如何建立正确的網絡安全事件響應計劃

發布日期:2018-04-17首頁 > 安全資(zī)訊

遭遇網絡攻擊會很痛苦,但如果事先有準備,痛苦程度會降低。

Equifax的教訓:如何建立正确的網絡安全事件響應計劃

說起企業網絡事件,有幾個事實是無可非議的:攻擊越來越複雜(zá),越來越頻(pín)繁,攻擊規模越來越大(dà),攻擊所造成的影響也越來越嚴重。2015年,網絡犯罪導緻的公司企業經濟損失是3萬億美元。而到2021年,該數字可能翻個倍。到那時,網絡犯罪可能就是全世界最賺錢的犯罪企業了。

睿智的企業領導人知(zhī)道網絡攻擊不是有可能發生(shēng),而是肯定會發生(shēng)。然而,即便意識到網絡犯罪帶來的威脅,公司企業爲網絡攻擊事件所做的準備還是不夠充分(fēn)。

以必要的措施保護企業基礎設施非常重要,而且這些措施不僅僅是技術上的,人員(yuán)和過程也需遵循一(yī)定的防護策略。如果攻擊者攻破了這些防線會發生(shēng)什麽?公司企業如何處理安全事件及其影響?分(fēn)秒必争的時候,前期準備就可以提升企業響應速度,避免倉促決策——因爲決策利弊都已經事先權衡過了。

一(yī)、錯誤做法

各行各業大(dà)大(dà)小(xiǎo)小(xiǎo)公司企業遭遇的數據洩露可謂車(chē)載鬥量,想找出幾個企業網絡安全事件響應失敗的例子簡直不要太容易。比如說,Equifax。這家信用監測公司遭遇了史上最大(dà)數據洩露之後,數據洩露本身就不再占據新聞頭條了;該公司組織混亂問題多多的響應過程才是新聞主角。該公司先是導引潛在受害者去(qù)訪問帶漏洞的網站,然後又(yòu)在數據洩露案發之後不停發推特消息貼出網絡釣魚鏈接。

二、從Equifax身上我(wǒ)們可以汲取如下(xià)幾種錯誤響應的教訓:

教訓1:太多時間花在拒不承認上

一(yī)旦檢測到事件,每分(fēn)每秒都十分(fēn)寶貴。然而,太多公司掉入了否認陷阱,要麽無視異常活動,要麽在事件曝光後刻意低估異常行爲的影響。這種拒不承認的态度通常會破壞客戶和員(yuán)工(gōng)信任度,令公司信譽受損,同時也會喪失掉寶貴的響應時間——正如Equifax案中(zhōng)所呈現的那樣。

教訓2:管理混亂

被黑或許會讓企業陷入尴尬境地,但若能在攻擊襲來時凸顯出良好的組織和控制能力,公司的未來反而會更明朗。Equifax案的各種昏恰好反映出該公司内部指揮體(tǐ)系的缺失。

教訓3:缺乏遠見

指揮體(tǐ)系的缺位往往伴随着遠見卓識的缺乏,這一(yī)點在倉促應戰、矯枉過正、弄個“修複”卻産生(shēng)更多問題的公司身上體(tǐ)現得很明顯。預測未來或者預判将來需作出的決策是不可能的。但我(wǒ)們可以事先就決策過程和人選達成一(yī)緻。有了确定的負責人和規程,就可以最小(xiǎo)化情緒和個性差異的影響,可以立即作出明智的決策。

三、事件響應計劃最佳實踐

對企業而言,擁有全面而策略性的網絡安全事件響應計劃,是緩解惡意入侵的最重要一(yī)步。要設計、測試和實現這樣的響應計劃,我(wǒ)們可遵循如下(xià)最佳實踐:

1. 主要利益相關者參與安全實踐

安全事件影響公司裏多個不同部門。因此,跨部門支持和認可在安全事件響應計劃的制定和發展階段是必要的。人力資(zī)源主管、合規官、法律代表、技術提供商(shāng)及公關公司之類外(wài)部供應商(shāng),以及管理層聯絡人等等都需要參與進來。

2. 描述角色

納入主要利益相關者後,需要清晰描述其在面對安全事件時的具體(tǐ)責任。HR主管可能負責事件發生(shēng)時的内部溝通,PR團隊則處理外(wài)部協調事務。同時,法律代表應做好應對監管核查的準備,IT專家則應熟悉自身需處理的後端工(gōng)作。在事件發生(shēng)前确定好各自角色,可以防止出現Equifax事件中(zhōng)發生(shēng)的那種高層混亂。

3. 桌面推演

随着事件響應計劃的充實, 一(yī)次事件模拟可以作爲對計劃真正的檢驗。演練的最佳方式是通過第三方來進行,因爲這可以消除模拟攻擊設計中(zhōng)的偏倚。桌面推演的目标應是确認事件響應計劃考慮到了事件響應所需的種種動作和行爲。桌面推演還可确認每個部門是否真的理解了自己的角色,而且,更重要的是,可以揭示不同個性會如何影響事件響應。

4. 有效溝通

網絡安全事件發生(shēng)時,多個工(gōng)作流、相互競争的事項,還有牽涉的各類人群之中(zhōng)出現混亂幾乎是不可避免的。事件調查隻是響應中(zhōng)的一(yī)個部分(fēn),事件響應還包括高管簡報、法律通告、HR、監管考量、公共關系等等。公司企業必須清楚怎麽在混亂中(zhōng)有效溝通,應創建出觸及公司各個部門的可行事件響應計劃,然後簡單明了地将該計劃傳達給每一(yī)名員(yuán)工(gōng)。

說到對公司企業的網絡攻擊,這裏包含兩個部分(fēn):事件和響應。公司企業往往控制不了前者,但可對後者施以充分(fēn)的控制。設計實現出主要利益相關者認可的跨部門事件響應計劃,公司企業就能在遭遇安全事件時增強其公共信任和品牌信譽,化危機爲機遇。