充分利用外界力量
开篇:润墨网以专业的文秘视角,为您筛选了一篇充分利用外界力量范文,如需获取更多写作素材,在线客服老师一对一协助。欢迎您的阅读与分享!
故事二
主人公: 医疗服务提供商
情节:遭遇拒绝服务攻击
反击方式:与业界共享信息
起先,防火墙根本就不再响应。随后,网络出现了堵塞。几小时内,网络工程师Cam Smith让所有的IT人员作好了工作准备,既有厂商通过电话提供支持的工程师,也有本公司要求提供最新情况的高层主管。Smith回忆说:“我想告诉他们,我们一旦有了最新情况,就会告诉大家,因为许多时候他们询问有无最新情况的时候,其实没有什么新情况好告诉的。当时我们设法把精力集中在这个问题上。”
这个问题持续了三天,这对Smith的公司――客户网络遍布多家医院的中型医疗服务公司来说,实在是太漫长了。Smith称,当时的情况是“网络出现间断性停用”。不过经我们一再追问,虽然他似乎不愿重提不堪回首的往事,但最后还是坦言:“我们的网络在90%的时间段无法使用。我们出了问题的那段时间,服务质量很差,那时糟糕透了。”(Smith说,病人监护系统倒没有受到影响,因为有备份系统。)
寻找根源
Smith所在的公司是一家中型公司,近似一家大公司,规模大得足以应当考虑组建一支专门的信息安全小组。但到目前为止,这家公司仍把安全人员归为IT部门管理。Smith是临时组成的安全委员会的成员,委员会成员是在处理安全事件方面拥有丰富经验的网络工程师。
就是在发生危机后的第三天,这支小组发现了拒绝服务(DoS)攻击:数量众多、合法但没有用的流量涌向网络,导致网络不堪重负而瘫痪。Smith说:“我们只知道这些流量来自我们网络内部的某个地方,却不知道来自何处。”于是,他和公司彻底检查了服务器机房,对网络区域进行了逐一排查,以便把允许所有DoS流量进入的那个网络区域隔离开来。
Smith说,这项工作进行了大约三个小时,最后小组查到了攻击来源:使用拨号连接的某个远程用户,该用户使用公司所配备的笔记本电脑在家办公。
Smith就打电话给这名员工,要求她把机器从网上断开,结果网络恢复了正常。安全渡过危机后,Smith就开始调查分析。这台笔记本电脑送回到总部后,Smith和他的工作小组进行了全面检查,结果发现与一个恶意网站有关,该网站利用ActiveX控件接管了这台电脑,然后发动DoS攻击。那名员工之前下载了她以前在工作时用过的工具栏,却不知道这个网站的主人已事先对Google做了手脚,那个工具栏的Google搜索结果上的头五个搜索结果把搜索者引到冒充合法工具栏站点的攻击站点。
发生危机的三天正好是那名员工开始上班的头三天。她惊呆了,心想这下要丢掉饭碗了(其实并没有)。即使Smith的小组发现了所有这些信息,“还是有许多方面一无所知。”他说,“特别是这种攻击是如何施行的,要是有人无意中登录了这个网站,又该如何阻止它。”尽管Smith在防火墙处对网络进行了加固,但远程用户仍然是个威胁,无意中会使网络受到另一次类似攻击。于是Smith向所有远程用户发送了注意加强安全意识的一连串电子邮件,希望能起作用。
借力反击
安然无恙地过了几个星期。有一天,Smith正在耐着性子听一位销售员的推销,销售员承诺他公司的产品可以阻止DoS攻击后,Smith突然灵光乍现。
于是Smith要求对方厂商SecureWave证明一下产品。这是销售之道,即Smith充分利用了厂商的承诺为自己服务。这对安全资源紧张的公司来说也是巧妙的一招,毕竟,Smith无力追查DoS攻击的来源。Smith坦率地说:“当初我们并不认为对方能够阻止攻击或者查明根源,对方厂商的工程师有苦头要吃了。我觉得,要是产品不行,那名销售员会更紧张不安,那样就做不成买卖了。”
于是,这家厂商和Smith的人员当天就在实验室构建了系统,把几周前攻击过网络的那个恶意网站加入到了实验室网络。
几分钟后,测试机器就出现了瘫痪。不过这回,Smith弄清楚了攻击是如何进入到网络中的:它利用了Java和ActiveX的漏洞,这是专业级代码。Smith说。“这种攻击的狡猾程度让我们大为吃惊。它有上百种手法可以使用,它会不断尝试手法,直到得逞,而且它会不断深入网络。这根本不是业余人员所为。”
Smith对演示结果表示满意,但并不满足于实验室环境的结果。Smith主动把有关信息汇报给了各有关方。他把搜索结果被人做了手脚的情况告诉给了Google,并且把有关这个漏洞的信息与各大防病毒厂商和微软共享。他把漏洞代码交给专家分析,结果证实了这种代码的复杂性及破坏性。
两天后,Google修复了被人做了手脚的搜索结果。几周内,由于Smith共享了信息,微软在其中一个“补丁下载日”了一系列重要的补丁。
Smith说:“虽然我们希望这没有发生在我们身上,但我们也为与业界共同打击这个问题感到自豪。”不过,对Smith而言,共享信息也不是对自己没有好处。与任何优秀的CSO一样,Smith(此后被提升为IT经理)把这次事件作为安全需要有人注意的确凿证明。