以家庭安全为例,人们虽然购买和部署了行业最先进的家庭报警系统,但并不能防止罪犯侵袭。就像家里窗户有可能会被打破一样,家中财物被盗。既使封闭了窗户,但是大门同样可以被拆除,屋内的财物仍然能够被盗窃。而没有哪个安全系统足以阻止心狠手辣的罪犯。
因此,这里有一个问题,组织的领导人可能会有一天要问他们的团队:“现在,我们的系统发生了故障,我们需要做什么来评估损害和调查的原因?”
对于网络攻击,企业应该采取以下五个关键步骤进行防御:
(1)加入审查企业的事件响应计划,并确保每个人都清楚谁在处理哪些职能,截止日期,以及他们向谁报告。如果企业没有明确的网络事件响应计划,那么麦肯锡公司对企业应该包含的组件提供一个很好的解释。
(2)评估企业的培训对违规行为的性质,对内部专业人员的技能和培训进行客观评估,以确定企业的专业知识差距。这将使企业能够获得事件响应所需的适当级别的外部帮助。
(3)无论企业自己的团队或外部协助进行事件响应,都应该采购工具,研究人员都需要使用适当的软件工具对计算机,移动设备和网络通信进行计算机取证分析,以便他们能够提供全面了解发生了什么事情,以及参与者。企业可以从数据取证软件公司(如AccessData)采购这些工具,或者可以依靠自己的第三方咨询公司使用可用的最佳工具。
(4)保护证据有效的事件响应的关键基础之一就是保留数字取证调查中收集到的证据。企业的团队必须在管理监督链中得到适当的培训,在回应过程中需要尊重他们,并使用软件工具以法律上的方式收集网络攻击的所有证据。
(5)记录最后的反应,确保企业的事件响应小组中的某人被指控对违规行为进行调查的所有方面进行非常详尽的日记,包括所采取的措施,日期/时间,负责任的人员,结果和任何必要的后续行动。通过将响应的每个组成部分进行记录,企业将能够从正确的事情中了解到哪些出错,然后对需要事件响应的下一个不可避免的网络攻击进行适当的调整。
组织必须投资最好的网络安全系统,以保护自己免受网络攻击,但不要被误导,这样做也不不能阻止网络犯罪的侵袭,企业可以做的只是尝试减缓。明确的事件响应协议可以帮助组织评估违规行为的损害,并以快速和取证的方式处理该问题。
