未知威胁永远存在，网络要么已经被攻陷，要么正在被攻陷的路上。所有安全从业人员都希望自己能开启上帝视角，能看清黑客攻击，能应对0Day漏洞，能阻止APT攻击…….但事与愿违，更多时候我们对黑客攻击一无所知。

更可怕的是，我们既不知道黑客是怎么进来的，也不知道黑客拿走了什么，更不知道黑客留下了什么。面对黑客攻击时，企业受到了多大损失，这是所有企业CEO最关注的问题。比如，数据库是否被窃取、敏感数据是否泄露、业务代码是否泄露等问题。

企业受到了多大损失？
99%企业都无法确定黑客到底“拿走”了什么，这比入侵本身更可怕。试想一下，如果小偷进家里了，但是你却不知道自己丢失了什么，这意味着“警察叔叔”也爱莫能助。作为一个CEO、CIO或CTO，他们也许不直接负责IT安全，甚至只有少部分人对此能有较为深刻的理解。但如果“天花板”坠地时，他们一定是首要责任人。例如之前索尼影视、韩国金融公司KB Financial、AOL美国在线等一大批不同行业机构高管都因为黑客攻击带来的巨大损失而不得不引咎辞职。
在面临不同等级的入侵事件时，企业的应对策略是完全不同的。因此，如何评估黑客入侵对企业造成的损失事关重大。通过准确的入侵损失评估，既能够有效降低应对攻击成本，也有利于企业品牌制定合理的公关应对策略。但这也并非易事，如果仅仅依靠IPS、IDS等传统检测手段，很容易被黑客绕过，会出现大量误报、漏报。
此外，因为流量加密等手段广泛应用，想要通过网络端的流量分析来确认黑客异常行为已经不可能，只能将目光聚焦到主机内部。虽然黑客攻击手段多种多样，但其攻击行为通常都会在服务器上产生对应的操作痕迹。因此，黑客的攻击行为通常都是有迹可循，只需记录这些异常操作行为，并通过大数据分析，就可确定其攻击行为和带来的危害。例如，黑客在窃取敏感数据时，将会执行特定的数据库操作，通过分析该行为就能判断黑客拿走了哪些数据。

黑客是怎么进来的？

企业负责人最关注的是黑客拿走了什么，而安全人员往往最关注的是黑客是怎么进来的。不知攻，焉知防？安全人员需要结合资产状况、入侵的攻击路径等信息来确定受攻击影响的资产状况。根据黑客残留痕迹的位置，并向上或向下回溯其它服务器，确定被黑客攻击的“缺口”。
例如，通过分析系统的登陆日志来查找异常登陆情况，以及检查网络访问日志查找失陷主机。基于多日志的综合分析，分析黑客入侵期间的所有操作，就可以还原完整攻击过程，确定入侵攻击的入口。

黑客还留下了什么？

黑客就像幽灵一样，在入侵服务器后，往往会留下多个后门，为下次入侵提供便利性。举个简单例子，黑客在攻入某台服务器后，将分阶段埋入多个入侵点，并在某次攻击时启用其中一个后门，典型“狡兔三窟”。例如，写入计划任务以重新启动后门。植入一些程序代码以备后续再次入侵站点。
因此，入侵事件之后，安全人员需要通过排查关键位置，来确定残留问题，比如是否存在残留计划任务，是否存在一些尚未启动的后门程序，是否在业务服务中植入一些特定代码等。