如果公司受到网络攻击或勒索软件的攻击,其安全团队是否准备好并准备好主动应对?培训平台ImmersiveLabs的人文科学主管BecMcKeown表示,首席信息安全官可能会觉得他们的员工通常拥有所需的技术专长,但当危机来临时,他们可能无事可做。McKeown说:“公司可能已经制定了应对危机的政策或措施,并认为这是事件响应团队在发生网络攻击时首先要做的事情。逃离,但应对、逃跑或什么都不做。有人说,‘我们知道如何应对危机,但当危机发生时我们不知道该怎么办。’”McKeown是一位心理学家,对高风险行业进行了多年研究。在危机时刻做出反应。她的观点不仅仅是理论上的;一些公司安全负责人表示,他们也看到团队在应对现实世界的事件时陷入困境,包括那些为此类事件进行排练的团队。当团队陷入困境时,问题就会成倍增加.即使只是几个小时的响应延迟也会让网络攻击有更多的时间来造成严重破坏并延长恢复时间。这种情况还会导致响应成本增加,可能导致更高的监管罚款和业务损失。McKeown表示,安全领导者应该预见到这一点场景,结合实践以帮助最大限度地降低发生这种情况的可能性,并制定策略来识别和响应网络安全事件。McKeown说,“CISO必须了解他们是如何进行的g在这些危机来临时做出反应。能够培养员工的技能,使他们敏捷,并帮助他们在没有所有态势感知的情况下做出反应是一个好主意。这是一种心理准备。”为什么团队会陷入困境McKeown说,CISO不应该对即使是准备充分的团队陷入困境感到惊讶,因为这是人性。她说,有时事件响应团队成员可能会感到狭隘,因为他们过于专注于眼前发生的事情,而没有考虑全局,这种体验会阻止响应人员像在正常情况下那样继续前进。思考。企业网络安全负责人、国际信息系统审计师协会董事会主席尼尔·哈珀描述了他之前的经历。在一家公司担任安全顾问的第一天,他看到该公司的安全团队努力应对勒索软件攻击。“他们真的不知道该怎么办,他们处于恐慌状态,尽管他们有一些事件响应演练的经验,”他回忆道。哈珀说,他见过其他反应受阻和反应延迟的情况。在某些情况下,事件响应团队担心他们会被视为反应过度。在其他情况下,他们害怕被指责。在其他情况下,团队成员没有经历过真正的网络安全事件,没有人有信心领导应对。哈珀说:“所有这些问题,无论是单独的还是组合的,都会让团队陷入困境。马里兰大学全球校区网络安全与信息技术学院的兼职教授克里斯休斯说,他已经看到了这种情况。他正在与政府机构的安全团队合作,发现可疑流量并确认这是恶意攻击,然后被阻止,阻止他们采取行动。旁观者效应休斯说,“这有点旁观者效应。他们假设或希望有人会介入并带头。没有人动手,也没有人挺身而出。他说,直到后来,一位团队负责人才让他们从震惊中回过神来。另一方面,经验丰富的安全主管表示,有时企业高管也会变得反应迟钝,陷入“这不是”“这可能是真的”和“这不可能发生在我们身上”,然后慢慢相信这是真的。“这一刻通常发生在人们感到情况有多糟时,当人们担心它会对业务造成多大伤害时,以及当存在很多不确定性时。当所有这些信息同时出现时,团队不知道什么是真实的,什么不是真实的,什么是最好的方法。所以会有很多疑问,当恐惧、不确定、怀疑,或者三种情绪同时存在时,你会很无助。它网络安全服务提供商NetSPI的首席信息技术官NormanKromberg说,他看到团队陷入困境。他是一家公司的安全主管,该公司宣布发现恶意内幕活动后发生的网络安全事件,该公司团队已满负荷工作近两周,涉及执法部门、会计师和网络保险公司,但他们遇到了无法突破的墙,因此没有任何进展制造,克罗姆伯格说:“他们非常烦躁,互相争吵。他解释说,他认为疲劳和压力让他的团队处于混乱状态,无法推进恢复过程。如何突破当Kromberg看到他的团队苦苦挣扎并推断出原因时,他让每个人回家休息。他补充说,“我带我们的团队、供应商、法律和执法人员回家了一段时间,回来时神清气爽,网络安全很快就回到了正轨。”他说,这段经历教会了他为未来的这些时刻做计划。他说,CISO都应该这样做,并指出他们可以将各种培训和演习结合起来,以帮助最大程度地减少团队陷入困境的可能性。确保您首先具备基础知识。马里兰大学全球校园网络安全与信息技术学院兼职教授PhilipChan表示:“首席信息安全官可以通过制定事件响应计划、培训事件响应团队、定期模拟事件、鼓励公开沟通,建立透明指挥。链,以及制定精确的风险管理和事件管理策略,以帮助防止团队陷入困境。”安全专家表示,CISO接下来应该检查他们的演习(当然应该定期进行)并添加可以帮助他们的信息。团队元素更好地为真实事件做准备。为意外做好准备:“企业在网络安全演习期间会出现新情况,这可能意味着员工会故意出错,”McKeown说。例如,在演习期间完全关闭关键系统,以便团队可以练习应对意外或正在发生的网络安全事件。”McKeown补充说,这样的练习可以培养敏捷性和团队合作精神,有助于避免在危机期间经常发生的相互指责和争论。克罗姆伯格说,他曾在周五中午的节日聚会后举行了一次突击演习。他说,黑客通常会在企业最脆弱的时候发动攻击,因此他希望安全团队在这种情况下进行练习,在这种情况下,团队必须学习如何快速进入高速状态并在关键人员已经休假的情况下工作。McKeown和Kromberg说,CISO和他们的安全团队还通过尽可能多地模拟真实世界事件的练习来获得肌肉记忆。这意味着从头开始——例如最早的警告——并通过动手模拟运行相关场景,而不是演练式安全培训课程。“当人们模拟操作时,这种情况更加明显,”专注于云计算和网络安全专业服务的公司Aquia的联合创始人兼首席信息官休斯说。使用了倒计时时钟,这也让团队习惯了在网络事件期间感受到的巨大压力下工作。“这很尴尬,但你只能通过练习来建立肌肉记忆,”他说。其他人还建议CISO尝试让尽可能多的高管、其他部门和人员与安全、IT和事件响应一起工作。涉及外部支持以确定这些额外的参与者是否会遇到麻烦。“人们可能会发现,在其他领域,有些事情可能会停滞不前,比如首席执行官们在谈论网络安全事件所需的财务信息时犹豫不决,”克罗姆伯格说。Info-TechResearchGroup及其软件审查部门的首席信息安全官还应该考虑为员工创建渠道,以便在危机期间提出解决方案,ThomasRandall说,他是.对创造性解决方案的支持Randall补充说,在实际的安全事件中,团队可能没有很多时间来思考更好的方法,但有一些途径来交付和评估它们仍然很重要,因为这些创造性的解决方案可能带领团队克服阻碍他们前进的障碍。CISO可以采取的另一个步骤来帮助避免这些困难时期:聘请具有处理违规和黑客攻击经验的员工,或者聘请外部事件响应团队定期开展这项工作。哈珀说,安全主管不应低估这种体验的价值。那些经历过危机的人会发展出肌肉记忆,使他们保持冷静并带领他人摆脱困境。
