如今,安全威胁变得更加不容易控制,攻击技术变得越来越成熟和复杂。尽管如此,安全事件响应并没有获得应有的重视。
安全事件响应机制的制定应该成为企业内部一项战略活动。然而即使一个企业在遭遇了安全违规之后,安全事件响应计划仍然没有获得应有的重视。一般来说,确定一个高效的安全事件响应计划应该具备七条原则。采用以下原则,企业将能更好的应对威胁形势并能从安全事件中实现更有效的恢复。
一、强化自我意识
让安全事件响应团队意识到自身的能力和约束是关键。成功取决于对计划准备的客观认识水平。当寻求自我意识,安全事件响应团队必须避免高估自己对某个威胁的响应能力,并清楚在哪里可以获得帮助。
二、认清技术的优点和局限性
在一些安全行业活动展会现场,到处都充斥着一个普遍的市场信息:下一个伟大的技术将会解决你所有面临的问题。但高级威胁防护不等于一个产品,也没有一个孤立的解决方案可以实现。尽管如此,企业技术投资的比重还是高于安全事件响应计划的投资。
三、建立符合实际的报告和衡量机制
许多企业使用错误的度量机制来测量他们安全事件响应计划的性能。侦查扫描活动不等于安全事件,就像防病毒定义更新无法测量安全事件响应能力的成功与否一样。有效的安全事件响应团队使用更有意义的业务指标。一旦已经建立了一个通用的安全事件定义,就需要测量检测它所用的时间、抑制它扩散所用的时间和补救所用的时间。攻击者进入网络后要花多久时间才能检测到它?一旦检测出来,要花多久时间才能抑制住攻击者?要花多久时间才能完成对该安全事件的补救工作?这些测量都是以结果为导向输出的度量机制。当企业提升了员工的技能,部署了新的安全控制措施,这些测量数字就会有所改善。
四、安全计划具有可扩展性
当处理全球性公司的安全事件时,安全事件响应的可扩展性就变成非常关键的因素。很多人会对世界上最大的公司作了错误的假设,仅仅因为它们拥有最成熟的技术和能力。事实上,全球性公司的规模和自身复杂性导致安全事件响应特别具有挑战性。流程和监督对于确保安全事件响应计划的可扩展性来说至关重要。
五、注重内外协作
安全事件响应团队不是孤立的在工作,他们是一个更大社区的一部分。鉴于企业面对的绝大多数威胁形势和操作上的限制,这些团队必须工作在一个更大的社区内才能成功。成功的团队能建立良好的IT关系,认识到顾问的重要性,并能在可信合作伙伴之间共享威胁信息。
六、让企业领导层多参与安全建设
在过去,安全专家们在为博得业务领导的关注而努力奋斗。但过度聚焦在战术安全度量指标上,不能与业务需求保持一致,这已经遏制了业务领导对安全的兴趣。然而根据最近的调查,最近几年发生的网络攻击事件已经提升了70%,企业CIO也开始阅读网络攻击的文章。现在可以利用这个时机去鼓励企业领导层多多参与安全建设。
七、自主运作
安全事件响应团队的工作就是打败攻击者,他们必须有权作出关键决定,而不是必需花时间去寻求对他们行动的审批。当数据正从企业网络向外泄漏,损失是以秒来计算的,企业必须建立一个启用自主权的框架。为了启动自主权,安全事件响应团队必须制定清晰的交战规则定义,避免出现微观管理和向上操纵指挥系统现象。最后,必须确保高层管理层支持安全事件响应分析师们做出的决定——哪怕这个响应决定最后被证明是错的。错误的发生是不可避免的,但一旦他们这样做了,安全领导必须支持这些前线的分析师们的决定。安全事件响应参与者们必须能感受到管理层将会支持他们的决定,当做了错误的决定,安全事件响应团队不会因此成为替罪羊。
综上所述,制定一个协调一致、行动利落的安全响应机制能优先确保对客户的透明沟通和保护客户身份和财务信息,这将会提升企业的品牌,促进企业的发展。