如何预防和应对网络攻击

GZGame

　　网络犯罪分子正在不断寻找新的方法来绕过安全措施。

　　美国助理检察官和犯罪协调员与特拉华爱德麦克安德鲁区的美国检察官办公室，和Anthony Di Bello指导软件安全主任，准备为应对网络攻击和执法工作编制最佳实践：

*有一个事件响应计划，创建可操作的计划和程序，管理和应对网络入侵可以帮助组织减少他们的计算机网络遭受的损坏，并尽量减少工作暂停。它也有助于执法找到并逮捕肇事者。

　　确定关键资产，它可能是成本高昂的，以保护整个企业。在创建一个网络事件计划之前，一个组织应该确定它的数据、资产和服务是受保护的。由美国国家标准与技术研究所（NIST）提出的网络安全框架提供了极好的指导风险管理规划和政策，是值得考虑的。

*作出初步评估的威胁，一旦攻击被确定，这是至关重要的，以评估事件的性质和范围。这也是确定事件是否属于恶意行为或技术故障。事件的性质将决定什么样的援助组织将需要和什么类型的损害和可能必须努力补救。

*在攻击前与执法进行接触，与联邦执法官员有一个预先存在的关系，可以帮助促进任何与违反有关的互动。它还将有助于建立一个值得信赖的关系，培养双向信息共享，有利于组织和执法。

*有一个被攻击后的行动计划，建立程序，解决你需要采取什么样的措施。这包括确定谁是负责一个组织的网络事件响应者，有联系的关键人员应时刻都具备能力，知道什么是关键任务数据、网络或服务，应优先最大的保护和如何保护取证的方式与事件相关的数据。

*捕获的损害的程度，在理想的情况下，一旦事件被检测到网络攻击，受害者将使受影响而很难获得证据的采集。但是系统的记录，有可能作为一个试验的证据。组织应限制对这些材料的访问，以保持副本的真实性的完整性。保护这些材料来自身份不明的恶意攻击者，并建立一个连锁的保管。


*采取措施，以减少额外的伤害，以防止攻击的蔓延，你必须采取措施，停止实施攻击的行为人。预防措施包括：路由网络流量、过滤或阻断服务攻击或隔离的全部或部分网络分布式拒绝服务。

*保持详细记录，立即采取措施来保存相关的日志。所有参与该事件响应的人员应保持一个持续的，书面记录的步骤，以应对和减轻事件和所产生的任何费用作为攻击的结果。他们应该记录所有的事件相关的通信，系统，帐户，服务，数据和网络身份的事件和信息有关的数量、何种类型的损害造成的。

*通知执法-许多公司一直不愿意接触执法，由于担心，一个刑事调查可能会扰乱他们的正常业务。然而，美国联邦调查局和美国的秘密服务事业，会尽可能小的影响一个组织的正常运作。这些机构也将试图协调有关事件的新闻媒体的陈述，确保对客户的利益，尽量使负面信息没有被披露。

*与执法部门接触其他潜在的受害者，通过执法最好直接与其他潜在的受害者联系。这样做可以保护最初的受害者，从潜在的不必要的曝光，并允许执法部门进行进一步的调查，这可能会发现其他的受害者。


*保持知情的威胁，一个组织的新的或经常利用的漏洞的认识，可以帮助它优先考虑其安全措施。有组织，共享实时情报的威胁。例如，信息共享和分析中心，分析网络威胁信息，已存在于每一个部门的关键基础设施。一些中心还提供网络安全服务。