广告广告
  加入我的最爱 设为首页 风格修改
首页 首尾
 手机版   订阅   地图  繁体 
您是第 7105 个阅读者
 
发表文章 发表投票 回覆文章
  可列印版   加为IE收藏   收藏主题   上一主题 | 下一主题   
lens690 手机
个人头像
个人文章 个人相簿 个人日记 个人地图
初露锋芒
级别: 初露锋芒 该用户目前不上站
推文 x1 鲜花 x51
 分享: 转寄此文章 Facebook Plurk Twitter 版主评分 复制连结到剪贴簿 转换为繁体 转换为简体 载入图片
推文 x0
[资讯教学] 资安观念-[资安] 遇「骇」后五分钟内该作的事

◆ 资料来源
Robert L. Bogue原着‧陈奭璁译
03/06/2003
资料来源: 台湾CNET
 
◆ 遇「骇」后五分钟内该作的事

  你坐在办公桌前研究一个使用者问题,却留意到log档(记录档)有些奇怪的活动,你进一步了解,发现情况并不单纯。等你察觉可能是系统遭到入侵时,你的心脏也暂时停止了跳动,此时全身紧绷的你脑中浮现的第一句话多半是,「怎么可能发生这种事?」、「现在该怎么办?」

  市面上教你防范骇客的方法还真不少,但教人如何处理骇客入侵后的问题却不多。因此,接下来几周我们将分阶段推出一系列专题,告诉你遇「骇」后五分钟、一小时与一周内应该采取的因应对策。本篇文章将着重在系统遭入侵后应立即采取的保护步骤:评估、通报、断线。


评估状况

  遭受攻击后首先必须思考你的目标为何?(当然,这最好事前想好)。 一般而言,目标应该很单纯:避免遭到二度入侵,并尽速解决此一问题。但在某些情况下,你可能会想找出入侵者身份,或者进一步探索骇客利用何种入侵管道(漏洞)。

找出入侵者身份

  若你能找出入侵者的身份,并转交给检警机构侦办是最好了。但这不是让系统恢复上线,避免二度被入侵的最快方法。要辨认出入侵者身份并不容易,尤其钗h高手都会掩饰自己的行踪。电影中,要追踪骇客好像很容易,但实际上,若对方将流量传经好几个系统后就很不容易追查了,最后往往只能不了了之。

找出漏洞所在

  部分企业会优先找出被骇客利用的漏洞所在,这样的逻辑在于「事后补破网」,好让骇客不能再度作怪,但此种作法并非最理想。比较好的策略是赶快找出系统中所有可能漏洞,避免骇客还有其他入侵管道,而非仅只专注在骇客入侵过的地方而已。目前市面上有钗h安全评量工具,可供快速测试并解决所有漏洞。

系统恢复运作

  若你是第一次碰上骇客入侵事件,你会鹿野騉饇l踪入侵者或找出特定漏洞的念头,基本上,要产生一份完整的log档来追踪入侵来源并没那么容易。

  赶快补好漏洞并让系统恢复营运通常是最直接了当的作法,这样一来你不但可降低风险,也可强化自己的系统防卫,避免骇客有继续入侵的机会。

事前规划

  一般而言,企业都会在事前便模拟遭受攻击后所要采取的应变措施,但同样地,遭受攻击后,企业也同样要马上决定如何采取应变手段,除了决定达成目标外,你应该考虑执行一套灾难复原计画,假如贵公司有的话。依照事件严重程度,把这类状况视为跟资料库损毁同等级并不为过。

  唯一比较棘手之处是,一般企业内的灾难复原计画都是已知的事件,且有已知的时间。但在骇客入侵状况中,你可能无法断定系统被入侵的确切时间点,因此复原程序可能会比较复杂,因为不确定每台系统应该回复哪些备份资料。更棘手的是,有些系统可能被入侵的时间较早,因此你必须一面探索第一次入侵究竟发生在哪一个系统上,同时还需多次重复复原过程。


局部或完全断线?

通报

  一旦决定步因应之道,你必须马上跟上司报告状况,描述一下你知道的状况。这或闭O最难以启齿的部分,也因此钗h人宁愿钒h隐匿不报,或者延迟通报。虽然这在内部可能造成一些责任归属问题,但你还是应该让高层知道此一状况,好让大家可共商弥补之道。另一方面,你也可以藉此让高层确认问题解决得目标所在,看是否要追查入侵者,或者先查出漏洞,或者只要尽快解决问题就可以。

  你也必须告知你的IT同事此一问题,藉由团队的力量来寻找任何可疑的活动,确保网路不会再度被入侵。在这方面的作为上,若有越多专业人士参与,误判的情况就会越低。

  另一方面,你不应该告知一般员工你侦测到入侵事件,说不定员工就是造成入侵的主因,他有可能刻意提供帐号与密码给有心人士进行破坏,或者也可能只是无心之过。最好的方式是先别公告给员工知道,静候人事部门出面发布公司政策,并传达相关讯息。

  最后,若你有安全基础设施的合作伙伴,请立即通知对方。即使过去你只是请对方来作公司的安全查核,你还是应该通知对方有这样的入侵事件,此一作法的用意不在于立即寻求救援,而是在于告知的义务,好让对方在必要时提供协助。


断线

  若你没有计画追究入侵者身份或被入侵的漏洞,你应该尽快切断整个系统与内部网路的对外网路连结。这样可避免入侵者趁你还在清理善后阶段时再度趁虚而入,同时也可避免任何资料损失或影响持续扩大。

  这样的缺点是,必须使用到网路对内或对外联系的员工将受到影响,你可能会因为内部压力的关系而想采取捷径,尽快让系统恢复上线。但你应该坚持立场,不要在系统未经完整评估前就进行重新连线,因为你即可有能在逐一检查伺服器的途中再度遭到入侵。

  你该关闭整个公司的网际网路连线还是只要关闭部分即可?这问题并不容易回答,尤其又是要你在事发后短短几分钟内回答的话。你根本没时间去评估有多少系统遭到入侵,只有移除单一系统可能无法解决问题,但另一方面,你也会希望将冲击降至最低,让企业还能正常运作。

  最终而言,此一决定还是要看公司的风险忍受程度。公司若不愿停机的话,能接受多少风险?就多数企业而言,他们可能宁愿短暂切断连线也不愿甘冒二度被入侵的风险。换言之,多数企业都同意赶快切断网路连线比较重要,好让系统可接受检查,并确保入侵者无法毁师灭迹自己的行踪。

结论

  发现系统被入侵后的头几分钟最是令人手足无措、倍感压力的时刻,因此在事发前就应该做好模拟计画演练。一旦发现系统真的被入侵后,赶快找出你想采要取的解决目标、立即将案情通报给上司与部门同事知悉,同时也需决定要关闭多少系统的网路连线。决定如何回应并不容易拿捏,在决定做与不做之间都将对公司产生重大冲击,也会影响你的声望。不过,遵循既定计画行事比较不会手忙脚乱,也有助于你尽速让系统回复正常。


此文章被评分,最近评分记录
财富:50 (by upside) | 理由: 感谢提供资讯 数位男女因你而丰富

确保电脑安全,勿点选不明档案或网址
献花 x1 回到顶端 [楼 主] From:台湾中华电信 | Posted:2006-10-24 21:07 |

首页  发表文章 发表投票 回覆文章
Powered by PHPWind v1.3.6
Copyright © 2003-04 PHPWind		 Processed in 0.120855 second(s),query:15 Gzip disabled
本站由 瀛睿律师事务所 担任常年法律顾问 | 免责声明 | 本网站已依台湾网站内容分级规定处理 | 连络我们 | 访客留言