在互联网空间,网络攻击每时每刻都在发生,有可能来自全球任何一个联网终端。网络安全事件的发生就像疫情来袭,会在任何一个不起眼的时间、任何一个组织内、任何一个联网设备上突然爆发,无法避免。
当网络安全事件发生之后,必然带来损失、恐慌和焦虑,应急处置是事后重要的环节,也是关键的分水岭:专业、正确、有效的处置,能让受侵害的组织机构做到风险可控,把握主动,逐步把损失降到最低;不恰当的处置则会让组织机构变得更加被动,引发次生灾害,进一步加重损失,让事件的发展变得无法挽回。
从实际情况来看,不恰当的应急处置主要有以下几种表现形式:
1. 盲目断网、关机、重启;
2. 错误接入移动存储介质;
3. 安装各种检测工具并执行检测操作;
4. 检查进程、尝试启停各种服务;
5. 搜寻各种日志并展开分析;
6. 尝试立即通过备份文件恢复系统和数据,甚至重装系统。
以上都是非常常见的场景,甚至写在了很多网络安全事件应急预案中。但是,这些操作不仅收效甚微甚至有害,这是因为:
1. 不了解哪些电子数据可以作为电子证据,无法准确找到有价值的线索;
2. 破坏第一现场,甚至可能造成关键数据和线索被覆盖;
3. 产生大量的干扰痕迹信息,影响对安全事件的研判分析和溯源;
4. 浪费黄金时间;
5. 彻底失去主动权。
本课程将逐个解开上述问题的答案,知其然更知其所以然,我们用从业十年来经历的数千个实战案件积累的经验,一步一步揭示在网络安全事件后的黄金8小时里,该如何专业、正确、有效地进行处置和自救,把网络安全事件的损害降到最低。
敬请关注神琥学院课程
【网络安全应急处置之道】
▼
