假設您是組織的CISO 或 IT 安全主管,并且事件響應計劃需要提升。在向管理層提出令人信服的投資業務案例後,預算已獲得準許并擴大。憑借新獲得的财富,您可以專注于擷取能夠改善資料流量監控、檢測和分析的技術。
事件計劃真的因購買技術而得到改善,還是僅僅是表面上的提升?如果沒有對該計劃進行其他更改,則可以為後者提供強有力的理由。讓我們看看為什麼。
技術:不要讓超級跑車停在車道上
與本文的标題相反,讓我們從技術入手來說明投資缺口對下遊的影響。首先,強大的技術是任何事件響應計劃的重要支柱。但不要被愚弄:技術本身并不是堅不可摧的盾牌,需要支援。
問問自己:使用網絡安全技術作為工具還是拐杖?如果是前者,程式可能也有知識淵博的人員和明确定義的流程支援它。但如果該項目缺乏人員和流程,無論是否意識到,技術都可能成為拐杖。
人員和流程可以消除技術盲點或故障點,例如:
- 配置錯誤
- 支離破碎或脫節的覆寫模型
- 服務重複或沖突
- 減少優化
- 無需微調或激活功能
- 維護不當且過時。
自動化可以帶您走很長的路,但即使如此也需要人員和流程來運作。要避免的是在車道上停放一輛異國情調的超級跑車。當然,它看起來可能令人着迷,但您不想像它本來應該被駕駛的那樣駕駛它嗎?如果你不知道如何讓這輛車脫離一檔,那麼充其量隻是一輛昂貴且維護成本高的緊湊型汽車。最壞的情況是,這是一場代價高昂的事故等待發生。
這就是人員和流程發揮作用的地方。
員工:最重要的資産
如果智囊團決定投資賽車,最好也投資賽車手、維修站從業人員、工程師、分析師、研究人員以及赢得比賽所需的其他角色。毫不誇張地說,事件響應是一場競賽——就像和平時期的勒芒 24 小時耐力賽與事故期間的 F1 瘋人院相遇。
IBM最近委托的一項研究發現,前72小時的響應對于平息事件的混亂至關重要。指出顯而易見的事實:人是參與其中的,人為因素永遠是每個事件的開始、中間和結束。你需要人們:
- 管理多個利益相關者的期望
- 評估、報告并就(如果不是做出的話)重要決策提供建議
- 創造性地思考規劃、響應和補救
- 解決上述盲點和痛點。
技術無法做到這些事情,但這正是事件響應人員的一天如此有趣的原因。就像賽車一樣,一旦事故發生,其速度可以瞬間從 0 英裡每小時加速到 100 英裡每小時。但在和平時期,事件響應人員是當地的靴子,負責告知計劃的要求和調整。
以下列問題為例:
- 工具缺失嗎?
- 工具是否配置錯誤或未優化?
- 流程是否缺失或錯位?
- 準備工作是否充分?
現在可能開始看到拼圖拼湊起來了。這個範圍的一端是大腦(人),另一端是工具(技術)。那麼是什麼讓他們互動呢?這就是過程。
流程:最小化影響
事件響應流程——包括相關的政策、計劃和行動手冊——既是事件響應計劃的粘合劑又是潤滑劑。即使是最優秀的人也會遇到不幸,這就是為什麼這些流程需要正式化。
随着事件繼續帶來壓力并日益影響響應者的健康,上述研究表明,精心設計的流程是救世主(特别是對于勒索軟體案例)。
正規化流程能夠:
- 建立肌肉記憶
- 記錄已針對環境進行壓力測試并進行相應修改的操作(至少如果做得正确的話)
- 確定維護和修複活動
- 驅動一緻性。
最重要的是,完善的流程使程式在整個事件響應生命周期中保持誠實,美國國家标準與技術研究院 (NIST) 特别出版物 800-61 計算機安全事件處理指南将其定義為:
- 準備
- 檢測分析
- 遏制、根除和恢複
- 事件後活動。
最近的事件表明,簡單的配置錯誤可能會導緻嚴重的資料丢失,例如對面向公衆的資産敞開大門。是以,生命周期的“準備”階段不僅僅涉及事件響應者,還涉及分析師、架構師、工程師和決策者的協同工作。如果沒有流程來促進這一點,決策就會在孤島中做出,進而增加盲點。
同樣,在危機期間,需要有預先存在的流程,以便角色、職責、互動、更新、激活和溝通順利運作。
合适的三重奏
是時候完成這個完整的循環了。現在我們已經确定了事件響應計劃的三個關鍵支柱,大多數人可能想到的問題是:我應該在哪裡投資?
答案無處不在。每個支柱的投資水準變得更難以确定。這個問題的答案取決于風險承受能力。
如果想把所有的雞蛋都扔進技術籃子裡,那麼沒有什麼可以阻止您,但請花點時間欣賞更大的圖景。也許解決方案不是擁有一輛超級跑車,而是擁有一輛你知道如何駕駛并能在一定程度上維護自己的日常用車。否則,可能會發現自己對機械師(又名顧問和第三方)的依賴程度超出了預期。
最後,我們的教訓是,需要在所有三個支柱上進行一定程度的平衡投資。兩條短腿和一條長腿并不能構成一張有效的——甚至是可用的——凳子。