如果企業(yè)遭到網(wǎng)絡(luò)攻擊或勒索軟件攻擊,其安全團(tuán)隊是否會挺身而出,并準(zhǔn)備好進(jìn)行積極地應(yīng)對?網(wǎng)絡(luò)安全培訓(xùn)平臺ImmersiveLabs的人類科學(xué)總監(jiān)BecMcKeown表示,首席信息安全官可能會覺得他們的員工通常具備所需的技術(shù)專長,但當(dāng)危機(jī)來臨時,他們有可能會束手無策。
McKeown說,“企業(yè)可能制定了應(yīng)對危機(jī)的政策或措施,并認(rèn)為這些是在網(wǎng)絡(luò)攻擊發(fā)生時事件響應(yīng)團(tuán)隊首先要做的事情。但情況并不總是這樣,因?yàn)槿藗兊乃季S方式不只是應(yīng)對或逃跑,而是應(yīng)對、逃跑,或者束手無策。有人說,‘我們知道如何應(yīng)對危機(jī),但在危機(jī)發(fā)生時卻不知道該怎么辦。’”
McKeown是一名心理學(xué)家,多年對高風(fēng)險行業(yè)的研究為她提供了人類在危機(jī)中如何應(yīng)對的視角。她的觀點(diǎn)不僅僅是理論上的,一些企業(yè)安全部門的負(fù)責(zé)人說,他們也看到過一些團(tuán)隊在應(yīng)對真實(shí)事件時陷入困境,包括那些為應(yīng)對此類事件進(jìn)行演練的團(tuán)隊。
當(dāng)團(tuán)隊束手無策時,問題就會越來越多
即使只有幾個小時的響應(yīng)延遲,也會給網(wǎng)絡(luò)攻擊更多的時間造成破壞,并延長了恢復(fù)時間。這種情況還可能導(dǎo)致響應(yīng)成本增加,可能會導(dǎo)致更高的監(jiān)管罰款和業(yè)務(wù)損失。
McKeown表示,安全領(lǐng)導(dǎo)者應(yīng)該預(yù)測到這種情況,結(jié)合實(shí)踐來幫助最大限度地減少發(fā)生這種情況的可能性,并制定策略來識別和應(yīng)對網(wǎng)絡(luò)安全事件。
McKeown說,“首席信息安全官必須明白在這些危機(jī)到來時將如何應(yīng)對。可以培養(yǎng)員工的技能,讓他們變得敏捷,并幫助他們在不具備所有情境意識的情況下做出反應(yīng),這是一種心理準(zhǔn)備。”
團(tuán)隊為什么會陷入困境
McKeown表示,即使是準(zhǔn)備充分的團(tuán)隊也會有陷入困境的時候,首席信息安全官對此不應(yīng)該感到驚訝,因?yàn)檫@是人類的天性。
她說,有時事件響應(yīng)團(tuán)隊成員可能會有認(rèn)知狹窄的情況,因?yàn)樗麄兲珜W⒂谘矍鞍l(fā)生的事情,以至于他們沒有考慮整體的情況,這種經(jīng)歷會妨礙反應(yīng)者像在正常情況下那樣進(jìn)行思考。
企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、國際信息系統(tǒng)審計協(xié)會董事會主席NielHarper描述了他以前的經(jīng)歷。他在一家公司擔(dān)任安全顧問的第一天,就目睹了該公司的安全團(tuán)隊在應(yīng)對勒索軟件攻擊方面束手無策。他回憶說,“他們確實(shí)不知道該做什么,盡管他們有一些事件響應(yīng)演練的經(jīng)驗(yàn),但卻處于恐慌狀態(tài)。”
Harper表示,他還見過其他情況,例如反應(yīng)受到阻礙導(dǎo)致應(yīng)對措施的延誤。在某些情況下,事件響應(yīng)團(tuán)隊擔(dān)心他們會被視為反應(yīng)過度。在另一些情況下,他們因?yàn)楹ε卤恢肛?zé)而導(dǎo)致陷入困境。在另一些事件中,團(tuán)隊成員沒有經(jīng)歷過真實(shí)的網(wǎng)絡(luò)安全事件,也沒有人有信心領(lǐng)導(dǎo)應(yīng)對事件。Harper說:“所有這些問題,無論單獨(dú)的還是組合的,都可能讓團(tuán)隊陷入困境。”
美國馬里蘭大學(xué)全球校區(qū)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院的兼職教授ChrisHughes表示,他也看到過這樣的情況。他當(dāng)時正在與一個政府機(jī)構(gòu)的安全團(tuán)隊合作,該團(tuán)隊發(fā)現(xiàn)了可疑的流量,確認(rèn)這是惡意攻擊,然后遭到阻礙,阻止他們采取行動。
旁觀者效應(yīng)
Hughes說,“這有點(diǎn)旁觀者效應(yīng)。他們假設(shè)或者希望有一個人能夠介入并起帶頭作用。沒有人這么做,也沒有人站出來。”他表示,后來在一位團(tuán)隊領(lǐng)導(dǎo)者的領(lǐng)導(dǎo)下,才使他們從震驚中恢復(fù)過來。
另一方面,經(jīng)驗(yàn)豐富的安全主管表示,有時企業(yè)高管們也會反應(yīng)遲鈍,并陷入“這不可能是真的”和“這不可能發(fā)生在我們身上”的感覺中,然后慢慢地相信這是真的。SANS技術(shù)研究所的主席EdSkoudis說:“這個時刻通常發(fā)生在人們感到情況有多糟糕、會對企業(yè)造成多大傷害感到恐懼的時候,以及存在很多不確定性的時候。當(dāng)所有這些信息同時涌來時,團(tuán)隊不知道什么是真的,什么是假的,以及什么是最好的方法。因此有很多疑問,當(dāng)存在恐懼、不確定、懷疑的時候,或者這三種情緒同時存在時,就會束手無策。這種情況經(jīng)常發(fā)生,他們不知道如何采取下一步的行動。”
網(wǎng)絡(luò)安全服務(wù)商N(yùn)etSPI公司的首席信息技術(shù)官NormanKromberg表示,曾看到過團(tuán)隊陷入困境的情況。他是一家公司的安全負(fù)責(zé)人,該公司在發(fā)現(xiàn)惡意內(nèi)部活動后宣布了發(fā)生網(wǎng)絡(luò)安全事件,該公司的團(tuán)隊在將近兩周的時間里一直在全力以赴采取措施應(yīng)對,執(zhí)法部門、會計師和網(wǎng)絡(luò)保險公司也參與其中,但他們遇到了無法突破的瓶頸,因此沒有取得任何進(jìn)展。
Kromberg說:“他們十分煩躁,并且彼此之間爭吵。”他解釋說,他認(rèn)為疲勞和壓力讓他的團(tuán)隊處于無序狀態(tài),無法推進(jìn)恢復(fù)的進(jìn)程。
如何突破困境
當(dāng)Kromberg看到他的團(tuán)隊陷入困境并推斷出原因時,他讓所有人回家休息。他補(bǔ)充說,“我讓我們的團(tuán)隊、供應(yīng)商、法律和執(zhí)法部門的人員回家休息了一段時間,回來之后精神煥發(fā),網(wǎng)絡(luò)安全恢復(fù)工作之后得到迅速推進(jìn)。”
他說,這段經(jīng)歷教會了他為未來的這種時刻做好計劃。他表示,首席信息安全官都應(yīng)該這樣做,并指出他們可以結(jié)合各種培訓(xùn)和演習(xí),以幫助最大限度地減少團(tuán)隊陷入困境的可能性。
首先要確保具有基礎(chǔ)知識。馬里蘭大學(xué)全球校區(qū)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院兼職教授PhilipChan表示:“首席信息安全官可以采取各種措施,通過制定事件響應(yīng)計劃、培訓(xùn)事件響應(yīng)團(tuán)隊、定期模擬事件、鼓勵公開溝通、建立透明的指揮鏈,以及制定精確的風(fēng)險管理和事件管理策略,來幫助防止團(tuán)隊陷入困境。”
安全專家表示,首席信息安全官下一步應(yīng)該檢查他們的演習(xí)(當(dāng)然應(yīng)該定期進(jìn)行演習(xí)),并添加可以幫助他們的團(tuán)隊更好地為真實(shí)事件做好準(zhǔn)備的元素。
為意外做好準(zhǔn)備
McKeown說:“企業(yè)在網(wǎng)絡(luò)安全演習(xí)中提出一些新情況,這可能意味著讓員工故意出錯。例如,在演習(xí)中完全關(guān)閉一個關(guān)鍵系統(tǒng),這樣團(tuán)隊就可以練習(xí)應(yīng)對意想不到的或正在發(fā)生的網(wǎng)絡(luò)安全事件。”McKeown補(bǔ)充說,這樣的練習(xí)可以培養(yǎng)敏捷性和團(tuán)隊合作精神,有助于避免危機(jī)期間經(jīng)常出現(xiàn)的指責(zé)和爭論。
Kromberg表示,他曾經(jīng)在一個周五中午的假日聚會之后舉行了一次未提前宣布的演習(xí)。他表示,黑客通常在企業(yè)最脆弱的時候進(jìn)行攻擊,所以他希望安全團(tuán)隊在這種情況下進(jìn)行練習(xí),團(tuán)隊必須學(xué)會如何迅速進(jìn)入高速運(yùn)轉(zhuǎn)的狀態(tài),并在關(guān)鍵人員已經(jīng)外出度假的情況下工作。
McKeown和Kromberg表示,首席信息安全官和他們的安全團(tuán)隊還通過盡可能多地模擬真實(shí)事件的練習(xí)來獲得肌肉記憶。這意味著從頭開始——例如最早的警告,并通過實(shí)際操作模擬運(yùn)行相關(guān)場景,而不是演練類型的安全培訓(xùn)課程。
專門從事云計算和網(wǎng)絡(luò)安全專業(yè)服務(wù)的Aquia公司的聯(lián)合創(chuàng)始人兼首席信息官Hughes說:“當(dāng)人們模擬操作時,這種感覺會更加明顯。”
訓(xùn)練時使用倒計時鐘
Skoudis表示,他在訓(xùn)練中使用了倒計時鐘,這也讓團(tuán)隊習(xí)慣于在網(wǎng)絡(luò)事件中感受到的巨大壓力下工作。他說:“這很尷尬,但只有多加練習(xí),才能建立肌肉記憶。”
其他人還建議首席信息安全官嘗試讓盡可能多的企業(yè)高管、其他部門和與安全、IT和事件響應(yīng)協(xié)同工作的外部支持參與進(jìn)來,以確定這些額外的參與者是否會陷入困境。Kromberg說:“人們可能會發(fā)現(xiàn),在其他領(lǐng)域,一些事情可能會停滯不前,例如首席執(zhí)行官在談?wù)摼W(wǎng)絡(luò)安全事故所需的財務(wù)信息時會猶豫。”
Info-TechResearch集團(tuán)及其SoftwareReviews部門的顧問總監(jiān)ThomasRandall表示,首席信息安全官還應(yīng)該考慮在危機(jī)中為員工創(chuàng)造提出解決方案的渠道。
支持創(chuàng)造性的解決方案
Randall補(bǔ)充道,在實(shí)際的安全事件中,團(tuán)隊可能沒有很多時間來思考更好的辦法,但擁有一些渠道來提供和評估這些辦法仍然很重要,因?yàn)檫@些創(chuàng)造性的解決方案可能會帶領(lǐng)團(tuán)隊克服讓他們陷入困境的障礙。
首席信息安全官可以采取的另一個步驟來幫助避免這些困境時刻:雇傭具有處理違規(guī)和黑客攻擊經(jīng)驗(yàn)的員工或與定期從事這項(xiàng)工作的外部事件響應(yīng)團(tuán)隊簽訂合同。
Harper說,安全主管不應(yīng)該低估這種經(jīng)驗(yàn)的價值。那些經(jīng)歷過危機(jī)的人會形成肌肉記憶,使他們保持冷靜,并帶領(lǐng)別人走出困境。
