網(wǎng)絡(luò)安全事件響應(yīng)的責(zé)任完全落在CISO的肩上。許多CISO在技術(shù)響應(yīng)程序、桌面推演和理論計(jì)劃上投入了大量資金，結(jié)果卻發(fā)現(xiàn)，當(dāng)實(shí)際發(fā)生安全漏洞時(shí)，企業(yè)并不像應(yīng)有的那樣做好準(zhǔn)備。

每個(gè)事件都是獨(dú)一無二的，可能會(huì)帶來無法預(yù)見的復(fù)雜情況，而當(dāng)下的混亂局面很快就會(huì)破壞哪怕是最周密的計(jì)劃，但CISO可以通過避免以下這些常見陷阱，來提高團(tuán)隊(duì)的響應(yīng)能力并減少損失：

陷阱1：網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃不充分

許多企業(yè)仍缺乏一個(gè)定義明確的事件響應(yīng)計(jì)劃。有些人將事件響應(yīng)僅僅視為清除攻擊者并恢復(fù)系統(tǒng)的過程，但事件響應(yīng)遠(yuǎn)不止是一場(chǎng)技術(shù)演練：它還必須考慮業(yè)務(wù)影響、聲譽(yù)管理、財(cái)務(wù)損失、監(jiān)管處罰和法律后果。

計(jì)劃必須明確具體的角色、升級(jí)路徑、溝通策略和事后審查流程。此外，一個(gè)有效的網(wǎng)絡(luò)安全事件響應(yīng)計(jì)劃應(yīng)定期審查和測(cè)試，以確保其與不斷演變的威脅和業(yè)務(wù)目標(biāo)保持一致。

依賴一個(gè)靜態(tài)、過時(shí)的計(jì)劃，幾乎和沒有計(jì)劃一樣糟糕。

陷阱2：桌面推演效果不佳

桌面推演是事件準(zhǔn)備工作的一個(gè)基本組成部分，因?yàn)樗鼈兛梢宰屍髽I(yè)內(nèi)部不同崗位的響應(yīng)人員有機(jī)會(huì)體驗(yàn)?zāi)M的攻擊場(chǎng)景，并測(cè)試其響應(yīng)的有效性。許多企業(yè)將這些演練外包給第三方協(xié)調(diào)人員，這些人員提供的往往是泛泛的、模板化的場(chǎng)景，可能與企業(yè)的獨(dú)特結(jié)構(gòu)、行業(yè)、監(jiān)管環(huán)境或威脅態(tài)勢(shì)不符。

為了使桌面推演真正有效，它們必須實(shí)現(xiàn)內(nèi)部主導(dǎo)，并根據(jù)企業(yè)情況進(jìn)行定制。CISO需要確保桌面推演是針對(duì)公司的特定風(fēng)險(xiǎn)、安全用例和合規(guī)要求量身定制的。演練應(yīng)該定期舉行(至少每季度一次)，并要用批判性的眼光來評(píng)估，以確保演練結(jié)果能夠體現(xiàn)在公司更廣泛的事件響應(yīng)計(jì)劃中。

如果不考慮這些因素，桌面推演就有可能淪為一項(xiàng)只是走過場(chǎng)的活動(dòng)，而不是提高響應(yīng)準(zhǔn)備狀態(tài)的有意義的舉措。

陷阱3：信息共享無效或延遲

雖然CISO可能負(fù)責(zé)網(wǎng)絡(luò)安全事件響應(yīng)，但事件響應(yīng)并非安全團(tuán)隊(duì)的唯一責(zé)任。在重大網(wǎng)絡(luò)安全事件中，多個(gè)業(yè)務(wù)部門之間需要進(jìn)行有效協(xié)調(diào)，并讓關(guān)鍵代表在響應(yīng)中發(fā)揮作用。

事件響應(yīng)中最常見的失敗之一就是缺乏及時(shí)的信息共享。包括人力資源、公共關(guān)系、法務(wù)、高管和董事會(huì)成員在內(nèi)的關(guān)鍵利益相關(guān)者必須實(shí)時(shí)了解有關(guān)情況。如果沒有適當(dāng)?shù)臏贤ㄇ篮皖A(yù)定義的報(bào)告結(jié)構(gòu)，錯(cuò)誤的信息或延誤可能會(huì)導(dǎo)致混亂、停機(jī)時(shí)間延長(zhǎng)，甚至因未能在規(guī)定時(shí)間內(nèi)報(bào)告事件而面臨監(jiān)管處罰。

CISO有責(zé)任主動(dòng)建立明確的溝通協(xié)議，并確保所有響應(yīng)人員和利益相關(guān)者都了解自己在事件管理中的角色。這些步驟可以包括為內(nèi)部和外部利益相關(guān)者群體定義通知時(shí)間表、建立用于響應(yīng)更新的專用溝通渠道，并確保能夠訪問關(guān)鍵文檔和決策指南。

陷阱4：響應(yīng)中的安全漏洞

事件響應(yīng)需要在響應(yīng)人員和利益相關(guān)者之間進(jìn)行快速、安全和多渠道的溝通。然而，企業(yè)所依賴的許多通信工具和平臺(tái)——如電子郵件、企業(yè)聊天平臺(tái)和批量通知系統(tǒng)——都與企業(yè)基礎(chǔ)設(shè)施相關(guān)聯(lián)，這些基礎(chǔ)設(shè)施在攻擊期間可能會(huì)遭到破壞。這帶來了巨大的風(fēng)險(xiǎn)，包括竊聽、數(shù)據(jù)泄露，甚至被攻擊者進(jìn)一步利用。

帶外通信能力對(duì)于保障響應(yīng)工作和使其免受攻擊者監(jiān)視至關(guān)重要。企業(yè)應(yīng)建立安全、獨(dú)立的渠道來協(xié)調(diào)事件響應(yīng)，這些渠道不應(yīng)與企業(yè)網(wǎng)絡(luò)相關(guān)聯(lián)。可以使用預(yù)定義的備份系統(tǒng)來共享敏感的響應(yīng)數(shù)據(jù)，同時(shí)使用帶外通信渠道進(jìn)行受保護(hù)的通信。

CISO和響應(yīng)團(tuán)隊(duì)不應(yīng)假設(shè)業(yè)務(wù)或危機(jī)管理工具具有內(nèi)置安全性。在事件期間使用的每一種通信和協(xié)作工具都應(yīng)進(jìn)行審查、測(cè)試其對(duì)抗網(wǎng)絡(luò)威脅的韌性，并檢查是否存在潛在的未經(jīng)授權(quán)訪問。

陷阱5：手動(dòng)流程阻礙及時(shí)響應(yīng)

許多企業(yè)仍然依賴過時(shí)、手動(dòng)的事件響應(yīng)流程。包含呼叫樹和通用場(chǎng)景的傳統(tǒng)活頁夾可能無法適應(yīng)現(xiàn)代的攻擊手法，從而導(dǎo)致響應(yīng)延遲或無效。

為了提高效率，企業(yè)應(yīng)采用自動(dòng)化和動(dòng)態(tài)事件響應(yīng)手冊(cè)。這些手冊(cè)可以為特定事件類型提供逐步指導(dǎo)，并根據(jù)預(yù)定義的閾值自動(dòng)發(fā)出警報(bào)和采取行動(dòng)。采用自動(dòng)化能力可以實(shí)現(xiàn)企業(yè)內(nèi)部的快速?zèng)Q策和協(xié)調(diào)。

通過用交互式和自動(dòng)化響應(yīng)機(jī)制取代靜態(tài)文檔，企業(yè)可以顯著減少響應(yīng)時(shí)間，更有效地減輕潛在損失。這種方法還提供了一個(gè)(最新的)單一信息來源，消除了響應(yīng)人員參考過時(shí)活頁夾的風(fēng)險(xiǎn)。

采用自動(dòng)化簡(jiǎn)化網(wǎng)絡(luò)安全事件響應(yīng)

事件響應(yīng)比以往任何時(shí)候都更加復(fù)雜。傳統(tǒng)的政策和程序無法應(yīng)對(duì)當(dāng)今不斷演變的攻擊場(chǎng)景所帶來的挑戰(zhàn)。即使做了最充分的準(zhǔn)備，實(shí)際攻擊帶來的混亂和壓力也可能導(dǎo)致錯(cuò)誤和延誤。

為了提高準(zhǔn)備狀態(tài)，CISO必須更深入地挖掘，找出其事件響應(yīng)策略中的關(guān)鍵弱點(diǎn)和特殊考慮因素。雖然事件檢測(cè)和響應(yīng)獲得了公司安全投資的很大一部分，但事件準(zhǔn)備同樣至關(guān)重要(如果不是更重要的話)。在主動(dòng)解決常見陷阱的同時(shí)，企業(yè)不僅能提高事件響應(yīng)的有效性，還能加強(qiáng)其對(duì)抗網(wǎng)絡(luò)威脅的整體韌性。