我们可以从一场网络安全危机到另一场网络安全危机中吸取许多非常重要的教训,即使是那些实际上并没有发生但比现实更虚构的教训。我们经常听到,除非社会陷入危机,否则他们不会处理问题。不幸的是,这在信息安全领域经常发生,但本可以避免。作为安全从业者,我们无法解决整个社会的弊病。但我们最终可以完全避免它们,方法是学习如何区分真正的安全危机和捏造的安全危机,并从我们经历的每一次危机中吸取教训。本着这种精神,我总结了面对真正的网络安全危机时要问的20个问题:1.实际威胁是什么?无论您在特定情况下听到什么信息,您都需要找出您正在处理的实际威胁是什么!猜测和夸张的炒作无济于事。相反,您需要客观地了解威胁对您的组织构成的风险。2.组织面临威胁的程度如何?一旦您了解了真正的威胁,您就可以评估您的组织对该威胁的暴露程度。此步骤是必要的,因为它可以让您的组织充分了解情况的严重性和危险性。3.这种威胁给组织带来的风险是什么?一旦您了解组织面临的威胁,您就可以评估组织面临的风险问题。正是通过这一步,您才真正开始了解认真对待威胁并积极响应的重要性。4.围绕这一威胁的炒作是否合理?将现实与小说区分开来很重要。如果事实支持围绕特定威胁进行一定程度的炒作,那么这是允许的。然而,如果事实与虚构之间存在巨大差异,那么现在就是粉碎虚构的时候了。5.围绕威胁的炒作是否转化为对组织的真正风险?如果风险是真实存在的,那么是时候做出适当的反应了,这包括与合适的利益相关者保持有效的沟通。6.我们什么时候开始意识到这个问题的?我们是刚刚意识到它还是已经意识到了一段时间?这种差异是至关重要的。如果您知道您的组织正面临重大风险却不采取任何应对措施或适当升级,这将是一个相当重大的安全漏洞。7、危机为什么在这个时候出现,宜早不宜迟?如果有原因,可以将其作为持续过程改进的一部分加以解决。如果没有原因,了解原因很重要。8.我们可以事先避免这个问题吗?在许多情况下,如果更积极地进行风险评估,或者如果攻击面已显着减少,则问题本可以避免。当然,这并非在所有情况下都是正确的,但知道问这个问题是一件好事。9.为什么我们没有成功避免问题?一旦你明白了如何避免这个问题,你就需要问为什么它最终没有发生。10.问题是否对组织造成了损害?当然,这是一个典型的问题。如果损害没有发生,你需要解决风险,从错误中吸取教训,心存感激。如果已经造成损害,您仍然需要补救风险,从错误中吸取教训,当然还有事件响应。11.你需要采取什么步骤来解决这个问题?如果您需要响应和修复,第一步是确定正确执行此操作所需的步骤。花时间梳理一下并确保您采取的步骤涵盖所有基础可以节省您的时间,同时获得更高质量的结果。12.从这个问题中得到了什么教训?在处理任何问题之后,都需要从问题中提炼和吸取一些教训。此举有助于安全组织改进并最终成熟。13.我们能否吸取这些教训来避免将来出现类似情况?显然,危机模式是最后的手段。如果你能学以致用,就能避免重蹈覆辙。14.我们可能会遇到哪些其他潜在危机?后危机时期是跳出框框思考并进行分析的好时机。了解您可能遇到的其他潜在危机有助于提前缓解这些风险并改善组织的安全状况。15.你还能做些什么来避免将来出现问题?危机过后,您可能已经修复它、加强控制或改进监控,但您还能做些什么来避免同样的问题或未来出现问题?遇到类似情况怎么办?16、我们如何保证自己对问题的整改是有效的?你的计划可能只是“纸上谈兵”,所以为了使修复有效,你需要对技术和应用进行映射,然后进行全面检查以确定预设的补救措施是否会达到你的预期目标。17.我们确认修复有效了吗?如果您已完成修复,您是否测试了这些修复以确保它们有效?如果没有,以后可能还会出现类似的问题。18.我们采取了哪些措施来避免将来出现类似情况?您需要确保无论您采取什么补救措施和从错误中吸取教训,您所做的任何改进都必须是持久的,而不是一次性修复。19.我们是否准确有效地向管理层和高层传达了要做的事情?无论您是否经历过真实的危机事件,是否妥善处理,是否对安全组织进行了改进,您的行为都需要记录在案并传达给企业管理层和高管。此举有助于建立组织对安全团队能力的信心,并避免在下一个问题出现时出现过多的“后果”。20.我们是否已采取措施避免将来可能造成的损害?最后,一切都将取决于您是否已采取措施避免或尽量减少未来可能造成的损害。这可能是最难回答的问题,但也可能是最重要的问题。
