企業網路被攻破應採取的措施
如果公司網路和IT系統被黑客入侵後我們應該做呢?這無疑是一個重要的問題。此前家得寶、索尼影視娛樂和其他很多公司都曾遭遇過這種不幸。在當今日益嚴峻的安全形勢之下,一個不得不承認的現實是,今後進入被黑名單的公司名錄還會不斷增加。
公司網路和系統被黑是一件很不幸的事情,尤其是涉及到客戶資料被盜、營收受到影響時,但既然已經發生,現在的關鍵問題是如何避免事情擴大,以儘可能降低被黑事件對公司經營帶來的負面影響,從而讓公司業務儘快回到正軌。
比如,及時和有效的反應可以儘量減少事件帶來的損失或至少通過一種積極的態度來安撫客戶、業務合作伙伴,而應對不力或反應遲緩則可能使原本糟糕的情況變得更糟,其影響可能需要公司多年才能彌補。以下是公司遭受了黑客攻擊且被其成功入侵之後需要做的六件關鍵的事情。
保持冷靜,制定並執行應對計劃
公司被黑客成功攻擊之後的第一件事是要馬上啟動之前制定的應急響應計劃。當然,之前公司必須已經制定,如果沒有,公司需要組織必要的人員迅速地制定出來。
應急響應計劃需要包括誰應該對應急響應計劃全面負責、哪些人需要參與到該計劃、具體應該有哪些行動以及這些行動具體由誰負責,還有需要哪些技術工具來檢測以快速應對等。
“一旦事件發生,很容易陷入恐慌之中,並立即試圖控制影響。”SANS研究院SANS網路防禦計劃負責人Eric Cole說,“很多時候,如果沒有適當的計劃,你可能是在毀滅證據,使事情更糟。”
應急計劃還應包括:確定該事件可能造成的破壞程度、哪些資料遭到破壞,並決定如何與法律部門更好地合作,以確定是否要向執法和其他結構披露該事件,另外還要搞清楚該事件可能對公司的整體業務帶來的影響,以及進行具體的損害評估工作。
“一旦應急響應計劃明確,下一步的重點就應是執行。”Cole說,在執行應急響應計劃期間公司應該專注於幾個重點,其中一個就是隔離以控制攻擊事件的波及範圍,防止事態進一步惡化。
“一旦你開始實施應急響應計劃,首先要確保攻擊者不再能進入公司的網路,這一點非常關鍵。”Cole說,“攻擊者通常會很有辦法,如果他們知道你正在清理系統,他們必然要設法繼續潛入你的系統,這可能造成重大傷害。”
通常情況下,公司應設法隔離或控制網路流量,以儘量減少可能帶來進一步的損害。
另一個工作重點是清理。“在應對攻擊事件期間,長時間完全停止系統通常是不現實的,因此儘快找出問題根源解決問題,防止二次感染至關重要。”Cole說,大多數時候,在事件處理期間公司都會要求儘快讓系統執行起來,但是沒有找出所有漏洞並徹底解決問題就讓系統重新上線是很冒險的,因為黑客完全有可能借助這些安全漏洞再次進入系統。
“只要黑客進到企業網路內部一次,他就希望進來第二次,如果你不花點時間來徹底解決問題。黑客幾乎肯定還會再次光臨。”他說。
應急響應計劃的第三個重點工作是恢復。一旦被黑客用來進入系統的漏洞找到並被解決,下一步的工作重點就要馬上轉向恢復資料,讓系統重新執行。“尤其值得注意的是,在讓系統恢復執行前,對系統進行檢驗,確信問題被徹底解決。”Cole說,“很多時候在恢復期間,系統可能會意外地重新感染。”
最後別忘了,在系統通過了檢驗,確信系統安全之後,還要密切監視其執行,以確保攻擊者不會再次入侵。
集眾人之力
“在發生系統被攻擊事件後,成立一個應急響應團隊來對事件進行全面評估至關重要。”Travelers公司網路安全部負責人Tim Francis表示,這個團隊應包括IT部門、業務部門、人力資源、公共關係、法律和運營部門等多個部門的相關人員。
Francis說,“IT部門可以擔任總負責人,但要和其他人一起群策群力。比如,你需要一個在安全和隱私法規遵從方面有經驗的律師來協助你,他會利用其經驗來幫助你應對各種隱私保護以及資料洩露方面的法律問題。”
請供應商和安全專家協助
很多時候,企業還需要關鍵的安全供應商和安全諮詢公司的幫助,來確定系統出現漏洞的原因,並確保在黑客有進一步的攻擊之前阻止他們,以避免進一步的損失。
在2014年年初,伊利諾伊州技術研究所的虛擬機器 VM 被黑客入侵,並被用作向另一所大學發起DDoS[注]分散式拒絕服務[注]的跳板。
“我們發現,在VMware平臺中有一個未打補丁的安全漏洞。”該研究所IT和管理研究兼職副教授兼電腦系統管理Louis McHugh介紹說,“這是我們在對系統進行了仔細檢查,並直接與VMware的技術支援人員進行諮詢後才發現的。實際上,這是一種簡單的黑客技術,即利用NTP反射攻擊來放大DDoS,因為我們仍在使用NTP來保持我們不同伺服器時間的同步。”
該研究所沒有按照最佳實踐的要求及時打上安全補丁,其中有一個關於NTP的漏洞補丁程式當時就錯過了。McHugh說,“後來,我們根據VMware的推薦在所有伺服器上打上了這個補丁,以確保類似攻擊不再發生。”
另外,McHugh還採取了一系列步驟來改善伺服器的安全性,包括關閉所有非必需的服務,無論是Windows還是Linux伺服器都定期堅持打安全補丁,在網路邊界路由器上安裝防火牆等,從而強化整個IT環境的安全。”
小心處理法律方面的問題
發生黑客入侵事件之後,IT部門、安全部門和其他高階管理人員應該和企業內外部的法律團隊討論事件可能潛在的影響。
“律師可以根據不同地方的要求來幫忙通知所有利益相關方,此外,還有與供應商的合同問題以及信用卡方面的問題需要處理。”律師事務所Morris Manning & Martin LLP負責資料安全的Larry Kunin介紹說。
“修復問題可能需要一段時間,因為要查清黑客如何入侵、找到漏洞所在可能並不總是很容易,而且公司還需要考慮保留所有證據。”律師事務所Fox Rothschild隱私和資料安全事務負責人Scott Vernick說。
“一旦有任何法律訴訟,他們也可以及時提供幫助。”Vernick 說,公司處理事件的整個過程包括調查和修復必須要小心,確保不會影響證據的保留。“這包括但並不僅限於克隆伺服器、膝上型電腦和桌上型電腦,複製文件,確保你調查過程使用的是文件的複製版,從而儘可能保留原始材料。”他說。
法律問題主要圍繞政府部門可能介入調查,比如可能是在聯邦或州的層面,並確保根據相關法規規定通知了各個利益相關方以及商業夥伴。
據Vernick介紹+微信關注網路世界,有些地方對某些公司發生黑客入侵事件後需要報告的流程和程式有明確規定。例如,如果是在醫療保健領域,健康保險可攜性與責任法案HIPAA和健康資訊科技經濟及臨床健康法案HITECH對此都有嚴格且明確的規定。
“基本原則就是公司儘可能提前準備並且儘可能透明。”Vernick說,“其中有一些是很難做到的,因為對整個事件的瞭解是一個動態的過程,隨著調查的進行和問題的解決,整個事情的原委才逐漸清晰起來。不過,出於對公司利益相關方,特別是客戶、公司員工以及政府機構的尊重,你越透明其結果往往就越好。”
找保險公司申請賠付
如果之前在保險公司投有相關的保險,在出現系統被黑和資料洩露事件之後,要儘快通知公司的保險代理人和索賠代表。
“公司需要確保IT員工必須收集並記錄與該事件有關的所有東西,以此作為索賠的依據。”Francis說,“其中,網路安全事件日誌經常是至關重要的證據,用以幫助確認事件發生的日期、具體時間和事件所涉及的伺服器等。”
還要對受影響的資料進行分類,以瞭解是否有可用來識別個人身份的資訊被竊取,比如社會安全號碼或醫療記錄、財務資訊以及其他敏感資料。
Francis表示,藉助這種方法,公司可以把重點放在保護和保障其最敏感的那些資料上。另外,除了系統宕機的直接損失之外,還要記錄花在處理這次事件上的時間成本和人力成本。
及時對外公開相關資訊
與公司員工、客戶、合作伙伴和其他利益相關方保持聯絡,讓它們瞭解最新情況,包括本次攻擊何時發生、會對公司帶來哪些影響以及公司的應對之策等,這一點非常重要。相反,沉默可能暗示無能、混亂或變得更糟。
“公司可能需要多次評估他們瞭解的網路入侵的危害程度。”佩斯大學貝格電腦科學和資訊系統學院系主任和助理教授Darren Hayes說,“像Target公司這樣的情形,可能最終也不確定到底有多少客戶記錄被盜齲正因為如此,絕對不能低估攻擊可能產生的影響,應通知所有有必要保持警惕的客戶。”
應用程式開發商Evernote就是一個很好的例子,這家公司的IT系統被黑,其及時告知了相關人有關風險。“他們要求所有使用者重置其密碼,包括那些沒有受到影響的使用者。” Hayes介紹說,“他們通過各種通訊渠道來告知客戶哪些系統被攻破了,什麼資料可能被盜取,哪些則不用擔心。”
Evernote公司還使用情緒分析工具來識別和響應客戶通過社交媒體表達出來的擔心。Hayes說,“我們往往認為情緒分析主要用於營銷活動,實際上,在發生系統被黑之後,它也可以非常有效。”
除了有效地溝通,公司還需要考慮黑客攻擊事件對員工和客戶的心理影響,尤其是當涉及到電子郵件或可識別個人身份的資訊時。
《Technocreep》一書的作者、卡爾加里大學電腦科學與環境設計教授Tom Keenan說:“如果公司的系統被未經授權的人進入,就相當於有人未經允許進入了他人的私人空間,這會對相關人的心理帶來很大影響。因為不管正確與否,大多數人都認為電子郵件是很私人的。”
“有必要的話,企業應該找到適當的專業人士來幫助人們擺脫因這次被黑事件,特別是私人資訊被公佈於眾帶來的影響。”Keenan說。