如何 抵御和应对网络攻击

网络攻击者正在不断寻找新方法来绕过安全防御技术，在Guidance Software公司委托SANS研究所执行的调查显示，56%的受访者认为他们已经或者即将遭遇数据泄露，而去年同期该数据为47%。

　　下面让我们看看抵御和应对网络攻击以及与执法部门合作的最佳做法：

* 制定事件响应计划--制定可操作的计划和程序以管理和应对网络入侵，这可以帮助企业控制对其计算机网络的破坏，以及将损失降到最低。这还可以帮助执法部门找到并逮捕肇事者。

*识别关键资产--保护整个企业可能成本过高，在制定网络事件响应计划之前，企业应该确定哪些数据、资产和服务最值得进行保护。美国国家标准与技术研究院(NIST)发布的网络安全框架提供了有关风险管理规划和政策的指南，值得企业参考。

* 对威胁进行初步评估--在企业发现攻击或数据泄露事故后，企业应该评估攻击事件的性质和范围。同样重要的是，确定该事件是否为恶意行为还是技术问题。事件的性质将决定企业需要怎样的援助以及需要采取哪些补救措施。

* 在攻击之前与执法部门合作--在攻击发生之前，与执法部门建立合作关系可以帮助应对数据泄露事故。这还可以帮助建立与执法部门的信任关系，以实现双向信息共享，这将有益于企业和执法部门。

* 制定攻击后行动计划--企业还应该制定攻击后行动计划，确定在攻击后需要采取哪些步骤。这包括确定谁负责企业网络事件响应的不同工作，在任何时候都可以联系关键人员，以及知道应该为哪些关键任务数据、网络或服务提供最大的保护，以及如何保存与事件相关的数据，以供取证。

* 了解破坏程度--理想情况下，网络攻击的受害者应该在检测到攻击事件时对受感染计算机进行取证拍照。这样做可以保存系统记录以供事后分析，并可能在法庭中用作证据。企业应该限制对这些材料的访问权限，以保持副本的可靠性。企业应该保护这些材料免受不明恶意内部人员的访问(+本站微信networkworldweixin)，并建立监管链。

* 采取措施来尽量减少额外损害--为了防止攻击蔓延，你必须采取措施来阻止攻击者造成的正在进行的流量。预防措施包括：重定向网络流量、过滤或阻止分布式拒绝服务[注]攻击或隔离部分或全部受感染网络。

* 保持详细记录--立即采取措施来保持所有相关现有日志信息。所有参与事件响应的人员都应该记录应对和缓解攻击所采取的步骤，以及攻击导致的任何费用。他们应该记录所有与攻击事件相关的通信，以及受攻击影响的系统、账户、服务、数据和网络的信息等。

*通知执法部门--在网络攻击事件后，很多公司都不愿联系执法部门，因为刑事调查可能会干扰他们的业务。然而，FBI和美国特勤局会尽量不影响企业的正常运营。这些机构还会试图协调新闻媒体，确保对该公司利益有损害的信息不会被披露。

*与执法部门合作来联系其他潜在受害者-- 通过执法部门合作可以联系其他潜在受害者，这样做可以防止最初的受害者不必要的曝光，并让执法部门可进行进一步的调查，这可能会发现更多的受害者。

* 了解最新威胁信息--Stay informed about threats – 如果企业了解最新威胁情报，这可以帮助企业优先考虑最有效的安全措施。现在有很多组织会共享实时威胁情报信息，例如信息共享和分析中心会分析和提供威胁信息，有些中心还提供网络安全服务。