當網(wǎng)絡安全攻擊發(fā)生時，許多組織的本能反應是關閉所有系統(tǒng)，期望如此來抑制攻擊，減少損失。

然而，雖然這種反應可以理解，但并非總是最佳行動方案。當代網(wǎng)絡攻擊已經(jīng)演變成精心編排的多階段行動，而非簡單的數(shù)字入侵。在這個復雜的威脅環(huán)境中，在某些情況下，過早關閉系統(tǒng)實際上可能會加劇損害情況，使恢復更加困難，并導致更大范圍的運營中斷。

為什么不能立即關閉系統(tǒng)？

在網(wǎng)絡攻擊后立即關閉系統(tǒng)，可能導致多個嚴重問題，阻礙有效的響應、調(diào)查和恢復工作：

1. 丟失關鍵取證證據(jù)

在網(wǎng)絡安全領域，了解"如何"和"為什么"攻擊對于緩解當前損害和防止未來入侵至關重要。當系統(tǒng)被突然關閉時，寶貴的取證數(shù)據(jù)，如系統(tǒng)日志、內(nèi)存轉(zhuǎn)儲和惡意活動痕跡可能被刪除或變得無法訪問。這些數(shù)據(jù)對于理解攻擊如何發(fā)生、攻擊者的方法以及他們是否仍在網(wǎng)絡中活動至關重要。沒有這些信息，安全團隊將失去追蹤攻擊源頭和全面評估其影響的能力，使得遏制和預防未來入侵變得更加困難。

例如，許多現(xiàn)代網(wǎng)絡攻擊非常復雜，在完全執(zhí)行前會在系統(tǒng)日志甚至系統(tǒng)內(nèi)存中留下明顯跡象。如果立即關閉機器，取證專家可能沒有足夠的信息來追蹤攻擊者在網(wǎng)絡中的移動，識別他們利用的漏洞，或確定攻擊者是否仍在網(wǎng)絡內(nèi)部。沒有這些關鍵細節(jié)，應對和遏制攻擊變得更加困難。

2. 阻礙調(diào)查過程

網(wǎng)絡安全專家依靠活動系統(tǒng)來監(jiān)控正在進行的活動，分析惡意軟件行為，并實時跟蹤攻擊者的動向。在許多情況下，攻擊者可能留下了數(shù)字痕跡，如惡意軟件文件、被盜用戶憑證或網(wǎng)絡活動痕跡。這些只有在系統(tǒng)保持活動狀態(tài)時才能被發(fā)現(xiàn)，關閉系統(tǒng)會切斷這些實時數(shù)據(jù)流的訪問，阻止調(diào)查人員收集關鍵信息，并可能導致對攻擊范圍和性質(zhì)的誤判。這可能會延遲或復雜化有效的緩解工作。

調(diào)查人員可能還需要與被入侵的系統(tǒng)交互，以了解攻擊是如何展開的。例如，他們可以監(jiān)控網(wǎng)絡流量或?qū)崟r觀察系統(tǒng)進程，以確定攻擊者是否仍然存在。過早關閉系統(tǒng)，可能會失去收集這些基本數(shù)據(jù)的機會，潛在導致對攻擊全部范圍和性質(zhì)的誤判。

3. 潛在的數(shù)據(jù)丟失和系統(tǒng)損壞

攻擊中關閉系統(tǒng)可能導致重大數(shù)據(jù)丟失。比如，在勒索軟件等攻擊中，文件可能被部分加密或正在被修改。突然關機可能會損壞這些文件，不僅增加了恢復的復雜性，還可能導致永久性數(shù)據(jù)丟失。

此外，正在被主動修改的數(shù)據(jù)庫如果突然關閉可能會遭受損壞。沒有系統(tǒng)的備份和恢復策略，這種損壞可能是不可逆的。不完整或損壞的文件的存在也會阻礙恢復工作，使將系統(tǒng)恢復到功能狀態(tài)變得更具挑戰(zhàn)性。

4. 惡意軟件傳播和網(wǎng)絡暴露的風險

某些惡意軟件設計為在關機時加速其在連接系統(tǒng)中的傳播。在未先隔離的情況下關閉受感染系統(tǒng)，可能允許惡意軟件跳轉(zhuǎn)到其他設備，加劇損害。此外，關閉系統(tǒng)可能會禁用正在積極保護網(wǎng)絡的安全工具和監(jiān)控設備，無意中給攻擊者造成更多損害的可能。

5. 失去實時緩解機會

關閉系統(tǒng)會移除應用實時緩解措施的能力，這在實時網(wǎng)絡攻擊中至關重要。例如，IT團隊可能能夠隔離受損賬戶、阻止惡意IP地址或防止惡意軟件與外部命令和控制服務器通信，所有這些對于立即阻止攻擊都至關重要。

通過保持系統(tǒng)在線和活動，同時采取措施限制其網(wǎng)絡訪問，組織有機會部署對策，如入侵防御系統(tǒng)(IPS)、防火墻或防病毒程序來遏制和隔離攻擊。在許多情況下，這些步驟可以在調(diào)查攻擊時減緩甚至阻止惡意軟件的傳播。

6. 增加恢復和還原的復雜性

過早關閉系統(tǒng)會使攻擊向量的識別變得復雜，并可能導致恢復所需的重要系統(tǒng)設置或配置丟失。如果不謹慎進行，恢復工作會變得更加耗時，并有重新引入惡意軟件的風險。包括掃描備份中的惡意軟件、驗證關鍵文件的完整性和確保在系統(tǒng)重新上線前修補任何系統(tǒng)漏洞在內(nèi)的明確的恢復計劃，以及適當?shù)娜∽C分析至關重要。

充分的準備是最佳防御

不能立即關閉系統(tǒng)，那么在發(fā)現(xiàn)網(wǎng)絡攻擊后，組織該怎么辦呢？

安全牛認為，不關閉系統(tǒng)而有效遏制網(wǎng)絡攻擊的最佳策略專注于隔離威脅、限制攻擊者移動、保存取證證據(jù)和維持運營連續(xù)性。關鍵方法包括：

隔離和遏制

安全牛建議，不要關閉系統(tǒng)，而是迅速將受影響系統(tǒng)與更廣泛的網(wǎng)絡斷開連接，防止惡意軟件或攻擊者橫向傳播。同時保持系統(tǒng)運行以進行取證分析和緩解。這種受控的遏制策略最大限度地減少了運營中斷，阻止攻擊進展，并保留了理解和有效應對攻擊所需的關鍵證據(jù)。

強制重置密碼并限制訪問

立即重置有權訪問受感染系統(tǒng)的用戶密碼，阻止攻擊者重復使用被盜憑證。實施強大的用戶訪問控制并執(zhí)行最小權限原則，確保用戶只擁有其角色所必需的訪問權限。

遵循驗證后的事件響應計劃

在不造成重大運營停機的情況下應對網(wǎng)絡攻擊的關鍵是準備。組織需要制定一個詳細的事件響應計劃，明確說明攻擊發(fā)生時該怎么做。這不僅僅是IT部門的關注點，還需要法律團隊、通信專家和高管領導的投入。這個事件響應計劃需要經(jīng)過測試，優(yōu)先考慮遏制、調(diào)查和修復，而不關閉系統(tǒng)。如果沒有明確的計劃，公司可能會做出反應性決策，使情況惡化。

清晰溝通至關重要

網(wǎng)絡攻擊準備中最被忽視的方面之一是溝通。當事件發(fā)生時，錯誤信息和恐慌可能會在公司內(nèi)部以及客戶和利益相關者中迅速蔓延。準備充分的組織應有一個有效的危機溝通計劃，確保準確信息在適當時間傳達給適當?shù)娜恕?

組織應該有指定的發(fā)言人準備處理外部溝通，無論是通知客戶數(shù)據(jù)泄露，還是向投資者更新情況。在內(nèi)部，員工需要明確的指導，包括避免可疑電子郵件、處理可能的媒體詢問或遵循特定安全協(xié)議。

面對網(wǎng)絡事件時的一個常見挑戰(zhàn)是業(yè)務高管與網(wǎng)絡安全團隊之間的潛在脫節(jié)。如果高管優(yōu)先考慮運營效率和收入，而網(wǎng)絡安全專業(yè)人員關注風險緩解和技術防御，這種脫節(jié)會加劇。這種不一致可能導致安全措施投資不足或?qū)ν{的響應延遲。將復雜的網(wǎng)絡安全概念轉(zhuǎn)化為清晰、與業(yè)務相關的語言，并展示它們對運營的影響，可以幫助高管理解必要安全措施的緊迫性。這可以通過協(xié)調(diào)和調(diào)整業(yè)務影響分析、業(yè)務連續(xù)性計劃、災難恢復計劃和事件響應計劃來實現(xiàn)。

培訓與演練必不可少

進行網(wǎng)絡安全演習和模擬攻擊場景可確保員工和高管知道如何在壓力下做出響應。這些演習能暴露響應策略中的弱點，讓團隊在真實攻擊發(fā)生前完善其方法。

構(gòu)建網(wǎng)絡彈性

除了應對攻擊外，安全牛認為，關注長期網(wǎng)絡安全彈性至關重要。這意味著實施強大的數(shù)據(jù)備份解決方案，并定期測試以確保在需要時能正常工作。這也意味著在關鍵系統(tǒng)中建立冗余，以便在業(yè)務的一部分受到攻擊時，其他區(qū)域仍能繼續(xù)運行。

彈性的一個關鍵組成部分是實時威脅檢測。許多網(wǎng)絡攻擊在數(shù)周甚至數(shù)月內(nèi)都未被發(fā)現(xiàn)，在任何人意識到發(fā)生了什么之前就已造成廣泛損害。為了應對這一點，能夠監(jiān)控網(wǎng)絡活動直至數(shù)據(jù)包級別的平臺發(fā)揮著至關重要的作用。與依賴預定義規(guī)則的傳統(tǒng)安全工具不同，網(wǎng)絡安全工具可以建立網(wǎng)絡活動基線并進行行為分析，以檢測和標記需要調(diào)查的異常情況。通過持續(xù)監(jiān)控可疑活動，企業(yè)可以在威脅升級為重大事件前發(fā)現(xiàn)并消除它們。

在當今數(shù)字化時代，網(wǎng)絡攻擊已不再是"如果發(fā)生"而是"何時發(fā)生"的問題。面對網(wǎng)絡威脅，冷靜的頭腦和科學的方法遠勝于本能的反應。真正的網(wǎng)絡安全韌性不在于緊急斷電的快速反應，而在于精心設計的防御策略、周密的應急計劃和經(jīng)過實戰(zhàn)演練的響應團隊。通過隔離而非關閉、分析而非恐慌、準備而非倉促，組織能夠在數(shù)字風暴中保持穩(wěn)定。