當網絡安全事件發(fā)生時，這不僅僅是一個孤立的事件。對于許多CISO來說，它重塑了他們對韌性、風險管理乃至工作中個人福祉的看法。

　　幾位安全領袖反思了從實際事件中汲取的教訓，并強調了與社區(qū)分享這些教訓的重要性，以加強集體韌性、消除對數據泄露的偏見，并幫助那些可能自己面臨類似事件的人。

　　1. 分享學習成果，提升整體安全水平

　　處于風暴中心的CISO應預料到媒體關注以及來自各方對事件的評論，這些評論可能帶有各種不同的動機。

　　“你很快就會受到全世界的關注。”Solarwinds的CISO Tim Brown說。

　　而且并非所有關注都是善意的，因為一些評論者會利用事件來達到自己的目的，無論是提高自己的知名度、貶低其他企業(yè)，還是僅僅為了上新聞。

　　另一方面，一些事件為幫助整個行業(yè)提供了機會，因為包括優(yōu)秀研究人員在內的各種人都在關注，Brown說。

　　雖然分享內容可能受到法律、公司和監(jiān)管方面的考慮，但在技術策略方面，很可能有值得分享的東西。

　　Brown認為，從數據泄露中總能汲取重要教訓，無論是那些最終被編入教科書和大學課程的高知名度事件，還是通過會議小組和其他活動在同行之間分享的經驗。“總是要從事件中尋找積極的一面，你如何幫助行業(yè)前進?你能幫助CISO社區(qū)嗎?”他說。

　　CrashPlan的CISO Todd Thorsen也同意，參與事件會帶來戰(zhàn)術上的教訓。有時，事件就是“不應該發(fā)生什么”的完美測試案例，Thorsen在2013年Target數據泄露事件期間是網絡安全團隊的一員。

　　他的方法是進行無責備的復盤，以了解根本原因，創(chuàng)造一個開放討論的安全環(huán)境，并識別可以改進的地方。目標是分析流程，而無需擔心后果。他鼓勵安全人員與社區(qū)分享學習成果，因為“最終，大家都在打同樣的仗”。

　　分享見解也是在更廣泛的社區(qū)中建立支持網絡并回饋社區(qū)的重要方式，因為總有一天你可能需要向同行求助。“你永遠不知道什么時候可能需要從社區(qū)中‘提取’幫助。”Thorsen說。

　　2. 你需要從防御轉向進攻

　　事件發(fā)生后，CISO的角色和職責將不再相同。

　　“12月11日我的工作和12月12日及之后的工作截然不同。”Brown說。

　　事件發(fā)生后，一些企業(yè)需要進行如此程度的變革，以至于他們需要一個具有不同方法的新CISO。根據Brown的說法，CISO并不總是因為無能或人們認為是他們的錯而被解雇，這很大程度上取決于具體情況以及CISO的適應能力。

　　“如果你想成為事件后的CISO，那么你真的需要具備成為那樣的CISO所需的技能，而這些技能與你前一天所需的技能大不相同。”Brown說。

　　許多經歷過事件的CISO將改變他們的方法和心態(tài)，以親身經歷攻擊。“你將培養(yǎng)一種攻擊性的視角，想要比對手更好地了解你的攻擊面，并相應地分配資源以防范風險。”AppOmni的安全和IT副總裁Cory Michel說，他曾參與過幾個事件響應團隊。

　　在實踐中，從防御轉向進攻意味著為不同類型的攻擊做好準備，無論是平臺濫用、漏洞利用還是高級持續(xù)性威脅(APT)，并量身定制響應措施。

　　Michel將紅隊演練和實戰(zhàn)化演練納入進攻策略，這也意味著定期回顧、重新開始，并挑戰(zhàn)當前的安全方法，以尋找差距和弱點。在職的CISO“可能會因為過于沉浸在細節(jié)中而看不到當前的情況。”他告訴記者。

　　3. 你將制定處理事件的戰(zhàn)術手冊

　　事件提醒我們，需要有一個經過充分演練的響應計劃，它應指定一名強有力的內部協(xié)調員，并有權利用外部專業(yè)知識，如泄露教練和法律顧問。

　　“你需要核心人員與媒體溝通、與保險公司接觸、在無法恢復數據時開始調查，并知道如何與攻擊者就贖金問題進行溝通。”XYPRO的CISO Steve Tcherchian說。

　　Tcherchian發(fā)現，如果沒有明確的角色和職責，恐慌會很快蔓延。“一開始就是‘我們該怎么辦?誰負責?我們聯(lián)系誰?我們涉及誰?我們不涉及誰?’”Tcherchian說，他曾在勒索軟件攻擊后擔任顧問。

　　手冊需要對事件期間和之后的溝通提供明確指導，因為這可能會在處理危機時被忽視，但最終，它可能會定義一個眾所周知的數據泄露的持久影響。

　　“危機期間，每個字都很重要，”Brown說，“你發(fā)布的內容、你說的話、你怎么說，所以，為此做好準備非常重要。”

　　手冊還需要概述事件的終點，以便做出關于何時停止調查的決定。“管理網絡安全事件最困難的部分之一就是知道何時停止調查。”IANS Research的教師和Bedrock Security的CISO George Gerchow說。

　　如果有大型團隊在調查事件，他們很可能會開始發(fā)現其他事情，但如果他們陷入了無休止的調查中，就會分散注意力并延遲對當前問題的處理。

　　CISO需要接受一些門可能仍然開著的事實，但如果它們是小風險，重要的是不要忽視主要事件。“關鍵是要專注于‘已知已知’，保持透明，并將事件結束，主要目標是確定數據是否被泄露。”Gerchow說，他曾在SumoLogic和MongoDB經歷過事件。

　　4. 忽視強大、受監(jiān)控的備份將讓你付出高昂代價

　　如果發(fā)生危及數據的事件，擁有未受保護或不充分的備份可能是一個代價高昂的疏忽。在某些情況下，CISO已經付出了慘痛的教訓，永遠不要假設備份系統(tǒng)是安全且完全可用的。

　　“現在很多勒索軟件攻擊，他們首先會攻擊備份，然后再做其他事情，他們會攻擊你的恢復位置、恢復點、備份介質，他們會確保讓你無法恢復數據，從而避免支付贖金。”Tcherchian說。

　　即使決定支付贖金，也沒有保證企業(yè)會得到數據，這強調了確保備份隔離且正常工作的必要性。

　　Tcherchian建議定期測試和驗證備份系統(tǒng)是否正常且干凈。“你的網絡上可能存在漏洞或惡意負載，它可能在那里潛伏了30天、60天，這意味著它一直在被復制到你的備份中，”他說，“如果你認為自己受到了攻擊，你會從備份中恢復，但你所做的只是將那個病毒或惡意軟件重新引入到你的環(huán)境中。”

　　5. 設定更高的安全標準

　　事件發(fā)生后，你可能會以不同的方式看待你的安全態(tài)勢，這包括不斷努力改進安全流程，目標是超越僅僅合規(guī)。準備好重新發(fā)明和重建系統(tǒng)以增強韌性，實施多層安全措施，考慮更高水平的合規(guī)性，進行更多的桌面演練、安全審計、紅隊演練、端點保護等。

　　“這些中的每一個都會讓我們更接近一個可以展示的典范模式，即‘是的，這發(fā)生在我們身上，但現在我們正在做可以變得更好的事情’，并分享這些經驗，”Brown說。“我們的方法是，如何實際地讓事情對抗感染或另一個有針對性的泄露變得更加困難。”

　　經歷過事件的CISO也可能會改變他們對桌面演練的方法，在Brown的情況下，它們現在更頻繁地發(fā)生，并且涉及更嚴重的潛在事件，因為當你經歷過事件時，你就會知道這是可能的。

　　“一旦你經歷過，你的語氣就會完全不同。而且，在成為現實之前，它只是理論的想法，已經深深地印在我們這些經歷過的人的腦海中。”他說。

　　6. 警惕“閃耀新物”綜合癥

　　Michel的一個收獲是避免被酷炫、有趣的新工具分散注意力，但在一個充滿大肆宣傳和令人困惑術語的行業(yè)里，這可能很難做到。“整個行業(yè)都有‘閃耀新物’綜合癥。”他說。

　　相反，應專注于安全措施，如漏洞管理和補丁管理、強大的檢測和響應程序、強認證方法(如零信任和密碼無認證)、員工教育和培訓，以及實戰(zhàn)化事件響應演練以測試準備情況。最重要的是，要對夸大其詞的宣傳保持警惕。

　　“每個人都討厭進行漏洞管理，但這是你可以做的最重要的事情之一，以了解你的攻擊面、知道漏洞在哪里，并將它們消除到你可以對風險感到舒適的程度。”他說。

　　7. 事件后資金可能會枯竭

　　事件有一種將注意力集中在網絡安全上的方式，突然間，董事會和執(zhí)行領導層都想談論網絡安全、聽取風險報告，并且有錢可花，以便讓人們能夠安心入睡。

　　對于一直在努力爭取更多資金的CISO來說，這可能是悅耳的音樂，但關注——以及資金——可能是短暫的。

　　“當你一直在說‘這些是風險’，然后突然間你發(fā)現自己處于那個位置，那么執(zhí)行人員、董事會、所有人，在一段時間內都只想談論網絡安全，但隨后這種關注就開始逐漸減弱。”Gerchow說。

　　隨著預算的增加，期望也隨之提高，問題是，進行盡職調查以引入合適的工具和技能集需要時間，但如果預算在一段時間內沒有被用完，一旦事件后的強烈關注消退，執(zhí)行人員可能會將其重新分配到其他領域。

　　這使得CISO處于一個困難的位置，即不得不向董事會和其他執(zhí)行人員解釋資金損失意味著什么，而許多人可能更愿意關注指標和改進情況。“CISO可能會談論風險和針對事件所取得的進展，但不會談論預算和職位可能如何被削減。”他說。

　　8. 你必須時刻照顧好自己

　　如果有一個對CISO來說共同且重要的教訓，那就是你必須在整個職業(yè)生涯中時刻照顧好自己，無論是從法律、專業(yè)還是心理上。

　　隨著倦怠、高壓力和不斷增加的責任，許多CISO都感受到了這個角色的壓力。事件增加了這些壓力源，但隨著攻擊頻率的增加，它們正變得越來越普遍。

　　“不幸的是，事件很普遍;這是工作的一部分。”Thorsen說。

　　Brown鼓勵CISO認識到高壓力角色對健康的潛在影響，并建立正確的支持系統(tǒng)，這在事件發(fā)生時將是至關重要的，并且不要低估處于風暴中心對你應對機制的壓力有多大。

　　“其中一個重要的信息是，盡管你可能認為自己正在管理壓力，但你可能并沒有做得很好，”Brown說，“CISO的工作已經足夠艱難了，所以人們必須找到一個發(fā)泄口，但在事件發(fā)生期間，情況會變得更糟。承認這一點，并為自己制定一個個人計劃，因為一種方法并不適合所有人來應對這種情況。”