McKeown說,“企業(yè)可能制定了應(yīng)對(duì)危機(jī)的政策或措施,并認(rèn)為這些是在網(wǎng)絡(luò)攻擊發(fā)生時(shí)事件響應(yīng)團(tuán)隊(duì)首先要做的事情。但情況并不總是這樣,因?yàn)槿藗兊乃季S方式不只是應(yīng)對(duì)或逃跑,而是應(yīng)對(duì)、逃跑,或者束手無策。有人說,‘我們知道如何應(yīng)對(duì)危機(jī),但在危機(jī)發(fā)生時(shí)卻不知道該怎么辦。’”
McKeown是一名心理學(xué)家,多年對(duì)高風(fēng)險(xiǎn)行業(yè)的研究為她提供了人類在危機(jī)中如何應(yīng)對(duì)的視角。她的觀點(diǎn)不僅僅是理論上的,一些企業(yè)安全部門的負(fù)責(zé)人說,他們也看到過一些團(tuán)隊(duì)在應(yīng)對(duì)真實(shí)事件時(shí)陷入困境,包括那些為應(yīng)對(duì)此類事件進(jìn)行演練的團(tuán)隊(duì)。
當(dāng)團(tuán)隊(duì)束手無策時(shí),問題就會(huì)越來越多
即使只有幾個(gè)小時(shí)的響應(yīng)延遲,也會(huì)給網(wǎng)絡(luò)攻擊更多的時(shí)間造成破壞,并延長了恢復(fù)時(shí)間。這種情況還可能導(dǎo)致響應(yīng)成本增加,可能會(huì)導(dǎo)致更高的監(jiān)管罰款和業(yè)務(wù)損失。
McKeown表示,安全領(lǐng)導(dǎo)者應(yīng)該預(yù)測(cè)到這種情況,結(jié)合實(shí)踐來幫助最大限度地減少發(fā)生這種情況的可能性,并制定策略來識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全事件。
McKeown說,“首席信息安全官必須明白在這些危機(jī)到來時(shí)將如何應(yīng)對(duì)。可以培養(yǎng)員工的技能,讓他們變得敏捷,并幫助他們?cè)诓痪邆渌星榫骋庾R(shí)的情況下做出反應(yīng),這是一種心理準(zhǔn)備。”
團(tuán)隊(duì)為什么會(huì)陷入困境
McKeown表示,即使是準(zhǔn)備充分的團(tuán)隊(duì)也會(huì)有陷入困境的時(shí)候,首席信息安全官對(duì)此不應(yīng)該感到驚訝,因?yàn)檫@是人類的天性。
她說,有時(shí)事件響應(yīng)團(tuán)隊(duì)成員可能會(huì)有認(rèn)知狹窄的情況,因?yàn)樗麄兲珜W⒂谘矍鞍l(fā)生的事情,以至于他們沒有考慮整體的情況,這種經(jīng)歷會(huì)妨礙反應(yīng)者像在正常情況下那樣進(jìn)行思考。
企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、國際信息系統(tǒng)審計(jì)協(xié)會(huì)董事會(huì)主席Niel Harper描述了他以前的經(jīng)歷。他在一家公司擔(dān)任安全顧問的第一天,就目睹了該公司的安全團(tuán)隊(duì)在應(yīng)對(duì)勒索軟件攻擊方面束手無策。他回憶說,“他們確實(shí)不知道該做什么,盡管他們有一些事件響應(yīng)演練的經(jīng)驗(yàn),但卻處于恐慌狀態(tài)。”
Harper表示,他還見過其他情況,例如反應(yīng)受到阻礙導(dǎo)致應(yīng)對(duì)措施的延誤。在某些情況下,事件響應(yīng)團(tuán)隊(duì)擔(dān)心他們會(huì)被視為反應(yīng)過度。在另一些情況下,他們因?yàn)楹ε卤恢肛?zé)而導(dǎo)致陷入困境。在另一些事件中,團(tuán)隊(duì)成員沒有經(jīng)歷過真實(shí)的網(wǎng)絡(luò)安全事件,也沒有人有信心領(lǐng)導(dǎo)應(yīng)對(duì)事件。Harper說:“所有這些問題,無論單獨(dú)的還是組合的,都可能讓團(tuán)隊(duì)陷入困境。”
美國馬里蘭大學(xué)全球校區(qū)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院的兼職教授Chris Hughes表示,他也看到過這樣的情況。他當(dāng)時(shí)正在與一個(gè)政府機(jī)構(gòu)的安全團(tuán)隊(duì)合作,該團(tuán)隊(duì)發(fā)現(xiàn)了可疑的流量,確認(rèn)這是惡意攻擊,然后遭到阻礙,阻止他們采取行動(dòng)。
旁觀者效應(yīng)
Hughes說,“這有點(diǎn)旁觀者效應(yīng)。他們假設(shè)或者希望有一個(gè)人能夠介入并起帶頭作用。沒有人這么做,也沒有人站出來。”他表示,后來在一位團(tuán)隊(duì)領(lǐng)導(dǎo)者的領(lǐng)導(dǎo)下,才使他們從震驚中恢復(fù)過來。
另一方面,經(jīng)驗(yàn)豐富的安全主管表示,有時(shí)企業(yè)高管們也會(huì)反應(yīng)遲鈍,并陷入“這不可能是真的”和“這不可能發(fā)生在我們身上”的感覺中,然后慢慢地相信這是真的。SANS技術(shù)研究所的主席Ed Skoudis說:“這個(gè)時(shí)刻通常發(fā)生在人們感到情況有多糟糕、會(huì)對(duì)企業(yè)造成多大傷害感到恐懼的時(shí)候,以及存在很多不確定性的時(shí)候。當(dāng)所有這些信息同時(shí)涌來時(shí),團(tuán)隊(duì)不知道什么是真的,什么是假的,以及什么是最好的方法。因此有很多疑問,當(dāng)存在恐懼、不確定、懷疑的時(shí)候,或者這三種情緒同時(shí)存在時(shí),就會(huì)束手無策。這種情況經(jīng)常發(fā)生,他們不知道如何采取下一步的行動(dòng)。”
網(wǎng)絡(luò)安全服務(wù)商N(yùn)etSPI公司的首席信息技術(shù)官Norman Kromberg表示,曾看到過團(tuán)隊(duì)陷入困境的情況。他是一家公司的安全負(fù)責(zé)人,該公司在發(fā)現(xiàn)惡意內(nèi)部活動(dòng)后宣布了發(fā)生網(wǎng)絡(luò)安全事件,該公司的團(tuán)隊(duì)在將近兩周的時(shí)間里一直在全力以赴采取措施應(yīng)對(duì),執(zhí)法部門、會(huì)計(jì)師和網(wǎng)絡(luò)保險(xiǎn)公司也參與其中,但他們遇到了無法突破的瓶頸,因此沒有取得任何進(jìn)展。
Kromberg說:“他們十分煩躁,并且彼此之間爭(zhēng)吵。”他解釋說,他認(rèn)為疲勞和壓力讓他的團(tuán)隊(duì)處于無序狀態(tài),無法推進(jìn)恢復(fù)的進(jìn)程。
如何突破困境
當(dāng)Kromberg看到他的團(tuán)隊(duì)陷入困境并推斷出原因時(shí),他讓所有人回家休息。他補(bǔ)充說,“我讓我們的團(tuán)隊(duì)、供應(yīng)商、法律和執(zhí)法部門的人員回家休息了一段時(shí)間,回來之后精神煥發(fā),網(wǎng)絡(luò)安全恢復(fù)工作之后得到迅速推進(jìn)。”
他說,這段經(jīng)歷教會(huì)了他為未來的這種時(shí)刻做好計(jì)劃。他表示,首席信息安全官都應(yīng)該這樣做,并指出他們可以結(jié)合各種培訓(xùn)和演習(xí),以幫助最大限度地減少團(tuán)隊(duì)陷入困境的可能性。
首先要確保具有基礎(chǔ)知識(shí)。馬里蘭大學(xué)全球校區(qū)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院兼職教授Philip Chan表示:“首席信息安全官可以采取各種措施,通過制定事件響應(yīng)計(jì)劃、培訓(xùn)事件響應(yīng)團(tuán)隊(duì)、定期模擬事件、鼓勵(lì)公開溝通、建立透明的指揮鏈,以及制定精確的風(fēng)險(xiǎn)管理和事件管理策略,來幫助防止團(tuán)隊(duì)陷入困境。”
安全專家表示,首席信息安全官下一步應(yīng)該檢查他們的演習(xí)(當(dāng)然應(yīng)該定期進(jìn)行演習(xí)),并添加可以幫助他們的團(tuán)隊(duì)更好地為真實(shí)事件做好準(zhǔn)備的元素。
為意外做好準(zhǔn)備
McKeown說:“企業(yè)在網(wǎng)絡(luò)安全演習(xí)中提出一些新情況,這可能意味著讓員工故意出錯(cuò)。例如,在演習(xí)中完全關(guān)閉一個(gè)關(guān)鍵系統(tǒng),這樣團(tuán)隊(duì)就可以練習(xí)應(yīng)對(duì)意想不到的或正在發(fā)生的網(wǎng)絡(luò)安全事件。”McKeown補(bǔ)充說,這樣的練習(xí)可以培養(yǎng)敏捷性和團(tuán)隊(duì)合作精神,有助于避免危機(jī)期間經(jīng)常出現(xiàn)的指責(zé)和爭(zhēng)論。
Kromberg表示,他曾經(jīng)在一個(gè)周五中午的假日聚會(huì)之后舉行了一次未提前宣布的演習(xí)。他表示,黑客通常在企業(yè)最脆弱的時(shí)候進(jìn)行攻擊,所以他希望安全團(tuán)隊(duì)在這種情況下進(jìn)行練習(xí),團(tuán)隊(duì)必須學(xué)會(huì)如何迅速進(jìn)入高速運(yùn)轉(zhuǎn)的狀態(tài),并在關(guān)鍵人員已經(jīng)外出度假的情況下工作。
McKeown和Kromberg表示,首席信息安全官和他們的安全團(tuán)隊(duì)還通過盡可能多地模擬真實(shí)事件的練習(xí)來獲得肌肉記憶。這意味著從頭開始——例如最早的警告,并通過實(shí)際操作模擬運(yùn)行相關(guān)場(chǎng)景,而不是演練類型的安全培訓(xùn)課程。
專門從事云計(jì)算和網(wǎng)絡(luò)安全專業(yè)服務(wù)的Aquia公司的聯(lián)合創(chuàng)始人兼首席信息官Hughes說:“當(dāng)人們模擬操作時(shí),這種感覺會(huì)更加明顯。”
訓(xùn)練時(shí)使用倒計(jì)時(shí)鐘
Skoudis表示,他在訓(xùn)練中使用了倒計(jì)時(shí)鐘,這也讓團(tuán)隊(duì)習(xí)慣于在網(wǎng)絡(luò)事件中感受到的巨大壓力下工作。他說:“這很尷尬,但只有多加練習(xí),才能建立肌肉記憶。”
其他人還建議首席信息安全官嘗試讓盡可能多的企業(yè)高管、其他部門和與安全、IT和事件響應(yīng)協(xié)同工作的外部支持參與進(jìn)來,以確定這些額外的參與者是否會(huì)陷入困境。Kromberg說:“人們可能會(huì)發(fā)現(xiàn),在其他領(lǐng)域,一些事情可能會(huì)停滯不前,例如首席執(zhí)行官在談?wù)摼W(wǎng)絡(luò)安全事故所需的財(cái)務(wù)信息時(shí)會(huì)猶豫。”
Info-Tech Research集團(tuán)及其Software Reviews部門的顧問總監(jiān)Thomas Randall表示,首席信息安全官還應(yīng)該考慮在危機(jī)中為員工創(chuàng)造提出解決方案的渠道。
支持創(chuàng)造性的解決方案
Randall補(bǔ)充道,在實(shí)際的安全事件中,團(tuán)隊(duì)可能沒有很多時(shí)間來思考更好的辦法,但擁有一些渠道來提供和評(píng)估這些辦法仍然很重要,因?yàn)檫@些創(chuàng)造性的解決方案可能會(huì)帶領(lǐng)團(tuán)隊(duì)克服讓他們陷入困境的障礙。
首席信息安全官可以采取的另一個(gè)步驟來幫助避免這些困境時(shí)刻:雇傭具有處理違規(guī)和黑客攻擊經(jīng)驗(yàn)的員工或與定期從事這項(xiàng)工作的外部事件響應(yīng)團(tuán)隊(duì)簽訂合同。
Harper說,安全主管不應(yīng)該低估這種經(jīng)驗(yàn)的價(jià)值。那些經(jīng)歷過危機(jī)的人會(huì)形成肌肉記憶,使他們保持冷靜,并帶領(lǐng)別人走出困境。
關(guān)于企業(yè)網(wǎng)D1net(r5u5c.cn):
國內(nèi)主流的to B IT門戶,同時(shí)在運(yùn)營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_(tái)-信眾智(www.cioall.com)。同時(shí)運(yùn)營19個(gè)IT行業(yè)公眾號(hào)(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。