本文来自微信公众号“安全牛”。
对于现代企业的CISO而言,防范网络攻击是他们日常工作中的首要任务。然而,在当今复杂的威胁环境下,做好网络攻击防护并不容易。日前,谷歌云CISO办公室主任Taylor Lehmann发表了一篇署名文章《CISO可以为优化网络攻击防护做些什么?》,分享了谷歌公司在应对网络攻击方面的理念和经验。为了帮助企业组织和CISO们更好地做好网络攻击防护,安全牛对该文进行了编译整理:
在当今复杂的威胁形势下,网络攻击不可避免,因为恶意攻击者变得越来越老练,以牟利为动机的攻击变得越来越普遍,新的恶意软件家族层出不穷,因此对各种规模的企业组织而言,提前制定好有效的攻击防范计划就显得尤为重要。
在谷歌公司,我们认为详细的网络安全剧本对于有效防护网络攻击是必不可少,它可以准确地概述当攻击发生时,安全团队在面对乐观情况和最坏情况时,分别应该具体做什么,这样安全领导人就可以及时缓解问题,让业务部门尽快摆脱攻击的影响。
虽然每次网络攻击都很独特,需要不同的响应程序和恢复计划,但我们认为,首席信息安全官(CISO)应该与安全团队和业务负责人一起,从三个阶段思考应对策略,并确保本组织做好相应的攻击响应准备。
阶段一、在网络攻击之前,与所有利益相关者做好沟通与安全意识宣教
在谷歌,CISO办公室和安全团队会定期与各个业务团队的负责人进行沟通,讨论其业务开展中的网络安全问题,以及如何在网络攻击发生前进行最有效的预警和准备。为了避免在安全事件中出现意外情况,对于那些不直接参与日常安全工作的人,如董事会成员,宣传教育和增强安全意识至关重要。
根据谷歌的实践,我们认为组织的CISO可以通过以下方式来加强安全意识的宣传教育:
与业务领导人建立牢固的关系
只有当领导层广泛了解安全形势和关键风险时,CISO才能够有效地实施行动计划。为此,CISO需要与适当的领导人建立持续的合作关系,并进行网络安全教育,以便他们在发生攻击时能够对安全形势有所了解。
建立全面的安全事件响应框架,明确角色和责任
当网络攻击发生时,组织的业务运营情况可能变得混乱,尤其是领导人没有事先审查和批准攻击防范计划时。为了确保在遇到网络事件时所有人都能按照规定行事,CISO和安全团队应该制定一个全面的框架,明确安全团队和整个组织在事件处置时的具体责任。
持续测试计划,主动发现不足并优化调整
即使制定了安全事件响应计划,但是在这个框架中仍然可能存在缺陷或需要重新调整的问题,因此团队经常测试行动计划极为重要。通过对计划进行压力测试,领导层可以发现规程存在的缺陷,并有时间进行相应的更新。组织应该通过每年执行几次沙盘演练来测试和考验行动计划,并向领导层报告结果。通过实施上述措施,当事件确实发生时,CISO可以更容易向利益相关者保证,双方已经经过同意并测试了攻击防范计划的实施情况。
阶段二、在网络攻击的过程中,要注重高效且充分的沟通
当网络攻击确实发生时,组织必须能够快速组建团队进行响应,并落实预先确立的角色和责任。最顺利、最有效地应对者通常训练有素且装备精良,并提前准备好了必要的工具。
领导层在危机期间的沟通方式和语气对于网络攻击后有效的恢复至关重要,应该在沟通中展示同理心,并采取一种能够重新赢得受影响内外人员信任的策略。
为确保每个人都能保持同步,使用清晰的沟通机制,提高每个安全事件响应团队成员对自身角色和责任的认识至关重要。当然,有效地沟通也能够让安全事件响应计划能够顺利进行,每个人还必须知道其他人都在做什么,以及谁是每个工作小组的关键联系人。
阶段三、在网络攻击之后,应该深刻反思,但不随意地相互指责
在高风险高压力的网络安全环境中,组织需要营造一种开放的文化氛围,鼓励进行详尽如实的事后分析。在解决网络攻击引起的问题之后,安全团队应该认真反思事件,并深入总结成功经验和改进的方向。在这些讨论过程中,重要的是确保没有人受到指责,而是集中关注组织如何进行改进。与利益相关者一起详细审查网络安全剧本,以确定是否需要进行调整,以实现更有效的响应。
在谷歌公司,我们奉行一种“不随意指责个人的网络攻击事后分析理念”,这样有利于营造一种开放的反思环境,鼓励大家坦率地讨论对错以及从事件中汲取的教训。
事后总结的最终目标是要避免在网络事件前后出现意外情况。为此,组织应该在整个网络攻击过程中与利益相关者不断进行沟通和宣传教育,以加深对事件的理解,避免重蹈覆辙。如果制定一项经常加以测试的行动计划,明确角色和责任,不断更新剧本,频繁沟通,进行事后分析,并在需要时寻求外部帮助,组织就可以更有效地应对网络攻击。组织永远无法完全避免网络攻击,但总是可以学习经验和汲取教训,更有效地对付网络攻击。