一般来说，企业网络被攻击，在攻击者通过精心构筑的防御系统之前，IT安全主管应该做的第一件事，是要确保应急预案发挥作用。但有时候防御攻击并不是严格按照一定的步骤就可以实现，所以在事故发生时，整体团队在配合中应该明确的主要目标是：尽快地让网络恢复如常。不要局限在循规蹈矩。


    关于如何使网络恢复运营，有七个关键点是企业应该做到的。


    1兵来将挡、水来土掩


    就像一个球队需要不同位置的球员来防守，一家网络公司也需要针对不同情况来委派不同的人员去应对。例如，如果事故通知来自国家安全局的告知，说发现企业网络被攻破，那么，首先要派出的就应该是公司法律人员进行应对。


    如果攻击中涉及关键的企业数据丢失， 这就代表了公司商业机密被泄漏，这就要通知受波及的具体个人，并依照法律法规来处理。


    这既是根据被攻击的情况采取不同的应对方法。


    2尽快收集各方情况 最终决策


    一般情况下，调查网络攻击的关键时刻是第24至48小时，包括收集哪些机器遭到破坏、它们是如何被黑客攻击、哪些信息可能已经被盗、哪些被盗的硬盘数据是至关重要的等方面，这将决定采取何种具体行动。


    收集各方情况的过程需要依靠整个团队的及时响应，这可以帮助确定网络攻击中发生了什么，何时以及如何对各种事件作出回应。


    在这个阶段，安全主管需要与团队进行有效地沟通，认真听取他们已经发现的，这样可以确保正在进行的决策和分析都是基于事实而不是自己的假设。


    3制定计划


    这个计划是指针对当前的攻击事件，勾画出对特定的损害作出具体回应的包涵各细节部分的计划表。


    它应该包括事故通告内容方面，即：怎么告诉员工、董事会、执法和监管部门。这个官方的通告是针对所有缔约方而制定的，需要及时、有效地传递。


    计划必须包括攻击方、被攻击目标、确定攻击的范围，并针对那些受影响最严重的机器做具体的技术分析。还必须通过分析，找出其中是否还存在网络威胁，如果还存在必须做到彻底清理。


    最重要的是，计划必须包括如何恢复正常的业务流程，无论是通过调用备份、防火墙调整、封锁IP地址，还是重新修复映像机器损坏等方式，要具体说明。


    4锁定调查的范围、分析并修复


    这一步有三个部分。首先团队需要迅速分流影响主机的指标。这必须迅速完成，通常是两到四个小时之内，包括查看窃听事件日志、文件系统等，以创建损坏机器的所受攻击时间表。


    如果发现更多受损主机时，它们需要被分流，并且如果更多IOCS都找到了，它们需要被供给到安全系统。


    经过深入调查，分析最易受到攻击的主机是什么系统的，并使用该分析来创建一个修复计划。这个步骤需要有自己的目标，最终确保攻击者已经被清除。


    5引导并强化团队


    领导者首先需要清除路障，以便团队成员可以全身心地投入到补救的工作中。在许多组织中，网络攻击响应团队是一组专职的团队。因此，他们与其他工作职责的职工的区别是，他们需要明确职责，以处理网络攻击为第一要务。


    安全主管还要掌握通过简单的技巧来保护密码，并确保团队中的信息共享快速、透明，以便各个成员迅速获取相关信息，并执行相关的任务，这样才可以起到应发挥的作用。


    6主动有效地沟通


    在网络攻击事件后，多少都会有各种外界的猜测。怀疑是必要的，以便权衡发生了什么，可以作为一种可能性去检测，但这种猜测不应该被四处传播。


    需要特别注意的是，任何团队之外的猜测，都应该由充分的证据来支持。毕竟，最尴尬的事情莫过于向老板回复，“最初的报告是不准确的”。


    而老板想要被告知的是，“怎么样才可以让企业恢复正常？”


    7善于总结并运用经验教训


    在网络被攻击的一周之内，除了彻底清理攻击者，团队还应该重新梳理，并讨论其对抗攻击行动中什么是对的、什么地方出了错，以及如何更好地应对下一次的攻击。


    可以组织个讨论会议，这些会议还应该包括可以提供不一样视角的团队成员之外的人。他们可能已经听说过一个版本的经验，对会议可以贡献些有帮助的想法。并且，他们可能还可以帮助团队吸取别的案例经验，使团队更好地接受下一次网络攻击的挑战，做到未雨绸缪。