網絡攻擊幾乎每一秒都在發生,誰也不知會否成為下一個受害者。而作為企業除了於日常做好防禦準備之外,亦應該計劃好萬一受到黑客攻擊時,要如何處理;香港擁有完善的網絡基建,加上本身為國際金融中心,因此極容易成為黑客攻擊目標,而萬一企業受到攻擊,所帶來的除了是金錢上的損失外,更會令企業形象受損。
近日來自 ESET APAC 的惡意軟件調查人員 Oh Sieng Chye 便就此分享了他的見解,並同時分別列出了當企業中招後的五個關鍵對策,
1. 確定受感染的規模
當你認為被入侵後,首先要做的就是需確定受影響的範圍有多大,例如是否涉及敏感資料?假如涉及的話就要注意解決問題的時間,當然是愈快愈好!企業亦需要通過實時分析網絡流量從而找出異常情況;而作為企業之中的安全人員,在一般情況下應能快速揪出問題來源以及大約估計到企業的損失;例如得知資料從那裡外洩了又或者資料外洩的數量、硬件受感染的情況及數量等。
2. 確保主要業務可持續提供服務
針對企業而發動的網絡攻擊很多時都會是一場災難;而面對突如其來的災難,企業需立即執行早已定下的危機管理計劃,通過執行有效的災難管理計劃,應能維持企業主要服務的可持續運行,這是十分重要的, 事關公司系統即使被入侵,亦需要維持最低限制的服務。
公司的聲譽至關重要,因此企業需坦承的向用戶公佈被黑客入侵的事件,並且需要向受影響的用戶提供進一步的解決方法。主動的向用戶承認被入侵及提供相關協助,能將負面報導及負責印象時間大大縮短。
3. 隔離受感染物件
除了向公眾交待事件外,管理者亦需即時將受感染的物件隔離。例如關閉受影響的 Network 及受影響的網絡設備,將能避免進一步的危機。此舉亦可同時避免黑客已植入的惡意程式經網絡自動將企業機密資料傳送到黑客的 C&C Server。
另外管理員亦應該研究黑客所使用的指令,因為通過檢查指令將能令你更容易調查到黑客攻擊的目標。假如黑客採用流量攻擊,管理員則可通過於防火牆設定相關規則從而阻止這些流量攻擊。
4. 消除攻擊
要刪除惡意程式是一件十分複雜的工作,管理員需要先詳細搜尋/分析代碼後,方能將之刪除又或者了解到惡意程式所影響的部份;而此部份企業可通過防毒軟件的協助,事關很多防毒軟件均有能力揪出受感染的部份並進行隔離。隔離是很重要的,要 100% 找出所有惡意代碼需要一定時間,而此時通過隔離將可避免黑客嘗試進行再連線及再植入惡意程式的工作。
及後,雖然受感染的物件已完全清除,然而整個企業之中可能仍有一些未被發現的受感染物件正危害著企業的網絡安全,因此作為管理人員亦應該經常監測網絡流量,以便於作進一步的分析及調查工作。
全面更改系統密碼
全面更改系統密碼亦十分重要的。管理員應同時重新檢視防火牆規則,更改企業網絡的密碼;儘管這過程需要花上一定時間,但在發生事故後更改密碼有一定的幫助。
5. 從錯誤中學習
最後,管理員亦應該從被入侵事件之中學習,想一想是否在網絡安全措施又或者設定上出現了弱點而導致事故發生;同時公司亦應該視乎情況而於修正問題後重新檢視導致入侵的原因;公司更應投資於網絡安全設備,及內部員工培訓,從而確保類似事件不再發生。
作者為:Oh Sieng Chye, Malware Researcher, APAC, ESET
不幸遇上黑客攻擊?你需要率先處理的五件事
https://www.facebook.com/hkitblog