正如远端操控隐蔽行动以及针对谷歌和其他公司的类似网络攻击表明的那样，风险很复杂，而且越来越大。有时候公开谈论可以帮助其他机构加强防御。遭到网络攻击后，不声不响是习惯做法，但是公开谈论有助于加强防备能力。

    在7月4日的周末，就在其他人享受假期的同时，西北太平洋国家实验室的安全小组忙得不可开交：进行网络取证分析，重新构建域控制器，重新制作系统映像，还恢复了之前停运的网络服务。

    谁策动了这些攻击？这是CIO Johnson不会讨论的一个问题。但值得一提的是，隶属美国能源部的诸机构据说是名为远端操控隐蔽行动（Operation Shady RAT）的一连串网络攻击的目标。这起行动已持续了好几年，目标针对70多家公司、国防承包商和政府机构。从现有的证据来看，一些专家猜测那些攻击起源于中国。

    在《信息周刊》500强大会上一场名为《剖析零日攻击》的分会上，Johnson坦率地谈论了该实验室针对入侵事件采取了怎样的对策。他还分享了从这起事件中学到的几个经验。

    零日攻击经验1. 多层安全环境存在危险。虽然西北太平洋国家实验室的IT安全边界得到了妥善保护，但还是被攻击突破了防线。作为“深层防御”机制的拥护者，Johnson现在更加重视对数据本身的保护。

    零日攻击经验2. 清除遗留的少数技术。第一起攻击中的那台Web服务器基于该实验室中很少使用的技术：Adobe ColdFusion。这种眼不见心不烦的技术本身就很容易遭到攻击，因为它们无法得到与组织机构的主要平台一样大的关注力度。

    零日攻击经验3. 全天候不间断地监控网络安全事件。高级持续性威胁（如攻击西北太平洋国家实验室的威胁）其特点就在于具有持续性，因而需要不断保持警惕。各政府部门正致力于“持续监控”工作，目的在于近乎实时地了解计算机系统安全的状况。

    零日攻击经验4. 确保拥有基本的取证分析能力。如果你的网络果真遭到了黑客的攻击，安全小组就必须能够重现事件、评估危害。你所汲取的经验教训有助于防止重蹈覆辙。

    零日攻击经验5. 响应小组里面要有高级项目经理。针对安全泄密事件采取对策，不但需要注意细节、认真协调，还要能够在很短的时间内让高层管理班子行动起来；必要的话，交由更高层的管理人员作出决策。

    零日攻击经验6. 要准备好寻求帮助，而不是坐以待毙。你可能需要请来安全专家、业务合作伙伴、执法人员或者其他外面的人。在西北太平洋国家实验室，Johnson通知了公共事务办公室，目的是为了准备应对媒体势必会提出来的问题。

    零日攻击经验7. 订有确保通信连续性的应急计划。西北太平洋国家实验室断开网络后，黑客们无法造成进一步的危害。遗憾的是，这一决定也意味着，实验室的员工失去了网络服务，包括电子邮件和语音邮件。应当为可能出现的这种结果作好准备，所以事先要共享手机号码和替代的电子邮件地址。

   

第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。