安全專業(yè)人員經(jīng)常說：如果一家公司認(rèn)為自己可能遭遇了安全破壞事件，想挽救的關(guān)鍵做法就是在需要的地方部署一個反應(yīng)計劃，或者需要確定誰應(yīng)該為特定的任務(wù)負(fù)責(zé)。并且，就像SANS研究所講師Lenny Zeltser最近在CSOonline的《如何對意外的IT安全事件做出反應(yīng)》的文章中說的那樣：“在輕率地下決定前，你一定要問很多很多的問題”。

不幸的是，許多公司直到現(xiàn)在仍然沒有聽取意見，最終跌倒在很多不必要的麻煩面前。

總部位于波士頓的Lorenzi Group LLC公司的數(shù)字取證調(diào)查員和總裁Robert Fitzgerald發(fā)現(xiàn)，在他調(diào)查過的很多公司中，F(xiàn)ranklin D. Roosevelt說的話是最真實的：公司唯一應(yīng)該畏懼的東西就是他們自己。

“當(dāng)見到我們的時候，人們通常都表現(xiàn)得很緊張，并覺得這種事情是個恥辱，因為我們的工作并非瞬間就可結(jié)束，”Fitzgerald 說，“我們不是執(zhí)法人員，確定你們是好人還是壞人不是我們的工作目的?！?/P>

但是人們還是感到很緊張，因此他們有意或偶然地做出一些更愚蠢的事情，將公司陷于一個困難的處境中。對法律訴訟恐懼或想要隱藏什么東西的人們往往會用各種各樣的方式篡改證據(jù)（看起來好似明智之舉），如重寫文件、重裝系統(tǒng)、把許多其它的數(shù)據(jù)傳輸?shù)焦獗P和驅(qū)動程序中并且進(jìn)行徹底刪除，但是實際上這些都會很容易在調(diào)查過程中被發(fā)現(xiàn)。

為了幫助企業(yè)避免這種情況的發(fā)生，F(xiàn)itzgerald最近和CSOonline的人坐在一起，概述了五個可以采取的辦法來確保調(diào)查的順利進(jìn)行，并且不會對公司的名譽(yù)造成影響。

1、做出反應(yīng)要迅速

當(dāng)一家公司請來Fitzgerald的工作人員時，我們的目標(biāo)是在時間上足夠地謹(jǐn)慎，以便事實可以盡早被發(fā)現(xiàn)，盡早做出正確的措施。當(dāng)調(diào)查人員到來的時候，如果公司還沒有做好相應(yīng)的準(zhǔn)備，那么很多事情會礙手礙腳。所以，如果當(dāng)時你手中拿著如下的資料，將會對調(diào)查起到十分重要的作用：員工手冊，關(guān)于誰可以做什么和用哪臺機(jī)器工作的規(guī)則，公司和個人的電子郵件，以及計算機(jī)軟件和硬件。

“數(shù)據(jù)是流動的，而且它移動的速度很快，因此，我們也必須動作快一些，”他說，“如果你們今天早上給我們打電話，我們希望今天早上就可以趕到你們公司所在地。因為你等待的時間越長，數(shù)據(jù)被破壞的可能性就越大。當(dāng)我們在有法律顧問在場的情況下為你們提出建議的時候，我們認(rèn)為我們的建議對你們來說一定是最好的?！?/P>

Fitzgerald表示，不要阻礙我們的調(diào)查。他和他的團(tuán)隊知道他們在做什么。“我們有過很多次這樣的經(jīng)歷，調(diào)查人員在那里等待的時候，那里的員工就不見了。我們需要所有的計算機(jī)以及使用和受到影響的驅(qū)動程序，并且會詢問，為什么你們認(rèn)為這些東西被影響了。清楚地知道為什么機(jī)器被感染是很重要的事情?！彼f，“我們希望看到員工手冊。這將幫助我們確定員工工作時需要遵守的規(guī)則。我們需要看到那些受到你們懷疑的員工的名字和電子郵件，無論是工作之用還是個人用途。你應(yīng)該僅僅用個人電子郵件地址做緊急情況的使用。我們需要這些東西，因為員工通常使用個人電子郵件帳戶將敏感數(shù)據(jù)傳輸?shù)焦局獾牡胤健！?/P>

2、不要碰任何東西

當(dāng)公司發(fā)生可疑的違規(guī)事件時，在驚恐的情況下，篡改數(shù)據(jù)的沖動是不可抗拒的。數(shù)據(jù)經(jīng)常被那些企圖隱藏什么的惡意的內(nèi)部人員損壞了。但是，很多時候罪魁禍?zhǔn)资且粋€在驚慌中不小心破壞數(shù)據(jù)的誠實的人，或者在他們意識到自己在做什么之前做了錯事的人，因為恐懼已經(jīng)控制住了他整個人。

Fitzgerald表示，不管動機(jī)如何，調(diào)查人員都會很輕易地發(fā)現(xiàn)你之前所做的事情。

“這是不值得的。如果我們調(diào)查出你試圖摧毀數(shù)據(jù)，你將有牢獄之災(zāi)的風(fēng)險?！彼f，“無論你是否做了錯事，如果你篡改數(shù)據(jù)你都將會面臨麻煩?！?/P>

他講述了一個這方面的例子，以前有個人帶走了40G的硬盤驅(qū)動器并且下載了10部電影到里面，然后在沒有破壞硬盤驅(qū)動器的情況下刪除了這些電影?！叭藗儠IDVD來盡他們最大可能地下載電影，然后他們把電影刪了繼續(xù)用來儲存數(shù)據(jù)。我們可以查出下載的數(shù)據(jù)和相關(guān)日期，我們可以對網(wǎng)上做的事情和離線做的事情進(jìn)行對比?！彼f。

人們試圖重裝系統(tǒng)，但是調(diào)查人員還是可以看到一些數(shù)據(jù)的碎片，就像查出下載數(shù)據(jù)到硬盤驅(qū)動器時的日期一樣。“我們看到，你知道公司將面臨法律訴訟，于是你企圖對證據(jù)進(jìn)行毀棄?！彼f，“所有我們需要的就是，看到數(shù)據(jù)的一個碎片：你試圖重裝操作系統(tǒng)。法官和地方檢察官對你要做的這些事情已經(jīng)有了足夠的意識，他們一開始就會向你們索要這些活動的證據(jù)?！?/P>

3、請律師來幫忙

公司高管往往很長時間才請來法律顧問進(jìn)行幫助。這樣做其實是不利的，F(xiàn)itzgerald表示，因為律師是站在你這一邊的，他們可以幫助你構(gòu)建一個完善的規(guī)劃，以盡量避免公司陷入困難。

“當(dāng)你們請來律師的時候，從精神上來說，這讓問題變得真實起來。”他說，“對于那些沒有勇氣的主管來說這是可怕的?！?/P>

最好的辦法是收集每一bit的可能有所幫助的信息，將他們交給法律顧問并讓他們拼湊故事。

4、大張旗鼓或悄無聲息

公司應(yīng)該在開始的時候就做出決定，他們是希望調(diào)查人員大張旗鼓地來到公司還是悄無聲息地來到公司。正確的方法取決于公司認(rèn)為自己面臨的是什么樣的困難。

“當(dāng)我們來到一家公司的時候，我們有時候發(fā)現(xiàn)有些事情已經(jīng)被準(zhǔn)備好了，設(shè)備裝箱了，箱子正用車推著，看起來我們好像要獵殺外星人一樣，他們把事情搞得過度夸張?；蛘咚麄冏屛覀儼舶察o靜地來，以一種我們都沒聽說的方式?！彼f。如果公司聞到了老鼠的氣味，大張旗鼓的方法可用來讓那些知道事實真相的員工頓時慌亂起來。

“公司想要表演一個這種例子，”Fitzgerald說，“他們有個頗為不錯的想法，認(rèn)為可能是哪個員工或者員工團(tuán)隊離職了，到競爭對手那里另謀高就了。他們想要讓我們知道他們有著嚴(yán)格的控制和權(quán)力，那些想要盜竊公司信息的人是終將被抓到的。”

多半的公司都會要求我們悄無聲息地來插手這些事情。Fitzgerald表示，如果他的工作團(tuán)隊是謙遜和友好的，并且在會議室旁邊建立商店，三小時之內(nèi)工作就可以完成，并且把數(shù)據(jù)帶回實驗室，員工通常都不會做違反公司規(guī)定的事情。

“如果某個人仍然在該公司任職，你想要安靜的進(jìn)行調(diào)查，那么就在晚上或者是周末。在他們知道他們正在解決的是什么問題，以及可能的責(zé)任是什么之前，他們不想把這件事情搞得很大?！?/P>

5、對員工進(jìn)行教育

Fitzgerald表示，教育是確保人們遵守規(guī)定的最好的方式。

“對員工進(jìn)行教育太重要了，”他說，“如果他們知道哪些事情是他們可以做的，哪些是不可以的，以及了解公司技術(shù)規(guī)則所在，事件發(fā)生的可能性就會大幅下降了?！?BR>