安全专业人员经常说:如果一家公司认为自己可能遭遇了安全破坏事件,想挽救的关键做法就是在需要的地方部署一个反应计划,或者需要确定谁应该为特定的任务负责。并且,就像SANS研究所讲师Lenny Zeltser最近在CSOonline的《如何对意外的IT安全事件做出反应》的文章中说的那样:“在轻率地下决定前,你一定要问很多很多的问题”。
不幸的是,许多公司直到现在仍然没有听取意见,最终跌倒在很多不必要的麻烦面前。
总部位于波士顿的Lorenzi Group LLC公司的数字取证调查员和总裁Robert Fitzgerald发现,在他调查过的很多公司中,Franklin D. Roosevelt说的话是最真实的:公司唯一应该畏惧的东西就是他们自己。
“当见到我们的时候,人们通常都表现得很紧张,并觉得这种事情是个耻辱,因为我们的工作并非瞬间就可结束,”Fitzgerald 说,“我们不是执法人员,确定你们是好人还是坏人不是我们的工作目的。”
但是人们还是感到很紧张,因此他们有意或偶然地做出一些更愚蠢的事情,将公司陷于一个困难的处境中。对法律诉讼恐惧或想要隐藏什么东西的人们往往会用各种各样的方式篡改证据(看起来好似明智之举),如重写文件、重装系统、把许多其它的数据传输到光盘和驱动程序中并且进行彻底删除,但是实际上这些都会很容易在调查过程中被发现。
为了帮助企业避免这种情况的发生,Fitzgerald最近和CSOonline的人坐在一起,概述了五个可以采取的办法来确保调查的顺利进行,并且不会对公司的名誉造成影响。
1、做出反应要迅速
当一家公司请来Fitzgerald的工作人员时,我们的目标是在时间上足够地谨慎,以便事实可以尽早被发现,尽早做出正确的措施。当调查人员到来的时候,如果公司还没有做好相应的准备,那么很多事情会碍手碍脚。所以,如果当时你手中拿着如下的资料,将会对调查起到十分重要的作用:员工手册,关于谁可以做什么和用哪台机器工作的规则,公司和个人的电子邮件,以及计算机软件和硬件。
“数据是流动的,而且它移动的速度很快,因此,我们也必须动作快一些,”他说,“如果你们今天早上给我们打电话,我们希望今天早上就可以赶到你们公司所在地。因为你等待的时间越长,数据被破坏的可能性就越大。当我们在有法律顾问在场的情况下为你们提出建议的时候,我们认为我们的建议对你们来说一定是最好的。”
Fitzgerald表示,不要阻碍我们的调查。他和他的团队知道他们在做什么。“我们有过很多次这样的经历,调查人员在那里等待的时候,那里的员工就不见了。我们需要所有的计算机以及使用和受到影响的驱动程序,并且会询问,为什么你们认为这些东西被影响了。清楚地知道为什么机器被感染是很重要的事情。”他说,“我们希望看到员工手册。这将帮助我们确定员工工作时需要遵守的规则。我们需要看到那些受到你们怀疑的员工的名字和电子邮件,无论是工作之用还是个人用途。你应该仅仅用个人电子邮件地址做紧急情况的使用。我们需要这些东西,因为员工通常使用个人电子邮件帐户将敏感数据传输到公司之外的地方。”
2、不要碰任何东西
当公司发生可疑的违规事件时,在惊恐的情况下,篡改数据的冲动是不可抗拒的。数据经常被那些企图隐藏什么的恶意的内部人员损坏了。但是,很多时候罪魁祸首是一个在惊慌中不小心破坏数据的诚实的人,或者在他们意识到自己在做什么之前做了错事的人,因为恐惧已经控制住了他整个人。
Fitzgerald表示,不管动机如何,调查人员都会很轻易地发现你之前所做的事情。
“这是不值得的。如果我们调查出你试图摧毁数据,你将有牢狱之灾的风险。”他说,“无论你是否做了错事,如果你篡改数据你都将会面临麻烦。”
他讲述了一个这方面的例子,以前有个人带走了40G的硬盘驱动器并且下载了10部电影到里面,然后在没有破坏硬盘驱动器的情况下删除了这些电影。“人们会买DVD来尽他们最大可能地下载电影,然后他们把电影删了继续用来储存数据。我们可以查出下载的数据和相关日期,我们可以对网上做的事情和离线做的事情进行对比。”他说。
人们试图重装系统,但是调查人员还是可以看到一些数据的碎片,就像查出下载数据到硬盘驱动器时的日期一样。“我们看到,你知道公司将面临法律诉讼,于是你企图对证据进行毁弃。”他说,“所有我们需要的就是,看到数据的一个碎片:你试图重装操作系统。法官和地方检察官对你要做的这些事情已经有了足够的意识,他们一开始就会向你们索要这些活动的证据。”
3、请律师来帮忙
公司高管往往很长时间才请来法律顾问进行帮助。这样做其实是不利的,Fitzgerald表示,因为律师是站在你这一边的,他们可以帮助你构建一个完善的规划,以尽量避免公司陷入困难。
“当你们请来律师的时候,从精神上来说,这让问题变得真实起来。”他说,“对于那些没有勇气的主管来说这是可怕的。”
最好的办法是收集每一bit的可能有所帮助的信息,将他们交给法律顾问并让他们拼凑故事。
4、大张旗鼓或悄无声息
公司应该在开始的时候就做出决定,他们是希望调查人员大张旗鼓地来到公司还是悄无声息地来到公司。正确的方法取决于公司认为自己面临的是什么样的困难。
“当我们来到一家公司的时候,我们有时候发现有些事情已经被准备好了,设备装箱了,箱子正用车推着,看起来我们好像要猎杀外星人一样,他们把事情搞得过度夸张。或者他们让我们安安静静地来,以一种我们都没听说的方式。”他说。如果公司闻到了老鼠的气味,大张旗鼓的方法可用来让那些知道事实真相的员工顿时慌乱起来。
“公司想要表演一个这种例子,”Fitzgerald说,“他们有个颇为不错的想法,认为可能是哪个员工或者员工团队离职了,到竞争对手那里另谋高就了。他们想要让我们知道他们有着严格的控制和权力,那些想要盗窃公司信息的人是终将被抓到的。”
多半的公司都会要求我们悄无声息地来插手这些事情。Fitzgerald表示,如果他的工作团队是谦逊和友好的,并且在会议室旁边建立商店,三小时之内工作就可以完成,并且把数据带回实验室,员工通常都不会做违反公司规定的事情。
“如果某个人仍然在该公司任职,你想要安静的进行调查,那么就在晚上或者是周末。在他们知道他们正在解决的是什么问题,以及可能的责任是什么之前,他们不想把这件事情搞得很大。”
5、对员工进行教育
Fitzgerald表示,教育是确保人们遵守规定的最好的方式。
“对员工进行教育太重要了,”他说,“如果他们知道哪些事情是他们可以做的,哪些是不可以的,以及了解公司技术规则所在,事件发生的可能性就会大幅下降了。”
