在遭遇網絡攻擊時,企業的事件響應團隊是積極應對還是束手無策?
如果企業遭到網絡攻擊或勒索軟件攻擊,其安全團隊是否會挺身而出,并準備好進行積極地應對?網絡安全培訓平臺Immersive Labs的人類科學總監Bec McKeown表示,首席信息安全官可能會覺得他們的員工通常具備所需的技術專長,但當危機來臨時,他們有可能會束手無策。
McKeown說,“企業可能制定了應對危機的政策或措施,并認為這些是在網絡攻擊發生時事件響應團隊首先要做的事情。但情況并不總是這樣,因為人們的思維方式不只是應對或逃跑,而是應對、逃跑,或者束手無策。有人說,‘我們知道如何應對危機,但在危機發生時卻不知道該怎么辦。’”
McKeown是一名心理學家,多年對高風險行業的研究為她提供了人類在危機中如何應對的視角。她的觀點不僅僅是理論上的,一些企業安全部門的負責人說,他們也看到過一些團隊在應對真實事件時陷入困境,包括那些為應對此類事件進行演練的團隊。
當團隊束手無策時,問題就會越來越多
即使只有幾個小時的響應延遲,也會給網絡攻擊更多的時間造成破壞,并延長了恢復時間。這種情況還可能導致響應成本增加,可能會導致更高的監管罰款和業務損失。
McKeown表示,安全領導者應該預測到這種情況,結合實踐來幫助最大限度地減少發生這種情況的可能性,并制定策略來識別和應對網絡安全事件。
McKeown說,“首席信息安全官必須明白在這些危機到來時將如何應對。可以培養員工的技能,讓他們變得敏捷,并幫助他們在不具備所有情境意識的情況下做出反應,這是一種心理準備。”
團隊為什么會陷入困境
McKeown表示,即使是準備充分的團隊也會有陷入困境的時候,首席信息安全官對此不應該感到驚訝,因為這是人類的天性。
她說,有時事件響應團隊成員可能會有認知狹窄的情況,因為他們太專注于眼前發生的事情,以至于他們沒有考慮整體的情況,這種經歷會妨礙反應者像在正常情況下那樣進行思考。
企業網絡安全領導者、國際信息系統審計協會董事會主席Niel Harper描述了他以前的經歷。他在一家公司擔任安全顧問的第一天,就目睹了該公司的安全團隊在應對勒索軟件攻擊方面束手無策。他回憶說,“他們確實不知道該做什么,盡管他們有一些事件響應演練的經驗,但卻處于恐慌狀態。”
Harper表示,他還見過其他情況,例如反應受到阻礙導致應對措施的延誤。在某些情況下,事件響應團隊擔心他們會被視為反應過度。在另一些情況下,他們因為害怕被指責而導致陷入困境。在另一些事件中,團隊成員沒有經歷過真實的網絡安全事件,也沒有人有信心領導應對事件。Harper說:“所有這些問題,無論單獨的還是組合的,都可能讓團隊陷入困境。”
美國馬里蘭大學全球校區網絡安全與信息技術學院的兼職教授Chris Hughes表示,他也看到過這樣的情況。他當時正在與一個政府機構的安全團隊合作,該團隊發現了可疑的流量,確認這是惡意攻擊,然后遭到阻礙,阻止他們采取行動。
旁觀者效應
Hughes說,“這有點旁觀者效應。他們假設或者希望有一個人能夠介入并起帶頭作用。沒有人這么做,也沒有人站出來。”他表示,后來在一位團隊領導者的領導下,才使他們從震驚中恢復過來。
另一方面,經驗豐富的安全主管表示,有時企業高管們也會反應遲鈍,并陷入“這不可能是真的”和“這不可能發生在我們身上”的感覺中,然后慢慢地相信這是真的。SANS技術研究所的主席Ed Skoudis說:“這個時刻通常發生在人們感到情況有多糟糕、會對企業造成多大傷害感到恐懼的時候,以及存在很多不確定性的時候。當所有這些信息同時涌來時,團隊不知道什么是真的,什么是假的,以及什么是最好的方法。因此有很多疑問,當存在恐懼、不確定、懷疑的時候,或者這三種情緒同時存在時,就會束手無策。這種情況經常發生,他們不知道如何采取下一步的行動。”
網絡安全服務商NetSPI公司的首席信息技術官Norman Kromberg表示,曾看到過團隊陷入困境的情況。他是一家公司的安全負責人,該公司在發現惡意內部活動后宣布了發生網絡安全事件,該公司的團隊在將近兩周的時間里一直在全力以赴采取措施應對,執法部門、會計師和網絡保險公司也參與其中,但他們遇到了無法突破的瓶頸,因此沒有取得任何進展。
Kromberg說:“他們十分煩躁,并且彼此之間爭吵。”他解釋說,他認為疲勞和壓力讓他的團隊處于無序狀態,無法推進恢復的進程。
如何突破困境
當Kromberg看到他的團隊陷入困境并推斷出原因時,他讓所有人回家休息。他補充說,“我讓我們的團隊、供應商、法律和執法部門的人員回家休息了一段時間,回來之后精神煥發,網絡安全恢復工作之后得到迅速推進。”
他說,這段經歷教會了他為未來的這種時刻做好計劃。他表示,首席信息安全官都應該這樣做,并指出他們可以結合各種培訓和演習,以幫助最大限度地減少團隊陷入困境的可能性。
首先要確保具有基礎知識。馬里蘭大學全球校區網絡安全與信息技術學院兼職教授Philip Chan表示:“首席信息安全官可以采取各種措施,通過制定事件響應計劃、培訓事件響應團隊、定期模擬事件、鼓勵公開溝通、建立透明的指揮鏈,以及制定精確的風險管理和事件管理策略,來幫助防止團隊陷入困境。”
安全專家表示,首席信息安全官下一步應該檢查他們的演習(當然應該定期進行演習),并添加可以幫助他們的團隊更好地為真實事件做好準備的元素。
為意外做好準備
McKeown說:“企業在網絡安全演習中提出一些新情況,這可能意味著讓員工故意出錯。例如,在演習中完全關閉一個關鍵系統,這樣團隊就可以練習應對意想不到的或正在發生的網絡安全事件。”McKeown補充說,這樣的練習可以培養敏捷性和團隊合作精神,有助于避免危機期間經常出現的指責和爭論。
Kromberg表示,他曾經在一個周五中午的假日聚會之后舉行了一次未提前宣布的演習。他表示,黑客通常在企業最脆弱的時候進行攻擊,所以他希望安全團隊在這種情況下進行練習,團隊必須學會如何迅速進入高速運轉的狀態,并在關鍵人員已經外出度假的情況下工作。
McKeown和Kromberg表示,首席信息安全官和他們的安全團隊還通過盡可能多地模擬真實事件的練習來獲得肌肉記憶。這意味著從頭開始——例如最早的警告,并通過實際操作模擬運行相關場景,而不是演練類型的安全培訓課程。
專門從事云計算和網絡安全專業服務的Aquia公司的聯合創始人兼首席信息官Hughes說:“當人們模擬操作時,這種感覺會更加明顯。”
訓練時使用倒計時鐘
Skoudis表示,他在訓練中使用了倒計時鐘,這也讓團隊習慣于在網絡事件中感受到的巨大壓力下工作。他說:“這很尷尬,但只有多加練習,才能建立肌肉記憶。”
其他人還建議首席信息安全官嘗試讓盡可能多的企業高管、其他部門和與安全、IT和事件響應協同工作的外部支持參與進來,以確定這些額外的參與者是否會陷入困境。Kromberg說:“人們可能會發現,在其他領域,一些事情可能會停滯不前,例如首席執行官在談論網絡安全事故所需的財務信息時會猶豫。”
Info-Tech Research集團及其Software Reviews部門的顧問總監Thomas Randall表示,首席信息安全官還應該考慮在危機中為員工創造提出解決方案的渠道。
支持創造性的解決方案
Randall補充道,在實際的安全事件中,團隊可能沒有很多時間來思考更好的辦法,但擁有一些渠道來提供和評估這些辦法仍然很重要,因為這些創造性的解決方案可能會帶領團隊克服讓他們陷入困境的障礙。
首席信息安全官可以采取的另一個步驟來幫助避免這些困境時刻:雇傭具有處理違規和黑客攻擊經驗的員工或與定期從事這項工作的外部事件響應團隊簽訂合同。
Harper說,安全主管不應該低估這種經驗的價值。那些經歷過危機的人會形成肌肉記憶,使他們保持冷靜,并帶領別人走出困境。
