| ① 取证断片,IR 变“盲盒” |
攻击链无法复原,谁干的、干了啥、干了多久都难说清;法律层面也缺证据。 |
- 攻击者在多起勒索事件中先删安全日志再加密文件,导致取证团队只能靠猜测重建时间线 (akati.com) <br>- ECCouncil 指出“清日志”是常见掩迹技巧,直接拖慢审计与调查 (eccouncil.org) |
| ② 监控失明,威胁检测“报废” |
SIEM/HIDS 没料可吃,告警静悄悄。 |
在 AWS 环境里CloudTrail 被停用/删除时,Vectra 明确警告:后续攻击和审计都无法溯源 (vectra.ai) |
| ③ 合规翻车,钱包流血 |
多数法规要求保留 1\~7 年的审计日志;缺失=违规。 |
- PCI DSS 10.7:至少保留 1 年日志,违者可能面临每账户 5 000\~100 000 USD/月的罚款 (pcidssguide.com) <br>- Marriott 因历时 4 年都没发现入侵、日志记录缺漏,最终付出 5200 万美元 + 20 年监督令 (theverge.com) |
| ④ 运维 / 性能调优卡壳 |
慢 SQL、崩溃点排查不到根因;APM 图表空洞。 |
ChaosSearch 总结:日志丢失 = 无法定位性能瓶颈 & 加速故障恢复 (chaossearch.io) |
| ⑤ 信任与品牌受损 |
无法公开透明说明“到底发生了什么”,股东、用户和监管部门都会怀疑你在“捂盖子”。 |
由 ①\~④ 叠加而来,舆论与索赔通常雪上加霜。 |