根据全球企业的攻击统计数据,找出企业环境中的漏洞至少需要一天或更长时间。发现漏洞所需的时间越长,造成更多损害的可能性就越高,因为有不良行为者不断监控情况并利用它来谋取利益。
每个组织都必须有一个如何应对受到攻击的环境的计划。考虑到不同的行业都有针对其场景的不同 IT 流程,我们可以得出一些应该遵循的补救步骤,而不管行业类型如何:
- 清点受违规/攻击影响的系统。
- 遵循标准的、预定义的攻击方法。
- 验证不良行为者是否已被处理。
一旦识别并确认了攻击,就只完成了一半。接下来,挑战在于如何消除对手对企业关键数字资产(如密钥和证书)的访问权限,因为大多数组织都无法了解证书或密钥泄露的真正影响。我们可以深入研究过去,发现存在诸如数字证书被盗之类的违规事件,其中组织由于没有立即更换数字证书而无法理解后果。理想情况下,组织应该能够快速响应并响应受违规行为影响的所有系统,以安全的方式运行其运营。
让我们详细说明在发生违规/攻击时需要遵循的步骤:
影响分析
在修复违规行为时,第一步是确定环境中受影响的系统的清单。例如,如果发现任何与 SSL 相关的违规行为,则后续步骤是找出 SSL 在连接到 URL、Web 服务器、共享点门户等时的全面使用情况。有了这个,可以在很大程度上确定违规的渗透深度。可以考虑任何 SSL/TLS 证书的使用或密钥泄露,以确定对环境的总体影响。
遵循预定义的方法
一旦攻击得到确认,预定义的方法就应该开始,其中责任预先决定了谁将做什么。同时,当安全团队采取措施遏制和修复攻击时,攻击者会尝试植入一些恶意证书和密钥,以帮助他们将来访问资源。在这种情况下,安全团队应通过证书和密钥生命周期管理工具重新验证证书/密钥的清单,并丢弃/停用恶意数字资产。
修复操作的验证
一旦针对攻击的修复操作完成,并且恶意证书和密钥已成功替换,重新验证修复报告并确认修复步骤是否已成功完成就变得非常重要。如果对手的足迹仍然留在环境中,这可能会导致严重后果。组织可以匹配违规报告和修复报告,以确定修复尝试的准确性,并对其当前的安全强度充满信心