《地球战栗》作者Ayn Rand曾经说:“最难理解的莫过于平时习以为常的事情出了状况。”这种说法非常适用于IT和信息社区在事件响应方面的做法。每家企业都看似安全、合规且能够处理任何发生的安全事件,当然,等事情真正发生时就不是那么回事儿了。事实上,企业的事件响应政策存在很多空白、漏洞和不足。作为IT或安全管理人员,事件发生后,你会突然变成被关注的焦点,但是很多情况下,你都没做好准备。
很多事件响应计划只是理论,而没有实际做法。而恰恰企业应该制定明确做法,在事件或泄露事故发生后可供大家遵循。请不要再使用非正式政策,这些政策通常不会被强制执行,大多数人也不重视。如今,详细的安全事件响应政策或计划与企业灾难恢复计划一样重要,甚至要更加重要。如果你没有事件响应策略或可行程序,那么是时候开始部署了。不过,你应该避免犯这些错误:
• 在没有全部正确信息的情况下作出决策
正如竖立IT和安全目标能够指引你朝正确的方向前进,你需要从系统和人员那里获取良好的信息以有效应对安全事件。不过,对于某些事件,有些人会对发生的事情找合理化借口,并将原本不好的事情说成好的事情。在很多情况下,人们在完全没有任何信息的情况下作出决策,这对企业安全来说很不好。
• 专注于清单项目而不是流程
现实情况是,很多企业并没有对其信息风险进行真正的评估。大多数IT和安全专业人员不知道敏感信息的位置;在数据泄露的情况下,非常难以发现哪些系统和信息已被泄露。对于网络事件响应,企业不应该使用核对清单,应注重流程。
• 行动速度不够快
部署事件响应政策的首要目标之一是:保持与任何随后调查有关的系统、信息和日志记录的完整性。企业应该获取这些信息并使其随时可用。理想情况下,你应该有外部事件响应和随时协助取证公司的任何调查。
• 律师没有作为事件响应领导者
在法律方面,关键策略是获取和维持律师-委托人特权。你的律师应该起领导作用,特别是要担负起与安全团队成员及外部供应商联系的主要人员。
• 没有提前准备适当的工具
当事件响应是“事后将军”时,部署必要的安全和取证工具来协助事件调查通常已经为时过晚。企业应该在需要工具前就购买适当的工具,例如日志聚合、SIEM和取证分析,无论是内部使用还是外包。否则,你无法知道你何时需要这些工具。
• 没有制定公共关系策略
很多人认为当事件变得很糟糕时,管理层会把事情处理好。你知道应该找哪位高管来获取必要的信息吗?如果长期声誉非常重要,则应该确定谁可以代表企业发言。如果有疑问,企业可以提前聘请外部公关公司。
无论企业信息事件响应政策的成熟度水平或者方法如何,管理层都应参与其中。他们需要将事件响应视为信息安全的核心功能,在整个业务连续性和灵活性方面发挥重要作用。如果他们明白这一点,那么,当事件发生时每个人都会齐心协力,从而简化原本痛苦而复杂的过程。如果他们无法理解,眼下可能顺风顺水,但当事件发生时,则全都遭殃。
请退一步想想企业在过去是如何响应安全问题的,以及在未来企业应该如何响应安全事件。现在应该着手调整企业事件响应政策了,做到未雨绸缪。