不要让一个安全事故将你的IT部门带入灾难之中。使用本文介绍的七个步骤来建立一个程序,用于处理你所碰到的事故。
你遇到安全事故发生的可能性每天都在增加。在你开发处合理的计划来免遭袭击之前,你当然不想闲等着直到你深陷困境,为安全事故做好充分的准备是非常必要的,它可以保护你的网络和资源。解决事故由计划和建立政策和程序开始。
对每种类型的安全事故都设计一个解决方案,这种方法对于恢复正常是非常重要的。最常见的事故是:
- 提高文件权限:一个用户或访客获得了比其应有的更高的权限
- 数据变更:文件被匿名用户修改
- 数据丢失:数据被移除出系统
- 拒绝访问(DoS):合法的访问被拒绝
有时,一个事件会引起多个事故。例如,网站的撤销会引起提高文件权限和数据更改两个事故。
必要的活动
对于不同的事件需要有不同的反应。然而,对于任何一种事故,你都应该遵循以下七个步骤:
第一步:记录一切信息
当事故发生的时候,你需要记录所有与安全有关的信息。你的文件不需要太华丽。它可以是一个包含有屏幕剪辑或注释的word文档。目标就是在不损坏或污染潜在的迹象的前提下找出具体的信息。首先,在你开始之前,确认你已经遇到了事故。
第二步:建立合适的联系
由事故的严重程度,决定第一个调用是调用服务提供者还是调用一个内部的合法部门来进行一系列的事物监控。对于每一种类型的事故,都要开发一个数据流程图来设计联系的对象。
第三步:抑止事故的发生
竭尽全力缩小网络攻击对于你网络的打击范围。要确定事故是否仍然在进行之中,并且确定事故是否应该被继续监听,或是应该中断这个活动。
第四步:确定事故的要点
查找事故是如何发生的,并且需要确定如果要保证现在正在发生的事故不再发生,你应该做什么。
第五步:解决问题所在并且修补损失
实现你确定的解决方案对于保证这个安全方面的事故不会再发生是非常必要的。这也许和应用一个操作系统补丁包或是给防火墙、路由器添加一个新的规则一样简单。在你填塞了这个安全漏洞之后,紧接着就可以修补由这个事故造成的损失了。
第六步:增加监控
一旦系统恢复操作了,就需要监控系统后门,如特洛伊木马,并且需要反复监控。确保事故的发源地已经从系统中被移除,此时的系统已经完全运行正常了。
第七步:总结事故
保持持续的监控,以防止同样的黑客再次进入。查找出确切的发生情况,发生原因,并找到确保事故不再发生的方法。
最后的思考
解决事故不应该是一个反动的行为;它应该是一个在预定路径下的逻辑行进。合理的计划、解决网络安全事故将变成一个有系统的有秩序的工作和任务,而不是要引起灾难产生。
责任编辑:
李宁
欢迎评论或投稿
