在当今复杂的威胁形势下,网络攻击是不可避免的。
恶意行为者变得越来越复杂,出于经济动机的攻击变得越来越普遍,并且每天都会发现新的恶意软件系列。
这使得对于各种规模和跨行业的组织来说,制定适当的攻击计划变得更加重要。
详细的网络行动手册至关重要,应该准确概述攻击发生时团队应该做什么,从最好到最坏的情况,以便安全领导者可以缓解问题,让业务领导者放心,并尽快采取行动。
虽然每次网络攻击都是独特的,并且需要自己的程序和恢复计划,但首席信息安全官 (CISO) 今天应向其安全团队和业务负责人提出三个注意事项,以确保他们做好相应的准备。
在网络攻击之前:教育利益相关者
首席信息安全官和安全领导者应定期与企业领导者就网络安全问题进行沟通,并在攻击发生之前尽早进行沟通。
对那些可能不参与日常安全操作的人员(即董事会)进行教育和提高认识对于避免安全事件中经常出现的某些意外至关重要。
CISO 应通过以下方式优先考虑这种教育:
※ 与企业领导层建立牢固的关系。
在领导者更广泛地了解安全形势和风险关键点之前,CISO 无法实施行动计划。因此,CISO 必须不断与合适的领导者建立牢固的关系,并对他们进行网络安全教育,以便他们在发生攻击时对情况有一个总体了解。
※ 建立一个概述角色和职责的综合框架,并由合适的人员提前运行。
当网络攻击确实发生时,事情可能会变得难以承受——尤其是当领导层没有提前审查和批准攻击计划时。为了确保每个人在网络事件期间都有自己的行动命令,CISO 和安全团队应制定一个全面的框架,概述安全团队和更大组织的确切职责。
※ 持续测试计划以主动检测缺陷并调整响应实践。
即使制定了计划,框架中仍然可能存在缺陷或需要重新调整的问题,因此团队经常测试他们的游戏计划至关重要。
通过对计划进行压力测试,领导者可以指出协议中的缺陷,从而留出时间进行相应的更新。组织应该通过每年多次进行桌面演习并向领导层报告结果来测试和挑战他们的计划。
通过实施上述举措,当事件确实发生时,CISO 可以轻松地向利益相关者保证,双方商定并测试的攻击计划正在实施。
在网络攻击期间:优先考虑有效且富有同理心的沟通
当网络攻击确实发生时,组织必须能够快速启动其团队进行响应并激活预先设定的角色和职责。最顺利、最有效的响应者通常是那些训练有素、装备精良、并提前准备好必要工具的人。
领导者在危机期间沟通的方式和语气对于有效恢复网络攻击至关重要。领导者应将同理心融入其战略中,为内部和外部受影响的人提供有影响力和有效的保证,重点是恢复利益相关者的信任。
网络攻击后:反思而不责备
在网络安全这样的高风险、高压环境中,组织必须创造一个欢迎诚实和富有洞察力的事后分析的开放空间。
解决攻击问题后,安全团队应该重新组合并反思该事件,以更好地了解他们成功的方式以及如何改进前进。
重要的是,在这些讨论中,不要指责任何特定的个人,重点是了解组织如何改进。应与利益相关者一起详细审查该行动手册,以确定是否需要调整任何内容以做出更有效的响应。
在谷歌,我们坚持“无可指责的事后剖析”的理念——创建一个开放的空间,鼓励坦诚地讨论哪里出了问题,哪里做对了,以及从事件中吸取的教训。
最终的目标是避免网络事件发生之前、期间和之后出现意外情况。
为了实现这一目标,组织应在整个网络攻击周期中持续沟通和教育利益相关者,以增加对事件的理解并避免再次犯同样的错误。
通过制定经常测试的行动计划、确定角色和职责、不断更新行动手册、经常沟通、进行事后分析以及在需要时寻求外部帮助,组织可以在应对网络攻击方面取得更大的成功。
我们永远无法完全避免网络攻击,但我们总是可以学习并更有效地解决这些攻击。