投资者比以往任何时候都更担心数字威胁。普华永道2018年“ 全球投资者调查 ”的受访者将网络威胁称为企业面临的最大威胁 – 比去年的第五位跃升。
这些恐惧是有道理的。去年12月由SafeBreach发布的研究 表明,恶意软件 渗透成功率高于60%,研究了3,400种安全漏洞方法 。一旦进入系统,黑客就会比他们试图进入时更容易移动。事实上,其中70%的人能够横向浏览系统。
安全领导者对此感到担忧,但识别违规行为说起来容易做起来难。仅仅因为某些事情是异常的并不意味着系统被破坏,有时系统会在发生任何异常事件之前被破坏。当 需要采取行动时,许多团队甚至无法诊断问题。
一个真正的安全事件是指一些可能产生负面像机密性,完整性和可用性影响的信息安全目标。当系统中的某些内容触发警报或看起来不寻常时,安全团队需要制定协议来诊断,处理和中和问题。有效的事件响应计划可以是容易修复的漏洞与灾难性安全漏洞之间的区别。
什么使安全响应计划合法化?
不幸的是,网络安全事件的可变性使得准备工作变得困难。将事件响应计划放在一起就像准备龙卷风一样 – 在风暴到来之前,你不会真正知道损坏的程度。但是,您可以计划几个有效的行动方案,并收集您需要回应的所有内容
设计事件响应计划需要时间,但在事件发生之前计划的压力远远小于在一个事件之前或之后的压力。一些时间紧张的企业可能会试图从互联网上下载通用的安全计划,但如果没有前端的时间投入,组织中的任何人都不会真正购买计划或深入研究它。因此,当事件发生并且通用计划中的某些协议(例如,在事件发生和事件通信之间花费72小时)与组织需求冲突时,没有人真正确定该怎么做。
欧洲的GDPR立法有一个部分 试图为事件响应提供一些标准化,但这些指南仅为组织特定计划提供了一个起点。CISO及其团队面临着太多可变的问题,需要依靠剪切和粘贴计划。如果公司疏忽了其监控环境的义务,那么它会解释吗?公司的内部控制如何识别事件?组织是否拥有必要的工具和人员来完成计划?有很多问题,CISO需要找到答案并将这些答案包含在自定义计划中。
CISO加紧进行
CISO监督整个安全行动,因此当危机爆发时,他们有责任为事件响应小组的每个利益相关者制定明确的方向。这包括安全,法律和 法医 员工(通常是外部顾问); 执法部门(通常是FBI); 相关监管机构; 保险公司; 公关部门; 人力资源; 以及任何可能受到违规影响的人。知道何时涉及第三方以及何时将流程保留在内部应该包含在每个组织的事件响应计划中,这是定制通常导致更有效计划的部分原因。
框架,如 NIST网络安全框架 可以帮助通过四个不同的步骤组织的网络安全程序:识别,检测,响应和恢复。通过使用此框架作为起点,CISO可以组合并实施适用于其组织的事件响应计划,并尽可能少地留下机会。
与计划的存在同样重要的是维护。威胁不断发展,定期测试和修改事件响应计划将使团队保持参与。识别新威胁是最大的障碍,但这些新威胁也需要新的威胁。
没有强有力的事件响应计划,任何公司都不应该轻松呼吸。下一个网络安全威胁总是指日可待,准备不足的公司为自己和客户带来巨大风险。