安全应急响应工作中易犯的5大错误

简介:

转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么。

人非圣贤,孰能无过?但在安全行业,小过失往往造成大损失。下面是安全响应中一些常见的错误,以及安全专家给出的真知灼见。

1. 无准备

对没准备的公司,发现自己被攻击的事实可能会带来恐慌、无效响应和难以承受的账单。你知道攻击事件中得弄清哪些问题,不妨设置好整体计划以应对这些问题,有备无患。

比如说:哪些数据被盗了?攻击者是怎么进到公司网络的?他们在公司网络中畅游多久了?都有哪些系统被他们染指了?

对这些问题的回答,表现出的是一家公司是否具备合适的人、过程和技术切实处理好数据泄露的能力。答不出,那这家公司基本上就是在盲目行动,只能希望自己永远不成为攻击者的目标了。

在安全问题上,“希望”这词儿可不是人们想听到的,“有备而来”才是。

2. 没有准确把握影响范围

也许一台,也许20台,被入侵的机器数量不定。如果是20台,那意味着将有很多机器有待清理。把握住安全事件范围的大小,对制定合适的响应和恢复策略至关重要。

响应不仅仅是清理计算机。漏洞、后门、被添加的账户等等,其他的问题或许还有很多。没能把握到事件的全貌,通常意味着你根本就没在解决真正的问题。

3. 法律介入太晚

虽然法律程序总是远远落后于安全事件(而且绝对没有攻击者行动得快),总有那么几次尽早引入法律介入有助于在保密特权下限制住信息泄露范围,尤其是在法律界人士应负责协调外部各方以避免信息泄露或被其他团体获悉的情况下。发生了什么、怎么发生的、都有哪些人受影响——只有围绕这些相关事实形成合理解释,信息才可以被披露。

4. 妄言“任务完成”

自己都不完全了解影响范围(或事件还在解决过程中),就大言不惭地宣布仅有XX条记录被窃,或者严肃脸宣称一切尽在掌握,其实是一条非常危险的解决之道,会让公司负担更重。

千万别说你彻底搞定了,要说:“我们仍在调查中。这是我们目前所知的”。急吼吼得摆出一副“我们知道发生了什么”的样子,然后最初报告的只有400万条记录变成了1千万条、5千万条什么的,情何以堪。

5. 不清楚根本原因和攻击方式

不知道当下遭攻击的原因和攻击类型,会让公司在未来继续面对同样的威胁。如果不清楚攻击者侵入方式,就难以把握全局。又怎么能确定你已经把他们都请出去了呢?如果没关上这次让他们溜进来的后门,那明天、后天、下个月、来年,他们还会照原路卷土重来。

本文转自d1net(转载)

相关文章
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
431 11
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1027 0
信息安全-应急响应-阿里云安全应急响应服务
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3633 0
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2373 0
|
安全 黑灰产治理
有重奖!阿里安全应急响应中心“2018 专项情报收集计划”
我们发布《2018专项情报收集计划》,相关情报我们有更强的意愿接收及给出更好的奖励,并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
2560 0
|
安全
安全应急响应工作中易犯的5大错误
本文讲的是安全应急响应工作中易犯的5大错误,转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么。
1264 0