事件响应中常见的5种错误

申请免费试用、咨询电话：400-8352-114

【错误一】没有计划

第一个错误就是在事件开始发生之前，企业仍然没有创建事件响应计划。如果有了计划，一切都会变得完全不同。这类计划应当包含事件响应流程的所有阶段，从准备基础设施和第一次响应，一直到从成功解决的事件中吸取经验。

如果您已经有了自己的计划，那么在最初的惊慌阶段（“噢，老天，我们被黑了！”）之后，就可以迅速进入计划中下一阶段的活动，包括将事件带来的损失限制在最低的程度。在事件发生后的紧张环境中，最为重要的就是根据计划清单的内容办事，并且与计划中的有关联系人及时取得联系。

要想立即开始计划活动，您可以使用现成的方法，如SANS学会的6步骤事件响应流程。有了计划和方法，安全小组将在实战中得到锻炼，并能更快更有效地响应下一波的病毒攻击。通过这种方式，就可以将企业遭受的损失减至最低的程度。

【错误二】未能增加监视和监督

第二个错误是在每一次事件发生后，并没有部署额外的监视和监督资源。这就像您是在事件响应的过程中把子弹打进自己的脚里。尽管一些企业没有足够的财力来承受24×7的安全监视，但如果企业在某一次事件发生后不增加监视资源，那是无论如何也说不过去的。

另外还有一点，在任何一次事件发生之后，第一件要做的事就是提高受影响的网络和系统中所有的日志、审查和监视能力。这样一个简单的措施很可能对于调查工作的成败具有决定性的作用，因为它可以提供关键的证据，查出事件的原因并加以解决。

在响应流程的后期阶段，许多调查员都发现一些关键的日志文件都已不复存在，或者是人们忘记打开现有的监视特性，使其一直处于“关闭”状态下。在事件发生后，如果您的IT环境中仍然保存着大量的数据，那么它们不仅会使调查工作变得更加容易，也会大大提高调查成功的机率。

另外一项副产效应是，提高后的日志和监视能力将使调查人员能够确定对自己的保管工作进行确认─以书面的形式确保数据的安全性，并且将相关内容反映在犯罪调查记录中。

【错误三】没有为法庭上的战斗做好准备

一些专家宣称，我们在调查任何一件安全事件时，都应当将其看作是将要上法庭的案例。换句话来说就是，企业需要在调查的过程中保证法庭证据的质量并遵循既定的保管链原则。

即使案件看起来并不大，甚至不会惊动犯罪嫌疑人的经理、人力资源部门或安全小组（指外部黑客和病毒事件），但总会有上法庭的可能性。如果发现了新的证据，原本一件很小的不当Web 访问事件也会变成儿童色情刑事案件。

此外，就算不打算将某些问题诉诸法律，但嫌疑人很可能会反诉您的公司，指控公司对他采取的纪律行动是不正确的。老练的事件调查员应当总是将这一点可能性也考虑在内。另外，较高的调查质量标准必然会提供巨大的帮助，因为如果备份证据所用的手续非常全面详细，文档记录也非常完整，那么这样的证据将具有更高的可靠度和说服力。

【错误四】原封不动

如果企业要赶在某个期限之前恢复IT功能，那么第四个错误就有可能发生。虽然这样做的动机是完全可以理解的，但最简单的道理是，如果没有找到事件的原因，那么这类事件就会接连不断地发生在同一系统或不同的系统上。

例如，在黑客攻击事件中，如果没有实施补丁的计算机被攻陷后，公司使用原来的操作系统介质重新安装了操作系统，但在这一过程中系统中存在的漏洞并没有清除，那么黑客就很有可能再次光顾并且发动攻击。此外，这种命运也很有可能降临在其他使用同类操作系统的计算机上。因此，虽然业务运营是第一要务，但第二目标也不应被忽略，我们需要看清问题的所在，并且防止事件再次发生。

事件响应不应当被看作是一种“消防工作”。很明显，虽然火灾发生后，它能起到一定的有益作用，但最关键的是它能够防止未来火灾的发生。

【错误五】没有从错误中吸取教训

最后一个错误听起来简单，但却很常见。通过创建一个出色的事件响应计划并遵循计划办事，企业可以有效地保护自己，但同样重要的是，在每次事件发生后，都应当对计划加以修改完善，因为随着时间的推移，企业的响应小组和工具都有可能发生了变化。

另外一个非常重要的组件是在事件发生的过程中对事件进行详细的文档记录，而不仅仅是在事后进行事件描述。这样可以确保将事件处理中的“好”、“不好”和“恶劣”方法捕捉下来，供事后进行分析研究，并且从中吸取教训。企业应将这类评估的结果和所有的有关方面联系起来，包括IT资源拥有者和系统管理员。

在理想状况下，企业应当建立起一个有关事件的知识库，确保处理程序的连贯性，并且使这些程序能够在实践中得以重现。后者在法规遵从方面也具有非常重要的作用。
 
来源：CCW