企業(yè)安全事件響應(yīng)機制該如何制定
如今,安全威脅變得更加不容易控制,攻擊技術(shù)變得越來越成熟和復(fù)雜。盡管如此,安全事件響應(yīng)并沒有獲得應(yīng)有的重視。
安全事件響應(yīng)機制的制定應(yīng)該成為企業(yè)內(nèi)部一項戰(zhàn)略活動。然而即使一個企業(yè)在遭遇了安全違規(guī)之后,安全事件響應(yīng)計劃仍然沒有獲得應(yīng)有的重視。一般來說,確定一個高效的安全事件響應(yīng)計劃應(yīng)該具備七條原則。采用以下原則,企業(yè)將能更好的應(yīng)對威脅形勢并能從安全事件中實現(xiàn)更有效的恢復(fù)。
一、強化自我意識
讓安全事件響應(yīng)團隊意識到自身的能力和約束是關(guān)鍵。成功取決于對計劃準備的客觀認識水平。當尋求自我意識,安全事件響應(yīng)團隊必須避免高估自己對某個威脅的響應(yīng)能力,并清楚在哪里可以獲得幫助。
二、認清技術(shù)的優(yōu)點和局限性
在一些安全行業(yè)活動展會現(xiàn)場,到處都充斥著一個普遍的市場信息:下一個偉大的技術(shù)將會解決你所有面臨的問題。但高級威脅防護不等于一個產(chǎn)品,也沒有一個孤立的解決方案可以實現(xiàn)。盡管如此,企業(yè)技術(shù)投資的比重還是高于安全事件響應(yīng)計劃的投資。
三、建立符合實際的報告和衡量機制
許多企業(yè)使用錯誤的度量機制來測量他們安全事件響應(yīng)計劃的性能。偵查掃描活動不等于安全事件,就像防病毒定義更新無法測量安全事件響應(yīng)能力的成功與否一樣。有效的安全事件響應(yīng)團隊使用更有意義的業(yè)務(wù)指標。一旦已經(jīng)建立了一個通用的安全事件定義,就需要測量檢測它所用的時間、抑制它擴散所用的時間和補救所用的時間。攻擊者進入網(wǎng)絡(luò)后要花多久時間才能檢測到它?一旦檢測出來,要花多久時間才能抑制住攻擊者?要花多久時間才能完成對該安全事件的補救工作?這些測量都是以結(jié)果為導向輸出的度量機制。當企業(yè)提升了員工的技能,部署了新的安全控制措施,這些測量數(shù)字就會有所改善。
四、安全計劃具有可擴展性
當處理全球性公司的安全事件時,安全事件響應(yīng)的可擴展性就變成非常關(guān)鍵的因素。很多人會對世界上最大的公司作了錯誤的假設(shè),僅僅因為它們擁有最成熟的技術(shù)和能力。事實上,全球性公司的規(guī)模和自身復(fù)雜性導致安全事件響應(yīng)特別具有挑戰(zhàn)性。流程和監(jiān)督對于確保安全事件響應(yīng)計劃的可擴展性來說至關(guān)重要。
五、注重內(nèi)外協(xié)作
安全事件響應(yīng)團隊不是孤立的在工作,他們是一個更大社區(qū)的一部分。鑒于企業(yè)面對的絕大多數(shù)威脅形勢和操作上的限制,這些團隊必須工作在一個更大的社區(qū)內(nèi)才能成功。成功的團隊能建立良好的IT關(guān)系,認識到顧問的重要性,并能在可信合作伙伴之間共享威脅信息。
六、讓企業(yè)領(lǐng)導層多參與安全建設(shè)
在過去,安全專家們在為博得業(yè)務(wù)領(lǐng)導的關(guān)注而努力奮斗。但過度聚焦在戰(zhàn)術(shù)安全度量指標上,不能與業(yè)務(wù)需求保持一致,這已經(jīng)遏制了業(yè)務(wù)領(lǐng)導對安全的興趣。然而根據(jù)最近的調(diào)查,最近幾年發(fā)生的網(wǎng)絡(luò)攻擊事件已經(jīng)提升了70%,企業(yè)CIO也開始閱讀網(wǎng)絡(luò)攻擊的文章。現(xiàn)在可以利用這個時機去鼓勵企業(yè)領(lǐng)導層多多參與安全建設(shè)。
七、自主運作
安全事件響應(yīng)團隊的工作就是打敗攻擊者,他們必須有權(quán)作出關(guān)鍵決定,而不是必需花時間去尋求對他們行動的審批。當數(shù)據(jù)正從企業(yè)網(wǎng)絡(luò)向外泄漏,損失是以秒來計算的,企業(yè)必須建立一個啟用自主權(quán)的框架。為了啟動自主權(quán),安全事件響應(yīng)團隊必須制定清晰的交戰(zhàn)規(guī)則定義,避免出現(xiàn)微觀管理和向上操縱指揮系統(tǒng)現(xiàn)象。最后,必須確保高層管理層支持安全事件響應(yīng)分析師們做出的決定——哪怕這個響應(yīng)決定最后被證明是錯的。錯誤的發(fā)生是不可避免的,但一旦他們這樣做了,安全領(lǐng)導必須支持這些前線的分析師們的決定。安全事件響應(yīng)參與者們必須能感受到管理層將會支持他們的決定,當做了錯誤的決定,安全事件響應(yīng)團隊不會因此成為替罪羊。
綜上所述,制定一個協(xié)調(diào)一致、行動利落的安全響應(yīng)機制能優(yōu)先確保對客戶的透明溝通和保護客戶身份和財務(wù)信息,這將會提升企業(yè)的品牌,促進企業(yè)的發(fā)展。
