反面模式(anti-pattern)在软件工程大量存在,主要是指在应用实践中经常出现但又低效或是有待优化的设计模式,以及那些不能很好解决问题的低效方法。通过对反面模式进行研究和分析,可以帮助开发者在系统研发时主动规避,防止产品在实际交付中出现问题。
网络安全事件响应是企业正在不断探索和完善的一个新领域,在此过程中,一些组织严重依赖于模式化、经验化的传统处置流程,却往往忽略了其中存在的很多反面模式。为了帮助企业提升网络安全事件相应效率,本文收集整理了安全事件响应中经常会遇到、应当避免使用的一些常见反面模式。通过对这些反面模式的分析总结,能够让安全人员从错误或者失败中学习提高,避免类似问题再次发生。
反面模式1:将事件通报安全团队的每个人
每当检测到安全事件发生时旧立刻通报所有安全人员并不是很好的应急响应做法,除非满足以下两个条件时:
- 组织中的安全团队规模较小,可以快速通报,并且需要团队所有能力协同工作;
- 安全事件非常严重,让所有人都参与进来是更好的选择;
当企业安全团队规模不断扩大时,全面通报安全事件的做法可能并不理想,因为最终会通知到一些与事件无关的人。这可能会加重安全告警疲劳,当安全人员的专注力总是被无关事务干扰时,很多严重的安全事件反而会忽略。
优化方案:
建立“随叫随到”的值班制度,并设置有针对性的告警策略,这样可以帮助企业有效地分配处置任务并防止事件警报疲劳。
反面模式2:频繁进行处置信息同步
事件响应者在处理突发安全事件时,往往希望一线处置人员不断更新事件动态。当然,更新是有好处的,因为这样可以让更多人充分了解情况,从而可能提供更多的建议和方案。然而,在处理很多重大安全事件时,团队如果被迫更多地关注于发送更新动态,就会无法集中精力解决事件,这可能会影响到事件处置的过程和效果。
优化方案:
指派专人负责处理沟通事宜和动态更新,及时向团队同步最新的进展情况。
反面模式3:处置决策需要充分的讨论
有一种观点认为,在处置重大安全事件决策时,需要经过充分讨论才能保障措施的正确性,因此过程中充斥着混乱和恐慌都是正常的。但实践表明,这种认知并不正确。当很多人共同应对一起事件时,需要高度协同合作并让每个人都与所采取的行动保持同步是非常关键的。混乱和恐慌会使情况恶化,应该通过明确的角色和责任来避免。
优化方案:
安全团队应该有一个决策领导人,负责决策并授权可能影响结果的更改。响应团队还可以使用线上会议平台来确保有效的沟通,防止混乱和恐慌。
反面模式4:事件发生后才开始评估危害性
在事件发生后才分析事件的严重性无疑是在浪费处置的时间。这段时间应该用来全力解决事件。企业应该为各种可能的安全事件提前定义出明确的严重性级别,因为事件响应、计划和决策都需要依据其严重性来开展。理想状态下,规则应该是技术驱动的、清晰的和自动化的,每个事件都应该有预先定义好的严重级别。
优化方案:
定期进行事件响应培训和桌面推演,以帮助团队了解如何更好地处理紧急安全事件。
反面模式5:没有事件响应关联机制
当企业缺乏将安全事件与正确的响应者联系起来的机制时,他们就无法在事件发生后第一事件通知到正确的响应者。为了寻找正确的处置人,企业可能会耽误宝贵的事件处置时间。除此之外,当涉及多个团队协作时,也可能出现无法通知到正确响应者的情况。每个团队都要有一个可识别的、可随时联系到的人,这一点对安全事件处置很重要。
优化方案:
提前制定一个清晰、运行良好的响应机制,确保可以将事件警报及时通报给正确的响应者,以确保信息传送和处置工作顺利进行。
反面模式6:事后分析不足
事后分析对于安全事件响应非常重要,因为它可以帮助企业从已经发生的安全事件中学习,并计划未来的行动。如果没有事后分析,企业将无法认识到什么是有效的,以及可以改进的地方。
导致事后分析失败的原因有很多:
有些团队经常因为截止日期和意外事件而倍感压力。因此,一旦事件解决,就忽视了进行事后分析;
有时事后分析会变成互相指责和责任追究,只有当所有成员开诚布公地讨论问题时,才会有好的事后分析结果;
在某些情况下,企业进行事后分析只是因为流程需要,而不是为了寻找真正的答案。
优化方案:
将安全事件的事后分析纳入事件响应过程的一部分,并且必须得到所有人的重视。
反面模式7:固化的处置策略和流程
企业会在一些历史的处置实践中形成思维定势,并依赖于延续这些固化的处置策略和流程。然而,很多时候安全事件的发生难以预测,固化的解决方法往往无法有效发挥作用。拥有灵活的策略和流程可以帮助企业适应不断变化的处置需求,并在需要时找到正确、合适的解决方案。
优化方案:
企业应该尝试不断应对安全风险的发展变化。另外,不要害怕做出改变。尽管一些流程上的改变会在短期内影响事件处置进程,但从长远来看会带来更快、更好的结果。
反面模式8:分工职责混乱
突发的安全事件往往会让安全团队措手不及,安全人员会在不知情的状态下承担多个角色,这样只会进一步加剧混乱局面。在处置过程种的高压状态下,安全人员被期望迅速开展行动。但是,由于团队分工职责混乱,谁也不知道自己需要做什么,这会让情况变得更糟。
优化方案:
为安全团队提前定义正确的角色和责任,如果出现改变应及时更新同步信息,让团队所有成员都知道。
参考链接:https://dzone.com/articles/anti-patterns-in-incident-response-that-you-should