當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時(shí)，安全負(fù)責(zé)人必須超越應(yīng)急響應(yīng)計(jì)劃，確保全面準(zhǔn)備、有效協(xié)作以及在危機(jī)中展現(xiàn)出強(qiáng)大的領(lǐng)導(dǎo)力。

應(yīng)急響應(yīng)計(jì)劃對(duì)于確保企業(yè)能夠?yàn)榫W(wǎng)絡(luò)攻擊做好準(zhǔn)備至關(guān)重要，但這些詳細(xì)闡述了在不同網(wǎng)絡(luò)場(chǎng)景下應(yīng)采取哪些步驟的文件，通常都將安全響應(yīng)視為一個(gè)技術(shù)流程。

正如Linux基金會(huì)首席安全架構(gòu)師克里斯托弗·羅賓遜所言：“這些計(jì)劃是由工程師和技術(shù)人員制定的，所以他們關(guān)注的是‘我需要插上或拔下這個(gè)’或‘我需要應(yīng)用這些修復(fù)或做出這些更改’?！?/p>

處理網(wǎng)絡(luò)事件的其他關(guān)鍵部分，如集結(jié)網(wǎng)絡(luò)安全團(tuán)隊(duì)、與企業(yè)內(nèi)部利益相關(guān)者協(xié)作或運(yùn)用其他關(guān)鍵領(lǐng)導(dǎo)能力，往往會(huì)被忽視，直到危機(jī)爆發(fā)的緊要關(guān)頭。

但CISO如何領(lǐng)導(dǎo)度過(guò)網(wǎng)絡(luò)危機(jī)，可能是成功減輕業(yè)務(wù)影響的最重要因素。我們與經(jīng)歷過(guò)高風(fēng)險(xiǎn)事件的安全專家和CISO進(jìn)行了交談。他們分享了從實(shí)戰(zhàn)中艱難汲取的最佳實(shí)踐，這些通常不會(huì)在應(yīng)急響應(yīng)計(jì)劃中提及，但對(duì)于在攻擊下成功領(lǐng)導(dǎo)至關(guān)重要。

明確權(quán)威和決策職責(zé)

CISO要想在危機(jī)中挺身而出，就必須明確他們是應(yīng)對(duì)任何網(wǎng)絡(luò)攻擊的主要負(fù)責(zé)人。這看似顯而易見(jiàn)，但正如eSentire的CISO格雷格·克勞利所指出的那樣，當(dāng)警報(bào)開(kāi)始響起時(shí)，情況并不總是那么清楚。

“我經(jīng)歷過(guò)一些事件，在這些事件中，角色和責(zé)任并沒(méi)有提前明確記錄、理解或達(dá)成一致，而這只會(huì)造成混亂。而當(dāng)你在經(jīng)歷危機(jī)時(shí)，你需要知道誰(shuí)負(fù)責(zé)，”克勞利說(shuō)道。

克勞利表示，企業(yè)需要提前詳細(xì)記錄總體負(fù)責(zé)人和企業(yè)結(jié)構(gòu)?！八懈吖?、所有團(tuán)隊(duì)成員的角色和職責(zé)，他們的工作內(nèi)容，以及CISO是負(fù)責(zé)的整體高管，”他說(shuō)道，并指出CEO仍應(yīng)擁有最終決定權(quán)。

New Relic的CISO兼信息安全副總裁埃斯特萬(wàn)·古鐵雷斯表示，應(yīng)急響應(yīng)計(jì)劃通常會(huì)概述要做什么，但不會(huì)說(shuō)明誰(shuí)做出具體決策，比如與客戶溝通事件的影響。

“確保你非常清楚地了解誰(shuí)將做出什么樣的決策，以及誰(shuí)來(lái)承擔(dān)這一責(zé)任，”古鐵雷斯說(shuō)道。

通過(guò)模擬訓(xùn)練培養(yǎng)肌肉記憶和耐心

如果無(wú)法建立追隨者，危機(jī)中的權(quán)威就毫無(wú)意義。而且這不僅限于應(yīng)急響應(yīng)團(tuán)隊(duì)：CISO必須與整個(gè)企業(yè)進(jìn)行溝通——這是一項(xiàng)經(jīng)常被誤解的重要任務(wù)，近岸人才提供商BairesDev的CISO巴勃羅·里奧波爾迪說(shuō)道。

“我發(fā)現(xiàn)，在網(wǎng)絡(luò)攻擊期間，員工參與度往往被忽視。很多時(shí)候，員工甚至不知道自己在危機(jī)中扮演什么角色，這可能會(huì)讓事情出問(wèn)題時(shí)陷入混亂，”里奧波爾迪說(shuō)道，他建議通過(guò)員工模擬和桌面演練等形式的定期培訓(xùn)來(lái)為公司做好準(zhǔn)備，并讓每個(gè)人都更有信心。

趨勢(shì)科技的銷售工程總監(jiān)詹姆斯·恩奎也建議進(jìn)行模擬，尤其是那些模仿實(shí)際事件情感強(qiáng)度的模擬，因?yàn)樵诎踩录械膲毫途o張感會(huì)對(duì)團(tuán)隊(duì)表現(xiàn)產(chǎn)生負(fù)面影響。

“企業(yè)應(yīng)提供有關(guān)壓力管理和壓力下決策的培訓(xùn)，其中可能包括在應(yīng)急響應(yīng)計(jì)劃中提供心理健康支持資源，”恩奎說(shuō)道。

思科安全副總裁拉里·利茲也提倡桌面演練，讓員工“用不同于平時(shí)的角度看待問(wèn)題”。

利茲之前在一家公司領(lǐng)導(dǎo)了一次流感大流行的模擬，這在新冠疫情期間派上了用場(chǎng)。盡管他們的一些假設(shè)是錯(cuò)誤的，但他們能夠基于之前的演練迅速調(diào)整遠(yuǎn)程工作和維持業(yè)務(wù)連續(xù)性。

利茲建議包括技術(shù)團(tuán)隊(duì)和高級(jí)領(lǐng)導(dǎo)在內(nèi)的企業(yè)各級(jí)別都進(jìn)行桌面演練。他還建議進(jìn)行一項(xiàng)綜合模擬，技術(shù)團(tuán)隊(duì)在一個(gè)房間，高管在另一個(gè)房間，每個(gè)團(tuán)隊(duì)在決定下一步行動(dòng)之前都必須等待對(duì)方。

“我看到，在安全事件中，高管最難處理的事情之一就是需要有耐心。當(dāng)我們處理安全事件時(shí)，有很多未知因素，需要進(jìn)行大量分析。有時(shí)，高管要做的就是坐下來(lái)等待下一個(gè)更新，”利茲解釋道。

Linux基金會(huì)的羅賓遜也是桌面演練的支持者。他表示，他的企業(yè)為其開(kāi)源上游項(xiàng)目運(yùn)行模擬，以便人們了解在危機(jī)中他們需要做什么?！斑@有助于培養(yǎng)一些肌肉記憶，所以當(dāng)紅色電話響起時(shí)，他們至少對(duì)這些術(shù)語(yǔ)和需要做什么有所了解，”他說(shuō)道。

在風(fēng)暴面前保持冷靜

在網(wǎng)絡(luò)攻擊面前保持冷靜可能具有挑戰(zhàn)性，但卓越的表現(xiàn)需要做到這一點(diǎn)，New Relic的古鐵雷斯說(shuō)道?！坝泻芏喾磻?yīng)。在事件發(fā)生時(shí)，會(huì)有很多強(qiáng)烈的感受和情緒，”古鐵雷斯說(shuō)道。

古鐵雷斯表示，雖然他們有時(shí)未能保持鎮(zhèn)定，但在網(wǎng)絡(luò)壓力下，他們總體上保持了冷靜，并為此感到自豪。作為在危機(jī)中受到考驗(yàn)的領(lǐng)導(dǎo)者，展現(xiàn)出鎮(zhèn)定很重要，因?yàn)檫@會(huì)影響他人的感受、行為和做法。

“這不僅對(duì)你的團(tuán)隊(duì)很有幫助，對(duì)公司的高級(jí)領(lǐng)導(dǎo)、高層管理人員、其他利益相關(guān)者、董事會(huì)，有時(shí)甚至對(duì)你的客戶都很有幫助，”古鐵雷斯說(shuō)道。

eSentire的克勞利表示，另一個(gè)陷阱是不要過(guò)于陷入技術(shù)細(xì)節(jié)?！癈ISO在事件響應(yīng)期間不應(yīng)該是親自動(dòng)手敲鍵盤的人。這些責(zé)任應(yīng)該由響應(yīng)團(tuán)隊(duì)中的其他人承擔(dān)，”他說(shuō)道。

克勞利用軍事領(lǐng)袖來(lái)類比CISO，軍事領(lǐng)袖應(yīng)該觀察戰(zhàn)場(chǎng)?！癈ISO需要知道他們的角色是成為那個(gè)鎮(zhèn)定自若的負(fù)責(zé)人。他們需要專注于領(lǐng)導(dǎo)團(tuán)隊(duì)、制定策略、尋求外部支持、清除障礙、回答問(wèn)題以及溝通，”他說(shuō)道，并強(qiáng)調(diào)網(wǎng)絡(luò)安全事件有其“戰(zhàn)爭(zhēng)迷霧”。

信任你的團(tuán)隊(duì)——并向外部尋求幫助

當(dāng)危機(jī)發(fā)生時(shí)，CISO往往會(huì)陷入責(zé)任陷阱，試圖獨(dú)自承擔(dān)太多工作。

很多時(shí)候，CISO可能會(huì)感受到他們必須處理所有事情的壓力。“哦，這就是我被雇傭的原因。我需要是那個(gè)解決問(wèn)題的人，”克勞利(Crowley)說(shuō)道。

盡管每家公司在網(wǎng)絡(luò)安全資源配置方面都有所不同，但很少有企業(yè)能夠完全內(nèi)部處理安全事件。CISO必須足夠謙遜，知道何時(shí)尋求外部幫助。

“回想起來(lái)，如果你正在遭受網(wǎng)絡(luò)攻擊，如果你為了省錢而沒(méi)有聘請(qǐng)外部顧問(wèn)或進(jìn)行外部事件響應(yīng)，沒(méi)有人會(huì)關(guān)心這一點(diǎn)，而這本可以拯救你的公司，”他表示。

在公司內(nèi)部建立社會(huì)資本

趨勢(shì)科技的恩奎(Ngui)表示，在網(wǎng)絡(luò)攻擊期間與員工溝通時(shí)，需要使用適合當(dāng)前聽(tīng)眾的語(yǔ)言。據(jù)恩奎說(shuō)，CISO和技術(shù)領(lǐng)導(dǎo)者經(jīng)常使用企業(yè)內(nèi)其他人員難以理解的術(shù)語(yǔ)。安全領(lǐng)導(dǎo)者反而應(yīng)該開(kāi)發(fā)一個(gè)針對(duì)普通人的共同詞匯，以確保員工了解情況和他們?cè)趹?yīng)對(duì)情況中所扮演的角色。

“技術(shù)團(tuán)隊(duì)必須培養(yǎng)將復(fù)雜安全事件轉(zhuǎn)化為清晰、可行的業(yè)務(wù)影響的能力。這種能力使高管和其他利益相關(guān)者能夠充分了解情況并做出明智的決策，”他表示。

當(dāng)你已經(jīng)與利益相關(guān)者建立了融洽關(guān)系時(shí)，與他們互動(dòng)會(huì)更容易。New Relic的古鐵雷斯(Gutierrez)說(shuō)，這一點(diǎn)至關(guān)重要，因?yàn)榫W(wǎng)絡(luò)安全團(tuán)隊(duì)將是事件響應(yīng)方面的專家，但可能缺乏其他關(guān)鍵領(lǐng)域的知識(shí)?！八麄儾⒉豢偸菍?duì)公司基礎(chǔ)設(shè)施、產(chǎn)品或服務(wù)的特定部分很擅長(zhǎng)。而這就需要我們公司其他部門同事的技能和知識(shí)來(lái)協(xié)助，”古鐵雷斯說(shuō)。

為了彌補(bǔ)這一差距，古鐵雷斯建議與公司內(nèi)的其他同事(如營(yíng)銷、銷售和財(cái)務(wù)部門)建立關(guān)系。在New Relic，事件響應(yīng)團(tuán)隊(duì)在很大程度上依賴于其與工程部門的關(guān)系，這有助于進(jìn)行數(shù)據(jù)分析，以便在發(fā)生事件時(shí)了解問(wèn)題所在。

“有了預(yù)先建立的關(guān)系，就很容易把事情做好。沒(méi)有質(zhì)疑。他們很理解。幾乎沒(méi)有什么反對(duì)意見(jiàn)。讓人們騰出時(shí)間和投入專業(yè)技能變得很容易，”古鐵雷斯說(shuō)道。

eSentire的克勞利建議CISO通過(guò)特定渠道與不同的利益相關(guān)者建立融洽關(guān)系，比如向董事會(huì)提供半年一次的安全更新?？藙诶J(rèn)為，這些聯(lián)系能夠建立善意和至關(guān)重要的理解，這將在很大程度上確保在網(wǎng)絡(luò)安全事件期間獲得協(xié)作和支持。

“當(dāng)危機(jī)發(fā)生時(shí)，他們認(rèn)識(shí)你，你也認(rèn)識(shí)他們。你知道與他們溝通的最佳方式，以及他們會(huì)提出的問(wèn)題，而且你已經(jīng)確立了自己是負(fù)責(zé)人，”他表示?！八麄儾槐?fù)?dān)心。”

通過(guò)行動(dòng)承擔(dān)責(zé)任

IDC Asia高級(jí)研究經(jīng)理薩克?！じ窳_弗(Sakshi Grover)建議，企業(yè)在面臨網(wǎng)絡(luò)攻擊時(shí)應(yīng)避免互相指責(zé)。相反，CISO應(yīng)該主動(dòng)承擔(dān)責(zé)任，并繼續(xù)領(lǐng)導(dǎo)應(yīng)對(duì)工作?！叭藗兺ǔＯＭ吹揭晃桓邔尤藛T出面承擔(dān)責(zé)任，”她說(shuō)。

SoftServe的CISO阿德里安·帕夫利凱維奇( Adriyan Pavlykevych)也持有這一觀點(diǎn)，并舉例說(shuō)明。在一起針對(duì)一家軟件開(kāi)發(fā)和咨詢公司的勒索軟件攻擊事件中，一名員工在一次成功的網(wǎng)絡(luò)釣魚(yú)攻擊后，攻擊者橫向移動(dòng)，破解了管理賬戶，然后加密了虛擬機(jī)。

由于這次攻擊影響了客戶，帕夫利凱維奇立即與他們的信息安全團(tuán)隊(duì)會(huì)面，持續(xù)通報(bào)進(jìn)展情況、事件調(diào)查和恢復(fù)工作，“以確保透明度和責(zé)任感”，這是SoftServe網(wǎng)絡(luò)安全理念的重要組成部分，帕夫利凱維奇說(shuō)道，并指出這種方法加強(qiáng)了與利益相關(guān)者的信任。

勒索軟件攻擊事件發(fā)生后，SoftServe對(duì)其安全控制進(jìn)行了審查和審計(jì)，這最終使其在個(gè)人和客戶數(shù)據(jù)存儲(chǔ)與共享方面以及安全和隱私意識(shí)研討會(huì)方面，都采取了改進(jìn)方法。解決導(dǎo)致漏洞出現(xiàn)的根本問(wèn)題并防止其升級(jí)至關(guān)重要，但不能通過(guò)指責(zé)來(lái)實(shí)現(xiàn)。

IDC的格羅弗說(shuō)，盡管CISO做出了最大努力，但網(wǎng)絡(luò)安全事件仍會(huì)對(duì)聲譽(yù)造成損害。網(wǎng)絡(luò)攻擊后重建信任具有挑戰(zhàn)性，但至關(guān)重要。

“如果你在所有方面都采取正確的步驟，你就可以扭轉(zhuǎn)品牌形象，”格羅弗說(shuō)道，并補(bǔ)充說(shuō)，CISO可能需要考慮公關(guān)機(jī)構(gòu)或咨詢公司的專業(yè)意見(jiàn)來(lái)協(xié)助完成這項(xiàng)任務(wù)。

CISO還應(yīng)特別考慮與董事會(huì)的溝通，這可能會(huì)影響對(duì)可能減少未來(lái)攻擊暴露的產(chǎn)品或服務(wù)的高級(jí)別網(wǎng)絡(luò)安全投資，她說(shuō)。

“去向董事會(huì)匯報(bào)。你清楚地說(shuō)明：漏洞的原因是什么?你吸取了什么教訓(xùn)?你承擔(dān)責(zé)任，然后你再慢慢恢復(fù)你的可信度?！彼f(shuō)。