網(wǎng)絡(luò)安全事件響應(yīng)的責(zé)任完全落在CISO的肩上。許多CISO在技術(shù)響應(yīng)程序、桌面推演和理論計劃上投入了大量資金，結(jié)果卻發(fā)現(xiàn)，當(dāng)實際發(fā)生安全漏洞時，企業(yè)并不像應(yīng)有的那樣做好準(zhǔn)備。

每個事件都是獨一無二的，可能會帶來無法預(yù)見的復(fù)雜情況，而當(dāng)下的混亂局面很快就會破壞哪怕是最周密的計劃，但CISO可以通過避免以下這些常見陷阱，來提高團(tuán)隊的響應(yīng)能力并減少損失：

陷阱1：網(wǎng)絡(luò)安全事件響應(yīng)計劃不充分

許多企業(yè)仍缺乏一個定義明確的事件響應(yīng)計劃。有些人將事件響應(yīng)僅僅視為清除攻擊者并恢復(fù)系統(tǒng)的過程，但事件響應(yīng)遠(yuǎn)不止是一場技術(shù)演練：它還必須考慮業(yè)務(wù)影響、聲譽管理、財務(wù)損失、監(jiān)管處罰和法律后果。

計劃必須明確具體的角色、升級路徑、溝通策略和事后審查流程。此外，一個有效的網(wǎng)絡(luò)安全事件響應(yīng)計劃應(yīng)定期審查和測試，以確保其與不斷演變的威脅和業(yè)務(wù)目標(biāo)保持一致。

依賴一個靜態(tài)、過時的計劃，幾乎和沒有計劃一樣糟糕。

陷阱2：桌面推演效果不佳

桌面推演是事件準(zhǔn)備工作的一個基本組成部分，因為它們可以讓企業(yè)內(nèi)部不同崗位的響應(yīng)人員有機(jī)會體驗?zāi)M的攻擊場景，并測試其響應(yīng)的有效性。許多企業(yè)將這些演練外包給第三方協(xié)調(diào)人員，這些人員提供的往往是泛泛的、模板化的場景，可能與企業(yè)的獨特結(jié)構(gòu)、行業(yè)、監(jiān)管環(huán)境或威脅態(tài)勢不符。

為了使桌面推演真正有效，它們必須實現(xiàn)內(nèi)部主導(dǎo)，并根據(jù)企業(yè)情況進(jìn)行定制。CISO需要確保桌面推演是針對公司的特定風(fēng)險、安全用例和合規(guī)要求量身定制的。演練應(yīng)該定期舉行(至少每季度一次)，并要用批判性的眼光來評估，以確保演練結(jié)果能夠體現(xiàn)在公司更廣泛的事件響應(yīng)計劃中。

如果不考慮這些因素，桌面推演就有可能淪為一項只是走過場的活動，而不是提高響應(yīng)準(zhǔn)備狀態(tài)的有意義的舉措。

陷阱3：信息共享無效或延遲

雖然CISO可能負(fù)責(zé)網(wǎng)絡(luò)安全事件響應(yīng)，但事件響應(yīng)并非安全團(tuán)隊的唯一責(zé)任。在重大網(wǎng)絡(luò)安全事件中，多個業(yè)務(wù)部門之間需要進(jìn)行有效協(xié)調(diào)，并讓關(guān)鍵代表在響應(yīng)中發(fā)揮作用。

事件響應(yīng)中最常見的失敗之一就是缺乏及時的信息共享。包括人力資源、公共關(guān)系、法務(wù)、高管和董事會成員在內(nèi)的關(guān)鍵利益相關(guān)者必須實時了解有關(guān)情況。如果沒有適當(dāng)?shù)臏贤ㄇ篮皖A(yù)定義的報告結(jié)構(gòu)，錯誤的信息或延誤可能會導(dǎo)致混亂、停機(jī)時間延長，甚至因未能在規(guī)定時間內(nèi)報告事件而面臨監(jiān)管處罰。

CISO有責(zé)任主動建立明確的溝通協(xié)議，并確保所有響應(yīng)人員和利益相關(guān)者都了解自己在事件管理中的角色。這些步驟可以包括為內(nèi)部和外部利益相關(guān)者群體定義通知時間表、建立用于響應(yīng)更新的專用溝通渠道，并確保能夠訪問關(guān)鍵文檔和決策指南。

陷阱4：響應(yīng)中的安全漏洞

事件響應(yīng)需要在響應(yīng)人員和利益相關(guān)者之間進(jìn)行快速、安全和多渠道的溝通。然而，企業(yè)所依賴的許多通信工具和平臺——如電子郵件、企業(yè)聊天平臺和批量通知系統(tǒng)——都與企業(yè)基礎(chǔ)設(shè)施相關(guān)聯(lián)，這些基礎(chǔ)設(shè)施在攻擊期間可能會遭到破壞。這帶來了巨大的風(fēng)險，包括竊聽、數(shù)據(jù)泄露，甚至被攻擊者進(jìn)一步利用。

帶外通信能力對于保障響應(yīng)工作和使其免受攻擊者監(jiān)視至關(guān)重要。企業(yè)應(yīng)建立安全、獨立的渠道來協(xié)調(diào)事件響應(yīng)，這些渠道不應(yīng)與企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)。可以使用預(yù)定義的備份系統(tǒng)來共享敏感的響應(yīng)數(shù)據(jù)，同時使用帶外通信渠道進(jìn)行受保護(hù)的通信。

CISO和響應(yīng)團(tuán)隊不應(yīng)假設(shè)業(yè)務(wù)或危機(jī)管理工具具有內(nèi)置安全性。在事件期間使用的每一種通信和協(xié)作工具都應(yīng)進(jìn)行審查、測試其對抗網(wǎng)絡(luò)威脅的韌性，并檢查是否存在潛在的未經(jīng)授權(quán)訪問。

陷阱5：手動流程阻礙及時響應(yīng)

許多企業(yè)仍然依賴過時、手動的事件響應(yīng)流程。包含呼叫樹和通用場景的傳統(tǒng)活頁夾可能無法適應(yīng)現(xiàn)代的攻擊手法，從而導(dǎo)致響應(yīng)延遲或無效。

為了提高效率，企業(yè)應(yīng)采用自動化和動態(tài)事件響應(yīng)手冊。這些手冊可以為特定事件類型提供逐步指導(dǎo)，并根據(jù)預(yù)定義的閾值自動發(fā)出警報和采取行動。采用自動化能力可以實現(xiàn)企業(yè)內(nèi)部的快速決策和協(xié)調(diào)。

通過用交互式和自動化響應(yīng)機(jī)制取代靜態(tài)文檔，企業(yè)可以顯著減少響應(yīng)時間，更有效地減輕潛在損失。這種方法還提供了一個(最新的)單一信息來源，消除了響應(yīng)人員參考過時活頁夾的風(fēng)險。

采用自動化簡化網(wǎng)絡(luò)安全事件響應(yīng)

事件響應(yīng)比以往任何時候都更加復(fù)雜。傳統(tǒng)的政策和程序無法應(yīng)對當(dāng)今不斷演變的攻擊場景所帶來的挑戰(zhàn)。即使做了最充分的準(zhǔn)備，實際攻擊帶來的混亂和壓力也可能導(dǎo)致錯誤和延誤。

為了提高準(zhǔn)備狀態(tài)，CISO必須更深入地挖掘，找出其事件響應(yīng)策略中的關(guān)鍵弱點和特殊考慮因素。雖然事件檢測和響應(yīng)獲得了公司安全投資的很大一部分，但事件準(zhǔn)備同樣至關(guān)重要(如果不是更重要的話)。在主動解決常見陷阱的同時，企業(yè)不僅能提高事件響應(yīng)的有效性，還能加強(qiáng)其對抗網(wǎng)絡(luò)威脅的整體韌性。