被黑是一件很不幸的事情，尤其是涉及到客戶數(shù)據(jù)被盜、營(yíng)收受到影響時(shí)，但既然已經(jīng)發(fā)生，現(xiàn)在的關(guān)鍵問(wèn)題是如何避免事情擴(kuò)大，以盡可能降低被黑事件對(duì)公司經(jīng)營(yíng)帶來(lái)的負(fù)面影響，從而讓公司業(yè)務(wù)盡快回到正軌。

　　比如，及時(shí)和有效的反應(yīng)可以盡量減少事件帶來(lái)的損失或至少通過(guò)一種積極的態(tài)度來(lái)安撫客戶、業(yè)務(wù)合作伙伴，而應(yīng)對(duì)不力或反應(yīng)遲緩則可能使原本糟糕的情況變得更糟，其影響可能需要公司多年才能彌補(bǔ)。以下是公司遭受了黑客攻擊且被其成功入侵之后需要做的六件關(guān)鍵的事情。

　　保持冷靜，制定并執(zhí)行應(yīng)對(duì)計(jì)劃

　　公司被黑客成功攻擊之后的第一件事是要馬上啟動(dòng)之前制定的應(yīng)急響應(yīng)計(jì)劃。當(dāng)然，之前公司必須已經(jīng)制定，如果沒(méi)有，公司需要組織必要的人員迅速地制定出來(lái)。

　　應(yīng)急響應(yīng)計(jì)劃需要包括誰(shuí)應(yīng)該對(duì)應(yīng)急響應(yīng)計(jì)劃全面負(fù)責(zé)、哪些人需要參與到該計(jì)劃、具體應(yīng)該有哪些行動(dòng)以及這些行動(dòng)具體由誰(shuí)負(fù)責(zé)，還有需要哪些技術(shù)工具來(lái)檢測(cè)以快速應(yīng)對(duì)等。

　　“一旦事件發(fā)生，很容易陷入恐慌之中，并立即試圖控制影響。”SANS研究院SANS網(wǎng)絡(luò)防御計(jì)劃負(fù)責(zé)人Eric Cole說(shuō)，“很多時(shí)候，如果沒(méi)有適當(dāng)?shù)挠?jì)劃，你可能是在毀滅證據(jù)，使事情更糟。”

　　應(yīng)急計(jì)劃還應(yīng)包括：確定該事件可能造成的破壞程度、哪些數(shù)據(jù)遭到破壞，并決定如何與法律部門(mén)更好地合作，以確定是否要向執(zhí)法和其他結(jié)構(gòu)披露該事件，另外還要搞清楚該事件可能對(duì)公司的整體業(yè)務(wù)帶來(lái)的影響，以及進(jìn)行具體的損害評(píng)估工作。

　　“一旦應(yīng)急響應(yīng)計(jì)劃明確，下一步的重點(diǎn)就應(yīng)是執(zhí)行。”Cole說(shuō)，在執(zhí)行應(yīng)急響應(yīng)計(jì)劃期間公司應(yīng)該專注于幾個(gè)重點(diǎn)，其中一個(gè)就是隔離以控制攻擊事件的波及范圍，防止事態(tài)進(jìn)一步惡化。

　　“一旦你開(kāi)始實(shí)施應(yīng)急響應(yīng)計(jì)劃，首先要確保攻擊者不再能進(jìn)入公司的網(wǎng)絡(luò)，這一點(diǎn)非常關(guān)鍵。”Cole說(shuō)，“攻擊者通常會(huì)很有辦法，如果他們知道你正在清理系統(tǒng)，他們必然要設(shè)法繼續(xù)潛入你的系統(tǒng)，這可能造成重大傷害。”

　　通常情況下，公司應(yīng)設(shè)法隔離或控制網(wǎng)絡(luò)流量，以盡量減少可能帶來(lái)進(jìn)一步的損害。

　　另一個(gè)工作重點(diǎn)是清理。“在應(yīng)對(duì)攻擊事件期間，長(zhǎng)時(shí)間完全停止系統(tǒng)通常是不現(xiàn)實(shí)的，因此盡快找出問(wèn)題根源解決問(wèn)題，防止二次感染至關(guān)重要。”Cole說(shuō)，大多數(shù)時(shí)候，在事件處理期間公司都會(huì)要求盡快讓系統(tǒng)運(yùn)行起來(lái)，但是沒(méi)有找出所有漏洞并徹底解決問(wèn)題就讓系統(tǒng)重新上線是很冒險(xiǎn)的，因?yàn)楹诳屯耆锌赡芙柚@些安全漏洞再次進(jìn)入系統(tǒng)。

　　“只要黑客進(jìn)到企業(yè)網(wǎng)絡(luò)內(nèi)部一次，他就希望進(jìn)來(lái)第二次，如果你不花點(diǎn)時(shí)間來(lái)徹底解決問(wèn)題。黑客幾乎肯定還會(huì)再次光臨。”他說(shuō)。

　　應(yīng)急響應(yīng)計(jì)劃的第三個(gè)重點(diǎn)工作是恢復(fù)。一旦被黑客用來(lái)進(jìn)入系統(tǒng)的漏洞找到并被解決，下一步的工作重點(diǎn)就要馬上轉(zhuǎn)向恢復(fù)數(shù)據(jù)，讓系統(tǒng)重新運(yùn)行。“尤其值得注意的是，在讓系統(tǒng)恢復(fù)運(yùn)行前，對(duì)系統(tǒng)進(jìn)行檢驗(yàn)，確信問(wèn)題被徹底解決。”Cole說(shuō)，“很多時(shí)候在恢復(fù)期間，系統(tǒng)可能會(huì)意外地重新感染。”

　　最后別忘了，在系統(tǒng)通過(guò)了檢驗(yàn)，確信系統(tǒng)安全之后，還要密切監(jiān)視其運(yùn)行，以確保攻擊者不會(huì)再次入侵。

　　集眾人之力

　　“在發(fā)生系統(tǒng)被攻擊事件后，成立一個(gè)應(yīng)急響應(yīng)團(tuán)隊(duì)來(lái)對(duì)事件進(jìn)行全面評(píng)估至關(guān)重要。”Travelers公司網(wǎng)絡(luò)安全部負(fù)責(zé)人Tim Francis表示，這個(gè)團(tuán)隊(duì)?wèi)?yīng)包括IT部門(mén)、業(yè)務(wù)部門(mén)、人力資源、公共關(guān)系、法律和運(yùn)營(yíng)部門(mén)等多個(gè)部門(mén)的相關(guān)人員。

　　Francis說(shuō)，“IT部門(mén)可以擔(dān)任總負(fù)責(zé)人，但要和其他人一起群策群力。比如，你需要一個(gè)在安全和隱私法規(guī)遵從方面有經(jīng)驗(yàn)的律師來(lái)協(xié)助你，他會(huì)利用其經(jīng)驗(yàn)來(lái)幫助你應(yīng)對(duì)各種隱私保護(hù)以及數(shù)據(jù)泄露方面的法律問(wèn)題。”

　　請(qǐng)供應(yīng)商和安全專家協(xié)助

　　很多時(shí)候，企業(yè)還需要關(guān)鍵的安全供應(yīng)商和安全咨詢公司的幫助，來(lái)確定系統(tǒng)出現(xiàn)漏洞的原因，并確保在黑客有進(jìn)一步的攻擊之前阻止他們，以避免進(jìn)一步的損失。

　　在2014年年初，伊利諾伊州技術(shù)研究所的虛擬機(jī) (VM) 被黑客入侵，并被用作向另一所大學(xué)發(fā)起DDoS[注](分布式拒絕服務(wù)[注])的跳板。

　　“我們發(fā)現(xiàn)，在VMware平臺(tái)中有一個(gè)未打補(bǔ)丁的安全漏洞。”該研究所IT和管理研究兼職副教授兼電腦系統(tǒng)管理Louis McHugh介紹說(shuō)，“這是我們?cè)趯?duì)系統(tǒng)進(jìn)行了仔細(xì)檢查，并直接與VMware的技術(shù)支持人員進(jìn)行咨詢后才發(fā)現(xiàn)的。實(shí)際上，這是一種簡(jiǎn)單的黑客技術(shù)，即利用NTP反射攻擊來(lái)放大DDoS，因?yàn)槲覀內(nèi)栽谑褂肗TP來(lái)保持我們不同服務(wù)器時(shí)間的同步。”

　　該研究所沒(méi)有按照最佳實(shí)踐的要求及時(shí)打上安全補(bǔ)丁，其中有一個(gè)關(guān)于NTP的漏洞補(bǔ)丁程序當(dāng)時(shí)就錯(cuò)過(guò)了。McHugh說(shuō)，“后來(lái)，我們根據(jù)VMware的推薦在所有服務(wù)器上打上了這個(gè)補(bǔ)丁，以確保類似攻擊不再發(fā)生。”

　　另外，McHugh還采取了一系列步驟來(lái)改善服務(wù)器的安全性，包括關(guān)閉所有非必需的服務(wù)，無(wú)論是Windows還是Linux服務(wù)器都定期堅(jiān)持打安全補(bǔ)丁，在網(wǎng)絡(luò)邊界路由器上安裝防火墻等，從而強(qiáng)化整個(gè)IT環(huán)境的安全。”

　　小心處理法律方面的問(wèn)題

　　發(fā)生黑客入侵事件之后，IT部門(mén)、安全部門(mén)和其他高級(jí)管理人員應(yīng)該和企業(yè)內(nèi)外部的法律團(tuán)隊(duì)討論事件可能潛在的影響。

　　“律師可以根據(jù)不同地方的要求來(lái)幫忙通知所有利益相關(guān)方，此外，還有與供應(yīng)商的合同問(wèn)題以及信用卡方面的問(wèn)題需要處理。”律師事務(wù)所Morris Manning & Martin LLP負(fù)責(zé)數(shù)據(jù)安全的Larry Kunin介紹說(shuō)。

　　“修復(fù)問(wèn)題可能需要一段時(shí)間，因?yàn)橐榍搴诳腿绾稳肭?、找到漏洞所在可能并不總是很容易，而且公司還需要考慮保留所有證據(jù)。”律師事務(wù)所Fox Rothschild隱私和數(shù)據(jù)安全事務(wù)負(fù)責(zé)人Scott Vernick說(shuō)。

　　“一旦有任何法律訴訟，他們也可以及時(shí)提供幫助。”Vernick 說(shuō)，公司處理事件的整個(gè)過(guò)程(包括調(diào)查和修復(fù))必須要小心，確保不會(huì)影響證據(jù)的保留。“這包括但并不僅限于克隆服務(wù)器、筆記本電腦和臺(tái)式機(jī)，復(fù)制文檔，確保你調(diào)查過(guò)程使用的是文檔的復(fù)制版，從而盡可能保留原始材料。”他說(shuō)。

　　法律問(wèn)題主要圍繞政府部門(mén)可能介入調(diào)查，比如可能是在聯(lián)邦或州的層面，并確保根據(jù)相關(guān)法規(guī)規(guī)定通知了各個(gè)利益相關(guān)方以及商業(yè)伙伴。

　　據(jù)Vernick介紹(+微信關(guān)注網(wǎng)絡(luò)世界)，有些地方對(duì)某些公司發(fā)生黑客入侵事件后需要報(bào)告的流程和程序有明確規(guī)定。例如，如果是在醫(yī)療保健領(lǐng)域，健康保險(xiǎn)可攜性與責(zé)任法案(HIPAA)和健康信息技術(shù)經(jīng)濟(jì)及臨床健康法案(HITECH)對(duì)此都有嚴(yán)格且明確的規(guī)定。

　　“基本原則就是公司盡可能提前準(zhǔn)備并且盡可能透明。”Vernick說(shuō)，“其中有一些是很難做到的，因?yàn)閷?duì)整個(gè)事件的了解是一個(gè)動(dòng)態(tài)的過(guò)程，隨著調(diào)查的進(jìn)行和問(wèn)題的解決，整個(gè)事情的原委才逐漸清晰起來(lái)。不過(guò)，出于對(duì)公司利益相關(guān)方，特別是客戶、公司員工以及政府機(jī)構(gòu)的尊重，你越透明其結(jié)果往往就越好。”

　　找保險(xiǎn)公司申請(qǐng)賠付

　　如果之前在保險(xiǎn)公司投有相關(guān)的保險(xiǎn)，在出現(xiàn)系統(tǒng)被黑和數(shù)據(jù)泄露事件之后，要盡快通知公司的保險(xiǎn)代理人和索賠代表。

　　“公司需要確保IT員工必須收集并記錄與該事件有關(guān)的所有東西，以此作為索賠的依據(jù)。”Francis說(shuō)，“其中，網(wǎng)絡(luò)安全事件日志經(jīng)常是至關(guān)重要的證據(jù)，用以幫助確認(rèn)事件發(fā)生的日期、具體時(shí)間和事件所涉及的服務(wù)器等。”

　　還要對(duì)受影響的數(shù)據(jù)進(jìn)行分類，以了解是否有可用來(lái)識(shí)別個(gè)人身份的信息被竊取，比如社會(huì)安全號(hào)碼或醫(yī)療記錄、財(cái)務(wù)信息以及其他敏感數(shù)據(jù)。

　　Francis表示，借助這種方法，公司可以把重點(diǎn)放在保護(hù)和保障其最敏感的那些數(shù)據(jù)上。另外，除了系統(tǒng)宕機(jī)的直接損失之外，還要記錄花在處理這次事件上的時(shí)間成本和人力成本。

　　及時(shí)對(duì)外公開(kāi)相關(guān)信息

　　與公司員工、客戶、合作伙伴和其他利益相關(guān)方保持聯(lián)系，讓它們了解最新情況，包括本次攻擊何時(shí)發(fā)生、會(huì)對(duì)公司帶來(lái)哪些影響以及公司的應(yīng)對(duì)之策等，這一點(diǎn)非常重要。相反，沉默可能暗示無(wú)能、混亂或變得更糟。

　　“公司可能需要多次評(píng)估他們了解的網(wǎng)絡(luò)入侵的危害程度。”佩斯大學(xué)貝格計(jì)算機(jī)科學(xué)和信息系統(tǒng)學(xué)院系主任和助理教授Darren Hayes說(shuō)，“像Target公司這樣的情形，可能最終也不確定到底有多少客戶記錄被盜齲正因?yàn)槿绱?，絕對(duì)不能低估攻擊可能產(chǎn)生的影響，應(yīng)通知所有有必要保持警惕的客戶。”

　　應(yīng)用程序開(kāi)發(fā)商Evernote就是一個(gè)很好的例子，這家公司的IT系統(tǒng)被黑，其及時(shí)告知了相關(guān)人有關(guān)風(fēng)險(xiǎn)。“他們要求所有用戶重置其密碼，包括那些沒(méi)有受到影響的用戶。” Hayes介紹說(shuō)，“他們通過(guò)各種通信渠道來(lái)告知客戶哪些系統(tǒng)被攻破了，什么數(shù)據(jù)可能被盜取，哪些則不用擔(dān)心。”

　　Evernote公司還使用情緒分析工具來(lái)識(shí)別和響應(yīng)客戶通過(guò)社交媒體表達(dá)出來(lái)的擔(dān)心。Hayes說(shuō)，“我們往往認(rèn)為情緒分析主要用于營(yíng)銷活動(dòng)，實(shí)際上，在發(fā)生系統(tǒng)被黑之后，它也可以非常有效。”

　　除了有效地溝通，公司還需要考慮黑客攻擊事件對(duì)員工和客戶的心理影響，尤其是當(dāng)涉及到電子郵件或可識(shí)別個(gè)人身份的信息時(shí)。

　　《Technocreep》一書(shū)的作者、卡爾加里大學(xué)計(jì)算機(jī)科學(xué)與環(huán)境設(shè)計(jì)教授Tom Keenan說(shuō)：“如果公司的系統(tǒng)被未經(jīng)授權(quán)的人進(jìn)入，就相當(dāng)于有人未經(jīng)允許進(jìn)入了他人的私人空間，這會(huì)對(duì)相關(guān)人的心理帶來(lái)很大影響。因?yàn)椴还苷_與否，大多數(shù)人都認(rèn)為電子郵件是很私人的。”

　　“有必要的話，企業(yè)應(yīng)該找到適當(dāng)?shù)膶I(yè)人士來(lái)幫助人們擺脫因這次被黑事件，特別是私人信息被公布于眾帶來(lái)的影響。”Keenan說(shuō)。