当网络攻击来临,你的安全团队会陷入“待机”吗?

admin
admin
admin
102210
文章
87
评论
2023年3月6日19:26:24评论9 views字数 5101阅读17分0秒阅读模式

当网络攻击来临,你的安全团队会陷入“待机”吗?

国外安全专家提问,作为CISO,如果你的公司受到黑客入侵或勒索软件攻击,你手下的安全团队是否能严阵以待,以准备好进行真正的战斗?网络安全培训平台浸入式实验室(Immersive Labs)的人类科学主管贝克·麦基翁(Bec McKeown)表示,CISO通常会觉得他们的员工早已具备了所需的应对事件能力和技术专业知识,但事实证明,当事件带来的压力过大时,安全人员仍有可能会“待机”。

麦基翁说:“企业或许会为安全事件提前准备好应对决策和应对方案,安全人员也会认为自己在遇到安全事故时能马上将这些方案执行下去,但情况并非总是如此,因为人脑的工作方式不仅仅只有战斗或逃跑,还包含了待机状态。所以,我常常会听到人们说:‘我们知道该如何应对危机,但不知道危机发生时该怎么办。’”

麦基翁是一位心理学家,她在高风险行业里的研究为她提供了“人类在危机中会如何做出应对”的视角,可以说她的观点不仅仅是理论上的。国外某安全负责人对此表示,他们也看到过团队在应对真实事件时陷入瘫痪的情况,即使安全团队已对此类事件进行过演练。

当网络攻击来临,你的安全团队会陷入“待机”吗?

当网络攻击来临,你的安全团队会陷入“待机”吗?
当安全团队待机时,问题加剧

麦基翁表示,即使只有几个小时的应急延迟,也会给攻击者带来更多的破坏时间,这对企业系统来说所造成的伤害更大,同时还会延长恢复时间,还会导致响应成本增加,甚至会造成严重的监管罚款以及业务损失。
考虑到这种情况的潜在危险性,McKeown的CISO表示,安全负责人应该要具备预见这种待机状况的能力,并结合实践以最大限度减少这种团队待机的可能性,为此安全负责人需要制定相关策略,以防止这种状况发生在实际的安全事件中,做到精确识别并及时应对待机场景。
麦基翁说:“安全负责人必须得明确在这些危机时刻将如何应对各种突发状况,比如可以培养安全人员的应急意识和反应,使他们变得更为灵活,并帮助他们在无法涉及所有事故情境的情况下做出适宜的应对,其实更像是在培养一种心理预期,即时刻为战斗做好准备。”

当网络攻击来临,你的安全团队会陷入“待机”吗?
团队待机的原因

麦肯恩说,当CISO听到即使是准备充分的团队也会有待机的时候,请不要对此感到惊讶,因为这是人类的天性。有时候安全团队可能会经历认知范围缩小的情况,因为他们过于专注于眼前的问题,以至于无法拔高,将整体系统情况、大局观放在首要位置,因此才会无法像正常情况那样思考。
尼尔·哈珀(Niel Harper)是一名安全负责人,他在治理协会ISACA担任董事会主席。他曾目睹过安全团队因勒索软件攻击而陷入瘫痪的情况,他对此回忆道:“在那个境地,安全人员确实不知道该做什么,尽管他们对这类安全事件做过相应的应对演练,但由于都处在恐慌状态,所以他们还是‘待机’了。”
哈珀表示,他还看到过其他因应急反应受阻而造成延误的情况,比如在某些情况下,安全团队的担心会被视为反应过度,而在其他一些国家里,安全团队会因害怕被指责而选择不作为,还有一些安全事件中,由于安全团队的成员没经历过真实的安全事件,所以没有人有信心出来领导,都选择避让和沉默。哈珀说:“所有这些问题,无论是单一存在还是叠加存在,都可能导致企业陷入‘待机’的境地。”
马里兰大学全球校区网络安全与信息技术学院的兼职教授克里斯·休斯(Chris Hughes)表示,他也看到过这种状况,他曾与政府机构的安全团队合作,他说该团队在发现了可疑的流量交互并确认其为恶意交互后,突然就不知所措了,因此他们没有采取任何行动,彼此就只是静静地守在那儿。

当网络攻击来临,你的安全团队会陷入“待机”吗?
旁观者效应

休斯说:“这有点像旁观者效应,即他们每个人都希望队友能挑起大梁,在这件事上提出主张,但没有人愿意背起责任,也没有人能彻底反应过来,直到一位高级领导走进他们的办公室,让他们从‘震惊’中解脱出来。”

当网络攻击来临,你的安全团队会陷入“待机”吗?

另一方面,经验丰富的安全负责人表示,有时是高管们在煽动“这不可能是真的”和“这不会发生在我们身上”的慌乱氛围,因此只有到他们接受事实后,安全人员才能做出相应处理。SANS技术研究院院长埃德·斯库迪斯表示:“这些待机时刻通常发生在人们对现实情况手足无措,并纠结于‘情况有多糟’、‘会给企业带来多大损失’的思想斗争下,因为恐惧会让人们麻痹,加上各种不确定的因素,就会使得应急团队无法做出正常的思考。超出想象的安全事故一旦发生,各种负面信息和情绪都会从四面八方涌来,安全人员在那个瞬间会对周围环境失去真实感,他们会不知道什么是最好的应对方法,对很多内容产生疑问。当恐惧、不确定性、怀疑这三种情况同时发生时,负面影响会变得更为严重,若这样的状况经常发生,组织将面临大问题。”
网络安全服务公司NetSPI的首席信息官诺曼·克罗姆伯格(Norman Kromberg)说,他曾看到某安全团队在遇到安全事故后到了“完全罢工”的境地,该公司在发现恶意活动后就一直在宣布他的安全团队已经“全速前进,全员待命”了,整整两周,执法人员、安全专家、会计师和网络保险公司全都参与其中,但还是遇到了无法突破的瓶颈,他们在这之后无法取得任何进展。
克罗姆伯格说:“电话里整个企业的人都在互相咆哮,互相责备,疲劳、压力使整个安全团队处于停滞状态,根本无法推进任何的恢复进程。”

当网络攻击来临,你的安全团队会陷入“待机”吗?
如何不“冻结”

克罗姆伯格说,当该企业的安全负责人在看到安全团队陷入了困境,并于两周后才推断出了具体原因,该名负责人毅然而然地让所有人都回家休息。克罗姆伯格说:“不仅包括安全团队,还包括供应商、法律部门和监管部门,他们休息了一段时间,之后精神焕发地回归到了工作中。”
克罗姆伯格说,这段经历教会了他要为未来的这些特殊时刻做好相应的计划。他表示,各行各业的CISO都应该这么做,同时可以结合各种演习一起实践,以最大限度地减少团队待机的可能性。
马里兰大学全球校区网络安全与信息技术学院兼职教授Philip Chan表示:“首先要先掌握基础安全知识,之后CISO可以通过制定事件响应计划、培训事件响应团队、定期模拟事件、鼓励公开沟通、制定透明的指挥链、制定精确的风险管理和事件管理策略,来帮助安全团队进行能力提升,防止团队进入待机模式。”
Philip Chan表示,CISO接下来应该检查他们的演习和培训,并添加一些额外的元素,以帮助他们的团队更好地为安全事件做准备。

当网络攻击来临,你的安全团队会陷入“待机”吗?
为意外做好准备

麦基翁说:“CISO应该提出一些安全计划中没有的新内容,这或许意味着可以让某员工故意做出错误的操作。”同时在演练过程中可以完全关闭关键系统,这样安全团队就可以放心练习如何应对意外了。麦基翁补充道,这种做法可以提高团队敏捷性和团队合作能力,有助于避免在遇到突发状况时出现没必要的指责和争论。
克罗姆伯格说,他曾在某次公司聚会后举行了未经宣布的演习。他表示,黑客就常会在公司最掉以轻心的时候策划针对性的攻击,所以他希望自己的安全团队能在这种情况下进行练习。他说团队必须学会如何快速切换自己的状态,从休闲到奔赴第一线。
麦基翁、克罗姆伯格和其他人表示,CISO和他们的安全团队也可以通过举办各种真实事件的复盘来联系必要的肌肉记忆,这意味着从一开始就得重现过往,比如从最早的警告开始,同时通过当初的实际状况来模拟场景(不是桌面或步行式培训课程)。
Aquia公司的联合创始人兼首席信息官休斯说:“当你切身进入当初的事件中,这种感受会更加明显,我们体验的不仅仅是当初的技术应对,更多的是管理和流程上的重现,即为了养成良好的肌肉记忆。”

当网络攻击来临,你的安全团队会陷入“待机”吗?
在训练中倒计时

斯科迪斯说,他在演习中进行了倒计时钟,这会让安全团队在演习时承受巨大的压力,为的是培养出良好的习惯。斯科迪斯表示,虽然这么做有点过分,但只有这样,安全团队在遇到真实事件时才不会慌乱。

当网络攻击来临,你的安全团队会陷入“待机”吗?

国外其他安全专家还建议CISO可以尽可能多地让企业高管、其他部门和外部支持人员都参与进来,这些人员将与安全、IT和事件响应一起工作,目的是为了确定这些额外的参与者是否会在安全事故发生后陷入瘫痪状态。克罗姆伯格表示:“我们可能会看到其他部门的员工也会进入待机状,比如首席执行官在谈论事故期间需要用到财务信息时,他们会变得很犹豫。”
信息技术研究集团及其SoftwareReviews部门的顾问总监托马斯·兰德尔(Thomas Randall)表示,CISO还应考虑如何在真正的危机中为员工建立“提出解决方案”的空间。
兰德尔指出,经科学研究后发现,人类不仅仅只会通过逃避来应对危机,战斗、待机或自我激励都是应对危机时的选择,而事故下的自我激励会让大脑平静下来,这样就极有可能思考出创造性的解决方案。兰德尔说:“所以,即使在压力较大的情况下,也要确保员工们感到尽可能的舒适,这样他们或许会提出出人意料的解决方案。”
兰德尔补充道,在现实情况下,团队可能没有太多时间来思考应对方法,但建立可以随时评估这些想法的空间还是很重要的,因为有些创造性的解决方案真的能带领团队克服困境。
CISO也可以雇佣一些具备黑客经验的员工来训练安全团队的应急能力,或者可以和定期从事“攻防陪练”工作的外部事件响应团队签订合同。

当网络攻击来临,你的安全团队会陷入“待机”吗?
国内安全专家的建议

对于网络攻击发生时,安全团队该如何避免待机状态,国内安全专家如此建议。
业内知名专家认为,当企业、组织遇到攻击事件时,安全负责人最重要的是要在指挥位置上,要在岗。而公司一般应该有相应的预案,安全攻击发生,需要组织开展相应的处理,包括人员、设备、业务协调、外部沟通等多方面内容,安全负责人要组织实施、分析决策。
而在平时对安全团队的培训方面,该名专家建议:

一是制定预案,规范应急处理的流程、事项、人员等;

二是要确保人员、设备、环境,或是外部支持保障到位,且具备相应的能力;

三是保持与自身业务要求相匹配的测试水平,比如不停机的要求能够随时切换等。

安言咨询安全专家钱伟峰认为,在遇到安全事件时,如果有应急预案,则立即找出应急预案,根据应急预案中定义的角色和职责开展应急响应,自身则应根据需要及时向管理层报告并在必要是寻求外部专业力量的帮助;而如果没有应急预案,则安排好事件监控、应急处置等各项具体工作,身为团队负责人则应做好内外部资源协调、沟通汇报等工作。
而在平时,钱伟峰提出,安全团队需要根据企业业务特点和IT现状,向管理层申请必要的资源,制定应急预案并定期开展应急演练,对安全团队成员开展必要的培训,有条件时可与外部资源提前做好对接。
浙江寰福科技有限公司安全专家孙权指出,在遇到安全事件时,得先判断事态大小,同时判断团队是否在正常状态,并参照之前制订过的应急响应的预案,通知应急工作小组,研判,定级,出临时方案和长期方案,按计划执行,直到消除风险。
孙权建议,安全团队平时要按照ISO27001和ISO27701的要求做好应急演练的场景编排和定期执行演练,定期实施红蓝对抗检测演练效果,在模拟实战、仿真演练中锻炼队伍。
等级保护资深专家毕马宁表示,当网络攻击事件发生,安全团队陷入茫然状态并不知所措时,作为安全团队负责人,首先是稳定队伍,不能忙于推诿责任,而是要先鼓舞士气。如果有应急预案,应立即启动,要求团队成员全力以赴,进入状态;其次,要做到四清:

1、业务对象清(攻击针对何种业务,是一个还是关联多个)

2、可用资源清(内部+外部可调用的)

3、威胁来源清(攻击是何种类型,来自哪里)

4、损失程度清

毕马宁建议,为了能使团队更好的应对待机状态,平时除了加强团队的技能培训外,特别要注重团队的心理建设和协同融合能力培养,要让团队中的每位成员意识到:不怕事,不推责,不浮夸,不拆台,不抢功。
最后,某跨国企业CSO赵锐指出,2020年开始全球范围的网络攻击网络犯罪不断增加,相应的对网络安全人员和技能的需求也与日俱增,对安全团队的能力要求也就越发重视。组织、企业的业务不同,风险各异,互联网业务、物联网业务、移动互联网业务等安全风险也不断增加,所在这样的环境、在这样的趋势下,安全团队要时刻做好准备,以应对各式各样的风险,安全负责人要具备临场经验,避免让团队进入待机状况。比如近期爆出事件:某电商为了争夺存量市场,利用安卓后门攻击用户手机,窃取用户使用竞争对手APP的信息。“那如果你是安全负责人,要怎么处理这事呢?所以任何发生过的安全事件都可作为企业安全方案中的一环,在平时培训时可重点演练。”
除此之外,赵锐还建议安全团队要与时俱进,提升自身的能力和水平,了解行业动态和风险变化,做好和管理层的沟通并争取资源,使用合适的解决方案控制组织、企业的网络安全风险。
参考文献
《Will your incident response team fight or freeze when a cyberattack hits?》
当网络攻击来临,你的安全团队会陷入“待机”吗?
END

当网络攻击来临,你的安全团队会陷入“待机”吗?

当网络攻击来临,你的安全团队会陷入“待机”吗?

当网络攻击来临,你的安全团队会陷入“待机”吗?

当网络攻击来临,你的安全团队会陷入“待机”吗?
当网络攻击来临,你的安全团队会陷入“待机”吗?

当网络攻击来临,你的安全团队会陷入“待机”吗?

点【在看】的人最好看
当网络攻击来临,你的安全团队会陷入“待机”吗?

原文始发于微信公众号(安在):当网络攻击来临,你的安全团队会陷入“待机”吗?

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月6日19:26:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   当网络攻击来临,你的安全团队会陷入“待机”吗?https://cn-sec.com/archives/1589993.html

发表评论

匿名网友 填写信息