從 Gartner 披露的信息來(lái)看，2021 年發(fā)生的安全事件平均違規(guī)成本達(dá)到了 17 年以來(lái)的峰值。值得注意的是，安全事件中 10% 是由勒索軟件引起，預(yù)計(jì)這一占比將在 2022 年繼續(xù)增加。為了更好應(yīng)對(duì)網(wǎng)絡(luò)安全威脅，安全與風(fēng)險(xiǎn)管理領(lǐng)導(dǎo)者必須提前做好準(zhǔn)備。

安全風(fēng)險(xiǎn)管理者應(yīng)對(duì)網(wǎng)絡(luò)風(fēng)險(xiǎn)時(shí)，快速、高效、準(zhǔn)確的安全工具必不可少。對(duì)此，Gartner 強(qiáng)調(diào)，制定事件響應(yīng)計(jì)劃、編寫(xiě)詳細(xì)的響應(yīng)手冊(cè)、定期進(jìn)行桌面演練這三個(gè)工具至關(guān)重要。通過(guò)使用這些工具，企業(yè)領(lǐng)導(dǎo)者能夠快速采取相應(yīng)的行動(dòng)，確保企業(yè)安全。接下來(lái)，本文詳細(xì)介紹三個(gè)工具的建設(shè)情況。

制定事件響應(yīng)計(jì)劃

現(xiàn)階段，網(wǎng)絡(luò)攻擊事件頻發(fā)，一旦遭受網(wǎng)絡(luò)攻擊，企業(yè)往往會(huì)被打的措手不及。企業(yè)應(yīng)當(dāng)做到“未雨綢繆，在晴天時(shí)修補(bǔ)屋頂”，在安全防御體系建設(shè)時(shí)，制定應(yīng)對(duì)網(wǎng)絡(luò)事件的一般性計(jì)劃。

1. 繪制流程圖，有規(guī)可循：

公司制定完善的安全響應(yīng)計(jì)劃時(shí)，應(yīng)規(guī)定一旦出現(xiàn)安全事件時(shí)，有可以遵循的詳細(xì)步驟。事件責(zé)任人(或類似角色)則應(yīng)確保完整實(shí)施所有步驟，并以滾動(dòng)方式跟蹤進(jìn)展和進(jìn)行溝通。

2. 定義事件嚴(yán)重等級(jí)，分類處理：

企業(yè)內(nèi)部的安全部門(mén)一旦監(jiān)測(cè)到安全威脅后，應(yīng)當(dāng)對(duì)所有安全事件進(jìn)行分類，并確定嚴(yán)重等級(jí)。這樣有助于優(yōu)先處理危險(xiǎn)系數(shù)最高的事件，一層層往下，條理明確的將所有事件逐級(jí)處理。

另外，對(duì)安全事件分析、分類后，能夠更方便的告知利益相關(guān)方事件對(duì)企業(yè)機(jī)構(gòu)的潛在或現(xiàn)實(shí)影響。嚴(yán)重等級(jí)還能決定被通知對(duì)象、升級(jí)路徑，以及需要使用的手冊(cè)。

3. 明確職責(zé)，各司其職：

網(wǎng)絡(luò)安全威脅不僅對(duì)企業(yè)內(nèi)部安全防御體系是一個(gè)重大考驗(yàn)，更挑戰(zhàn)內(nèi)部安全團(tuán)隊(duì)的配合。高效、準(zhǔn)確、快速的安全事件響應(yīng)需要團(tuán)隊(duì)合作，這時(shí)就要求明晰的職責(zé)劃分，各司其職，相互配合，更好的處理企業(yè)突發(fā)的安全事件。

RACI 模型能夠明確整個(gè)企業(yè)機(jī)構(gòu)內(nèi)有關(guān)事件響應(yīng)的所有角色和相應(yīng)責(zé)任。其中，常見(jiàn)的利益相關(guān)方包括C-suite，法務(wù)、隱私和人力資源團(tuán)隊(duì)。

編制詳細(xì)的響應(yīng)手冊(cè)

企業(yè)制定詳細(xì)的事件響應(yīng)計(jì)劃后，清楚了事件處理的流程，清晰了員工職責(zé)，但是怎樣處理突發(fā)的安全事件?還需要制定特定事件類型的詳細(xì)指南。

1. 編制響應(yīng)手冊(cè)

CSIR 團(tuán)隊(duì)?wèi)?yīng)該根據(jù)常見(jiàn)或影響巨大的事件類型，編制詳細(xì)的手冊(cè)。不同于一般性的安全事件響應(yīng)計(jì)劃，該響應(yīng)手冊(cè)旨在提供更詳細(xì)的指導(dǎo)和流程。(以勒索軟件為例)。

2. 制定勒索軟件響應(yīng)流程

企業(yè)應(yīng)對(duì)勒索軟件類型的安全事件時(shí)，應(yīng)當(dāng)繪制勒索軟件響應(yīng)流程和決策樹(shù)。該流程可用于制定詳細(xì)的響應(yīng)程序、明確職責(zé)，并制定 CSIR 團(tuán)隊(duì)用于指導(dǎo)其響應(yīng)工作的其他文件。

3. 詳細(xì)記錄響應(yīng)流程

在處理勒索軟件類型的安全事件時(shí)，應(yīng)當(dāng)與各主題專家(SME)合作，詳細(xì)記錄勒索軟件響應(yīng)流程。其中主要包括具體的指導(dǎo)、工具、示例、設(shè)置等，并應(yīng)明確每個(gè)步驟的責(zé)任方。

定期進(jìn)行桌面演練

企業(yè)怎樣檢驗(yàn)內(nèi)部安全防御體系的效果?當(dāng)然是通過(guò)定期的桌面演練了。工作中，制定多部門(mén)配合的演練方案，進(jìn)行事件響應(yīng)計(jì)劃常規(guī)測(cè)試。

1. 設(shè)置議程并邀請(qǐng)參與者

事件響應(yīng)桌面演練應(yīng)涉及整個(gè)企業(yè)機(jī)構(gòu)的領(lǐng)導(dǎo)層和決策者，需要多部門(mén)協(xié)同合作，共同演練。成功的桌面演練要確定具體的目標(biāo)，并高度結(jié)構(gòu)化，能夠涵蓋預(yù)先確定好的情景。

2. 設(shè)定事件情景和場(chǎng)景：

要想實(shí)現(xiàn)最高效的網(wǎng)絡(luò)安全桌面演練，其結(jié)構(gòu)應(yīng)該設(shè)置為一個(gè)初始情景(例如，惡意軟件)，并跟隨一系列為事件增加新信息的場(chǎng)景。這種結(jié)構(gòu)復(fù)刻了真實(shí)事件的不確定性變化。

3. 設(shè)計(jì)具有挑戰(zhàn)性的事件場(chǎng)景

桌面演練應(yīng)該復(fù)制利益相關(guān)方在實(shí)際攻擊中必須解決的挑戰(zhàn)性問(wèn)題。以勒索軟件攻擊為例，在桌面演練中，參與者需對(duì)攻擊者的贖金要求做出反應(yīng)。

設(shè)計(jì)要點(diǎn)如下：

目前，企業(yè)支付贖金后，需要考慮以下幾點(diǎn)。只有 65% 的數(shù)據(jù)能夠恢復(fù)，且只有 8% 的企業(yè)機(jī)構(gòu)能夠恢復(fù)所有數(shù)據(jù);加密文件通常無(wú)法恢復(fù);攻擊者提供的解密工具可能崩潰或失敗;復(fù)數(shù)據(jù)可能需要幾個(gè)星期;不能保證黑客會(huì)刪除被盜數(shù)據(jù)，如果信息有價(jià)值，他們可能在以后出售或披露這些信息;支付贖金可能比從備份中恢復(fù)數(shù)據(jù)更容易且更便宜，但這只會(huì)鼓勵(lì)犯罪行為;在某些情況下，支付贖金甚至可能違法。

這時(shí)候，需要企業(yè)領(lǐng)導(dǎo)者權(quán)衡是否為勒索軟件支付贖金了。

總結(jié)

現(xiàn)階段，企業(yè)面臨的網(wǎng)絡(luò)安全威脅日益增長(zhǎng)，需要加強(qiáng)內(nèi)部防御體系建設(shè)，以確保自身的網(wǎng)絡(luò)安全。另外，企業(yè)同樣需要制定完善的響應(yīng)計(jì)劃，明確規(guī)定安全事件的處理流程、員工職責(zé)和應(yīng)對(duì)策略，及時(shí)處理突發(fā)的安全事件。

最后，日常的模擬演練同樣不可或缺，只有充分熟悉應(yīng)對(duì)網(wǎng)絡(luò)安全事件的流程，才能做到應(yīng)對(duì)時(shí)的游刃有余!

參考文章：https://mp.weixin.qq.com/s/U85aYxe0AYVqndBBNf_Tpg