面臨網絡安全危機時需要思考的20個問題
我們可以從一次次網絡安全危機中學到很多非常重要的教訓,即便是那些并非實際發生的,而是比現實更具虛構色彩的危機亦是如此。
我們經常會聽到這樣的說法:直到社會變成一種危機,它們才會去處理問題。不幸的是,信息安全領域通常就是這種情況,但這種情況本來是可以避免的。作為安全從業者,我們無法解決整個社會的弊病。但是,我們可以通過學習如何區分真正的安全危機與編造的安全危機,并從經歷的每次危機中學習經驗,最終實現完全避開這些危機的目的。
本著這種精神,我為大家總結了在面臨真實的網絡安全危機時需要思考的20個問題:
1. 實際面臨的威脅是什么?無論在特定情況下你聽到的信息如何,你都需要去了解自己正在處理的實際威脅究竟是什么!猜想和夸大其詞的炒作都無濟于事。相反地,你需要客觀地了解威脅會對組織帶來的風險。
2. 組織面對威脅的暴露程度如何?一旦了解到了真正的威脅,您就可以評估自身組織面對該威脅的暴露程度。這一步是非常有必要的,因為它可以讓貴組織充分了解情況的嚴重性和危險性。
3. 這種威脅對組織而言有什么風險?一旦了解了組織面對威脅的暴露程度,就可以評估組織所面臨的風險問題。通過這一步驟,你才能真正開始了解認真考慮威脅以及積極做出響應的重要意義。
4. 圍繞這種威脅的炒作是否合理?將現實與虛構分開十分重要。如果事實支持圍繞特定威脅進行一定程度的炒作渲染,那么這種情況就是允許存在的。然而,如果事實與編造的故事間大相徑庭,那么這時候就需要擊碎這個虛構的故事。
5. 圍繞威脅的炒作是否會轉化為組織的真正風險?如果該風險是真實存在的,那么就是時候做出適當的響應了,這包括保持與正確的利益相關者之間的有效溝通。
6. 我們什么時候第一次意識到了這個問題?是剛剛意識到還是已經意識到它有一段時間了?這種差異是非常關鍵的。如果您知道組織面臨重大風險并且沒有對其采取任何響應行動或適當的升級,這是一個相當重大的安全失誤。
7. 為什么危機不早不晚偏偏這時候出現?如果存在原因,可以將其作為持續流程改進的一部分來解決。如果沒有理由,了解原因很重要。
8. 我們可以事先避免這個問題嗎?在許多情況下,如果更積極地進行風險評估,或者如果攻擊面顯著減少,就可以避免該問題。當然并非所有情況下都是如此,但是知道提出這個問題是一件好事。
9. 我們為什么沒能成功避免這個問題?一旦了解了如何避免問題,就需要問為什么最終沒能實現。
10. 該問題是否已經對組織造成了任何破壞?當然,這是一個典型問題。如果沒有發生損害,您需要及時修復風險,從錯誤中吸取教訓,并且心存感激。如果已經發生了損害,您仍然需要及時修復風險,從錯誤中吸取教訓,當然還要進行事件響應。
11. 修復問題需要采取哪些步驟?如果您需要響應和修復,那么第一步就是要確定正確執行該操作所需的步驟。花些時間梳理下問題,并確保采取的措施可以覆蓋所有的基礎,如此才能在獲得更高質量結果的同時節省下時間。
12. 從該問題中吸取了哪些教訓?在處理完任何問題后,都需要從該問題中提取和學習部分經驗教訓。此舉有助于安全組織獲得改進并最終走向成熟。
13. 我們能否應用這些教訓來避免將來發生類似的情況?很顯然,危機模式是最后的手段。如果您可以應用學習到的經驗教訓,你將能夠避免再犯同樣的錯誤。
14. 我們可能遇到哪些其他潛在危機?“后危機” (Post-crisis) 時期是跳出思維盒子并做一些分析的好時機。了解您可能會遇到的其他潛在危機,有助于提前緩解這些風險并改善組織的安全狀況。
15. 還可以做些什么來避免未來可能發生的問題?在危機過后,您可能已經完成了修復,加強了控制措施或是改進了監控方式,但是您還能做些什么來避免未來發生相同或類似的情況呢?
16. 我們如何確保自身對問題的補救措施是有效的?您的計劃可能只是 “紙上談兵”,所以為了讓補救措施變得更有效率,您需要映射該問題所影響的技術和應用程序,然后對其進行全方位的檢查,以確定預設的補救措施是否能夠實現您的預期目標。
17. 我們是否已經確認補救措施有效?如果您已經完成了修復,是否也已經對這些修復措施進行了測試以確保其有效性?如果沒有,未來可能仍然會發生類似的問題。
18. 我們已經采取了哪些步驟來避免將來發生類似的情況?您需要確保無論自身已經做了哪些補救措施,無論從錯誤中學到了哪些教訓,您所做的任何改進都必須要是持久的,而不是一次性修復。
19. 我們是否已經準確有效地向管理層和高層傳達了行動內容?無論您是否經歷了真實的危機事件,是否妥善地處理了該事件,以及是否對安全組織進行了改進,您的行為都需要記錄并傳達給企業管理層和高管們。此舉有助于建立組織對安全團隊能力的信心,并避免在下一個問題出現時引發過多 “余波”。
20. 我們是否已經采取了措施避免未來可能發生的損害?最后,一切都將取決于您是否采取了措施來避免或盡量減少未來可能發生的損害。這可能是最難回答的一個問題,但它同時可能也是最重要的一個問題。
