如果企业遭到网络攻击或勒索软件攻击,其安全团队是否会挺身而出,并准备好进行积极地应对?网络安全培训平台Immersive Labs的人类科学总监Bec McKeown表示,首席信息安全官可能会觉得他们的员工通常具备所需的技术专长,但当危机来临时,他们有可能会束手无策。
McKeown说,“企业可能制定了应对危机的政策或措施,并认为这些是在网络攻击发生时事件响应团队首先要做的事情。但情况并不总是这样,因为人们的思维方式不只是应对或逃跑,而是应对、逃跑,或者束手无策。有人说,‘我们知道如何应对危机,但在危机发生时却不知道该怎么办。’”
McKeown是一名心理学家,多年对高风险行业的研究为她提供了人类在危机中如何应对的视角。她的观点不仅仅是理论上的,一些企业安全部门的负责人说,他们也看到过一些团队在应对真实事件时陷入困境,包括那些为应对此类事件进行演练的团队。
当团队束手无策时,问题就会越来越多
即使只有几个小时的响应延迟,也会给网络攻击更多的时间造成破坏,并延长了恢复时间。这种情况还可能导致响应成本增加,可能会导致更高的监管罚款和业务损失。
McKeown表示,安全领导者应该预测到这种情况,结合实践来帮助最大限度地减少发生这种情况的可能性,并制定策略来识别和应对网络安全事件。
McKeown说,“首席信息安全官必须明白在这些危机到来时将如何应对。可以培养员工的技能,让他们变得敏捷,并帮助他们在不具备所有情境意识的情况下做出反应,这是一种心理准备。”
团队为什么会陷入困境
McKeown表示,即使是准备充分的团队也会有陷入困境的时候,首席信息安全官对此不应该感到惊讶,因为这是人类的天性。
她说,有时事件响应团队成员可能会有认知狭窄的情况,因为他们太专注于眼前发生的事情,以至于他们没有考虑整体的情况,这种经历会妨碍反应者像在正常情况下那样进行思考。
企业网络安全领导者、国际信息系统审计协会董事会主席Niel Harper描述了他以前的经历。他在一家公司担任安全顾问的第一天,就目睹了该公司的安全团队在应对勒索软件攻击方面束手无策。他回忆说,“他们确实不知道该做什么,尽管他们有一些事件响应演练的经验,但却处于恐慌状态。”
Harper表示,他还见过其他情况,例如反应受到阻碍导致应对措施的延误。在某些情况下,事件响应团队担心他们会被视为反应过度。在另一些情况下,他们因为害怕被指责而导致陷入困境。在另一些事件中,团队成员没有经历过真实的网络安全事件,也没有人有信心领导应对事件。Harper说:“所有这些问题,无论单独的还是组合的,都可能让团队陷入困境。”
美国马里兰大学全球校区网络安全与信息技术学院的兼职教授Chris Hughes表示,他也看到过这样的情况。他当时正在与一个政府机构的安全团队合作,该团队发现了可疑的流量,确认这是恶意攻击,然后遭到阻碍,阻止他们采取行动。
旁观者效应
Hughes说,“这有点旁观者效应。他们假设或者希望有一个人能够介入并起带头作用。没有人这么做,也没有人站出来。”他表示,后来在一位团队领导者的领导下,才使他们从震惊中恢复过来。
另一方面,经验丰富的安全主管表示,有时企业高管们也会反应迟钝,并陷入“这不可能是真的”和“这不可能发生在我们身上”的感觉中,然后慢慢地相信这是真的。SANS技术研究所的主席Ed Skoudis说:“这个时刻通常发生在人们感到情况有多糟糕、会对企业造成多大伤害感到恐惧的时候,以及存在很多不确定性的时候。当所有这些信息同时涌来时,团队不知道什么是真的,什么是假的,以及什么是最好的方法。因此有很多疑问,当存在恐惧、不确定、怀疑的时候,或者这三种情绪同时存在时,就会束手无策。这种情况经常发生,他们不知道如何采取下一步的行动。”
网络安全服务商NetSPI公司的首席信息技术官Norman Kromberg表示,曾看到过团队陷入困境的情况。他是一家公司的安全负责人,该公司在发现恶意内部活动后宣布了发生网络安全事件,该公司的团队在将近两周的时间里一直在全力以赴采取措施应对,执法部门、会计师和网络保险公司也参与其中,但他们遇到了无法突破的瓶颈,因此没有取得任何进展。
Kromberg说:“他们十分烦躁,并且彼此之间争吵。”他解释说,他认为疲劳和压力让他的团队处于无序状态,无法推进恢复的进程。
如何突破困境
当Kromberg看到他的团队陷入困境并推断出原因时,他让所有人回家休息。他补充说,“我让我们的团队、供应商、法律和执法部门的人员回家休息了一段时间,回来之后精神焕发,网络安全恢复工作之后得到迅速推进。”
他说,这段经历教会了他为未来的这种时刻做好计划。他表示,首席信息安全官都应该这样做,并指出他们可以结合各种培训和演习,以帮助最大限度地减少团队陷入困境的可能性。
首先要确保具有基础知识。马里兰大学全球校区网络安全与信息技术学院兼职教授Philip Chan表示:“首席信息安全官可以采取各种措施,通过制定事件响应计划、培训事件响应团队、定期模拟事件、鼓励公开沟通、建立透明的指挥链,以及制定精确的风险管理和事件管理策略,来帮助防止团队陷入困境。”
安全专家表示,首席信息安全官下一步应该检查他们的演习(当然应该定期进行演习),并添加可以帮助他们的团队更好地为真实事件做好准备的元素。
为意外做好准备
McKeown说:“企业在网络安全演习中提出一些新情况,这可能意味着让员工故意出错。例如,在演习中完全关闭一个关键系统,这样团队就可以练习应对意想不到的或正在发生的网络安全事件。”McKeown补充说,这样的练习可以培养敏捷性和团队合作精神,有助于避免危机期间经常出现的指责和争论。
Kromberg表示,他曾经在一个周五中午的假日聚会之后举行了一次未提前宣布的演习。他表示,黑客通常在企业最脆弱的时候进行攻击,所以他希望安全团队在这种情况下进行练习,团队必须学会如何迅速进入高速运转的状态,并在关键人员已经外出度假的情况下工作。
McKeown和Kromberg表示,首席信息安全官和他们的安全团队还通过尽可能多地模拟真实事件的练习来获得肌肉记忆。这意味着从头开始——例如最早的警告,并通过实际操作模拟运行相关场景,而不是演练类型的安全培训课程。
专门从事云计算和网络安全专业服务的Aquia公司的联合创始人兼首席信息官Hughes说:“当人们模拟操作时,这种感觉会更加明显。”
训练时使用倒计时钟
Skoudis表示,他在训练中使用了倒计时钟,这也让团队习惯于在网络事件中感受到的巨大压力下工作。他说:“这很尴尬,但只有多加练习,才能建立肌肉记忆。”
其他人还建议首席信息安全官尝试让尽可能多的企业高管、其他部门和与安全、IT和事件响应协同工作的外部支持参与进来,以确定这些额外的参与者是否会陷入困境。Kromberg说:“人们可能会发现,在其他领域,一些事情可能会停滞不前,例如首席执行官在谈论网络安全事故所需的财务信息时会犹豫。”
Info-Tech Research集团及其Software Reviews部门的顾问总监Thomas Randall表示,首席信息安全官还应该考虑在危机中为员工创造提出解决方案的渠道。
支持创造性的解决方案
Randall补充道,在实际的安全事件中,团队可能没有很多时间来思考更好的办法,但拥有一些渠道来提供和评估这些办法仍然很重要,因为这些创造性的解决方案可能会带领团队克服让他们陷入困境的障碍。
首席信息安全官可以采取的另一个步骤来帮助避免这些困境时刻:雇佣具有处理违规和黑客攻击经验的员工或与定期从事这项工作的外部事件响应团队签订合同。
Harper说,安全主管不应该低估这种经验的价值。那些经历过危机的人会形成肌肉记忆,使他们保持冷静,并带领别人走出困境。