24、应对网络安全危机：策略与实践

应对网络安全危机：策略与实践

1. 网络安全事件何时演变为危机

当网络安全事件对企业产生全面影响，或者需要启动灾难恢复计划时，它就演变成了危机。例如，单个受损服务器可能会发展成十个、一百个，最终整个数据中心都受到感染、损坏甚至更糟。过去几年，有几起大规模的 IT 危机公开案例，如 2012 年的沙特阿美和 2014 年的索尼影视娱乐公司。日常也有许多小规模事件未被公众知晓。

1.1 毁灭性网络攻击

网络危机通常始于毁灭性的网络攻击，这种攻击会影响企业的正常运营或创收服务。比如，攻击者使亚马逊网站下线，索尼影视娱乐公司的计算机系统被禁用，以及震网攻击对伊朗核计划的破坏等。许多毁灭性攻击中，攻击者会获取受害者网络的完全管理控制权，从而随心所欲地进行操作。而很多企业的安全架构存在漏洞，使得攻击者相对容易获得这种控制权。

1.2 事件的雪球效应

对于遭受毁灭性网络攻击的企业来说，事件的严重程度最初可能并不明显。攻击往往始于一些普通事件，如杀毒软件警报或管理员凭证登录失败。随着调查深入，事件影响不断扩大：
- 管理员账户在企业内被不当使用。
- 关键应用服务器、系统管理服务器或包含大量用户凭证的认证服务器上发现恶意软件。
- 企业大部分计算机上出现已识别的恶意软件。
- 大量企业计算机与外部命令控制服务器通信。
- 网络安全系统加载正确的特征码后，发现企业网络中存在恶意通信。

1.3 陷入危机

随着调查的推进，企业意识到这不是一个可以在一天内解决的小事件，而是一场大危机。此时，企业应对危机的能力逐渐减弱，原本局限于单个服务器的事件，可能会蔓延到整个系