有些企業(yè)已經受到勒索軟件攻擊的傷害，并且(希望)正在制定事件響應和業(yè)務連續(xù)性計劃，同時也正在執(zhí)行這些計劃。那些還沒有受到攻擊的企業(yè)應該慶幸自己的運氣，并應盡快開始這方面的工作。

我們采訪了網絡安全和合規(guī)咨詢公司 Servadus 的首席執(zhí)行官兼創(chuàng)始人羅恩·托斯托 (Ron Tosto)，就這一話題詢問了他的一些見解。

[[441202]]

阻礙公司考慮開展危機管理的常見問題有哪些?

最常見的障礙是缺乏來自企業(yè)高管層的支持。如果高管層看不到進行危機管理的理由，那么危機管理就不是公司的首要工作。這種情況與危機準備工作相關，從而就形成了公司的文化。

對于企業(yè)來說，工作日程安排也是一個非常常見的挑戰(zhàn)。執(zhí)行危機管理措施需要企業(yè)最大程度的參與。

最后，危機管理準備工作會對財務產生影響。那些資金比較緊張的企業(yè)可能不會拿錢為危機事件做準備。

在涉及到危機管理計劃和實施計劃時，最關鍵的要素/人/團隊是什么?

在事件響應計劃中，每個角色對于應對事件成功與否都至關重要。但最重要的角色是網絡運營中心或安全運營中心，其職責是發(fā)現(xiàn)攻擊事件，然后向企業(yè)發(fā)出警報。

如果某人有機會發(fā)現(xiàn)某一事件，但事實上卻沒有發(fā)現(xiàn)，則其他人就不會做出應對。在勒索事件過程中，更多的團隊成員要參與，而且要知道相互支持。每個最終用戶都有可能發(fā)現(xiàn)可疑行為，然后進行報告。保障公司安全作為企業(yè)文化的一部分，團隊成員必須了解攻擊事件的跡象，而且得到鼓勵去啟動響應計劃的第一步。

危機管理計劃是否可以完全外包給外部專家?

危機管理工作的組成要素可以包括外部專家;法律顧問、公關公司和司法調查員都是可以雇傭的人員。

就危機管理而言，首席執(zhí)行官可以雇傭危機管理顧問，但公司的領導者永遠不應忽視的一個事實是，公司雇主在危機期間所做的決定是與結果息息相關的。

事件響應和業(yè)務連續(xù)性計劃應多久修改一次，以及應該多久執(zhí)行一次?

對于領導層及其運營模式沒有發(fā)生重大變化的企業(yè)而言，應每年對事件響應計劃進行一次審查和測試。

企業(yè)收購后合并運營、遷移到云環(huán)境以及調整虛擬專用網基礎設施以支持遠程辦公人員，這些都是修改業(yè)務連續(xù)性計劃的好時機。

每當制定出一個新的業(yè)務連續(xù)性計劃時，都需要進行事件響應演習。如果在事件響應計劃中擔任主要角色的人員發(fā)生變動，則至少應對計劃進行最低程度的測試。對所有新員工，包括技術人員和領導人員，必須進行實際演習意識培訓。

為網絡安全危機制定計劃很重要，但首先是實施降低風險的策略，這也很重要。哪些重要的事情需要記住?

如何為勒索軟件攻擊做準備是一個常被問及的問題。在我看來，最好的做法是檢查您的安全控制清單，以防止黑客控制您的網絡。

Servadus 等公司可提供“勒索軟件準備情況評估服務”，幫助企業(yè)領導層發(fā)現(xiàn)自身當前所面臨的風險。當然，制定最新的事件響應和業(yè)務連續(xù)性計劃也是該評估服務的一部分內容。在企業(yè)外部，真正的價值在于修復了網絡安全控制措施的薄弱環(huán)節(jié)。

此外，企業(yè)可實施一個框架，以有助于實施安全控制措施和具有可持續(xù)性。許多企業(yè)努力保持合規(guī)性和維護其安全控制措施，但在檢查其各渠道的安全措施已部署到位后的 3-6 個月，他們仍很容易受到攻擊。

長期戰(zhàn)略涉及到真正具備可持續(xù)性的安全控制措施。該服務框架還使企業(yè)可以評估自身所面臨的威脅和所使用的系統(tǒng)軟件存在的漏洞。這是網絡風險的基本公式：威脅 + 漏洞 = 風險。除了制定網絡安全框架戰(zhàn)略之外，企業(yè)還必須能夠了解一些漏洞和威脅。

如果企業(yè)領導者認為其中任何一個要素都過于昂貴的話，則他們通常會認為保險公司可以為此進行補償。但企業(yè)領導者們應該看看他們保險單上的細則;事實是，即使您已購買了網絡安全保險，如果您沒有為網絡攻擊做好準備工作，則保險公司通常也不會賠償因網絡攻擊而造成的損失。

一些公司為了想證明自己放棄對網絡攻擊事件進行準備這一做法的合理性，他們會說網絡攻擊所造成的損失通常低于開展防護和準備工作所付出的成本?，F(xiàn)實情況是，大型企業(yè)現(xiàn)在需要支付的贖金高達數(shù)百萬美元;因勒索軟件攻擊而需支付 400 萬美元的事件已發(fā)生過多次。即使一家企業(yè)為維持業(yè)務運營而花費 100 萬美元做應對攻擊的準備工作，但它仍然比支付給網絡攻擊者的費用少 300 萬美元。