Equifax的教训:如何建立正确的网络安全事件响应计划
遭遇网络攻击会很痛苦,但如果事先有准备,痛苦程度会降低。
说起企业网络事件,有几个事实是无可非议的:攻击越来越复杂,越来越频繁,攻击规模越来越大,攻击所造成的影响也越来越严重。2015年,网络犯罪导致的公司企业经济损失是3万亿美元。而到2021年,该数字可能翻个倍。到那时,网络犯罪可能就是全世界最赚钱的犯罪企业了。
睿智的企业领导人知道网络攻击不是有可能发生,而是肯定会发生。然而,即便意识到网络犯罪带来的威胁,公司企业为网络攻击事件所做的准备还是不够充分。
以必要的措施保护企业基础设施非常重要,而且这些措施不仅仅是技术上的,人员和过程也需遵循一定的防护策略。如果攻击者攻破了这些防线会发生什么?公司企业如何处理安全事件及其影响?分秒必争的时候,前期准备就可以提升企业响应速度,避免仓促决策——因为决策利弊都已经事先权衡过了。
错误做法
各行各业大大小小公司企业遭遇的数据泄露可谓车载斗量,想找出几个企业网络安全事件响应失败的例子简直不要太容易。比如说,Equifax。这家信用监测公司遭遇了史上最大数据泄露之后,数据泄露本身就不再占据新闻头条了;该公司组织混乱问题多多的响应过程才是新闻主角。该公司先是导引潜在受害者去访问带漏洞的网站,然后又在数据泄露案发之后不停发推特消息贴出网络钓鱼链接。
从Equifax身上我们可以汲取如下几种错误响应的教训:
教训1:太多时间花在拒不承认上
一旦检测到事件,每分每秒都十分宝贵。然而,太多公司掉入了否认陷阱,要么无视异常活动,要么在事件曝光后刻意低估异常行为的影响。这种拒不承认的态度通常会破坏客户和员工信任度,令公司信誉受损,同时也会丧失掉宝贵的响应时间——正如Equifax案中所呈现的那样。
教训2:管理混乱
被黑或许会让企业陷入尴尬境地,但若能在攻击袭来时凸显出良好的组织和控制能力,公司的未来反而会更明朗。Equifax案的各种昏恰好反映出该公司内部指挥体系的缺失。
教训3:缺乏远见
指挥体系的缺位往往伴随着远见卓识的缺乏,这一点在仓促应战、矫枉过正、弄个“修复”却产生更多问题的公司身上体现得很明显。预测未来或者预判将来需作出的决策是不可能的。但我们可以事先就决策过程和人选达成一致。有了确定的负责人和规程,就可以最小化情绪和个性差异的影响,可以立即作出明智的决策。
事件响应计划最佳实践
对企业而言,拥有全面而策略性的网络安全事件响应计划,是缓解恶意入侵的最重要一步。要设计、测试和实现这样的响应计划,我们可遵循如下最佳实践:
主要利益相关者参与安全实践
安全事件影响公司里多个不同部门。因此,跨部门支持和认可在安全事件响应计划的制定和发展阶段是必要的。人力资源主管、合规官、法律代表、技术提供商及公关公司之类外部供应商,以及管理层联络人等等都需要参与进来。
描述角色
纳入主要利益相关者后,需要清晰描述其在面对安全事件时的具体责任。HR主管可能负责事件发生时的内部沟通,PR团队则处理外部协调事务。同时,法律代表应做好应对监管核查的准备,IT专家则应熟悉自身需处理的后端工作。在事件发生前确定好各自角色,可以防止出现Equifax事件中发生的那种高层混乱。
桌面推演
随着事件响应计划的充实, 一次事件模拟可以作为对计划真正的检验。演练的最佳方式是通过第三方来进行,因为这可以消除模拟攻击设计中的偏倚。桌面推演的目标应是确认事件响应计划考虑到了事件响应所需的种种动作和行为。桌面推演还可确认每个部门是否真的理解了自己的角色,而且,更重要的是,可以揭示不同个性会如何影响事件响应。
有效沟通
网络安全事件发生时,多个工作流、相互竞争的事项,还有牵涉的各类人群之中出现混乱几乎是不可避免的。事件调查只是响应中的一个部分,事件响应还包括高管简报、法律通告、HR、监管考量、公共关系等等。公司企业必须清楚怎么在混乱中有效沟通,应创建出触及公司各个部门的可行事件响应计划,然后简单明了地将该计划传达给每一名员工。
说到对公司企业的网络攻击,这里包含两个部分:事件和响应。公司企业往往控制不了前者,但可对后者施以充分的控制。设计实现出主要利益相关者认可的跨部门事件响应计划,公司企业就能在遭遇安全事件时增强其公共信任和品牌信誉,化危机为机遇。