采取应对措施——遏制、清除和恢复
遏制在防止事件导致进一步损坏和升级时非常重要,包括防止事件击溃您企业的资源。 这可为您的企业争取时间制定更完整的补救方案。
遏制策略在不同的事件中有所区别。 在决定合适的策略时,您应当考虑:
- 可能发生损害和偷盗企业财产和资源;
- 保全证据;
- 可得到的服务(例如网络连接、向外方提供的服务等);
- 实施选定的策略需要时间和资源;
- 策略的有效性(例如:是否能够实现部分或部分遏制?);以及
- 解决方案的持续时间(小时、周或永久)。
制止和/或监视事件
制止攻击:如果事件仍在进行中,您应当考虑设法制止该事件。该决定通常依赖于您的内部或外部计算机安全专家提供的技术意见。
最常见的方法是从网络中断开受影响的系统。您需要注意:有些攻击可能在遏制过程中导致其他损害,因此您不应认为一旦主机从网络中断开,就能防止其他损害。
监视:虽然您的第一直觉可能是尽快制止事件的成因,但是您最好先征求技术和法律意见,确定是否可以在短期内更有效地监视事件。该措施通常需要将攻击者转向“沙箱”(一种遏制方式),因此可
以监视攻击行为并收集其他证据。但是,使用其他监视技术时必须谨慎。如果企业知道其系统已被侵入,但此后允许侵入行为继续发生,倘若攻击者使用侵入的系统攻击其他系统和企业,您的企业可能需要对此承担责任。
是否需要禁令?您还应考虑是否适合使用法律手段制止正在进行的行为,以防止任何第三方使用或披露非法获取的资料(参阅下文是否需要禁令?了解更多信息)。
最常见的方法是从网络中断开受影响的系统。您需要注意:有些攻击可能在遏制过程中导致其他损害,因此您不应认为一旦主机从网络中断开,就能防止其他损害。
监视:虽然您的第一直觉可能是尽快制止事件的成因,但是您最好先征求技术和法律意见,确定是否可以在短期内更有效地监视事件。该措施通常需要将攻击者转向“沙箱”(一种遏制方式),因此可
以监视攻击行为并收集其他证据。但是,使用其他监视技术时必须谨慎。如果企业知道其系统已被侵入,但此后允许侵入行为继续发生,倘若攻击者使用侵入的系统攻击其他系统和企业,您的企业可能需要对此承担责任。
是否需要禁令?您还应考虑是否适合使用法律手段制止正在进行的行为,以防止任何第三方使用或披露非法获取的资料(参阅下文是否需要禁令?了解更多信息)。
清除和恢复
清除:一旦事件已经被遏制,您必须采取清除措施清除事件痕迹,例如删除恶意软件和关闭被侵入的用户账户,以及识别和清除事件暴露的漏洞。
恢复:在清除事件的残余因素后,可以采取恢复措施将系统恢复至正常运行状态。 包括使用清洁的备份版本恢复系统、从头开始重建系统、更换被侵入的文档、安装补丁、修改密码和加强周边安全措施。
查明攻击者
发生网络安全事件后,企业通常关注遏制、清除和恢复措施,以尽量降低事件对于企业业务的影响。 虽然查明攻击者身份非常重要,但是此项工作需要耗费大量时间和精力,因此只能在有帮助的情况下实施。
用于查明攻击者的常用方法包括:
- 验证攻击者的IP地址
- 通过搜索引擎研究攻击者
- 使用独立保存的事件数据库
- 监视可能的攻击者通信交流渠道
是否需要禁令?
- 如果违规事件持续进行中,和/或相关信息有可能被公开,您应紧急考虑是否需要向有管辖权的法院申请禁令或其他类似救济,以阻止违规事件继续或阻止信息进一步被披露。
- 虽然禁令考虑因素在各个法域有所不同,但是通常情况下您应考虑:
- 是否有可能寻求紧急临时禁令,以便在短期内阻止特定行为?
- 临时禁令一般在案件实体问题开庭审理前或审理期间提出申请
- 该禁令一般在法院撤销前有效
- 虽然各个法域的临时禁令申请要求有所区别,但法院一般考虑以下因素:
- 禁令申请的基本背景情况。 对此,不同的法域可能有不同的审查标准。 例如,审查法院是否将要审理实体问题或者禁令涉及的诉讼案件本身的胜诉可能性;
- 未授予禁令对于诉讼双方的后果;以及
- 法院根据特定法域内的法律须考虑的其他因素。
- 如有必要,应取得针对特定法域的法律意见,以了解特定市场内的相关考虑因素。
