跳過主内容

Microsoft CRSP(Compromise Recover Security Practice) 分享人的行為會透過哪些方式影響入侵復原

Microsoft 入侵復原安全性做法 (Compromise Recover Security Practice,CRSP) 為國際性的網路安全性專家團隊,當中的專家來自眾多國家/地區和組織 (公共和私人組織),且深具專業能力,致力於保護發生安全性漏洞後的環境,並協助您防範於未然。本專家團隊隸屬於廣大的 Microsoft 網路安全性事業單位,主要聚焦於旗下客戶的被動式安全性專案上。我們執行的主要專案類型包括:

  • 入侵復原:在發生入侵後,協助客戶奪回自身環境的控制權。
  • 自勒索軟體中快速復原:還原關鍵業務應用程式,並限縮勒索軟體造成的衝擊。
  • 進階威脅搜捕:主動搜捕存在於環境中的進階威脅製造者。

許多有關入侵復原的文章,皆直接聚焦於技術層面,並著重探討失去環境控制權後應採取哪些步驟。不過,技術層面僅為重新取得控制權的其中一個環節。CRSP 團隊曾協助許多組織自高度危險、極具挑戰性且壓力龐大的情況中成功復原,並從中汲取不少經驗,因此,我們有意在此分享於復原作業期間評估和支援人為層面的重要性。

使用者在入侵期間的行為

我們經常有機會觀察網路攻擊對人們造成的影響,也注意到許多情緒 (從恐懼、驚慌、不安、拒絕、缺乏責任感,甚或否定相關事實) 都會導致復原程序無可避免地以失敗告終。

此外,許多時候使用者甚至完全沒有意識到入侵早已發生,且正在進行修復。而他們期望獲得的標準 IT 服務,經常讓全力以赴的 IT 團隊備感壓力。

因此,我們傾向透過下列方式因應上述行為:

  • 尊重「人人各司其職」的理念,且 (盡可能) 將「協助人們完成工作,並讓組織發揮應有作用」視為優先要務。
  • 要求客戶指派一小組員工來進行修復作業,同時讓其他同仁繼續維持業務運作。
  • 通常,組織中還有其他人可提供協助 (例如服務台或 IT 支持者),而要求這些對象暫時承擔額外的責任,可望減輕其他團隊成員的負擔。

為利害關係人提供指引和教學

遺憾的是,不少客戶仍深信網路攻擊只會發生在別人身上。有些客戶並未意識到配置專屬 ICT (Information & Communication Technlolgy) 資源的重要性,或是第三方將基礎架構濫用於非法用途上的可能性,因而不太重視安全性層面。

鑑於任何環境皆有複雜難解的問題,而預防性資訊和通訊技術 (ICT) 需投注大量的成本,有時,客戶會選擇無視問題的嚴重性。如何溫和地引導和教育利害關係人不僅有其重要性,還能提供明確且合理的規劃步驟,進而協助對方了解並降低風險。

我們發現,除了客戶本身,受其委託並負責管理個別基礎架構的專業公司也會產生上述種種情緒。網路安全性事件會引發所有涉及者的情緒反應,而我們會盡可能與所有利害關係人通力合作。

入侵復原團隊的任務,在於建立友善且互助合作的環境,以共同排定所有必要行動的優先順序,繼而減輕駭客攻擊所造成的結果。入侵復原旨在集結眾人之力,減輕財務、營運和聲譽等風險。這項任務通常能整合所有利害關係人,以依循彙整的計畫來推動相關必要事項。

團隊合作和溝通

我們無法透過一體適用的方式,將所有人和所有作業概括包含在內。每個人都有各自不同的想法、責任層級、反應和情緒。正因如此,在遭遇網路攻擊後感到茫然或困惑,為相當自然的反應。

雖然我們總是會試著透過合乎邏輯的方式掌握問題、了解實情,並避免指責任何人,但我們能理解,面對挑戰當下,往往需要承受極大的壓力。

除了上述壓力之外,客戶的團隊通常得採取實際行動清理環境,而他們往往需要在短時間內完成大量的工作。

人非聖賢,任何人都無法長時間承受高度壓力和強烈情緒。正因如此,我們會努力將工作平均分配給適當的人選,避免讓少數人承受過重的負擔,另外也會找機會慶祝各項成果 (即使相當微不足道),而最重要的一件事,就是讓所有人都有機會休息。

當然,最終目的在於驅逐攻擊者、重新取得系統的控制權,以及保護發生安全性漏洞後的環境。為此,勢必要讓參與其中的所有人攜手合作,不僅要取得技術資源,更應爭取領導團隊 (包含客戶和 CRSP 雙方) 的強力支持。

即便我們努力避免責怪遭網路攻擊的一方,有時,與我們合作的系統維護方可能不會抱持著同樣的想法。我們深知,在這種情況下,人們可能會擔心飯碗不保。因此,他們往往會責怪他人、不想要承擔責任,且持續否決具有實質意義的提議和建議,而本團隊必須妥善處理這種情況。基於上述原因,我們會特別著重於:

  • 主動傾聽。
  • 了解情況。
  • 了解事實。
  • 了解時間順序。
  • 對文化差異表達同理心和理解。
  • 尊重參與其中的每個人。
  • 透明且開放的溝通。
  • 清楚明確的復原作業諮詢和定義。
  • 肩負採取適當行動的責任。
  • 入侵復原團隊中所有相關成員何時有空,以便盡速回答任何疑慮或問題。

經驗不足者可能會在壓力、驚慌和被迫採取行動之下,做出未受控管和非結構化的舉動,進而造成更嚴重的傷害,這就好比火災等緊急情況一樣,有時,人們會一時無法做出反應,並判斷接下來該如何確保自身安全。

了解入侵事件的人為層面

如果您身處遭到入侵的公司,或懷疑可能發生入侵,請連絡具備相關經驗和知識的專家,以尋求協助。請務必放下情緒、避免責怪任何人,並透過合理、合乎邏輯的結構化方式掌握問題。在分析好環境、關鍵業務系統和通訊系統的受影響層面之前,請千萬不要貿然採取行動。如果無法 100% 確定自身的行動是否正確,敬請尋求專家的協助。

如需深入了解 Microsoft 安全性解決方案,請前往我們的網站。歡迎將安全性部落格加入書籤中,一手掌握 Microsoft 專家所提供的安全性建議。此外,也請透過 @MSFTSecurity 關注我們,以獲得網路安全的最新消息和更新資訊。