目录:
不管你多么小心,不管你的系统有多安全,都会发生坏事。电子组件失败。软件可以被发现是越野车。人们犯错误而且,有时候,人们为了破坏网络而做恶作剧。自然也会影响你的网络是否工作。所有这些情况都要求您快速有效地应对紧急情况。
<! - 1 - >打电话给SWAT,这个CERT团队
为网络安全紧急事件做好准备的最好方法是建立一个CERT。 CERT 代表计算机紧急响应小组(或 CIRT, 计算机事件响应小组),您设置了一个小组来处理您组织内的紧急情况。无论你如何拼写,这些都是计算机网络的“捉鬼敢死队”。他们发现不好的东西,并将其解决。
<! - 2 - >计算机应急响应小组的业务模式就是像消防员和警察一样对紧急情况作出响应 。他们回应,确定情况,隔离区域,并去工作。而且因为从来没有人知道遏制紧急情况需要多长时间,所以他们经常在巨大的压力下工作很长很长的时间。 CERT由技能娴熟的人组成,他们的专业领域各不相同,但都是经过交叉培训的,以应对任何可能的情况。这些团队成员需要
- 了解黑客技术和系统漏洞
- 使用许多跨平台的网络工具。其中一些工具实际上是黑客工具,而其他工具则被用来发现系统入侵…
- 能够作为一个团队工作,在压力下变得很酷。
- 能够和那些没有像他们一样高度理解的人沟通。能够提供状态报告并推荐安全性更改以防止进一步发生,这一点非常重要。
- 由于CERT团队成员技术高超,公司不能聘请CERT团队,仅仅坐几个月就无所事事。团队成员通常有全职的工作,而不是应急。他们很少有超过监督或中间管理职位。但是,当他们应对危急情况时,他们需要有权力和自主权作出行政决策。您企业的生命可能取决于快速决策。
- <! --1 - >
在你的安全政策和程序文件中应该有一个部分,说明贵公司对CERT的安排,而不管它是内部还是外包。应清楚地说明角色和责任,以及谁应该召集团队采取行动,何时召集。
负责任的回应最近你的网络一直很滑稽,或者你看到一些奇怪的事情,让你相信入侵者在你的网络中。议程上的第一项是
不要惊慌!
尽快致电您的CERT。入侵者已经有一段时间了,但这只是你第一次注意到。入侵者就像蟑螂侵袭 - 他们不只是一夜之间发生。 CERT将花时间和系统的工作来摆脱这个麻烦。除非他们注意到服务器上的文件以惊人的速度被破坏,否则不会关闭网络。 <! - 2 - > 在CERT进入并开始工作之前,您需要采取一些基本步骤。根据具体情况,这些步骤可能会略有不同。例如,在某些情况下,您可能会在通知公司高管之前先打电话给CERT,因为让团队首先工作更为重要。无论如何,请按照以下所有步骤操作,不要遗漏任何东西。首先,最重要的是,但是 -
不要关闭或重新启动任何系统。这可能会妨碍恢复过程。
2。通知上级管理人员。
不要发送电子邮件,因为他们可能会提示入侵者。希望你已经提前准备了一个表格,里面有需要了解的人的姓名和电话号码。处理通知最有效的方法是给你打电话给两个人,然后让他们打电话给列表的其余部分。否则,你可以花几个小时在电话里向几十个人解释情况。时间是宝贵的,应该花在紧急情况上,而不是在手上。
3。打电话给你的CERT。
安静地做这个,不要吹嘘。你不希望整个公司的工作停顿,因为你已经叫了一个普通的警报。当CERT到达那里时,简单介绍一下,然后让他们独自完成工作。
4。执行“需要了解”的政策。
不要告诉员工,除非他们真的需要知道。入侵者可能有内部帮凶,也可能是虚惊一场,而不是入侵。你不想闲着闲聊到办公室以外,到你的客户,媒体或竞争对手那里。你总是可以说公司正在经历“网络问题”,因为大多数人会接受这个解释而没有进一步的问题。
5。如果公众意识到这种情况,那么公司中的某个人就应该是这个人的角色。
如果你有一个PR部门,那是他们的工作。你不想手头有媒体风暴,只有被指定的人可以和媒体和客户交谈。有时一个事件根本不是一个事件,而是一个网络配置错误。提醒新闻界和公众,事情并不总是像现在这样。
6。支持你的CERT。他们可能会工作很长时间没有休息。确保他们送到他们的餐点和点心。 (这可能意味着更多的不仅仅是可乐和糖果。)如果需要救援队员,请将其置于警戒状态并设置一个轮班时间表。也强制执行时间表。许多团队成员不愿意放弃自己的职位,但过了一两天他们很容易就会被烧掉。如果团队需要更多设备,如备用磁盘驱动器和网络设备,请快速获取。
7。请联系您的法律部门。让他们知道情况。他们可以决定是否有法律被打破。如果他们建议你联系执法人员,那就这样做。
8。清理后进行简报和会议。
告诉大家发生了什么事,为什么,为了确保它不会再发生,你可以/将要做什么。不要点手指;从错误中学习。
毫无疑问,这对许多人来说都是一个压力大的事情,脾气可以而且会爆发。当你忘记自己应该做的事的时候,不要陷入陷入困境的陷阱中。
![响应网络安全违规<[SET:descriptioncn]对网络安全违规](https://i.howtospotfake.org/img/3.jpg "响应网络安全违规<[SET:descriptioncn]对网络安全违规")
