网络事件响应的经验教训

　　通过这一事件，我们得出了下列重要的经验教训：

　　1.建立强大的安全网络：建立和维护一个强大的同行安全专家网络。如果发生严重的安全事件，你可以向他们寻求帮助。例如，当发现公司网络中出现活跃的僵尸网络时，你会考虑给谁打电话?如果发现儿童色情内容、假情报或涉及国家安全问题的内容，你可以与当地联邦调查局或特勤局办事处的哪位专家联系?建立一份在紧急情况下你可以与其联系的安全同行或专家的名单，其中要包括他们手机号码、电子邮件地址和个人电话号码等，并将这份名单保存在你的智能手机里，或者直接将其记下来放在你的钱包中。

　　2.学会在Internet无法访问时如何接通和修复网络：这一要求听起来可能点奇怪，但是在我们公司收到有问题的DAT文件时，我们本来没有办法访问Internet以下载更新的DAT文件和研究纠正措施等。最好是准备一台安装有早期版本的防病毒软件的笔记本电脑，并为其配备一张EVDO卡或GSM卡，从而可以执行一些简单的故障排除工作和下载可用的修补程序。然后，你可以通过U盘或刻录的光盘将该修补程序从笔记本电脑复制到内部系统，从而使这些计算机恢复正常运行(在将此修补程序复制到整个公司的系统中时，不要忘了先检查一下U盘和刻录的光盘上是否有蠕虫和病毒)。

　　3.建立一支高效的、经验丰富的、准备就绪的事件响应小组：在网络世界里，你必须随时准备应对严重的安全事件，建立一支知道如何处理和响应安全事件的事件响应小组确实非常重要。要确保事件响应小组遵循“PICERF”方法：准备(Preparation)、识别(Identification)、围堵(Containment)、根除(Eradication)、恢复(Recovery)和后续处理(Follow-up)。一个很好而且免费的网络事件响应资源是NIST(美国国家标准与技术研究所)的一份特别报告800-61 v1——“计算机安全事件处理指南”(pdf格式)。一定要对照附录和核对清单详细检查。

　　4.建立可用的电话联系渠道：事件响应小组应该建立一个电话联系渠道，当发生重要或次要的安全事件时可以随时打通该联系渠道。这不仅能够提供更有效的跨领域交流，而且在必要时还可以更容易地邀请外部专家参与问题会诊。

　　5.通知供应商和相关的网络应急响应组织：像我所在的公司发生的这种事件需要通知导致(或可能导致)此事件的软件供应商。另外，还可以考虑通知美国计算机应急响应小组(CERT)、美国国土安全部(US-CERT)以及你所在地区或行业的同行安全专家。这样做的目的并不是要让新闻报道你的公司，而是帮助你所在行业的同行或其他公司，以便当他们遇到同样的问题或事件时可以更好地应对。

　　诚然，防病毒软件供应商提供的DAT文件有错误是一种例外而不是普遍现象。但是，从这样的事件中汲取经验教训，可以帮助你的公司更好地应对任何重要的网络安全事件发生。