坐在你的桌面电脑前,在日志文件里发现了一些奇怪的活动记录,你可能是认为一个用户的问题。你越追查下去,就越觉得有什么事情不对劲。当你察觉到你被黑客攻击了的时候,你的心跳急剧地加速了。在这个时候,你进入了震惊的阶段,你问自己“发生了什么?”“我现在应该干什么?”
虽然你会发现一大堆建议,告诉你如何保护你的系统不受黑客攻击,但是很少有文章告诉你在被黑了之后,应该如何处理。所以在今后的三个星期里,我将发表一系列文章,里面告诉在你发现自己的系统安全受到一个入侵者的威胁后的第一个五分钟内,第一个小时内,以及第一个星期内应该做什么。本文主要介绍了为了保护你的系统,你应该立即采取的行动:评估,沟通和断开连接。
评估
在遭到入侵后(也许是遭到入侵之前),你需要回答的第一个问题就是你的目标是什么。在大多数情况下,你可能会想要找到入侵者,另一些时候,你可能更关心找到被黑客利用的安全漏洞。
确认入侵者
肯定地确认出入侵者是非常必要的,这样你就可以把这一事件报告给FBI,为进一步的调查和可能的诉讼做好准备。当然,这并不是让系统恢复在线,并控制进一步影响的最好的方法。确认入侵者可能很困难,尤其是当他们很好地掩盖了他们的行踪的情况下。虽然在好莱坞的电影中,黑客总是很容易被追踪到,但是对于那些通过了几个系统中转进行活动的黑客来说,就不仅仅是很难被发现了,在很多情况下,几乎是不可能被追踪到。
找到安全漏洞
一些组织所采用的另一个方法是试图去找到被利用的安全漏洞。这种做法的思路是,你找到被入侵者所利用的漏洞,并修补它。基本上,这只是一个治标不治本的方法。另一个好得多策略是尝试去找出所有的漏洞,以此阻止所有的入侵者侵入你的系统,而不是只专注于某一个被某个特定黑客利用的漏洞。现在很多的安全评估工具都能够让你很快地找到并修补好所有的安全漏洞。
恢复运行
如果这是你第一次被黑,你可能觉得查找入侵者或者某个被利用的特定的安全漏洞太困难了,不如放弃。通常情况是,很难生成你跟踪入侵来源所需要的日志。
修补漏洞,并让系统尽快恢复运行是最直截了当的方法。这降低了你的风险,使你能够加强防护,不用担心入侵者继续利用你的系统。
事先计划
很多情况下,组织都在攻击发生以前就决定了他们要采取的反应行动。但是,在同样多的情况下,组织必须让这些计划成为遭到攻击后的第一时间的反应行动。而且要决定出你在遭到攻击后的目标是什么,你应该考虑执行一个灾难恢复计划,如果它存在的话。根据情况的严重程度,在数据中心遭到破坏的时候,这样做是有意义的。
采取灾难恢复行动的一个独特之处就是要知道某一个具体的事件所发生的时间。但是,在你的系统遭到入侵的情况下,你可能不知道系统第一次被侵入的确切时间。这让恢复工作变得更加复杂,因为这让人很难知道应该用什么样的备份来恢复系统。更为复杂的问题是一些系统可能会比其他的系统更早受到攻击,所以很有必要把恢复流程重复几次来找到第一次侵入发生的具体时间,以及发生在哪个系统中。
一旦你决定了你的方法,你需要同高级管理层进行沟通,告诉他们发生了什么事情--或者你怀疑发生了什么事情。这也许是最难的一步,因此,这一步骤经常被省略或者拖延。但是,尽管可能会面临着内部政治问题,让商业领导层明白正在发生什么非常重要,这样每个人都能为解决问题所需要的步骤做准备。这也给了商业领导层一个机会,让他们能够重新明确解决问题的目标,无论这个目标是追踪入侵者,找到安全漏洞,或者仅仅是尽快解决问题。
你还必须和你IT同事们沟通这一问题。你需要团队里的每一个人去寻找可疑的迹象来保证系统不被进一步地破坏。越多的专业人员参与解决这一问题,就越不可能让任何迹象被忽略掉。
相反,你不应该告诉你的用户你发现了一次入侵。一名员工可能是这次事件的肇事者,也可能因为无知或其他原因把密码给了一个朋友。直到人事部门能够把公司政策同这一事件一起传达的时候,再通知员工是一个好办法。
最后,如果你有安全架构合作伙伴,立即就你目前的状况和他们进行沟通。即使以前你只在安全审查中借助过他们,你也应该和他们联系,告诉他们你怀疑自己这里出了问题。这样做的目的不是寻求帮助,而是让合作伙伴了解情况,并为可能的帮助做好准备。
断开连接
如果你不打算找到入侵者或者安全漏洞,你就应该尽快把你的系统或整个内部网络从互联网上断开。这样可以让你在整理内部系统的时候,防止入侵者继续造成破坏,并防止进一步的数据丢失。
断开连接一个缺点是人们将不能够从内部/外部使用系统,直到问题被解决。这可能会面临很多来自内部的压力。但是在没有完全评估他们的状况之前,就重新联接系统是非常糟糕的建议,并可能导致接连不断的入侵。
在最初的五分钟里,让整个系统,或者只把一个系统或几个系统从互联网上断开联接是一个很难做出的决定。你将没有时间来评估其他的系统是否也被入侵了,所以,也许把一个单独的系统从互联网上断开也许并不能够解决问题。另一方面,你肯定希望组织能够继续使用正常的功能,并受到尽可能少的打搅。
最后,这个决定取决于对于风险的承受程度。企业为了避免停工愿意冒多大的风险?在大部分的组织里,潜在的入侵风险的重要性远远超过了对维持系统可用性的期望。也就是说,大部分组织都会同意立即断开同互联网的联接,以便于能够检查出入侵的种种迹象,防止入侵者掩盖他们的踪迹。
结论
在你发现一次攻击的头几分钟里,往往会觉得很有压力并且会很困惑,所以,在这一切发生之前,就应该准备好一个行动计划。当你意识到你被攻击了,确保你在解决问题之前,已经明确了你的目标,并同商业领导层和同事进行了良好的沟通,而且还要决定这个问题是否需要把一个或多个系统从互联网上断开。你所采取的行动(或不采取的行动)可能对你的组织造成巨大的影响--也会对你的声誉造成巨大的影响。但是,采用一个计划来控制局面可以减少混乱程度,并能让你快速走上正确之路,让系统尽快恢复正常。