如今,安全威脅變得更加不容易控制,攻擊技術變得越來越成熟和復雜。盡管如此,安全事件響應并沒有獲得應有的重視。
安全事件響應機制的制定應該成為企業內部一項戰略活動。然而即使一個企業在遭遇了安全違規之后,安全事件響應計劃仍然沒有獲得應有的重視。一般來說,確定一個高效的安全事件響應計劃應該具備七條原則。采用以下原則,企業將能更好的應對威脅形勢并能從安全事件中實現更有效的恢復。
一、強化自我意識
讓安全事件響應團隊意識到自身的能力和約束是關鍵。成功取決于對計劃準備的客觀認識水平。當尋求自我意識,安全事件響應團隊必須避免高估自己對某個威脅的響應能力,并清楚在哪里可以獲得幫助。
二、認清技術的優點和局限性
在一些安全行業活動展會現場,到處都充斥著一個普遍的市場信息:下一個偉大的技術將會解決你所有面臨的問題。但高級威脅防護不等于一個產品,也沒有一個孤立的解決方案可以實現。盡管如此,企業技術投資的比重還是高于安全事件響應計劃的投資。
三、建立符合實際的報告和衡量機制
許多企業使用錯誤的度量機制來測量他們安全事件響應計劃的性能。偵查掃描活動不等于安全事件,就像防病毒定義更新無法測量安全事件響應能力的成功與否一樣。有效的安全事件響應團隊使用更有意義的業務指標。一旦已經建立了一個通用的安全事件定義,就需要測量檢測它所用的時間、抑制它擴散所用的時間和補救所用的時間。攻擊者進入網絡后要花多久時間才能檢測到它?一旦檢測出來,要花多久時間才能抑制住攻擊者?要花多久時間才能完成對該安全事件的補救工作?這些測量都是以結果為導向輸出的度量機制。當企業提升了員工的技能,部署了新的安全控制措施,這些測量數字就會有所改善。
四、安全計劃具有可擴展性
當處理全球性公司的安全事件時,安全事件響應的可擴展性就變成非常關鍵的因素。很多人會對世界上最大的公司作了錯誤的假設,僅僅因為它們擁有最成熟的技術和能力。事實上,全球性公司的規模和自身復雜性導致安全事件響應特別具有挑戰性。流程和監督對于確保安全事件響應計劃的可擴展性來說至關重要。
五、注重內外協作
安全事件響應團隊不是孤立的在工作,他們是一個更大社區的一部分。鑒于企業面對的絕大多數威脅形勢和操作上的限制,這些團隊必須工作在一個更大的社區內才能成功。成功的團隊能建立良好的IT關系,認識到顧問的重要性,并能在可信合作伙伴之間共享威脅信息。
六、讓企業領導層多參與安全建設
在過去,安全專家們在為博得業務領導的關注而努力奮斗。但過度聚焦在戰術安全度量指標上,不能與業務需求保持一致,這已經遏制了業務領導對安全的興趣。然而根據最近的調查,最近幾年發生的網絡攻擊事件已經提升了70%,企業CIO也開始閱讀網絡攻擊的文章。現在可以利用這個時機去鼓勵企業領導層多多參與安全建設。
七、自主運作
安全事件響應團隊的工作就是打敗攻擊者,他們必須有權作出關鍵決定,而不是必需花時間去尋求對他們行動的審批。當數據正從企業網絡向外泄漏,損失是以秒來計算的,企業必須建立一個啟用自主權的框架。為了啟動自主權,安全事件響應團隊必須制定清晰的交戰規則定義,避免出現微觀管理和向上操縱指揮系統現象。最后,必須確保高層管理層支持安全事件響應分析師們做出的決定——哪怕這個響應決定最后被證明是錯的。錯誤的發生是不可避免的,但一旦他們這樣做了,安全領導必須支持這些前線的分析師們的決定。安全事件響應參與者們必須能感受到管理層將會支持他們的決定,當做了錯誤的決定,安全事件響應團隊不會因此成為替罪羊。
綜上所述,制定一個協調一致、行動利落的安全響應機制能優先確保對客戶的透明溝通和保護客戶身份和財務信息,這將會提升企業的品牌,促進企業的發展。
京公網安備 11010502049343號