在整體環境和政策的推動下,近些年來企業使用者對于網絡安全的重視程度提升已是不争的事實,但對于企業内部專業或者兼職的安全人員而言,是否能夠在遭受攻擊的情況下具備與對手一戰的能力呢?相信很多安全主管未必具有很強的信心,畢竟身經百戰的人終歸是少數,而那些哪怕經過了專業教育訓練的安全人員,在實戰的壓力之下,仍然可能會不知所措,進而導緻風險未能有效的全部阻斷,甚至有可能進一步的擴大。
在很多因素推動下,很多企業在安全相關的制度、流程建設方面都做得較為到位,至少不是沒有,可執行它的畢竟是人,當事件發生時,那些并不是很熟練的員工腦海中想到的第一個問題仍然是“我應該怎麼做?”這甚至就像很多孩子上學時遇到的問題一樣,各種公式倒背如流,但當一道題擺在面前時,卻不知道如何運用。
坦率地說,這并非是安全獨有的問題,而是人本身在其他方面也會時而出現的問題,但對于CISO們而言,容不得半點馬虎的安全,也必須要對此類問題予以關注,畢竟團隊或人是自己帶的,事件一旦發生自己就是責無旁貸的責任人,在面對已發生的事件時一旦團隊甚至某個人出現了不知所措的情況,這種響應的延遲就會給攻擊者更多的事件,進行更多、更深入的破壞,延長恢複時間不說,僅是合規層面也許就會面臨更大的損失,屆時恐怕隻能是卷鋪蓋卷走人了,而這也許還是最輕的後果。
是以,至少我們應拿出一定的時間和精力去關注團隊以及其中的人,去考慮發生這種情況的可能性,結合實際情況甚至是實踐來盡可能地降低甚至消除它,有針對性地制定相關政策。
恐慌心理及害怕擔責或是人為因素導緻響應工作不力的重要原因
在解決問題時,第一件事就是要了解問題的原因是什麼。正如前文所述,在壓力之下不知所措甚至犯錯,是人的一種天性,在安全備受重視的今天,安全團隊的成員聘任總是會相對較為謹慎,即便是缺乏經驗,但也會在引入後進行相關的知識、技能教育訓練,以讓他們更靈活地應對安全問題和事件,但實踐證明,這無法解決全部問題。
此前曾看到一篇文章探讨過此類問題,它的根源還是在于人本身,即便是經過訓練,但在實戰認知方面仍然相對較為匮乏,在發生問題時往往隻是關注眼前的情況本身,以至于無法考慮所有情況,換句話說,就是在事件面前,有些人可能無法像往常一樣思考,哪怕是此前的教育訓練經曆中會有描述應該怎麼做。在此前了解到的勒索軟體攻擊真實案例中,受害企業的安全團隊的确就遇到了這個問題,“當時他們能做的就是告訴你發生了什麼,而對于如何應對和響應,幾乎就是一片空白。”
恐慌心理。為什麼有過教育訓練、了解後仍然還會出現這樣的情況?在我們看來,當事件來臨時出現一定的恐慌情緒很正常,關鍵是能否快速冷靜下來,但有些人則容易在這方面表現出反應過度,既有因缺少甚至未經曆過真實事件而對自己能否成功處置事件沒有信心,又或是擔心因操作失誤産生其他不良後果而被上級指責等等,當其中的某一個甚至是某幾個因素疊加,必然會導緻不知所措的情況出現。
旁觀者心理。“能背鍋的人千千萬 為什麼非得出頭?”。這種現象在職場中也很常見,無論是個人性格問題還是有其他想法,在一些需要承擔責任的工作方面,總會希望身邊的同僚會站出來。
這些情況是真實存在并會發生的,在安全事件出現時,安全人員所面對的時諸多的不确定性——攻擊從哪兒來?它會造成什麼樣的後果?我的處置思路是不是正确的?會不會衍生其他次生災害?當所有這些問題在一瞬間湧入到一個人的腦海中,恐慌、不确定、懷疑等等同時存在,足夠在短時間内讓人崩潰,不知所措的情況出現也就不足為奇了。到這裡其實事情還沒完,這些因素疊加還會導緻人們産生一種急躁甚至是暴躁的情緒,這對于處置事件沒有任何好處,隻會讓響應工作停滞的時間更久。
基礎建設工作必須到位 實戰演練不應限于“按部就班”
通過上述原因能夠看出,和網絡安全中的攻防對抗一樣,我們要面對的不僅僅是攻擊者,還有我們的隊友和同僚,那麼如何盡可能降低上述情況出現的可能性呢?
1、基礎建設工作必須到位。這裡包括事件響應計劃、教育訓練事件響應團隊、定期模拟演練、鼓勵公開溝通、透明的指揮鍊條,此外還應擁有精确的風險管理和事件管理政策。其中重點是在演練、溝通和透明,以幫助安全相關人員能夠在事件發生時就已經擁有一定的實戰經驗,哪怕是在自己無法處理的情況下,也會知道自己應該去找誰進行溝通和彙報,保證事件響應的工作不會停滞在某一個人身上。
2、為意外情況做好準備。這一措施仍然離不開演練,但和前面的常态化演練不同之處在于,需要在演練計劃中設定一些“意外”事件,比如讓一個參與人員故意做出錯誤的舉動,或者在演練期間關閉某些關鍵系統等等,通過這些“意外”去檢驗和鍛煉安全人員的實戰能力,包括技能、溝通甚至指揮,這樣做将有利于減少甚至規避在真實事件過程中會常見不作為、争論、推诿等可能出現的不良情況。
3、讓安全人員習慣壓力。這裡所說的壓力并不是刻意讓大家加班那種類型的,而是鍛煉在處置事件過程中的抗壓能力,其實和上面第2點非常像,比如在演練過程中強制設定處置時長,超出就會有懲罰措施,這會令所有參與演練的人壓力倍增,這也會促進所有參與人員以更積極地态度參與,而如果扛不住壓力産生倦怠消極情緒的,也可以在這一過程中被淘汰,畢竟這樣的人在真實事件發生時也不會及起到良好作用。
在我們看來,演練是規避很多人為問題的重要且有效的手段,從安全人員到普通員工,甚至是具有決策權的管理人員(這很重要),都應對企業的安全制度、流程有清晰的了解,并積極參與基礎的安全建設和演練工作,就像運動員一樣,通過一次次模拟真實賽場的演練,對在賽場中可能遇到各種情況的應對形成一種肌肉記憶,這樣才能在安全事件從告警出現那一刻開始,整個響應、處置工作都是順暢且有效的,至少不讓人的因素成為阻礙響應工作進行的障礙。
除此之外,盡管成本相對較高,聘任具有豐富實戰經驗(無論是攻擊還是防禦)的安全專家仍然是在短期内迅速提高事件響應能力的有效手段,但任何團隊都無法保證所有人員的能力都處在一個水準,是以前述哪些工作尤其是常态化實戰演練仍然要做。另外,采購具備專業安全廠商所提供的安全服務(如MSS)也會是一個投入産出比相對合适的方案之一。(擴充閱讀:MSS:超越傳統邊界 搭載威脅情報、MDR等擴充能力)
無論如何,安全的問題最後還是人的問題,單純的依靠紙面上的安全制度和某一兩個人的力量是無法解決所有問題的,仍然需要磨合、演練去不斷地檢驗和提升團隊的實戰能力,讓安全團隊的能力也伴随企業的發展而發展,在應對真實風險時具備符合期望的戰鬥力。
#網絡安全##網絡防禦#