当网络安全事件发生时,这不仅仅是一个孤立的事件。对于许多CISO来说,它重塑了他们对韧性、风险管理乃至工作中个人福祉的看法。
几位安全领袖反思了从实际事件中汲取的教训,并强调了与社区分享这些教训的重要性,以加强集体韧性、消除对数据泄露的偏见,并帮助那些可能自己面临类似事件的人。
1. 分享学习成果,提升整体安全水平
处于风暴中心的CISO应预料到媒体关注以及来自各方对事件的评论,这些评论可能带有各种不同的动机。
“你很快就会受到全世界的关注。”Solarwinds的CISO Tim Brown说。
而且并非所有关注都是善意的,因为一些评论者会利用事件来达到自己的目的,无论是提高自己的知名度、贬低其他企业,还是仅仅为了上新闻。
另一方面,一些事件为帮助整个行业提供了机会,因为包括优秀研究人员在内的各种人都在关注,Brown说。
虽然分享内容可能受到法律、公司和监管方面的考虑,但在技术策略方面,很可能有值得分享的东西。
Brown认为,从数据泄露中总能汲取重要教训,无论是那些最终被编入教科书和大学课程的高知名度事件,还是通过会议小组和其他活动在同行之间分享的经验。“总是要从事件中寻找积极的一面,你如何帮助行业前进?你能帮助CISO社区吗?”他说。
CrashPlan的CISO Todd Thorsen也同意,参与事件会带来战术上的教训。有时,事件就是“不应该发生什么”的完美测试案例,Thorsen在2013年Target数据泄露事件期间是网络安全团队的一员。
他的方法是进行无责备的复盘,以了解根本原因,创造一个开放讨论的安全环境,并识别可以改进的地方。目标是分析流程,而无需担心后果。他鼓励安全人员与社区分享学习成果,因为“最终,大家都在打同样的仗”。
分享见解也是在更广泛的社区中建立支持网络并回馈社区的重要方式,因为总有一天你可能需要向同行求助。“你永远不知道什么时候可能需要从社区中‘提取’帮助。”Thorsen说。
2. 你需要从防御转向进攻
事件发生后,CISO的角色和职责将不再相同。
“12月11日我的工作和12月12日及之后的工作截然不同。”Brown说。
事件发生后,一些企业需要进行如此程度的变革,以至于他们需要一个具有不同方法的新CISO。根据Brown的说法,CISO并不总是因为无能或人们认为是他们的错而被解雇,这很大程度上取决于具体情况以及CISO的适应能力。
“如果你想成为事件后的CISO,那么你真的需要具备成为那样的CISO所需的技能,而这些技能与你前一天所需的技能大不相同。”Brown说。
许多经历过事件的CISO将改变他们的方法和心态,以亲身经历攻击。“你将培养一种攻击性的视角,想要比对手更好地了解你的攻击面,并相应地分配资源以防范风险。”AppOmni的安全和IT副总裁Cory Michel说,他曾参与过几个事件响应团队。
在实践中,从防御转向进攻意味着为不同类型的攻击做好准备,无论是平台滥用、漏洞利用还是高级持续性威胁(APT),并量身定制响应措施。
Michel将红队演练和实战化演练纳入进攻策略,这也意味着定期回顾、重新开始,并挑战当前的安全方法,以寻找差距和弱点。在职的CISO“可能会因为过于沉浸在细节中而看不到当前的情况。”他告诉记者。
3. 你将制定处理事件的战术手册
事件提醒我们,需要有一个经过充分演练的响应计划,它应指定一名强有力的内部协调员,并有权利用外部专业知识,如泄露教练和法律顾问。
“你需要核心人员与媒体沟通、与保险公司接触、在无法恢复数据时开始调查,并知道如何与攻击者就赎金问题进行沟通。”XYPRO的CISO Steve Tcherchian说。
Tcherchian发现,如果没有明确的角色和职责,恐慌会很快蔓延。“一开始就是‘我们该怎么办?谁负责?我们联系谁?我们涉及谁?我们不涉及谁?’”Tcherchian说,他曾在勒索软件攻击后担任顾问。
手册需要对事件期间和之后的沟通提供明确指导,因为这可能会在处理危机时被忽视,但最终,它可能会定义一个众所周知的数据泄露的持久影响。
“危机期间,每个字都很重要,”Brown说,“你发布的内容、你说的话、你怎么说,所以,为此做好准备非常重要。”
手册还需要概述事件的终点,以便做出关于何时停止调查的决定。“管理网络安全事件最困难的部分之一就是知道何时停止调查。”IANS Research的教师和Bedrock Security的CISO George Gerchow说。
如果有大型团队在调查事件,他们很可能会开始发现其他事情,但如果他们陷入了无休止的调查中,就会分散注意力并延迟对当前问题的处理。
CISO需要接受一些门可能仍然开着的事实,但如果它们是小风险,重要的是不要忽视主要事件。“关键是要专注于‘已知已知’,保持透明,并将事件结束,主要目标是确定数据是否被泄露。”Gerchow说,他曾在SumoLogic和MongoDB经历过事件。
4. 忽视强大、受监控的备份将让你付出高昂代价
如果发生危及数据的事件,拥有未受保护或不充分的备份可能是一个代价高昂的疏忽。在某些情况下,CISO已经付出了惨痛的教训,永远不要假设备份系统是安全且完全可用的。
“现在很多勒索软件攻击,他们首先会攻击备份,然后再做其他事情,他们会攻击你的恢复位置、恢复点、备份介质,他们会确保让你无法恢复数据,从而避免支付赎金。”Tcherchian说。
即使决定支付赎金,也没有保证企业会得到数据,这强调了确保备份隔离且正常工作的必要性。
Tcherchian建议定期测试和验证备份系统是否正常且干净。“你的网络上可能存在漏洞或恶意负载,它可能在那里潜伏了30天、60天,这意味着它一直在被复制到你的备份中,”他说,“如果你认为自己受到了攻击,你会从备份中恢复,但你所做的只是将那个病毒或恶意软件重新引入到你的环境中。”
5. 设定更高的安全标准
事件发生后,你可能会以不同的方式看待你的安全态势,这包括不断努力改进安全流程,目标是超越仅仅合规。准备好重新发明和重建系统以增强韧性,实施多层安全措施,考虑更高水平的合规性,进行更多的桌面演练、安全审计、红队演练、端点保护等。
“这些中的每一个都会让我们更接近一个可以展示的典范模式,即‘是的,这发生在我们身上,但现在我们正在做可以变得更好的事情’,并分享这些经验,”Brown说。“我们的方法是,如何实际地让事情对抗感染或另一个有针对性的泄露变得更加困难。”
经历过事件的CISO也可能会改变他们对桌面演练的方法,在Brown的情况下,它们现在更频繁地发生,并且涉及更严重的潜在事件,因为当你经历过事件时,你就会知道这是可能的。
“一旦你经历过,你的语气就会完全不同。而且,在成为现实之前,它只是理论的想法,已经深深地印在我们这些经历过的人的脑海中。”他说。
6. 警惕“闪耀新物”综合症
Michel的一个收获是避免被酷炫、有趣的新工具分散注意力,但在一个充满大肆宣传和令人困惑术语的行业里,这可能很难做到。“整个行业都有‘闪耀新物’综合症。”他说。
相反,应专注于安全措施,如漏洞管理和补丁管理、强大的检测和响应程序、强认证方法(如零信任和密码无认证)、员工教育和培训,以及实战化事件响应演练以测试准备情况。最重要的是,要对夸大其词的宣传保持警惕。
“每个人都讨厌进行漏洞管理,但这是你可以做的最重要的事情之一,以了解你的攻击面、知道漏洞在哪里,并将它们消除到你可以对风险感到舒适的程度。”他说。
7. 事件后资金可能会枯竭
事件有一种将注意力集中在网络安全上的方式,突然间,董事会和执行领导层都想谈论网络安全、听取风险报告,并且有钱可花,以便让人们能够安心入睡。
对于一直在努力争取更多资金的CISO来说,这可能是悦耳的音乐,但关注——以及资金——可能是短暂的。
“当你一直在说‘这些是风险’,然后突然间你发现自己处于那个位置,那么执行人员、董事会、所有人,在一段时间内都只想谈论网络安全,但随后这种关注就开始逐渐减弱。”Gerchow说。
随着预算的增加,期望也随之提高,问题是,进行尽职调查以引入合适的工具和技能集需要时间,但如果预算在一段时间内没有被用完,一旦事件后的强烈关注消退,执行人员可能会将其重新分配到其他领域。
这使得CISO处于一个困难的位置,即不得不向董事会和其他执行人员解释资金损失意味着什么,而许多人可能更愿意关注指标和改进情况。“CISO可能会谈论风险和针对事件所取得的进展,但不会谈论预算和职位可能如何被削减。”他说。
8. 你必须时刻照顾好自己
如果有一个对CISO来说共同且重要的教训,那就是你必须在整个职业生涯中时刻照顾好自己,无论是从法律、专业还是心理上。
随着倦怠、高压力和不断增加的责任,许多CISO都感受到了这个角色的压力。事件增加了这些压力源,但随着攻击频率的增加,它们正变得越来越普遍。
“不幸的是,事件很普遍;这是工作的一部分。”Thorsen说。
Brown鼓励CISO认识到高压力角色对健康的潜在影响,并建立正确的支持系统,这在事件发生时将是至关重要的,并且不要低估处于风暴中心对你应对机制的压力有多大。
“其中一个重要的信息是,尽管你可能认为自己正在管理压力,但你可能并没有做得很好,”Brown说,“CISO的工作已经足够艰难了,所以人们必须找到一个发泄口,但在事件发生期间,情况会变得更糟。承认这一点,并为自己制定一个个人计划,因为一种方法并不适合所有人来应对这种情况。”
