在面对网络攻击时,安全领导者必须超越传统的事件响应计划,确保全面的准备、有效的协作以及在危机中的强大领导能力。
来源:Dragon Images / Shutterstock
事件响应计划是确保组织应对网络攻击准备充分的核心文件。然而,这类文档通常将安全响应视为一项技术性过程,因此容易忽略其他关键因素,例如增强网络安全团队的协作、组织内部的利益相关者沟通和有效的领导能力。
正如Linux基金会首席安全架构师克里斯托弗罗宾逊所说:“这些计划通常是由工程师和技术人员制定的,因此侧重于技术细节,比如需要插入或拔出什么设备,或需要应用哪些修复措施。”
不仅如此,如何有效管理一个网络危机的领导者CISO能大大影响企业的应对成效。我们访问了几位安全专家和经历过高风险事件的CISO,他们分享的实践经验常常是事件响应计划中缺失的重要内容,但却对在攻击中取得成功至关重要。
CISO在危机中能否施展行动,首先要明确自已的领导地位。eSentire的CISO格雷格克劳利指出,当警报响起时,角色和职责往往没有明确记录或理解。
“我在过去经历过一些事件,那里角色和责任没有事先清晰记录或达成共识,就会造成混乱。在危机中,你需要知道谁在负责,”克劳利表示。
组织需要提前详细记录总体领导者和组织结构,明确所有高管和团队成员的角色及职责,并确认CISO为最高执行官,但首席执行官还有权力进行干预。
New Relic信息安全副总裁斯特凡古铁雷斯补充道,事件响应计划通常会列出应对措施,但却未能明确由谁作出具体决定,例如如何沟通事件对客户的影响。“确保你对谁来做什么决策有清晰的理解,也要让他们明白责任归属。”
在危机中,权威的确立是无效的,如果不能获得追随者的支持。CISO们必须与整个组织进行有效沟通,这是一个常被误解的必要条件,近岸外包服务提供商BairesDev的CISO巴布罗里博尔迪指出。
“我发现,在网络攻击中,员工的参与往往会被忽视。很多时候,员工不知道自己在危机中的角色,这会导致混乱,”里博尔迪说道。他建议通过员工模拟和桌面演练来准备公司并使每个人更具信心。
clash verge趋势科技销售工程总监詹姆斯恩圭也推荐进行模拟演练,特别是那些能够仿真真实事件情感强度的演练,因为在安全事件中的压力和紧迫感会对团队表现产生负面影响。
“组织应提供有关压力管理和在压力下决策的培训,并考虑在事件响应计划中增加心理健康支持资源,”恩圭表示。
思科CX安全副总裁拉里利兹也支持桌面演练,以帮助员工从不同的角度看待问题。他提到自己曾在前公司的
