從 Gartner 披露的信息來看，2021 年發(fā)生的安全事件平均違規(guī)成本達到了 17 年以來的峰值。值得注意的是，安全事件中 10% 是由勒索軟件引起，預(yù)計這一占比將在 2022 年繼續(xù)增加。為了更好應(yīng)對網(wǎng)絡(luò)安全威脅，安全與風(fēng)險管理領(lǐng)導(dǎo)者必須提前做好準備。

安全風(fēng)險管理者應(yīng)對網(wǎng)絡(luò)風(fēng)險時，快速、高效、準確的安全工具必不可少。對此，Gartner 強調(diào)，制定事件響應(yīng)計劃、編寫詳細的響應(yīng)手冊、定期進行桌面演練這三個工具至關(guān)重要。通過使用這些工具，企業(yè)領(lǐng)導(dǎo)者能夠快速采取相應(yīng)的行動，確保企業(yè)安全。接下來，本文詳細介紹三個工具的建設(shè)情況。

制定事件響應(yīng)計劃

現(xiàn)階段，網(wǎng)絡(luò)攻擊事件頻發(fā)，一旦遭受網(wǎng)絡(luò)攻擊，企業(yè)往往會被打的措手不及。企業(yè)應(yīng)當(dāng)做到“未雨綢繆，在晴天時修補屋頂”，在安全防御體系建設(shè)時，制定應(yīng)對網(wǎng)絡(luò)事件的一般性計劃。

1. 繪制流程圖，有規(guī)可循：

公司制定完善的安全響應(yīng)計劃時，應(yīng)規(guī)定一旦出現(xiàn)安全事件時，有可以遵循的詳細步驟。事件責(zé)任人(或類似角色)則應(yīng)確保完整實施所有步驟，并以滾動方式跟蹤進展和進行溝通。

2. 定義事件嚴重等級，分類處理：

企業(yè)內(nèi)部的安全部門一旦監(jiān)測到安全威脅后，應(yīng)當(dāng)對所有安全事件進行分類，并確定嚴重等級。這樣有助于優(yōu)先處理危險系數(shù)最高的事件，一層層往下，條理明確的將所有事件逐級處理。

另外，對安全事件分析、分類后，能夠更方便的告知利益相關(guān)方事件對企業(yè)機構(gòu)的潛在或現(xiàn)實影響。嚴重等級還能決定被通知對象、升級路徑，以及需要使用的手冊。

3. 明確職責(zé)，各司其職：

網(wǎng)絡(luò)安全威脅不僅對企業(yè)內(nèi)部安全防御體系是一個重大考驗，更挑戰(zhàn)內(nèi)部安全團隊的配合。高效、準確、快速的安全事件響應(yīng)需要團隊合作，這時就要求明晰的職責(zé)劃分，各司其職，相互配合，更好的處理企業(yè)突發(fā)的安全事件。

RACI 模型能夠明確整個企業(yè)機構(gòu)內(nèi)有關(guān)事件響應(yīng)的所有角色和相應(yīng)責(zé)任。其中，常見的利益相關(guān)方包括C-suite，法務(wù)、隱私和人力資源團隊。

編制詳細的響應(yīng)手冊

企業(yè)制定詳細的事件響應(yīng)計劃后，清楚了事件處理的流程，清晰了員工職責(zé)，但是怎樣處理突發(fā)的安全事件?還需要制定特定事件類型的詳細指南。

1. 編制響應(yīng)手冊

CSIR 團隊應(yīng)該根據(jù)常見或影響巨大的事件類型，編制詳細的手冊。不同于一般性的安全事件響應(yīng)計劃，該響應(yīng)手冊旨在提供更詳細的指導(dǎo)和流程。(以勒索軟件為例)。

2. 制定勒索軟件響應(yīng)流程

企業(yè)應(yīng)對勒索軟件類型的安全事件時，應(yīng)當(dāng)繪制勒索軟件響應(yīng)流程和決策樹。該流程可用于制定詳細的響應(yīng)程序、明確職責(zé)，并制定 CSIR 團隊用于指導(dǎo)其響應(yīng)工作的其他文件。

3. 詳細記錄響應(yīng)流程

在處理勒索軟件類型的安全事件時，應(yīng)當(dāng)與各主題專家(SME)合作，詳細記錄勒索軟件響應(yīng)流程。其中主要包括具體的指導(dǎo)、工具、示例、設(shè)置等，并應(yīng)明確每個步驟的責(zé)任方。

定期進行桌面演練

企業(yè)怎樣檢驗內(nèi)部安全防御體系的效果?當(dāng)然是通過定期的桌面演練了。工作中，制定多部門配合的演練方案，進行事件響應(yīng)計劃常規(guī)測試。

1. 設(shè)置議程并邀請參與者

事件響應(yīng)桌面演練應(yīng)涉及整個企業(yè)機構(gòu)的領(lǐng)導(dǎo)層和決策者，需要多部門協(xié)同合作，共同演練。成功的桌面演練要確定具體的目標，并高度結(jié)構(gòu)化，能夠涵蓋預(yù)先確定好的情景。

2. 設(shè)定事件情景和場景：

要想實現(xiàn)最高效的網(wǎng)絡(luò)安全桌面演練，其結(jié)構(gòu)應(yīng)該設(shè)置為一個初始情景(例如，惡意軟件)，并跟隨一系列為事件增加新信息的場景。這種結(jié)構(gòu)復(fù)刻了真實事件的不確定性變化。

3. 設(shè)計具有挑戰(zhàn)性的事件場景

桌面演練應(yīng)該復(fù)制利益相關(guān)方在實際攻擊中必須解決的挑戰(zhàn)性問題。以勒索軟件攻擊為例，在桌面演練中，參與者需對攻擊者的贖金要求做出反應(yīng)。

設(shè)計要點如下：

目前，企業(yè)支付贖金后，需要考慮以下幾點。只有 65% 的數(shù)據(jù)能夠恢復(fù)，且只有 8% 的企業(yè)機構(gòu)能夠恢復(fù)所有數(shù)據(jù);加密文件通常無法恢復(fù);攻擊者提供的解密工具可能崩潰或失敗;復(fù)數(shù)據(jù)可能需要幾個星期;不能保證黑客會刪除被盜數(shù)據(jù)，如果信息有價值，他們可能在以后出售或披露這些信息;支付贖金可能比從備份中恢復(fù)數(shù)據(jù)更容易且更便宜，但這只會鼓勵犯罪行為;在某些情況下，支付贖金甚至可能違法。

這時候，需要企業(yè)領(lǐng)導(dǎo)者權(quán)衡是否為勒索軟件支付贖金了。

總結(jié)

現(xiàn)階段，企業(yè)面臨的網(wǎng)絡(luò)安全威脅日益增長，需要加強內(nèi)部防御體系建設(shè)，以確保自身的網(wǎng)絡(luò)安全。另外，企業(yè)同樣需要制定完善的響應(yīng)計劃，明確規(guī)定安全事件的處理流程、員工職責(zé)和應(yīng)對策略，及時處理突發(fā)的安全事件。

最后，日常的模擬演練同樣不可或缺，只有充分熟悉應(yīng)對網(wǎng)絡(luò)安全事件的流程，才能做到應(yīng)對時的游刃有余!

參考文章：https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg