安全事件响应的新视角以及该如何推动该领域的发展

在处理各类事件时，安全人员会从根本上遵循一套四步策略：

Haleliuk表示，这个四步法则极大地简化了IR的复杂性，但它也强调了一个核心观点：IR不仅关乎事件发生时的行动，更关乎事件发生前后的上下文。“NIST提出了四个类似的主题，但缺乏‘预防事件’的现实性，没有将这些行动归入‘准备’中。在此，我们将其分开，以明确预防和接受之间的区别，这能为后续主题的可视化现实奠定基础。”

这四个步骤中的每一个都充满挑战。然而，Haleliuk和Nathan认为，其中为事件做准备和从事件中恢复是最难应对的两个步骤。

作为安全人员，我们往往在准备方面表现得非常糟糕。Nathan说，IR准备和业务连续性之所以困难重重，是因为我们在心理上不愿承认需要做好准备来应对。“我们不愿接受终将失败的事实。这种心理现象不仅存在于安全领域。以临终规划为例：尽管我们知道每个人都会死亡，但绝大多数人却从未考虑过临终规划，仿佛我们可以逃避死亡一样。未立遗嘱、未购买人寿保险、未制定预先医疗指示的人数不胜数。我们就像鸵鸟一样埋头不顾，不愿为不可避免的事情做准备，而是幻想自己能成为幸免于难的那一个。”

Nathan补充道，另一个我们经常需要努力追赶的领域是从安全漏洞中恢复。这主要有两个原因：一是企业通常急于恢复收入，因此一旦运营恢复正常，他们便认为事件已经圆满解决。因此，后续的工作（如复盘、调查、跟进和报告）往往被视为形式主义，与核心的事件响应脱节。二是制定全面的恢复计划需要投入时间、需要测试，以及需要配置资源。由于复杂性和所需投资，这项任务很快就会被搁置。然而，在现实中，事件发生后还有许多其他方面需要关注，包括响应人员的身心健康和有效性。

每个行业都蕴藏着丰富的多面性和复杂性，事件响应领域同样也不例外。Haleliuk表示，在人类的智慧中，我们擅长于提炼和分享那些复杂问题中的战术精髓，例如如何踏入网络安全事件响应的大门、成功的事件响应人员需具备哪些关键技能、为提升响应效率应建立哪些流程，以及哪些工具（无论是商业产品还是开源解决方案）最适合这一领域。网络安全源自黑客和开源社区的蓬勃发展，因此，无论是线上论坛、Discord频道、行业盛会还是同行社群，都充斥着大量的学习与交流。

在探讨事件响应工作对事件响应人员所造成的心理影响之前，Haleliuk和Nathan澄清了一点：我们讨论的重点并非那些每年仅需参与一两次事件响应工作的安全人员。尽管这些挑战也可能对他们的生活产生一定影响，但其影响程度远不及那些将事件响应作为全职工作的人员。

Nathan表示，那些负责大型活动的人员，往往会陷入一种被称为“上帝综合征”的困境：他们觉得自己仿佛拥有了一切力量，坚不可摧，甚至能够精准地预判他人的想法、行为和言语。

网络安全领域赋予了安全人员一种优越感，因为他们能够洞察到别人无法触及的信息，掌握着每个人的行动脉络，甚至能够控制他人的电脑。Haleliuk表示，安全人员为这种“掌控”感到自豪。“随着时间的推移，这种控制感会逐渐内化为他们的自我认知，许多人因此产生优越感。作为事件响应人员，这种自豪感不断膨胀，几乎将他们吞噬。当数百人连续数周全神贯注聆听事件响应负责人的每一句话时，那种陶醉感简直难以言表。安全人员会突然觉得自己比以往任何时候都重要，他们感到自己与众不同，甚至高人一等。”

上帝综合征的成因和后果已经引起了不同紧急响应领域数百名研究人员的关注。在医学、空中交通管制、消防等领域，关于这一现象的文章和综合性书籍层出不穷。然而，遗憾的是，在安全和网络安全事件响应领域，关于这一问题的研究却寥寥无几。Haleliuk指出，这一研究的空白以及这些问题未得到应有的讨论，会对人们的生活产生深远的影响。

那么，如何在从事事件响应的同时保持谦逊的态度呢？当所有的成功都受到保密协议的束缚，无法与他人分享自己的自豪和喜悦时，如何获得成就感呢？在事件发生后，如何回到家中而不觉得自己仿佛站在了世界之巅呢？此外，安全人员又如何避免在不经意间伤害他人而不自知呢？Haleliuk表示，这些都是我们亟待解决的问题，而要想找到答案，我们首先需要投入精力对这些问题进行深入的研究。

此外，在应对上帝综合征症时，最简单却至关重要的建议之一是确保充足的睡眠。因为睡眠不足可能会加剧那种无敌感、自大感和判断力受损。

Nathan补充道，当个体睡眠不足时，其认知能力、情绪管理能力及决策判断力均会受到不良影响。对于那些易于陷入过度自信或上帝综合征的人来说，这些功能的受损将进一步提升他们做出错误判断、高估自身实力或忽视他人意见。而充足的睡眠，则有助于个体维持更为均衡的视角和更强的自我意识，这是有效缓解上帝情结不良影响的关键所在。

Nathan给出了具体的策略：

网络安全事件响应工作，因其紧张刺激且风险极高，往往会对从业者产生深刻的心理冲击，进而可能诱发创伤后应激反应（PTSD）。Haleliuk表示，那些经历过惊心动魄事件的人，往往会不自觉地在脑海中重演那些场景，试图探寻一条已然消失的出路，这一行为无疑会加剧他们的心理负担和焦虑情绪。

为了规避PTSD的困扰，有人可能会选择对工作采取一种冷漠的态度，将事件响应视为一项日常任务，刻意与自己行为的后果保持距离。然而，这种做法却与事件响应工作的本质背道而驰。Haleliuk指出，事件响应工作由“对改变现状、守护组织安全、维护世界和平的深切热情”所驱动。正是这份热情，最初吸引了众多专业人士投身网络安全领域，但同样，这份热情也让他们在面对工作的情感压力时变得更加脆弱。

然而，令人遗憾的是，许多组织并未能正视或解决这些心理健康方面的挑战。他们往往期望事件响应团队能够全天候待命，随时准备应对突发情况。显然，这不但无法让从业人员从先前事件造成的心理创伤中恢复过来，反而会加剧这一情况。Haleliuk表示，对技术恢复的过度关注，往往掩盖了对情感和心理支持的需求，许多响应人员因此无法得到应有的关怀。

所以，组织必须深刻认识到，有效的事件响应，不仅仅是对技术层面的要求，更包括对事件响应团队心理健康的关怀。提供心理健康资源、鼓励开放地分享压力和创伤的经历、确保事件之间有足够的时间进行心理调适，这些措施都有助于降低PTSD的风险。Haleliuk强调，一个完善的事件响应计划，应同时涵盖技术恢复、运营管理和人文关怀等多个方面。一个真正强大的事件响应团队，不仅要在技术上炉火纯青，更要在心理和情绪上保持健康和稳定。

在与对手的对抗中，人们往往将其视为一场零和游戏，即一方胜出，则另一方必然落败。这种游戏心态在生活中其他领域也悄然渗透，使得人们在面对问题时，自然而然地采取零和策略。Nathan表示：“安全人员亟需被引导，以探索双赢的解决之道，因为无论议题是关于争取更多的安全预算，还是提升公众的安全意识，他们都会视之为必须取胜的战场。这种零和心态，无疑阻碍了事件响应人员和安全专家在建立人际关系、职业发展以及商业成功方面的能力。”

若能将许多事物视为一个持续演进的过程，或许能为我们带来全新的视角。Nathan介绍，James Carse在其著作《有限游戏与无限游戏》中，深刻剖析了将事物视为有终点的游戏与无尽游戏之间的差异。尽管个体的战斗是有限且终结的，但安全这一议题却如同一个永无止境的目标。

《有限游戏与无限游戏：人生的两种玩法》：对于那些在有限游戏中获胜的玩家而言，他们接下来会怎么做呢？他们不得不再次投身新的战斗，并设法展示自己过往的辉煌战果。有限游戏的玩家需要炫耀他们的成就与地位，展示自己所积累的胜利标志，以便让其他玩家明了他们的实力。这些玩家往往沉迷于过去的荣耀，因为那是他们胜利的源泉。

然而，无限游戏的玩家则截然不同，他们始终面向未来。由于他们的目标是让游戏持续进行，因此他们更加关注未来的可能性，而非过去的辉煌。他们不会因过去的胜利而自满，而是致力于探索新的机遇与挑战。在参与这场独一无二、无法复制的游戏时，他们并不在意维护和展示过去的地位，而是更加关注如何有效应对即将到来的挑战。

将安全事件的数量清零，既非现实，亦非我们的追求所在。Haleliuk说，安全人员的任务，在于不断提升对攻击者的防御能力，同时在攻击难以避免之时，减轻其造成的损害，并加速恢复进程。

Haleliuk介绍，仅在美国，根据联邦调查局（FBI）的数据，2022年就发生了1612起银行抢劫案，尽管这一数字相比之前有所下降，但仍不容忽视。然而，业内在运用威慑、预防、检测和响应的综合策略方面，已经取得了显著的成效，具体表现为：

Haleliuk说，网络安全领域同样如此。“我们深知，事件仍将不断发生。因此，我们的目标应在于‘确保员工点击钓鱼链接’时不会引发公司全面瘫痪，以及宝贵的数据不会在单次事件中遭到泄露。”

安全事件的数量持续攀升，而且势头不减。Nathan说，为有效应对这一挑战，我们必须确保有足够数量的高素质事件响应人员。然而，现实情况却不容乐观。成为专业的事件响应人员与仅仅具备一些应对安全漏洞的经验之间，存在着显著的差异，就如同懂得心肺复苏（CPR）或急救技能与成为一名紧急医疗救护技术人员（EMT）之间的差距一样。我们既需要前者，也需要后者，但现实是我们两者都匮乏。进一步来说，问题似乎表现在以下两个方面：

另一方面，Nathan表示，为了深化对事件响应人性层面的理解，我们需加大投入进行研究。“针对诸多心理问题，我们亟需扎实的学术研究成果。对于各类能在压力下保持冷静、掌握大量权限的人群心理，我们已积累了不少知识。而安全事件响应领域，则需加快步伐迎头赶上，这并非因其独特性，而是源于其广泛的相似性。”

Nathan介绍，名为《潜压之下：透视人为因素的救援》的佳作提到，若将“救援”替换为“事件响应”，我们会发现两者在心理影响层面几乎一模一样。

事件响应心理学的研究成果，应成为组织对事件响应人员管理方式及优化事件响应流程的依据。具体如下：

当前，对于全面的事件响应数据，我们的需求愈发迫切。然而，无论是CISA、FBI还是CIA，都尚未能在全国范围内有效整合这些数据。

Haleliuk表示，尽管我们已拥有如Verizon DBIR和CrowdStrike等全球威胁报告，但它们仍有待进一步完善，以提供更全面的信息。“关于公司在勒索软件上的具体支出，我们似乎无法获取任何权威数据，这无疑是一个亟待解决的问题。在识别和应对流行病方面，我们之所以表现不俗，很大程度上得益于各州对感染和疾病数据的日常汇总与共享。这种数据汇聚使得政府能够迅速发现异常，及时捕捉到致命疾病的早期预警信号，从而采取应对措施。在网络安全领域，我们同样需要这样一种数据汇聚机制，它应超越SEC对‘重大事件’信息的披露范围。”

Haleliuk和Nathan一致认为，综合收集事件与事件响应数据应是政府的职责所在。而值得庆幸的是，相关基础设施已经就绪，ISACS的成功实践也为美国提供了有力证明。Haleliuk说：“现在，我们真正需要的是推动这一进程正式化的政治决心。CISA等政府机构完全有能力被授予广泛权力，成为美国网络安全数据的中央汇聚点。通过纳入心理健康和恢复方面的数据，我们可以更深入地了解长期事件响应对公司和个人所产生的影响，并明确我们目前所处的韧性水平。这将有助于我们更清晰地认识团队在接收和有效应对事件方面的能力。”

Nathan补充道：“我们深知，出于降低责任风险的考虑，公司往往缺乏分享敏感数据的动力，与事件响应相关的所有信息都会被隐藏在保密协议之中。同样，基础设施和安全供应商也倾向于掩盖自身发生的事件，以维护其安全形象。然而，我们也应看到，保险公司在这些领域具有独特优势，其视野不仅局限于上市公司。每家保险公司都清楚知道其保单持有人何时遭受攻击、攻击的具体原因、是否聘请第三方进行勒索软件谈判，以及赎金的支付情况。因此，我们可以规定保险公司必须汇总这些数据，并以匿名方式提交给CISA，以便其进行深入分析，并与整个行业共享这些宝贵信息。”

保险公司作为统计和数据科学领域的专家，在整合其他类型风险数据方面表现出色，比如车祸、火灾、自然死亡、医疗故障以及各类疾病等。这些数据是保险公司构建精算表和承保保险单的基础。因此，让保险公司收集和分享一些安全事件数据，对于政府更好地了解网络安全状况而言，无疑是最好的选择。

最后，Haleliuk提出，具备国家背景的攻击者，他们的目标是从安全团队手中获取所需的信息。这意味着，我们所面临的并非单纯的安全挑战，而是权力与金钱交织的复杂问题。

Haleliuk表示，国家可以对国外那些已成为网络犯罪中心的小城镇进行投资，使它们能够创造合法的经济收益，从而构建一个更加稳固的经济基础。“如果我们能让这些行为主体不再将银行视为攻击目标，那么对所有相关方而言，这都将是一个双赢的结果。坦白地说，这样的策略能让所有人都放松下来，也可以让我们的‘游戏’持续得更久。”