如何快速恢復企業業務

■濰坊 郝長明 趙長林

首要措施

公司可以參考由相關各方一起制定的計劃。理想情況下，該計劃描述了安全損害響應團隊、成員及其責任，并確定了如何與高級管理部門溝通等問題。

現實情況是，許多公司并沒有提前準備好一套這樣的計劃，所以在其遭受攻擊后，關鍵的問題是立即保障受影響的系統安全，并形成一個由安全、技術、法律等關鍵成員以及為最終用戶負責的任何人所組成的響應團隊。

同樣關鍵的一個問題是，IT不能立即重新恢復受攻擊損害的服務器鏡像，使其重新聯網。否則會破壞被攻擊范圍的證據，因而關鍵是不要破壞第三方的取證專家用于獲得數據受損范圍的證據及其完整性。

除隔離、取證、清除危害之外，由于法律和人力資源的原因，公司還需要立即披露安全損害。

尋求第三方的幫助

在評估安全損害的后果時，企業應當請第三方的安全專家，并遵循其建議，首先評估哪些方面出了問題，并對受影響的系統進行取證，以便于日后分析。

第三方會觀察攻擊者的行為，然后確認安全漏洞。雖然有些公司可能擁有進行取證的適當人員，但其團隊未必擁有企業真正需要的專業技術，所以企業最好從外部聘請一直從事計算機取證的專業技術人員，可以讓內部的專業人士與其協同工作。

執行技術和業務損害的控制

企業需要檢查安全損害的很多方面，但需要解決的許多問題基本上屬于技術和業務恢復的范圍。

例如，從技術的觀點來看，企業要通過加密所有的敏感數據和隔離可疑系統來快速響應，從而限制安全損害。然后，根據企業的架構用各種方法評估危害程度。

企業需要實施的下一步措施包括向受到影響的各方真誠地告知發生的問題及有可能發生的后果，以及如何實施保護等。

經驗很重要

在著手解決安全危害之前，要避免讓不熟練的雇員（或者在減輕災難方面沒有專門技術的某人）成為決策者。

在發生安全危害期間，你會發現很多公司資源被吸引到了災難中，但其中的許多幾乎不能提供有意義的支持，甚至帶來副作用，這是因為沒有適當專業背景的人容易反應過度。

筆者記得某公司的一位雇員在對著電話大叫“我們被黑了！”。其實，經過初步分析之后，發現其實只不過是一個下游的供應商遭受了攻擊。沒有經驗的人員會帶來恐慌，所以企業準備好一份計劃，并且知道哪些人需要參與其中是很有必要的。