转行或开启一份新工作的最大挑战之一,不是了解该做什么,而是学会不能做什么。
人非圣贤,孰能无过?但在安全行业,小过失往往造成大损失。下面是安全响应中一些常见的错误,以及安全专家给出的真知灼见。
1. 无准备
对没准备的公司,发现自己被攻击的事实可能会带来恐慌、无效响应和难以承受的账单。你知道攻击事件中得弄清哪些问题,不妨设置好整体计划以应对这些问题,有备无患。
比如说:哪些数据被盗了?攻击者是怎么进到公司网络的?他们在公司网络中畅游多久了?都有哪些系统被他们染指了?
对这些问题的回答,表现出的是一家公司是否具备合适的人、过程和技术切实处理好数据泄露的能力。答不出,那这家公司基本上就是在盲目行动,只能希望自己永远不成为攻击者的目标了。
在安全问题上,“希望”这词儿可不是人们想听到的,“有备而来”才是。
2. 没有准确把握影响范围
也许一台,也许20台,被入侵的机器数量不定。如果是20台,那意味着将有很多机器有待清理。把握住安全事件范围的大小,对制定合适的响应和恢复策略至关重要。
响应不仅仅是清理计算机。漏洞、后门、被添加的账户等等,其他的问题或许还有很多。没能把握到事件的全貌,通常意味着你根本就没在解决真正的问题。
3. 法律介入太晚
虽然法律程序总是远远落后于安全事件(而且绝对没有攻击者行动得快),总有那么几次尽早引入法律介入有助于在保密特权下限制住信息泄露范围,尤其是在法律界人士应负责协调外部各方以避免信息泄露或被其他团体获悉的情况下。发生了什么、怎么发生的、都有哪些人受影响——只有围绕这些相关事实形成合理解释,信息才可以被披露。
4. 妄言“任务完成”
自己都不完全了解影响范围(或事件还在解决过程中),就大言不惭地宣布仅有XX条记录被窃,或者严肃脸宣称一切尽在掌握,其实是一条非常危险的解决之道,会让公司负担更重。
千万别说你彻底搞定了,要说:“我们仍在调查中。这是我们目前所知的”。急吼吼得摆出一副“我们知道发生了什么”的样子,然后最初报告的只有400万条记录变成了1千万条、5千万条什么的,情何以堪。
5. 不清楚根本原因和攻击方式
不知道当下遭攻击的原因和攻击类型,会让公司在未来继续面对同样的威胁。如果不清楚攻击者侵入方式,就难以把握全局。又怎么能确定你已经把他们都请出去了呢?如果没关上这次让他们溜进来的后门,那明天、后天、下个月、来年,他们还会照原路卷土重来。
本文转自d1net(转载)