當(dāng)網(wǎng)絡(luò)安全攻擊發(fā)生時(shí)，許多組織的本能反應(yīng)是關(guān)閉所有系統(tǒng)，期望如此來抑制攻擊，減少損失。

然而，雖然這種反應(yīng)可以理解，但并非總是最佳行動(dòng)方案。當(dāng)代網(wǎng)絡(luò)攻擊已經(jīng)演變成精心編排的多階段行動(dòng)，而非簡(jiǎn)單的數(shù)字入侵。在這個(gè)復(fù)雜的威脅環(huán)境中，在某些情況下，過早關(guān)閉系統(tǒng)實(shí)際上可能會(huì)加劇損害情況，使恢復(fù)更加困難，并導(dǎo)致更大范圍的運(yùn)營中斷。

為什么不能立即關(guān)閉系統(tǒng)？

在網(wǎng)絡(luò)攻擊后立即關(guān)閉系統(tǒng)，可能導(dǎo)致多個(gè)嚴(yán)重問題，阻礙有效的響應(yīng)、調(diào)查和恢復(fù)工作：

1. 丟失關(guān)鍵取證證據(jù)

在網(wǎng)絡(luò)安全領(lǐng)域，了解"如何"和"為什么"攻擊對(duì)于緩解當(dāng)前損害和防止未來入侵至關(guān)重要。當(dāng)系統(tǒng)被突然關(guān)閉時(shí)，寶貴的取證數(shù)據(jù)，如系統(tǒng)日志、內(nèi)存轉(zhuǎn)儲(chǔ)和惡意活動(dòng)痕跡可能被刪除或變得無法訪問。這些數(shù)據(jù)對(duì)于理解攻擊如何發(fā)生、攻擊者的方法以及他們是否仍在網(wǎng)絡(luò)中活動(dòng)至關(guān)重要。沒有這些信息，安全團(tuán)隊(duì)將失去追蹤攻擊源頭和全面評(píng)估其影響的能力，使得遏制和預(yù)防未來入侵變得更加困難。

例如，許多現(xiàn)代網(wǎng)絡(luò)攻擊非常復(fù)雜，在完全執(zhí)行前會(huì)在系統(tǒng)日志甚至系統(tǒng)內(nèi)存中留下明顯跡象。如果立即關(guān)閉機(jī)器，取證專家可能沒有足夠的信息來追蹤攻擊者在網(wǎng)絡(luò)中的移動(dòng)，識(shí)別他們利用的漏洞，或確定攻擊者是否仍在網(wǎng)絡(luò)內(nèi)部。沒有這些關(guān)鍵細(xì)節(jié)，應(yīng)對(duì)和遏制攻擊變得更加困難。

2. 阻礙調(diào)查過程

網(wǎng)絡(luò)安全專家依靠活動(dòng)系統(tǒng)來監(jiān)控正在進(jìn)行的活動(dòng)，分析惡意軟件行為，并實(shí)時(shí)跟蹤攻擊者的動(dòng)向。在許多情況下，攻擊者可能留下了數(shù)字痕跡，如惡意軟件文件、被盜用戶憑證或網(wǎng)絡(luò)活動(dòng)痕跡。這些只有在系統(tǒng)保持活動(dòng)狀態(tài)時(shí)才能被發(fā)現(xiàn)，關(guān)閉系統(tǒng)會(huì)切斷這些實(shí)時(shí)數(shù)據(jù)流的訪問，阻止調(diào)查人員收集關(guān)鍵信息，并可能導(dǎo)致對(duì)攻擊范圍和性質(zhì)的誤判。這可能會(huì)延遲或復(fù)雜化有效的緩解工作。

調(diào)查人員可能還需要與被入侵的系統(tǒng)交互，以了解攻擊是如何展開的。例如，他們可以監(jiān)控網(wǎng)絡(luò)流量或?qū)崟r(shí)觀察系統(tǒng)進(jìn)程，以確定攻擊者是否仍然存在。過早關(guān)閉系統(tǒng)，可能會(huì)失去收集這些基本數(shù)據(jù)的機(jī)會(huì)，潛在導(dǎo)致對(duì)攻擊全部范圍和性質(zhì)的誤判。

3. 潛在的數(shù)據(jù)丟失和系統(tǒng)損壞

攻擊中關(guān)閉系統(tǒng)可能導(dǎo)致重大數(shù)據(jù)丟失。比如，在勒索軟件等攻擊中，文件可能被部分加密或正在被修改。突然關(guān)機(jī)可能會(huì)損壞這些文件，不僅增加了恢復(fù)的復(fù)雜性，還可能導(dǎo)致永久性數(shù)據(jù)丟失。

此外，正在被主動(dòng)修改的數(shù)據(jù)庫如果突然關(guān)閉可能會(huì)遭受損壞。沒有系統(tǒng)的備份和恢復(fù)策略，這種損壞可能是不可逆的。不完整或損壞的文件的存在也會(huì)阻礙恢復(fù)工作，使將系統(tǒng)恢復(fù)到功能狀態(tài)變得更具挑戰(zhàn)性。

4. 惡意軟件傳播和網(wǎng)絡(luò)暴露的風(fēng)險(xiǎn)

某些惡意軟件設(shè)計(jì)為在關(guān)機(jī)時(shí)加速其在連接系統(tǒng)中的傳播。在未先隔離的情況下關(guān)閉受感染系統(tǒng)，可能允許惡意軟件跳轉(zhuǎn)到其他設(shè)備，加劇損害。此外，關(guān)閉系統(tǒng)可能會(huì)禁用正在積極保護(hù)網(wǎng)絡(luò)的安全工具和監(jiān)控設(shè)備，無意中給攻擊者造成更多損害的可能。

5. 失去實(shí)時(shí)緩解機(jī)會(huì)

關(guān)閉系統(tǒng)會(huì)移除應(yīng)用實(shí)時(shí)緩解措施的能力，這在實(shí)時(shí)網(wǎng)絡(luò)攻擊中至關(guān)重要。例如，IT團(tuán)隊(duì)可能能夠隔離受損賬戶、阻止惡意IP地址或防止惡意軟件與外部命令和控制服務(wù)器通信，所有這些對(duì)于立即阻止攻擊都至關(guān)重要。

通過保持系統(tǒng)在線和活動(dòng)，同時(shí)采取措施限制其網(wǎng)絡(luò)訪問，組織有機(jī)會(huì)部署對(duì)策，如入侵防御系統(tǒng)(IPS)、防火墻或防病毒程序來遏制和隔離攻擊。在許多情況下，這些步驟可以在調(diào)查攻擊時(shí)減緩甚至阻止惡意軟件的傳播。

6. 增加恢復(fù)和還原的復(fù)雜性

過早關(guān)閉系統(tǒng)會(huì)使攻擊向量的識(shí)別變得復(fù)雜，并可能導(dǎo)致恢復(fù)所需的重要系統(tǒng)設(shè)置或配置丟失。如果不謹(jǐn)慎進(jìn)行，恢復(fù)工作會(huì)變得更加耗時(shí)，并有重新引入惡意軟件的風(fēng)險(xiǎn)。包括掃描備份中的惡意軟件、驗(yàn)證關(guān)鍵文件的完整性和確保在系統(tǒng)重新上線前修補(bǔ)任何系統(tǒng)漏洞在內(nèi)的明確的恢復(fù)計(jì)劃，以及適當(dāng)?shù)娜∽C分析至關(guān)重要。

充分的準(zhǔn)備是最佳防御

不能立即關(guān)閉系統(tǒng)，那么在發(fā)現(xiàn)網(wǎng)絡(luò)攻擊后，組織該怎么辦呢？

安全牛認(rèn)為，不關(guān)閉系統(tǒng)而有效遏制網(wǎng)絡(luò)攻擊的最佳策略專注于隔離威脅、限制攻擊者移動(dòng)、保存取證證據(jù)和維持運(yùn)營連續(xù)性。關(guān)鍵方法包括：

隔離和遏制

安全牛建議，不要關(guān)閉系統(tǒng)，而是迅速將受影響系統(tǒng)與更廣泛的網(wǎng)絡(luò)斷開連接，防止惡意軟件或攻擊者橫向傳播。同時(shí)保持系統(tǒng)運(yùn)行以進(jìn)行取證分析和緩解。這種受控的遏制策略最大限度地減少了運(yùn)營中斷，阻止攻擊進(jìn)展，并保留了理解和有效應(yīng)對(duì)攻擊所需的關(guān)鍵證據(jù)。

強(qiáng)制重置密碼并限制訪問

立即重置有權(quán)訪問受感染系統(tǒng)的用戶密碼，阻止攻擊者重復(fù)使用被盜憑證。實(shí)施強(qiáng)大的用戶訪問控制并執(zhí)行最小權(quán)限原則，確保用戶只擁有其角色所必需的訪問權(quán)限。

遵循驗(yàn)證后的事件響應(yīng)計(jì)劃

在不造成重大運(yùn)營停機(jī)的情況下應(yīng)對(duì)網(wǎng)絡(luò)攻擊的關(guān)鍵是準(zhǔn)備。組織需要制定一個(gè)詳細(xì)的事件響應(yīng)計(jì)劃，明確說明攻擊發(fā)生時(shí)該怎么做。這不僅僅是IT部門的關(guān)注點(diǎn)，還需要法律團(tuán)隊(duì)、通信專家和高管領(lǐng)導(dǎo)的投入。這個(gè)事件響應(yīng)計(jì)劃需要經(jīng)過測(cè)試，優(yōu)先考慮遏制、調(diào)查和修復(fù)，而不關(guān)閉系統(tǒng)。如果沒有明確的計(jì)劃，公司可能會(huì)做出反應(yīng)性決策，使情況惡化。

清晰溝通至關(guān)重要

網(wǎng)絡(luò)攻擊準(zhǔn)備中最被忽視的方面之一是溝通。當(dāng)事件發(fā)生時(shí)，錯(cuò)誤信息和恐慌可能會(huì)在公司內(nèi)部以及客戶和利益相關(guān)者中迅速蔓延。準(zhǔn)備充分的組織應(yīng)有一個(gè)有效的危機(jī)溝通計(jì)劃，確保準(zhǔn)確信息在適當(dāng)時(shí)間傳達(dá)給適當(dāng)?shù)娜恕?/p>

組織應(yīng)該有指定的發(fā)言人準(zhǔn)備處理外部溝通，無論是通知客戶數(shù)據(jù)泄露，還是向投資者更新情況。在內(nèi)部，員工需要明確的指導(dǎo)，包括避免可疑電子郵件、處理可能的媒體詢問或遵循特定安全協(xié)議。

面對(duì)網(wǎng)絡(luò)事件時(shí)的一個(gè)常見挑戰(zhàn)是業(yè)務(wù)高管與網(wǎng)絡(luò)安全團(tuán)隊(duì)之間的潛在脫節(jié)。如果高管優(yōu)先考慮運(yùn)營效率和收入，而網(wǎng)絡(luò)安全專業(yè)人員關(guān)注風(fēng)險(xiǎn)緩解和技術(shù)防御，這種脫節(jié)會(huì)加劇。這種不一致可能導(dǎo)致安全措施投資不足或?qū)ν{的響應(yīng)延遲。將復(fù)雜的網(wǎng)絡(luò)安全概念轉(zhuǎn)化為清晰、與業(yè)務(wù)相關(guān)的語言，并展示它們對(duì)運(yùn)營的影響，可以幫助高管理解必要安全措施的緊迫性。這可以通過協(xié)調(diào)和調(diào)整業(yè)務(wù)影響分析、業(yè)務(wù)連續(xù)性計(jì)劃、災(zāi)難恢復(fù)計(jì)劃和事件響應(yīng)計(jì)劃來實(shí)現(xiàn)。

培訓(xùn)與演練必不可少

進(jìn)行網(wǎng)絡(luò)安全演習(xí)和模擬攻擊場(chǎng)景可確保員工和高管知道如何在壓力下做出響應(yīng)。這些演習(xí)能暴露響應(yīng)策略中的弱點(diǎn)，讓團(tuán)隊(duì)在真實(shí)攻擊發(fā)生前完善其方法。

構(gòu)建網(wǎng)絡(luò)彈性

除了應(yīng)對(duì)攻擊外，安全牛認(rèn)為，關(guān)注長期網(wǎng)絡(luò)安全彈性至關(guān)重要。這意味著實(shí)施強(qiáng)大的數(shù)據(jù)備份解決方案，并定期測(cè)試以確保在需要時(shí)能正常工作。這也意味著在關(guān)鍵系統(tǒng)中建立冗余，以便在業(yè)務(wù)的一部分受到攻擊時(shí)，其他區(qū)域仍能繼續(xù)運(yùn)行。

彈性的一個(gè)關(guān)鍵組成部分是實(shí)時(shí)威脅檢測(cè)。許多網(wǎng)絡(luò)攻擊在數(shù)周甚至數(shù)月內(nèi)都未被發(fā)現(xiàn)，在任何人意識(shí)到發(fā)生了什么之前就已造成廣泛損害。為了應(yīng)對(duì)這一點(diǎn)，能夠監(jiān)控網(wǎng)絡(luò)活動(dòng)直至數(shù)據(jù)包級(jí)別的平臺(tái)發(fā)揮著至關(guān)重要的作用。與依賴預(yù)定義規(guī)則的傳統(tǒng)安全工具不同，網(wǎng)絡(luò)安全工具可以建立網(wǎng)絡(luò)活動(dòng)基線并進(jìn)行行為分析，以檢測(cè)和標(biāo)記需要調(diào)查的異常情況。通過持續(xù)監(jiān)控可疑活動(dòng)，企業(yè)可以在威脅升級(jí)為重大事件前發(fā)現(xiàn)并消除它們。

在當(dāng)今數(shù)字化時(shí)代，網(wǎng)絡(luò)攻擊已不再是"如果發(fā)生"而是"何時(shí)發(fā)生"的問題。面對(duì)網(wǎng)絡(luò)威脅，冷靜的頭腦和科學(xué)的方法遠(yuǎn)勝于本能的反應(yīng)。真正的網(wǎng)絡(luò)安全韌性不在于緊急斷電的快速反應(yīng)，而在于精心設(shè)計(jì)的防御策略、周密的應(yīng)急計(jì)劃和經(jīng)過實(shí)戰(zhàn)演練的響應(yīng)團(tuán)隊(duì)。通過隔離而非關(guān)閉、分析而非恐慌、準(zhǔn)備而非倉促，組織能夠在數(shù)字風(fēng)暴中保持穩(wěn)定。