事故恢复
一旦事故已经受到抑制,并且系统控制已经恢复,就可以开始进行事故恢复了。如同在事故响应阶段过程中一样,第一个任务是通知合适的人员。几乎同时,IR团队必须全面地了解损失程度以便确定必须做些什么工作才能恢复系统。 每个有关人员都应该根据IRP中关于事故恢复的适当部分来开始恢复操作。
立即确定信息的机密性、完整性和有效性以及信息资产受到的破坏范围的过程叫做事故损坏性评估。事故评估可能会花费数天或者数周的时间,这取决于损坏的程度。损害可以从较小程度(一个好奇黑客的窥探)一直到很严重(一个蠕虫或病毒对数百个计算机系统的感染)。同事故响应文档一样,系统日志、入侵检测日志、配置日志和其他的文档也提供了关于损害的类型、范围和程度的信息。IR 团队利用这些信息来评估信息和信息系统的当前状态,并且把它和已知的状态相比较。如果事故是犯罪的一部分或者导致民事诉讼,则记录真实事故所造成损害的个人必须接受培训以收集并保存证据。
一旦损害的程度被确定下来,恢复过程就开始了。这个过程包括以下步骤:
*确定造成事故发生以及传播的漏洞,解决它们。
*重点关注那些不能成功阻止或限制事故的安全措施,以及从一开始就缺少的安全措施,安装、替换或者升级。
*评估监控能力(如果提出)。改进探测和报告方法,或者安装新的监控设施。
*从备份中恢复数据。IR团队必须理解机构所使用的备份策略,恢复备份中包含的数据,然后使用适当的恢复过程,从逐渐增加的备份或数据库日志中重新创建在上次备份以后创建或修改的所有数据。
*恢复使用中的服务和进程。必须检查受到威胁的服务和进程,然后整理并恢复它们。如果服务或进程在重新获得系统控制的过程中受到中断,则它们需要在线恢复。
*连续监视系统。如果一个事故曾经发生,那么它很可能再次发生。黑客经常在聊天室里自夸他们的功绩并且向同伴们挑战。如果谈话被传播出来,其他受到诱导的人可能会试图采用同样或者不同的办法攻击你的系统。因此在整个IR过程期间保持警惕是很重要的。
*恢复机构内利益共同团成员之间的信任。IR可能希望发行一个简短的备忘录略述事故,并且确保事故得到处理以及损害受到控制。如果只是一场较小的事故,则可以这样做。如果事故较大或者对系统或数据造成了严重的损害,别要向用户保证能尽快地恢复正常操作,其目的是防止恐慌或者混乱引起机构内部操作的其他混乱。
在恢复常规职责之前,IR团队必须进行事后回顾(AAR,after-action review)。 事后回顾对出现的事件进行全面而又详细的检查,’检查的时间段从该事件第一次被探测到,一直持续到最后恢复。所有关键操作人员都要回顾他们自己的记录并且检查IR文档的准确性和精确性。团队的所有成员则要回顾他们在事故期间的行为,并确定出IR计划在哪些地方是有效的、无效的或者是应该改进的。这个练习允许团队不断改进IRP,AAR可以作为一种训练的案例被使用到对未来员工的培训过程中。IR团队的活动至此结束。