观点 | 没有BAT3级的应急响应中心，互联网公司该如何应对数据泄露事件？

有一句流行的鸡汤文大家都耳熟能详——我们走的太快，灵魂都跟不上了。这两天网易邮箱的数据泄露事件，又一次将我们的关注从“爆发性创新与指数级增长”拉回来审视当前糟糕的互联网基础环境，也许我们业务走的太快，安全已经跟不上了。

具体有多糟糕可参见许多安全公司/机构的报告数据，直接参与了CSDN拖库事件的范凯老师在网易事件后如此说：

得到了公安的信任，我比较深入的参与了后来的整个调查过程，亲手鉴定了很多被拖过的库。其中最令人叹为观止的是某CEO擅长炒股的上市公司，3亿多账号被拖光。此案缴获的战利品之一：各个知名互联网公司用户库，压缩后的文件高达20多个TB的硬盘存储容量，叹为观止，除了BAT这三家，没有漏网之鱼，或多或少被拖。

总的来说，你认为的个人信息包括各种账号、手机号70%以上几率已存放在黑客的社工库；你所知道的BAT3以下的互联网企业安全基本都或多或少存在安全问题。

然而对于企业安全，普遍的观点是，100%绝对安全防护是不可能的，考虑到外部黑客日益专业化和组织化，互联网企业天然的开放性以及业务压力，粗心的内部员工可能一次邮件点击都可能造成一场安全事故。一位安全主管坦陈：即使有再多的资源和时间，也不能绝对保证不被侵入。

所以，当黑客攻击事件是不可避免的，预防和响应是否得就反映了企业应对风险和危机的能力水准。

既然如此，我们就需要将重点放到积极应对上，重点在于检测和响应，有效的响应可中断黑客的攻击，让损失降到最低，并传达给组织、客户、合作伙伴、社区正面印象，而拙劣的应对只会让情况更糟，公司往往得花费数年的功夫来挽回。真正的灾难是检测失效，事后很长时间企业才从第三方知道入侵事故，而且攻击者还驻留在系统内部。

如果还没有被黑客攻击过，你需要在内部尽早推动成立信息安全防备计划

一次黑客攻击导致的数据泄露事件一般会导致数以百万级的损失，预先建立信息安全防备计划可在事件突发后及时挽救，快速响应。一般要求CXO级别的参与以保证持续的优先度。一个公司就像一个国家，请参考：

2014年2月27日，中央网络安全和信息化领导小组宣告成立，在北京召开了第一次会议。中共中央总书记、国家主席、中央军委主席习近平亲自担任组长；李克强、刘云山任副组长。

防备计划的首要在于提前设置一支跨部门协同的信息安全响应小组，并明确每个人的角色和职责，包括但不限于研发负责人、IT运维&安全、PR市场、法务、用户运营等。数据表明，企业内如有设置CISO职位并由其来负责应急响应小组，数据泄露的损失可有效降低35%。该小组的工作主要包括制定应急响应计划，保证应急预备机制的有效性，一旦出现事故可以快速实施并对效果负责。

另一项重要工作还包括在公司内部推动信息安全的培训教育、安全规范的落实，提前演练并定期审查，具体工作包括：

1）将数据安全规范落实到员工的日常工作行为中。 2）设置数据安全以及移动设备等使用规范，并保持定期审查和更新。 3）引入合适的安全软件或服务并跟踪效果。 4）为数据访问设置权限，从软件和硬件两种手段来减少核心数据的访问通道。 5）为员工安全行为建立报告和处理措施。

泄露事件一旦发生，高效响应的三个注意项：

国外安全公司Experian提出的数据泄露处理流程

听一些真正处理过攻击事件的安全主管描述事件爆发时的感受，那是一种夹杂着“愤怒”“悔恨”“紧张”“同仇敌忾”等情绪。在公司中一般不被关注的IT运维部门首当其冲的遭到质疑，一道道指令和紧急会议，再加上外界媒体的聚焦让所有人都意识到我们被攻击了，这是一场战争。

但要做好应急响应，首先就要求团队和负责人都冷静下来，才能专业处理。这时，提前准备、统一认知的信息安全响应防备计划就成为可高效响应的关键因素。

首先，需召集应急响应小组协同工作，基于防备计划制定合适的响应工作步骤，快速定位排查泄露来源，修补安全薄弱环节和漏洞，最小化泄露所造成的危害。由于企业规模、业务、资源的不同，具体解决方式也不同，这里只提出三个注意项：

1. 第一小时处理事项checklist

就像刑事案件一样，安全事件的处理也是越早期越好。防备计划的一个重要组成部分叫做“第一小时处理事项”checklist，在事故爆发第一时间，实质进入深入修复工作之前，有一些标准化的应对以防止再次失误，这些事项包括但不限于：

1）开始对事件进行日期时间记录，包括泄露事件发生和开始响应的时间，以及后续的进展。 2）事件警告同步到响应小组的每个人，包括外部的专家和资源，开始启动执行防备计划。 3）保护有可能成为后续证据的现场线索。 4）防止其他数据丢失，下线受影响的主机，但在取证人员到达前不要关闭。 5）记录数据泄露相关的所有相关信息，包括发现者、报告者、影响数据的类型、泄露范围程度、泄露路径或可能原因、影响系统及设备等。 6）如有可能，对直接发现并报告人进行充分的沟通交流，了解详情，并做记录。 7）事件报告发布前，向早期涉入人员咨询以避免信息遗漏。

2. 快速但慎重的发布对外事故声明，并保持和外界的透明对话。

当数据泄露事件发生时，不仅是内部忙做一团，也将公司置于外界的探照灯下。这时，自以为要集中资源精力把问题先修复好，然后再通告外部的方式最不可取。沟通一定要及时坦诚透明，如果你只是一味否认并试图掩饰，只会延长媒体的质疑最终有损你的品牌。

对外事故通告一般需要专业PR和法务的参加，如有用户运营方面的资深员工参与更好，最终有由响应小组来审核决定发布。一篇专业的事故通告一般要包括事故调查的清晰原因和当前状况说明，对用户/客户的影响，以及解决方式，并附有一个制定的联系方式保证沟通。

事故通知还需要注意一定要站在用户/客户价值的立场而不是公司的立场来粉饰问题，所用语句要清晰易懂，尽可能不适用专业术语，最重要的是让用户看到你的道歉、道歉、诚恳道歉。

3. 引入专业可靠的外部安全供应商和专家作为资源支持

大家还记得前几月锤子手机发布会上的攻击风波，锤子科技研发总监池建强谈及此事时，曾提及腾讯大禹团队有提供支持援助。互联网企业的安全力量一般是和风险极不相称的，在平时就积累专业可靠的、经验丰富第三方安全服务商，一旦出现安全事故就可以让其加入应急响应小组，对事故解决有时可以起到立竿见影的作用，互联网公司考察第三方安全服务商，在安全专业能力之外，还需要考察该团队是否有一定的业务研发经验，这样沟通合作会更加顺畅高效。

如果你真正想做好安全，这还只完成了不到20%

一次数据泄露事故总算应对过去，你痛定思痛，打算扎扎实实将安全做好，让团队内研发运维负责人提交一个系统解决方案，深入了解后却发现，安全防护工作如此复杂琐碎，投入如此持续巨大，你开始真正触及中小企业做信息安全的最大痛点——安全服务还是一个奢侈品。

构建企业安全能力前需清楚的几个问题：

1、你对业务方向和线上资产价值是否有清楚的认知，这决定了安全等级和投入。 2、你的线上业务是否运行在不同形式的基础设施，如公有云、混合云或私有云？ 3、你的业务是否经常变化，变化所随带的资源如何保证统一安全策略？ 4、当前安全状况如何？业务系统内部是否安全？ 5、当前公司的安全团队及资源如何，未来是否有固定比例投入？

在这里，需提醒各位的是云计算兴起正在推动基础设施的巨大变化，为互联网业务变化提供了强有力支持，企业安全的基础环境从之前的静态到动态，已全然不同，实施的复杂度也有指数级提升。当企业开始拥抱互联网，获取海量用户，而且有乌云这样的平台用众包的力量将将企业安全问题挖掘出来，企业安全问题不再是内部问题，开始变成社会问题。

但长期来看，企业的信息安全环境一定是越来越好，包括国家相关政策的完善、公众安全意识的普及提高，当然最主要是安全公司能否以自身的产品技术创新根本性解决这个难题，青藤云安全有幸在这个大变局来临之时创立，希望所推出的自适应安全致力于互联网企业构建全面精准的安全体系，让企业专注于业务创新与发展，而不必再为这样那样的安全问题所烦恼。

* 作者：青藤云安全（企业账号），转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）