對(duì)于現(xiàn)代企業(yè)的CISO而言，防范網(wǎng)絡(luò)攻擊是他們?nèi)粘９ぷ髦械氖滓蝿?wù)。然而，在當(dāng)今復(fù)雜的威脅環(huán)境下，做好網(wǎng)絡(luò)攻擊防護(hù)并不容易。日前，谷歌云CISO辦公室主任Taylor Lehmann發(fā)表了一篇署名文章《CISO可以為優(yōu)化網(wǎng)絡(luò)攻擊防護(hù)做些什么？》，分享了谷歌公司在應(yīng)對(duì)網(wǎng)絡(luò)攻擊方面的理念和經(jīng)驗(yàn)。為了幫助企業(yè)組織和CISO們更好地做好網(wǎng)絡(luò)攻擊防護(hù)，安全牛對(duì)該文進(jìn)行了編譯整理：

在當(dāng)今復(fù)雜的威脅形勢(shì)下，網(wǎng)絡(luò)攻擊不可避免，因?yàn)閻阂夤粽咦兊迷絹碓嚼暇?，以牟利為?dòng)機(jī)的攻擊變得越來越普遍，新的惡意軟件家族層出不窮，因此對(duì)各種規(guī)模的企業(yè)組織而言，提前制定好有效的攻擊防范計(jì)劃就顯得尤為重要。

在谷歌公司，我們認(rèn)為詳細(xì)的網(wǎng)絡(luò)安全劇本對(duì)于有效防護(hù)網(wǎng)絡(luò)攻擊是必不可少，它可以準(zhǔn)確地概述當(dāng)攻擊發(fā)生時(shí)，安全團(tuán)隊(duì)在面對(duì)樂觀情況和最壞情況時(shí)，分別應(yīng)該具體做什么，這樣安全領(lǐng)導(dǎo)人就可以及時(shí)緩解問題，讓業(yè)務(wù)部門盡快擺脫攻擊的影響。

雖然每次網(wǎng)絡(luò)攻擊都很獨(dú)特，需要不同的響應(yīng)程序和恢復(fù)計(jì)劃，但我們認(rèn)為，首席信息安全官（CISO）應(yīng)該與安全團(tuán)隊(duì)和業(yè)務(wù)負(fù)責(zé)人一起，從三個(gè)階段思考應(yīng)對(duì)策略，并確保本組織做好相應(yīng)的攻擊響應(yīng)準(zhǔn)備。

階段一、在網(wǎng)絡(luò)攻擊之前，與所有利益相關(guān)者做好溝通與安全意識(shí)宣教

在谷歌， CISO辦公室和安全團(tuán)隊(duì)會(huì)定期與各個(gè)業(yè)務(wù)團(tuán)隊(duì)的負(fù)責(zé)人進(jìn)行溝通，討論其業(yè)務(wù)開展中的網(wǎng)絡(luò)安全問題，以及如何在網(wǎng)絡(luò)攻擊發(fā)生前進(jìn)行最有效的預(yù)警和準(zhǔn)備。為了避免在安全事件中出現(xiàn)意外情況，對(duì)于那些不直接參與日常安全工作的人，如董事會(huì)成員，宣傳教育和增強(qiáng)安全意識(shí)至關(guān)重要。

根據(jù)谷歌的實(shí)踐，我們認(rèn)為組織的CISO可以通過以下方式來加強(qiáng)安全意識(shí)的宣傳教育：

• 與業(yè)務(wù)領(lǐng)導(dǎo)人建立牢固的關(guān)系
  只有當(dāng)領(lǐng)導(dǎo)層廣泛了解安全形勢(shì)和關(guān)鍵風(fēng)險(xiǎn)時(shí)，CISO才能夠有效地實(shí)施行動(dòng)計(jì)劃。為此，CISO需要與適當(dāng)?shù)念I(lǐng)導(dǎo)人建立持續(xù)的合作關(guān)系，并進(jìn)行網(wǎng)絡(luò)安全教育，以便他們?cè)诎l(fā)生攻擊時(shí)能夠?qū)Π踩蝿?shì)有所了解。
• 建立全面的安全事件響應(yīng)框架，明確角色和責(zé)任
  當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，組織的業(yè)務(wù)運(yùn)營情況可能變得混亂，尤其是領(lǐng)導(dǎo)人沒有事先審查和批準(zhǔn)攻擊防范計(jì)劃時(shí)。為了確保在遇到網(wǎng)絡(luò)事件時(shí)所有人都能按照規(guī)定行事，CISO和安全團(tuán)隊(duì)?wèi)?yīng)該制定一個(gè)全面的框架，明確安全團(tuán)隊(duì)和整個(gè)組織在事件處置時(shí)的具體責(zé)任。
• 持續(xù)測試計(jì)劃，主動(dòng)發(fā)現(xiàn)不足并優(yōu)化調(diào)整
  即使制定了安全事件響應(yīng)計(jì)劃，但是在這個(gè)框架中仍然可能存在缺陷或需要重新調(diào)整的問題，因此團(tuán)隊(duì)經(jīng)常測試行動(dòng)計(jì)劃極為重要。通過對(duì)計(jì)劃進(jìn)行壓力測試，領(lǐng)導(dǎo)層可以發(fā)現(xiàn)規(guī)程存在的缺陷，并有時(shí)間進(jìn)行相應(yīng)的更新。組織應(yīng)該通過每年執(zhí)行幾次沙盤演練來測試和考驗(yàn)行動(dòng)計(jì)劃，并向領(lǐng)導(dǎo)層報(bào)告結(jié)果。通過實(shí)施上述措施，當(dāng)事件確實(shí)發(fā)生時(shí)，CISO可以更容易向利益相關(guān)者保證，雙方已經(jīng)經(jīng)過同意并測試了攻擊防范計(jì)劃的實(shí)施情況。

階段二、在網(wǎng)絡(luò)攻擊的過程中，要注重高效且充分的溝通

當(dāng)網(wǎng)絡(luò)攻擊確實(shí)發(fā)生時(shí)，組織必須能夠快速組建團(tuán)隊(duì)進(jìn)行響應(yīng)，并落實(shí)預(yù)先確立的角色和責(zé)任。最順利、最有效地應(yīng)對(duì)者通常訓(xùn)練有素且裝備精良，并提前準(zhǔn)備好了必要的工具。

領(lǐng)導(dǎo)層在危機(jī)期間的溝通方式和語氣對(duì)于網(wǎng)絡(luò)攻擊后有效的恢復(fù)至關(guān)重要，應(yīng)該在溝通中展示同理心，并采取一種能夠重新贏得受影響內(nèi)外人員信任的策略。

為確保每個(gè)人都能保持同步，使用清晰的溝通機(jī)制，提高每個(gè)安全事件響應(yīng)團(tuán)隊(duì)成員對(duì)自身角色和責(zé)任的認(rèn)識(shí)至關(guān)重要。當(dāng)然，有效地溝通也能夠讓安全事件響應(yīng)計(jì)劃能夠順利進(jìn)行，每個(gè)人還必須知道其他人都在做什么，以及誰是每個(gè)工作小組的關(guān)鍵聯(lián)系人。

階段三、在網(wǎng)絡(luò)攻擊之后，應(yīng)該深刻反思，但不隨意地相互指責(zé)

在高風(fēng)險(xiǎn)高壓力的網(wǎng)絡(luò)安全環(huán)境中，組織需要營造一種開放的文化氛圍，鼓勵(lì)進(jìn)行詳盡如實(shí)的事后分析。在解決網(wǎng)絡(luò)攻擊引起的問題之后，安全團(tuán)隊(duì)?wèi)?yīng)該認(rèn)真反思事件，并深入總結(jié)成功經(jīng)驗(yàn)和改進(jìn)的方向。在這些討論過程中，重要的是確保沒有人受到指責(zé)，而是集中關(guān)注組織如何進(jìn)行改進(jìn)。與利益相關(guān)者一起詳細(xì)審查網(wǎng)絡(luò)安全劇本，以確定是否需要進(jìn)行調(diào)整，以實(shí)現(xiàn)更有效的響應(yīng)。

在谷歌公司，我們奉行一種“不隨意指責(zé)個(gè)人的網(wǎng)絡(luò)攻擊事后分析理念”，這樣有利于營造一種開放的反思環(huán)境，鼓勵(lì)大家坦率地討論對(duì)錯(cuò)以及從事件中汲取的教訓(xùn)。

事后總結(jié)的最終目標(biāo)是要避免在網(wǎng)絡(luò)事件前后出現(xiàn)意外情況。為此，組織應(yīng)該在整個(gè)網(wǎng)絡(luò)攻擊過程中與利益相關(guān)者不斷進(jìn)行溝通和宣傳教育，以加深對(duì)事件的理解，避免重蹈覆轍。如果制定一項(xiàng)經(jīng)常加以測試的行動(dòng)計(jì)劃，明確角色和責(zé)任，不斷更新劇本，頻繁溝通，進(jìn)行事后分析，并在需要時(shí)尋求外部幫助，組織就可以更有效地應(yīng)對(duì)網(wǎng)絡(luò)攻擊。組織永遠(yuǎn)無法完全避免網(wǎng)絡(luò)攻擊，但總是可以學(xué)習(xí)經(jīng)驗(yàn)和汲取教訓(xùn)，更有效地對(duì)付網(wǎng)絡(luò)攻擊。

參考鏈接：

https://www.darkreading.com/attacks-breaches/steps-cisos-should-take-before-during-after-cyberattack。