當(dāng)網(wǎng)絡(luò)安全事件發(fā)生時(shí)，這不僅僅是一個(gè)孤立的事件。對(duì)于許多CISO來說，它重塑了他們對(duì)韌性、風(fēng)險(xiǎn)管理乃至工作中個(gè)人福祉的看法。

幾位安全領(lǐng)袖反思了從實(shí)際事件中汲取的教訓(xùn)，并強(qiáng)調(diào)了與社區(qū)分享這些教訓(xùn)的重要性，以加強(qiáng)集體韌性、消除對(duì)數(shù)據(jù)泄露的偏見，并幫助那些可能自己面臨類似事件的人。

1. 分享學(xué)習(xí)成果，提升整體安全水平

處于風(fēng)暴中心的CISO應(yīng)預(yù)料到媒體關(guān)注以及來自各方對(duì)事件的評(píng)論，這些評(píng)論可能帶有各種不同的動(dòng)機(jī)。

“你很快就會(huì)受到全世界的關(guān)注。”Solarwinds的CISO Tim Brown說。

而且并非所有關(guān)注都是善意的，因?yàn)橐恍┰u(píng)論者會(huì)利用事件來達(dá)到自己的目的，無論是提高自己的知名度、貶低其他企業(yè)，還是僅僅為了上新聞。

另一方面，一些事件為幫助整個(gè)行業(yè)提供了機(jī)會(huì)，因?yàn)榘▋?yōu)秀研究人員在內(nèi)的各種人都在關(guān)注，Brown說。

雖然分享內(nèi)容可能受到法律、公司和監(jiān)管方面的考慮，但在技術(shù)策略方面，很可能有值得分享的東西。

Brown認(rèn)為，從數(shù)據(jù)泄露中總能汲取重要教訓(xùn)，無論是那些最終被編入教科書和大學(xué)課程的高知名度事件，還是通過會(huì)議小組和其他活動(dòng)在同行之間分享的經(jīng)驗(yàn)。“總是要從事件中尋找積極的一面，你如何幫助行業(yè)前進(jìn)?你能幫助CISO社區(qū)嗎?”他說。

CrashPlan的CISO Todd Thorsen也同意，參與事件會(huì)帶來戰(zhàn)術(shù)上的教訓(xùn)。有時(shí)，事件就是“不應(yīng)該發(fā)生什么”的完美測(cè)試案例，Thorsen在2013年Target數(shù)據(jù)泄露事件期間是網(wǎng)絡(luò)安全團(tuán)隊(duì)的一員。

他的方法是進(jìn)行無責(zé)備的復(fù)盤，以了解根本原因，創(chuàng)造一個(gè)開放討論的安全環(huán)境，并識(shí)別可以改進(jìn)的地方。目標(biāo)是分析流程，而無需擔(dān)心后果。他鼓勵(lì)安全人員與社區(qū)分享學(xué)習(xí)成果，因?yàn)椤白罱K，大家都在打同樣的仗”。

分享見解也是在更廣泛的社區(qū)中建立支持網(wǎng)絡(luò)并回饋社區(qū)的重要方式，因?yàn)榭傆幸惶炷憧赡苄枰蛲星笾！澳阌肋h(yuǎn)不知道什么時(shí)候可能需要從社區(qū)中‘提取’幫助。”Thorsen說。

2. 你需要從防御轉(zhuǎn)向進(jìn)攻

事件發(fā)生后，CISO的角色和職責(zé)將不再相同。

“12月11日我的工作和12月12日及之后的工作截然不同。”Brown說。

事件發(fā)生后，一些企業(yè)需要進(jìn)行如此程度的變革，以至于他們需要一個(gè)具有不同方法的新CISO。根據(jù)Brown的說法，CISO并不總是因?yàn)闊o能或人們認(rèn)為是他們的錯(cuò)而被解雇，這很大程度上取決于具體情況以及CISO的適應(yīng)能力。

“如果你想成為事件后的CISO，那么你真的需要具備成為那樣的CISO所需的技能，而這些技能與你前一天所需的技能大不相同。”Brown說。

許多經(jīng)歷過事件的CISO將改變他們的方法和心態(tài)，以親身經(jīng)歷攻擊。“你將培養(yǎng)一種攻擊性的視角，想要比對(duì)手更好地了解你的攻擊面，并相應(yīng)地分配資源以防范風(fēng)險(xiǎn)。”AppOmni的安全和IT副總裁Cory Michel說，他曾參與過幾個(gè)事件響應(yīng)團(tuán)隊(duì)。

在實(shí)踐中，從防御轉(zhuǎn)向進(jìn)攻意味著為不同類型的攻擊做好準(zhǔn)備，無論是平臺(tái)濫用、漏洞利用還是高級(jí)持續(xù)性威脅(APT)，并量身定制響應(yīng)措施。

Michel將紅隊(duì)演練和實(shí)戰(zhàn)化演練納入進(jìn)攻策略，這也意味著定期回顧、重新開始，并挑戰(zhàn)當(dāng)前的安全方法，以尋找差距和弱點(diǎn)。在職的CISO“可能會(huì)因?yàn)檫^于沉浸在細(xì)節(jié)中而看不到當(dāng)前的情況。”他告訴記者。

3. 你將制定處理事件的戰(zhàn)術(shù)手冊(cè)

事件提醒我們，需要有一個(gè)經(jīng)過充分演練的響應(yīng)計(jì)劃，它應(yīng)指定一名強(qiáng)有力的內(nèi)部協(xié)調(diào)員，并有權(quán)利用外部專業(yè)知識(shí)，如泄露教練和法律顧問。

“你需要核心人員與媒體溝通、與保險(xiǎn)公司接觸、在無法恢復(fù)數(shù)據(jù)時(shí)開始調(diào)查，并知道如何與攻擊者就贖金問題進(jìn)行溝通。”XYPRO的CISO Steve Tcherchian說。

Tcherchian發(fā)現(xiàn)，如果沒有明確的角色和職責(zé)，恐慌會(huì)很快蔓延。“一開始就是‘我們?cè)撛趺崔k?誰負(fù)責(zé)?我們聯(lián)系誰?我們涉及誰?我們不涉及誰?’”Tcherchian說，他曾在勒索軟件攻擊后擔(dān)任顧問。

手冊(cè)需要對(duì)事件期間和之后的溝通提供明確指導(dǎo)，因?yàn)檫@可能會(huì)在處理危機(jī)時(shí)被忽視，但最終，它可能會(huì)定義一個(gè)眾所周知的數(shù)據(jù)泄露的持久影響。

“危機(jī)期間，每個(gè)字都很重要，”Brown說，“你發(fā)布的內(nèi)容、你說的話、你怎么說，所以，為此做好準(zhǔn)備非常重要。”

手冊(cè)還需要概述事件的終點(diǎn)，以便做出關(guān)于何時(shí)停止調(diào)查的決定。“管理網(wǎng)絡(luò)安全事件最困難的部分之一就是知道何時(shí)停止調(diào)查。”IANS Research的教師和Bedrock Security的CISO George Gerchow說。

如果有大型團(tuán)隊(duì)在調(diào)查事件，他們很可能會(huì)開始發(fā)現(xiàn)其他事情，但如果他們陷入了無休止的調(diào)查中，就會(huì)分散注意力并延遲對(duì)當(dāng)前問題的處理。

CISO需要接受一些門可能仍然開著的事實(shí)，但如果它們是小風(fēng)險(xiǎn)，重要的是不要忽視主要事件。“關(guān)鍵是要專注于‘已知已知’，保持透明，并將事件結(jié)束，主要目標(biāo)是確定數(shù)據(jù)是否被泄露。”Gerchow說，他曾在SumoLogic和MongoDB經(jīng)歷過事件。

4. 忽視強(qiáng)大、受監(jiān)控的備份將讓你付出高昂代價(jià)

如果發(fā)生危及數(shù)據(jù)的事件，擁有未受保護(hù)或不充分的備份可能是一個(gè)代價(jià)高昂的疏忽。在某些情況下，CISO已經(jīng)付出了慘痛的教訓(xùn)，永遠(yuǎn)不要假設(shè)備份系統(tǒng)是安全且完全可用的。

“現(xiàn)在很多勒索軟件攻擊，他們首先會(huì)攻擊備份，然后再做其他事情，他們會(huì)攻擊你的恢復(fù)位置、恢復(fù)點(diǎn)、備份介質(zhì)，他們會(huì)確保讓你無法恢復(fù)數(shù)據(jù)，從而避免支付贖金。”Tcherchian說。

即使決定支付贖金，也沒有保證企業(yè)會(huì)得到數(shù)據(jù)，這強(qiáng)調(diào)了確保備份隔離且正常工作的必要性。

Tcherchian建議定期測(cè)試和驗(yàn)證備份系統(tǒng)是否正常且干凈。“你的網(wǎng)絡(luò)上可能存在漏洞或惡意負(fù)載，它可能在那里潛伏了30天、60天，這意味著它一直在被復(fù)制到你的備份中，”他說，“如果你認(rèn)為自己受到了攻擊，你會(huì)從備份中恢復(fù)，但你所做的只是將那個(gè)病毒或惡意軟件重新引入到你的環(huán)境中。”

5. 設(shè)定更高的安全標(biāo)準(zhǔn)

事件發(fā)生后，你可能會(huì)以不同的方式看待你的安全態(tài)勢(shì)，這包括不斷努力改進(jìn)安全流程，目標(biāo)是超越僅僅合規(guī)。準(zhǔn)備好重新發(fā)明和重建系統(tǒng)以增強(qiáng)韌性，實(shí)施多層安全措施，考慮更高水平的合規(guī)性，進(jìn)行更多的桌面演練、安全審計(jì)、紅隊(duì)演練、端點(diǎn)保護(hù)等。

“這些中的每一個(gè)都會(huì)讓我們更接近一個(gè)可以展示的典范模式，即‘是的，這發(fā)生在我們身上，但現(xiàn)在我們正在做可以變得更好的事情’，并分享這些經(jīng)驗(yàn)，”Brown說。“我們的方法是，如何實(shí)際地讓事情對(duì)抗感染或另一個(gè)有針對(duì)性的泄露變得更加困難。”

經(jīng)歷過事件的CISO也可能會(huì)改變他們對(duì)桌面演練的方法，在Brown的情況下，它們現(xiàn)在更頻繁地發(fā)生，并且涉及更嚴(yán)重的潛在事件，因?yàn)楫?dāng)你經(jīng)歷過事件時(shí)，你就會(huì)知道這是可能的。

“一旦你經(jīng)歷過，你的語氣就會(huì)完全不同。而且，在成為現(xiàn)實(shí)之前，它只是理論的想法，已經(jīng)深深地印在我們這些經(jīng)歷過的人的腦海中。”他說。

6. 警惕“閃耀新物”綜合癥

Michel的一個(gè)收獲是避免被酷炫、有趣的新工具分散注意力，但在一個(gè)充滿大肆宣傳和令人困惑術(shù)語的行業(yè)里，這可能很難做到。“整個(gè)行業(yè)都有‘閃耀新物’綜合癥。”他說。

相反，應(yīng)專注于安全措施，如漏洞管理和補(bǔ)丁管理、強(qiáng)大的檢測(cè)和響應(yīng)程序、強(qiáng)認(rèn)證方法(如零信任和密碼無認(rèn)證)、員工教育和培訓(xùn)，以及實(shí)戰(zhàn)化事件響應(yīng)演練以測(cè)試準(zhǔn)備情況。最重要的是，要對(duì)夸大其詞的宣傳保持警惕。

“每個(gè)人都討厭進(jìn)行漏洞管理，但這是你可以做的最重要的事情之一，以了解你的攻擊面、知道漏洞在哪里，并將它們消除到你可以對(duì)風(fēng)險(xiǎn)感到舒適的程度。”他說。

7. 事件后資金可能會(huì)枯竭

事件有一種將注意力集中在網(wǎng)絡(luò)安全上的方式，突然間，董事會(huì)和執(zhí)行領(lǐng)導(dǎo)層都想談?wù)摼W(wǎng)絡(luò)安全、聽取風(fēng)險(xiǎn)報(bào)告，并且有錢可花，以便讓人們能夠安心入睡。

對(duì)于一直在努力爭(zhēng)取更多資金的CISO來說，這可能是悅耳的音樂，但關(guān)注——以及資金——可能是短暫的。

“當(dāng)你一直在說‘這些是風(fēng)險(xiǎn)’，然后突然間你發(fā)現(xiàn)自己處于那個(gè)位置，那么執(zhí)行人員、董事會(huì)、所有人，在一段時(shí)間內(nèi)都只想談?wù)摼W(wǎng)絡(luò)安全，但隨后這種關(guān)注就開始逐漸減弱。”Gerchow說。

隨著預(yù)算的增加，期望也隨之提高，問題是，進(jìn)行盡職調(diào)查以引入合適的工具和技能集需要時(shí)間，但如果預(yù)算在一段時(shí)間內(nèi)沒有被用完，一旦事件后的強(qiáng)烈關(guān)注消退，執(zhí)行人員可能會(huì)將其重新分配到其他領(lǐng)域。

這使得CISO處于一個(gè)困難的位置，即不得不向董事會(huì)和其他執(zhí)行人員解釋資金損失意味著什么，而許多人可能更愿意關(guān)注指標(biāo)和改進(jìn)情況。“CISO可能會(huì)談?wù)擄L(fēng)險(xiǎn)和針對(duì)事件所取得的進(jìn)展，但不會(huì)談?wù)擃A(yù)算和職位可能如何被削減。”他說。

8. 你必須時(shí)刻照顧好自己

如果有一個(gè)對(duì)CISO來說共同且重要的教訓(xùn)，那就是你必須在整個(gè)職業(yè)生涯中時(shí)刻照顧好自己，無論是從法律、專業(yè)還是心理上。

隨著倦怠、高壓力和不斷增加的責(zé)任，許多CISO都感受到了這個(gè)角色的壓力。事件增加了這些壓力源，但隨著攻擊頻率的增加，它們正變得越來越普遍。

“不幸的是，事件很普遍;這是工作的一部分。”Thorsen說。

Brown鼓勵(lì)CISO認(rèn)識(shí)到高壓力角色對(duì)健康的潛在影響，并建立正確的支持系統(tǒng)，這在事件發(fā)生時(shí)將是至關(guān)重要的，并且不要低估處于風(fēng)暴中心對(duì)你應(yīng)對(duì)機(jī)制的壓力有多大。

“其中一個(gè)重要的信息是，盡管你可能認(rèn)為自己正在管理壓力，但你可能并沒有做得很好，”Brown說，“CISO的工作已經(jīng)足夠艱難了，所以人們必須找到一個(gè)發(fā)泄口，但在事件發(fā)生期間，情況會(huì)變得更糟。承認(rèn)這一點(diǎn)，并為自己制定一個(gè)個(gè)人計(jì)劃，因?yàn)橐环N方法并不適合所有人來應(yīng)對(duì)這種情況。”