七步建立有效的安全事件響應計劃
咨詢公司Forreste曾經把2011和2012年稱作“黑客的黃金年代”,而今,2013年剛過去的一個季度顯示這個黃金年代毫無疑問的還在繼續。在今年前三個月里,Apple,Bit9,Facebook,Microsoft,《紐約時報》,《華爾街日報》,以及Twitter都把安全違規問題變成了頭等關注大事。
如今,安全威脅變得更加不容易控制,攻擊技術變得越來越成熟和復雜。盡管如此,安全事件響應并沒有獲得應有的重視。
安全事件響應計劃應該成為企業內部一項戰略活動。然而即使一個企業在遭遇了安全違規之后,安全事件響應計劃仍然沒有獲得應有的重視。根據我們最新的福雷斯特安全調查,2011年和2012年,當企業遭遇安全違規之后,對于安全事件響應計劃的投資僅僅增加5個百分點,從18%上升到23%。一個令人震驚的趨勢是,21%的企業表示一次安全違規事件并未導致企業進行任何變化。
在編制我們的安全架構與運營一書時,我們確定一個高效的安全事件響應計劃應該具備七條原則。采用以下原則,你將能更好的應對威脅形勢并能從安全事件中實現更有效的恢復。
1. 自我意識
讓安全事件響應團隊意識到自身的能力和約束是關鍵。成功取決于對計劃準備的客觀認識水平。當尋求自我意識,安全事件響應團隊必須避免高估自己對某個威脅的響應能力,并清楚在哪里可以獲得幫助。
2. 認清技術的優點和局限性
在諸如RSA大會之類的行業活動展會現場,到處都充斥著一個普遍的市場信息:下一個偉大的技術將會解決你所有面臨的問題。但高級威脅防護不等于一個產品,也沒有一個孤立的解決方案可以實現。盡管如此,企業技術投資的比重還是高于安全事件響應計劃的投資。根據我們福雷斯特安全調查,當一個安全違規事件發生之后,25%的企業增加了用于購買安全違規預防技術的費用,然而只有23%的企業增加了用于安全事件響應計劃自身的費用。
3. 建立符合實際的報告和衡量機制
許多企業使用錯誤的度量機制來測量他們安全事件響應計劃的性能。偵查掃描活動不等于安全事件,就像防病毒(AV)定義更新無法測量安全事件響應能力的成功與否一樣。有效的安全事件響應團隊使用更有意義的業務指標。一旦你已經建立了一個通用的安全事件定義,你就需要測量檢測它所用的時間、抑制它擴散所用的時間和補救所用的時間。攻擊者進入你的網絡后你要花多久時間才能檢測到它?一旦檢測出來,你要花多久時間才能抑制住攻擊者?你要花多久時間才能完成對該安全事件的補救工作?這些測量都是以結果為導向輸出的度量機制。當企業提升了員工的技能,部署了新的安全控制措施,這些測量數字就會有所改善。
4. 讓計劃可擴展
當處理全球性公司的安全事件時,安全事件響應的可擴展性就變成非常關鍵的因素。很多人會對世界上最大的公司作了錯誤的假設,僅僅因為它們擁有最成熟的技術和能力。事實上,全球性公司的規模和自身復雜性導致安全事件響應特別具有挑戰性。正如一位咨詢公司的安全事件響應總監所說:“個頭越大,摔得越重”。流程和監督對于確保安全事件響應計劃的可擴展性來說至關重要。
5.內外協作
安全事件響應團隊不是孤立的在工作;他們是一個更大社區的一部分。鑒于企業面對的絕大多數威脅形勢和操作上的限制,這些團隊必須工作在一個更大的社區內才能成功。成功的團隊能建立良好的IT關系,認識到顧問的重要性,并能在可信合作伙伴之間共享威脅信息。
6.鼓勵高管參與
在過去,安全專家們在為博得業務領導的關注而努力奮斗。但過度聚焦在戰術安全度量指標上,不能與業務需求保持一致,以及“不存在的部門”的名聲,已經遏制了業務領導對安全的興趣。然而根據福雷斯特調查顯示,最近幾年發生的高調的網絡攻擊事件已經提升了70%本次調查受訪企業的高管的安全意識。業務領袖們正從《華爾街周刊》和《金融時報》的頭版閱讀著這些網絡攻擊的文章。現在是時候利用這個優勢去鼓勵那些已經準備好聽你的見解的高管門參與其中。
7.自主運作
安全事件響應團隊的工作就是打擊攻擊者,他們必須感覺到有權作出關鍵決定,而不是必需花時間去尋求對他們行動的審批。當數據正從你的網絡向外泄漏,損失是以秒來計算的,你必須建立一個啟用自主權的框架。為了啟動自主權,安全事件響應團隊必須制定清晰的交戰規則定義,避免出現微觀管理和向上操縱指揮系統現象。最后,你必須確保高層管理層支持安全事件響應分析師們做出的決定——哪怕這個響應決定最后被證明是錯的。錯誤會發生,但一旦他們這樣做了,安全領導必須支持這些前線的分析師們的決定。安全事件響應參與者們必須能感覺到管理層將會支持他們的決定,當做了錯誤的決定,安全事件響應團隊不會因此成為替罪羊。
你的客戶(和大多數公眾)并不期望你的企業具有防彈能力;大家越來越同情那些被資金充裕、技術高超、有組織的犯罪分子侵害的企業。對于一次安全違規事件的態度,已經從指責的紅字轉變成鼓勵勇氣的紅勛章。一個協調一致、行動利落的安全響應計劃能優先確保對客戶的透明溝通和保護客戶身份和財務信息,這將會提高你企業的品牌。
