企业网络被攻破后怎么办?

如果公司网络和IT系统被黑客入侵后我们应该做呢?这无疑是一个重要的问题。此前家得宝、索尼影视娱乐和其他很多公司都曾遭遇过这种不幸。在当今日益严峻的安全形势之下，一个不得不承认的现实是，今后进入被黑名单的公司名录还会不断增加。

[[130886]]

公司网络和系统被黑是一件很不幸的事情，尤其是涉及到客户数据被盗、营收受到影响时，但既然已经发生，现在的关键问题是如何避免事情扩大，以尽可能降低被黑事件对公司经营带来的负面影响，从而让公司业务尽快回到正轨。

比如，及时和有效的反应可以尽量减少事件带来的损失或至少通过一种积极的态度来安抚客户、业务合作伙伴，而应对不力或反应迟缓则可能使原本糟糕的情况变得更糟，其影响可能需要公司多年才能弥补。以下是公司遭受了黑客攻击且被其成功入侵之后需要做的六件关键的事情。

保持冷静，制定并执行应对计划

公司被黑客成功攻击之后的第一件事是要马上启动之前制定的应急响应计划。当然，之前公司必须已经制定，如果没有，公司需要组织必要的人员迅速地制定出来。

应急响应计划需要包括谁应该对应急响应计划全面负责、哪些人需要参与到该计划、具体应该有哪些行动以及这些行动具体由谁负责，还有需要哪些技术工具来检测以快速应对等。

“一旦事件发生，很容易陷入恐慌之中，并立即试图控制影响。”SANS研究院SANS网络防御计划负责人Eric Cole说，“很多时候，如果没有适当的计划，你可能是在毁灭证据，使事情更糟。”

应急计划还应包括：确定该事件可能造成的破坏程度、哪些数据遭到破坏，并决定如何与法律部门更好地合作，以确定是否要向执法和其他结构披露该事件，另外还要搞清楚该事件可能对公司的整体业务带来的影响，以及进行具体的损害评估工作。

“一旦应急响应计划明确，下一步的重点就应是执行。”Cole说，在执行应急响应计划期间公司应该专注于几个重点，其中一个就是隔离以控制攻击事件的波及范围，防止事态进一步恶化。

“一旦你开始实施应急响应计划，首先要确保攻击者不再能进入公司的网络，这一点非常关键。”Cole说，“攻击者通常会很有办法，如果他们知道你正在清理系统，他们必然要设法继续潜入你的系统，这可能造成重大伤害。”

通常情况下，公司应设法隔离或控制网络流量，以尽量减少可能带来进一步的损害。

另一个工作重点是清理。“在应对攻击事件期间，长时间完全停止系统通常是不现实的，因此尽快找出问题根源解决问题，防止二次感染至关重要。”Cole说，大多数时候，在事件处理期间公司都会要求尽快让系统运行起来，但是没有找出所有漏洞并彻底解决问题就让系统重新上线是很冒险的，因为黑客完全有可能借助这些安全漏洞再次进入系统。

“只要黑客进到企业网络内部一次，他就希望进来第二次，如果你不花点时间来彻底解决问题。黑客几乎肯定还会再次光临。”他说。

应急响应计划的第三个重点工作是恢复。一旦被黑客用来进入系统的漏洞找到并被解决，下一步的工作重点就要马上转向恢复数据，让系统重新运行。“尤其值得注意的是，在让系统恢复运行前，对系统进行检验，确信问题被彻底解决。”Cole说，“很多时候在恢复期间，系统可能会意外地重新感染。”

最后别忘了，在系统通过了检验，确信系统安全之后，还要密切监视其运行，以确保攻击者不会再次入侵。

集众人之力

“在发生系统被攻击事件后，成立一个应急响应团队来对事件进行全面评估至关重要。”Travelers公司网络安全部负责人Tim Francis表示，这个团队应包括IT部门、业务部门、人力资源、公共关系、法律和运营部门等多个部门的相关人员。

Francis说，“IT部门可以担任总负责人，但要和其他人一起群策群力。比如，你需要一个在安全和隐私法规遵从方面有经验的律师来协助你，他会利用其经验来帮助你应对各种隐私保护以及数据泄露方面的法律问题。”

请供应商和安全专家协助

很多时候，企业还需要关键的安全供应商和安全咨询公司的帮助，来确定系统出现漏洞的原因，并确保在黑客有进一步的攻击之前阻止他们，以避免进一步的损失。

在2014年年初，伊利诺伊州技术研究所的虚拟机 (VM) 被黑客入侵，并被用作向另一所大学发起DDoS[注](分布式拒绝服务[注])的跳板。

“我们发现，在VMware平台中有一个未打补丁的安全漏洞。”该研究所IT和管理研究兼职副教授兼电脑系统管理Louis McHugh介绍说，“这是我们在对系统进行了仔细检查，并直接与VMware的技术支持人员进行咨询后才发现的。实际上，这是一种简单的黑客技术，即利用NTP反射攻击来放大DDoS，因为我们仍在使用NTP来保持我们不同服务器时间的同步。”

该研究所没有按照最佳实践的要求及时打上安全补丁，其中有一个关于NTP的漏洞补丁程序当时就错过了。McHugh说，“后来，我们根据VMware的推荐在所有服务器上打上了这个补丁，以确保类似攻击不再发生。”

另外，McHugh还采取了一系列步骤来改善服务器的安全性，包括关闭所有非必需的服务，无论是Windows还是Linux服务器都定期坚持打安全补丁，在网络边界路由器上安装防火墙等，从而强化整个IT环境的安全。”

小心处理法律方面的问题

发生黑客入侵事件之后，IT部门、安全部门和其他高级管理人员应该和企业内外部的法律团队讨论事件可能潜在的影响。

“律师可以根据不同地方的要求来帮忙通知所有利益相关方，此外，还有与供应商的合同问题以及信用卡方面的问题需要处理。”律师事务所Morris Manning & Martin LLP负责数据安全的Larry Kunin介绍说。

“修复问题可能需要一段时间，因为要查清黑客如何入侵、找到漏洞所在可能并不总是很容易，而且公司还需要考虑保留所有证据。”律师事务所Fox Rothschild隐私和数据安全事务负责人Scott Vernick说。

“一旦有任何法律诉讼，他们也可以及时提供帮助。”Vernick 说，公司处理事件的整个过程(包括调查和修复)必须要小心，确保不会影响证据的保留。“这包括但并不仅限于克隆服务器、笔记本电脑和台式机，复制文档，确保你调查过程使用的是文档的复制版，从而尽可能保留原始材料。”他说。

法律问题主要围绕政府部门可能介入调查，比如可能是在联邦或州的层面，并确保根据相关法规规定通知了各个利益相关方以及商业伙伴。

据Vernick介绍(+微信关注网络世界)，有些地方对某些公司发生黑客入侵事件后需要报告的流程和程序有明确规定。例如，如果是在医疗保健领域，健康保险可携性与责任法案(HIPAA)和健康信息技术经济及临床健康法案(HITECH)对此都有严格且明确的规定。

“基本原则就是公司尽可能提前准备并且尽可能透明。”Vernick说，“其中有一些是很难做到的，因为对整个事件的了解是一个动态的过程，随着调查的进行和问题的解决，整个事情的原委才逐渐清晰起来。不过，出于对公司利益相关方，特别是客户、公司员工以及政府机构的尊重，你越透明其结果往往就越好。”

找保险公司申请赔付

如果之前在保险公司投有相关的保险，在出现系统被黑和数据泄露事件之后，要尽快通知公司的保险代理人和索赔代表。

“公司需要确保IT员工必须收集并记录与该事件有关的所有东西，以此作为索赔的依据。”Francis说，“其中，网络安全事件日志经常是至关重要的证据，用以帮助确认事件发生的日期、具体时间和事件所涉及的服务器等。”

还要对受影响的数据进行分类，以了解是否有可用来识别个人身份的信息被窃取，比如社会安全号码或医疗记录、财务信息以及其他敏感数据。

Francis表示，借助这种方法，公司可以把重点放在保护和保障其最敏感的那些数据上。另外，除了系统宕机的直接损失之外，还要记录花在处理这次事件上的时间成本和人力成本。

及时对外公开相关信息

与公司员工、客户、合作伙伴和其他利益相关方保持联系，让它们了解最新情况，包括本次攻击何时发生、会对公司带来哪些影响以及公司的应对之策等，这一点非常重要。相反，沉默可能暗示无能、混乱或变得更糟。

“公司可能需要多次评估他们了解的网络入侵的危害程度。”佩斯大学贝格计算机科学和信息系统学院系主任和助理教授Darren Hayes说，“像Target公司这样的情形，可能最终也不确定到底有多少客户记录被盗龋正因为如此，绝对不能低估攻击可能产生的影响，应通知所有有必要保持警惕的客户。”

应用程序开发商Evernote就是一个很好的例子，这家公司的IT系统被黑，其及时告知了相关人有关风险。“他们要求所有用户重置其密码，包括那些没有受到影响的用户。” Hayes介绍说，“他们通过各种通信渠道来告知客户哪些系统被攻破了，什么数据可能被盗取，哪些则不用担心。”

Evernote公司还使用情绪分析工具来识别和响应客户通过社交媒体表达出来的担心。Hayes说，“我们往往认为情绪分析主要用于营销活动，实际上，在发生系统被黑之后，它也可以非常有效。”

除了有效地沟通，公司还需要考虑黑客攻击事件对员工和客户的心理影响，尤其是当涉及到电子邮件或可识别个人身份的信息时。

《Technocreep》一书的作者、卡尔加里大学计算机科学与环境设计教授Tom Keenan说：“如果公司的系统被未经授权的人进入，就相当于有人未经允许进入了他人的私人空间，这会对相关人的心理带来很大影响。因为不管正确与否，大多数人都认为电子邮件是很私人的。”

“有必要的话，企业应该找到适当的专业人士来帮助人们摆脱因这次被黑事件，特别是私人信息被公布于众带来的影响。”Keenan说。