+1 (888) 440-2404

Pre-Incident Planning: 5 Things to Document in an Incident Response Plan

事故發生前的規劃:

事件回應計劃中應記錄的 5 項內容

因為當事情發生時,你將沒有時間再去查找這些資料。

大多數 IT 資訊安全準備指南都著重於攻擊開始後該怎麼做:隔離受感染的裝置、聯絡您的事件回應團隊、通知法律部門。這些建議都很合理,但前提是您已經清楚知道要聯絡誰、備份存放在哪裡,以及哪些系統是企業無法失去的關鍵資產,否則便無從談起。

問題在於,勒索軟件事件發生後的最初幾個小時往往一片混亂。原本只需幾分鐘即可做出的決策,當所需資訊分散在電郵對話串、機構記憶,或現已無法存取的系統中時,便會大幅拖延。這並非技術失誤,而是文件管理的失誤——而且是完全可以避免的。

以下內容並非一份事件回應計劃,而是更精簡且即時可行的建議:在事故發生之前,團隊必須妥善記錄並確保可隨時存取的五大關鍵資訊類別。建立這份清單不需花費太多時間;但當真正需要時若沒有準備好,所耗費的時間成本將遠超當初所節省的。

1. 升級通報 聯絡人

當發生保安事故時,第一個反應通常是拿起電話。但問題在於,許多團隊並不總是清楚應該致電給誰。

您的升級應對文件應包括事件回應團隊、主要聯絡人及 DFIR 合作夥伴的聯絡資料。同時應列明啟動流程、具備數據私隱經驗的法律顧問聯絡方式,以及網絡保險公司的理賠聯絡人與保單號碼。

升級應對文件應包含事故發生時所需的主要聯絡人及保單資料。具體而言,應包括:

事件回應團隊及負責人

您內部事件回應團隊及其負責人的聯絡資料

DFIR 合作夥伴

您的數碼鑑證與事件回應(DFIR)合作夥伴的聯絡資料,包括其啟動流程。

法律顧問

您外聘法律顧問的聯絡資料,並確保其具備數據私隱方面的經驗。

網絡保險

您網絡保險公司的理賠聯絡人及保單號碼。

最後這一項往往最容易被忽略。網絡保險保單通常設有特定的通報時限,若未能在期限內通知,可能會在您最無法承受額外問題的時刻,為理賠申請帶來複雜情況。在事故發生前掌握理賠聯絡人及保單號碼,是基本而必要的準備。

關於網絡保險的最後一點建議:請將保單安全存放,並與主要系統分開。若威脅行為者在啟動加密前已潛伏於您的網絡,他們可能已能存取儲存在其中的文件。您的保單資料不應放在他們可以取得的地方。

當一切都在迅速發展時,你不應還在尋找電話號碼。

2. 您的備份架構

威脅行為者通常首先針對備份系統下手。這並非推測,而是 DriveSavers 在多宗勒索軟件事件中反覆觀察到的模式。在加密生產系統之前,攻擊者往往會先識別並入侵備份基礎設施,以切斷受害者最直接的復原途徑。當加密程序啟動時,備份可能早已不復存在。

這應該影響您對備份文件管理的思考方式。僅僅知道備份存在並不足夠。您的團隊必須能夠在事故情況下迅速評估備份的完整性,這意味著在任何人承受壓力之前,備份架構必須已被充分記錄,以支持相關評估。

請記錄備份的存放位置(本地、異地及雲端)、備份工作如何執行及其時間安排,以及逐步的還原程序。

在確認安全之前,請假設備份可能已遭入侵。

3. 關鍵資料清單

在發生保安事故時,您無法一次過還原所有系統。關於哪些項目應優先恢復的決定,往往需要在壓力之下迅速作出,而且負責決策的人可能幾乎沒有休息。若能在事前、沒有壓力的情況下預先作出這些決定,效果將會好得多。

您的關鍵數據清單應列明企業在沒有哪些系統下無法運作、日常營運所需的數據集,以及清晰的還原優先次序:必須具備與可有可無之分。

請誠實評估企業真正依賴的是哪些項目,而哪些只是重要但非關鍵。在事故進行期間,要保持這種清晰判斷會困難得多。應優先還原必須恢復的數據集,而非追求可有可無的項目。並非所有內容都能優先恢復,若能事前明確這一點,將帶來重大的營運優勢。

在保安事故中,復原不僅僅是還原數據,而是要優先還原正確且關鍵的數據。

在保安事故中,復原不僅僅是還原數據,而是要優先還原正確且關鍵的數據。

4. 備份負責人員

在大多數具規模的環境中,備份基礎設施通常分佈於多個地點。責任文件應列明每個備份環境的負責人、備份、快照及副本的存取憑證,以及次要系統與副本可能存在的位置。

請考慮到,相同的數據往往以多種形式存在:主要備份、快照、副本,或儲存在磁帶或次級雲端環境中的歸檔副本。在主要備份已遭入侵的情況下,知道還可以在哪些地方尋找,往往會帶來重大差異。

一份完整的責任分佈圖,實際上就是您復原範圍的地圖。事前越完善,事故發生時可採取的選項就越多。

相同的數據往往以多種形式存在。知道從哪裡著手,可擴大復原選項。

5. 核心供應商聯絡人

在網絡攻擊之後能否成功恢復營運,很大程度上取決於提供基礎設施相關產品與服務的供應商。因此,在事故發生之前,必須事先記錄其升級流程及支援渠道。

供應商聯絡清單應包括恢復核心營運所需的供應商、其支援渠道及升級流程,以及在備份與解密工具失效時可提供數據復原服務的合作夥伴。

第三點正是大多數機構完全忽略的一項。備份失效與解密工具失效並非罕見的極端情況,而是一次精心策劃的網絡攻擊可能帶來的現實結果。在事故發生前已識別並記錄專業數據復原合作夥伴,意味著您不必在組織最艱難的時刻倉促評估供應商。同時,這也代表您的事故應變團隊擁有一條並行的復原途徑,而非只能等待單一解決方案。

事先記錄這些關係,可確保在開始復原時,您的團隊是在執行既定計劃,而不是臨時尋找方案。

當備份失效時,仍然存在其他選項

事前規劃可消除一層在關鍵時刻拖慢團隊速度的阻力。當升級聯絡人、備份架構、關鍵數據優先次序、責任路徑及供應商聯絡資料均已記錄並可隨時查閱時,團隊便能專注於應對事故,而非四處尋找資料。

在真正需要之前先建立好。

如果您遇到安全事故,導致備份已被入侵或解密工具失效,資料復原仍有可能實現。DriveSavers 直接與事故應變公司、DFIR 合作夥伴、法律顧問及保險公司合作,並在傳統資料復原不可行的情況下,擁有豐富的資料復原經驗。

Call animation 24/7 致電申請評估 +1 (888) 440-2404 Please note: Calls will be conducted in English.
Related Posts

DriveSavers 高级市场经理
您是在撰写有关 DriveSavers、数据恢复或其他技术相关主题的内容吗?
联系我们。

推特
Back To Top
Search