應急響應計劃對于確保企業能夠為網絡攻擊做好準備至關重要,但這些詳細闡述了在不同網絡場景下應采取哪些步驟的文件,通常都將安全響應視為一個技術流程。
正如Linux基金會首席安全架構師克里斯托弗·羅賓遜所言:“這些計劃是由工程師和技術人員制定的,所以他們關注的是‘我需要插上或拔下這個’或‘我需要應用這些修復或做出這些更改’。”
處理網絡事件的其他關鍵部分,如集結網絡安全團隊、與企業內部利益相關者協作或運用其他關鍵領導能力,往往會被忽視,直到危機爆發的緊要關頭。
但CISO如何領導度過網絡危機,可能是成功減輕業務影響的最重要因素。我們與經歷過高風險事件的安全專家和CISO進行了交談。他們分享了從實戰中艱難汲取的最佳實踐,這些通常不會在應急響應計劃中提及,但對于在攻擊下成功領導至關重要。
明確權威和決策職責
CISO要想在危機中挺身而出,就必須明確他們是應對任何網絡攻擊的主要負責人。這看似顯而易見,但正如eSentire的CISO格雷格·克勞利所指出的那樣,當警報開始響起時,情況并不總是那么清楚。
“我經歷過一些事件,在這些事件中,角色和責任并沒有提前明確記錄、理解或達成一致,而這只會造成混亂。而當你在經歷危機時,你需要知道誰負責,”克勞利說道。
克勞利表示,企業需要提前詳細記錄總體負責人和企業結構。“所有高管、所有團隊成員的角色和職責,他們的工作內容,以及CISO是負責的整體高管,”他說道,并指出CEO仍應擁有最終決定權。
New Relic的CISO兼信息安全副總裁埃斯特萬·古鐵雷斯表示,應急響應計劃通常會概述要做什么,但不會說明誰做出具體決策,比如與客戶溝通事件的影響。
“確保你非常清楚地了解誰將做出什么樣的決策,以及誰來承擔這一責任,”古鐵雷斯說道。
通過模擬訓練培養肌肉記憶和耐心
如果無法建立追隨者,危機中的權威就毫無意義。而且這不僅限于應急響應團隊:CISO必須與整個企業進行溝通——這是一項經常被誤解的重要任務,近岸人才提供商BairesDev的CISO巴勃羅·里奧波爾迪說道。
“我發現,在網絡攻擊期間,員工參與度往往被忽視。很多時候,員工甚至不知道自己在危機中扮演什么角色,這可能會讓事情出問題時陷入混亂,”里奧波爾迪說道,他建議通過員工模擬和桌面演練等形式的定期培訓來為公司做好準備,并讓每個人都更有信心。
趨勢科技的銷售工程總監詹姆斯·恩奎也建議進行模擬,尤其是那些模仿實際事件情感強度的模擬,因為在安全事件中的壓力和緊張感會對團隊表現產生負面影響。
“企業應提供有關壓力管理和壓力下決策的培訓,其中可能包括在應急響應計劃中提供心理健康支持資源,”恩奎說道。
思科安全副總裁拉里·利茲也提倡桌面演練,讓員工“用不同于平時的角度看待問題”。
利茲之前在一家公司領導了一次流感大流行的模擬,這在新冠疫情期間派上了用場。盡管他們的一些假設是錯誤的,但他們能夠基于之前的演練迅速調整遠程工作和維持業務連續性。
利茲建議包括技術團隊和高級領導在內的企業各級別都進行桌面演練。他還建議進行一項綜合模擬,技術團隊在一個房間,高管在另一個房間,每個團隊在決定下一步行動之前都必須等待對方。
“我看到,在安全事件中,高管最難處理的事情之一就是需要有耐心。當我們處理安全事件時,有很多未知因素,需要進行大量分析。有時,高管要做的就是坐下來等待下一個更新,”利茲解釋道。
Linux基金會的羅賓遜也是桌面演練的支持者。他表示,他的企業為其開源上游項目運行模擬,以便人們了解在危機中他們需要做什么。“這有助于培養一些肌肉記憶,所以當紅色電話響起時,他們至少對這些術語和需要做什么有所了解,”他說道。
在風暴面前保持冷靜
在網絡攻擊面前保持冷靜可能具有挑戰性,但卓越的表現需要做到這一點,New Relic的古鐵雷斯說道。“有很多反應。在事件發生時,會有很多強烈的感受和情緒,”古鐵雷斯說道。
古鐵雷斯表示,雖然他們有時未能保持鎮定,但在網絡壓力下,他們總體上保持了冷靜,并為此感到自豪。作為在危機中受到考驗的領導者,展現出鎮定很重要,因為這會影響他人的感受、行為和做法。
“這不僅對你的團隊很有幫助,對公司的高級領導、高層管理人員、其他利益相關者、董事會,有時甚至對你的客戶都很有幫助,”古鐵雷斯說道。
eSentire的克勞利表示,另一個陷阱是不要過于陷入技術細節。“CISO在事件響應期間不應該是親自動手敲鍵盤的人。這些責任應該由響應團隊中的其他人承擔,”他說道。
克勞利用軍事領袖來類比CISO,軍事領袖應該觀察戰場。“CISO需要知道他們的角色是成為那個鎮定自若的負責人。他們需要專注于領導團隊、制定策略、尋求外部支持、清除障礙、回答問題以及溝通,”他說道,并強調網絡安全事件有其“戰爭迷霧”。
信任你的團隊——并向外部尋求幫助
當危機發生時,CISO往往會陷入責任陷阱,試圖獨自承擔太多工作。
很多時候,CISO可能會感受到他們必須處理所有事情的壓力。“哦,這就是我被雇傭的原因。我需要是那個解決問題的人,”克勞利(Crowley)說道。
盡管每家公司在網絡安全資源配置方面都有所不同,但很少有企業能夠完全內部處理安全事件。CISO必須足夠謙遜,知道何時尋求外部幫助。
“回想起來,如果你正在遭受網絡攻擊,如果你為了省錢而沒有聘請外部顧問或進行外部事件響應,沒有人會關心這一點,而這本可以拯救你的公司,”他表示。
在公司內部建立社會資本
趨勢科技的恩奎(Ngui)表示,在網絡攻擊期間與員工溝通時,需要使用適合當前聽眾的語言。據恩奎說,CISO和技術領導者經常使用企業內其他人員難以理解的術語。安全領導者反而應該開發一個針對普通人的共同詞匯,以確保員工了解情況和他們在應對情況中所扮演的角色。
“技術團隊必須培養將復雜安全事件轉化為清晰、可行的業務影響的能力。這種能力使高管和其他利益相關者能夠充分了解情況并做出明智的決策,”他表示。
當你已經與利益相關者建立了融洽關系時,與他們互動會更容易。New Relic的古鐵雷斯(Gutierrez)說,這一點至關重要,因為網絡安全團隊將是事件響應方面的專家,但可能缺乏其他關鍵領域的知識。“他們并不總是對公司基礎設施、產品或服務的特定部分很擅長。而這就需要我們公司其他部門同事的技能和知識來協助,”古鐵雷斯說。
為了彌補這一差距,古鐵雷斯建議與公司內的其他同事(如營銷、銷售和財務部門)建立關系。在New Relic,事件響應團隊在很大程度上依賴于其與工程部門的關系,這有助于進行數據分析,以便在發生事件時了解問題所在。
“有了預先建立的關系,就很容易把事情做好。沒有質疑。他們很理解。幾乎沒有什么反對意見。讓人們騰出時間和投入專業技能變得很容易,”古鐵雷斯說道。
eSentire的克勞利建議CISO通過特定渠道與不同的利益相關者建立融洽關系,比如向董事會提供半年一次的安全更新。克勞利認為,這些聯系能夠建立善意和至關重要的理解,這將在很大程度上確保在網絡安全事件期間獲得協作和支持。
“當危機發生時,他們認識你,你也認識他們。你知道與他們溝通的最佳方式,以及他們會提出的問題,而且你已經確立了自己是負責人,”他表示。“他們不必擔心。”
通過行動承擔責任
IDC Asia高級研究經理薩克希·格羅弗(Sakshi Grover)建議,企業在面臨網絡攻擊時應避免互相指責。相反,CISO應該主動承擔責任,并繼續領導應對工作。“人們通常希望看到一位高層人員出面承擔責任,”她說。
SoftServe的CISO阿德里安·帕夫利凱維奇( Adriyan Pavlykevych)也持有這一觀點,并舉例說明。在一起針對一家軟件開發和咨詢公司的勒索軟件攻擊事件中,一名員工在一次成功的網絡釣魚攻擊后,攻擊者橫向移動,破解了管理賬戶,然后加密了虛擬機。
由于這次攻擊影響了客戶,帕夫利凱維奇立即與他們的信息安全團隊會面,持續通報進展情況、事件調查和恢復工作,“以確保透明度和責任感”,這是SoftServe網絡安全理念的重要組成部分,帕夫利凱維奇說道,并指出這種方法加強了與利益相關者的信任。
勒索軟件攻擊事件發生后,SoftServe對其安全控制進行了審查和審計,這最終使其在個人和客戶數據存儲與共享方面以及安全和隱私意識研討會方面,都采取了改進方法。解決導致漏洞出現的根本問題并防止其升級至關重要,但不能通過指責來實現。
IDC的格羅弗說,盡管CISO做出了最大努力,但網絡安全事件仍會對聲譽造成損害。網絡攻擊后重建信任具有挑戰性,但至關重要。
“如果你在所有方面都采取正確的步驟,你就可以扭轉品牌形象,”格羅弗說道,并補充說,CISO可能需要考慮公關機構或咨詢公司的專業意見來協助完成這項任務。
CISO還應特別考慮與董事會的溝通,這可能會影響對可能減少未來攻擊暴露的產品或服務的高級別網絡安全投資,她說。
“去向董事會匯報。你清楚地說明:漏洞的原因是什么?你吸取了什么教訓?你承擔責任,然后你再慢慢恢復你的可信度。”她說。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號