第 2 步:确定发生了什么
组织如何检测他们是否受到攻击。
有效处理事件的第一步是识别事件。也就是说,如何检测事件已经发生(或仍在发生)?
了解是否正在(或已经)受到攻击
可能表明发生网络事件的事情包括:
-
电脑运行缓慢
-
用户的帐户被锁定
-
用户无法访问文档
-
要求支付赎金以释放您的文件的消息
-
人们通知您来自您的域的奇怪电子邮件
-
重定向的互联网搜索
-
未经授权的付款请求
-
异常账户活动
找出发生了什么事
以下 10 个问题可以帮助您确定发生了什么情况。当您怀疑出现问题时,您可以利用它来收集重要信息。答案将:
-
帮助您向将解决问题的内部或外部 IT 团队提供重要信息
-
构成事件回顾/经验教训报告的一部分
10个关键问题
-
报告了什么问题?由谁报告?
-
哪些服务、程序和/或硬件无法运行?
-
是否有任何迹象表明数据已丢失?例如,您是否收到过赎金请求,或者数据是否已发布在互联网上?
-
哪些信息(如果有)已被披露给未经授权的各方、被删除或损坏?
-
客户注意到任何问题了吗?他们可以使用服务吗?
-
谁设计了受影响的系统,谁维护它?
-
问题是什么时候出现或第一次引起您的注意?
-
问题的范围有多大,组织的哪些领域受到影响?
-
是否有任何迹象表明问题是发生在组织内部还是供应链外部?
-
该事件对业务的潜在影响是什么?
阻止事件进一步恶化
查看安全软件(例如防病毒警报和服务器/审核日志),看看您是否能够识别攻击的具体情况,以及随后的事件原因。如果您无法执行此操作(但您知道哪个设备受到了影响), 请运行防病毒程序 来完成全面扫描, 并记下它提供的结果。如果没有发现任何问题,请考虑使用替代防病毒程序。
使用您收集的信息从可信来源(例如警方或安全网站)在线寻求建议。也许可以在那里找到有关如何解决问题的说明。
|
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论