亚洲日本免费-啊轻点灬太粗太长了三男一女-麻豆av电影在线观看-日韩一级片毛片|www.grbbt.com

在數(shù)字化浪潮席卷全球的當(dāng)下，網(wǎng)絡(luò)安全已成為企業(yè)運(yùn)營(yíng)的核心防線。然而，即便有著嚴(yán)密的防護(hù)體系，網(wǎng)絡(luò)攻擊仍如同暗處的利刃，隨時(shí)可能刺破企業(yè)的安全屏障。那些親身經(jīng)歷過(guò)網(wǎng)絡(luò)攻擊的CISO們，在驚心動(dòng)魄的攻防博弈后，不僅承受了巨大的壓力，更從中汲取了足以改變職業(yè)生涯的深刻教訓(xùn)，這些教訓(xùn)徹底重塑了他們后續(xù)的網(wǎng)絡(luò)安全工作模式。

網(wǎng)絡(luò)安全事件不僅僅是孤立事件，對(duì)許多CISO來(lái)說(shuō)，它重塑了他們對(duì)安全防護(hù)、風(fēng)險(xiǎn)管理的看法，甚至影響他們的職業(yè)健康。多位安全領(lǐng)導(dǎo)者反思了實(shí)戰(zhàn)事件的經(jīng)驗(yàn)，他們認(rèn)為，分享這些至關(guān)重要。這能增強(qiáng)整體韌性，消除數(shù)據(jù)泄露的污名，并幫助可能遭遇事件的同行。

01?

分享經(jīng)驗(yàn)，提升整體安全

處于風(fēng)暴中心的CISO應(yīng)預(yù)見(jiàn)媒體關(guān)注和各種外界議程。Solarwinds公司的CISO Tim Brown說(shuō)：“你會(huì)迅速引起全世界的關(guān)注。”并非所有評(píng)論者都懷善意。有些人利用事件謀取私利。可能為了提高曝光、詆毀他人，或只為登上新聞。

但Brown也指出，另一方面，一些事件帶來(lái)了幫助行業(yè)的機(jī)遇。因?yàn)樗腥硕荚陉P(guān)注，包括優(yōu)秀的研究員。“分享內(nèi)容可能受法律、公司或監(jiān)管限制。但在技術(shù)應(yīng)對(duì)方案上，總有值得分享之處。”

Brown認(rèn)為，數(shù)據(jù)泄露總能帶來(lái)重要經(jīng)驗(yàn)。無(wú)論是寫(xiě)入教材的高調(diào)案例，還是同行在會(huì)議上交流的心得。他說(shuō)：“總要從事件中尋找積極面。比如如何推動(dòng)行業(yè)發(fā)展？比如能否幫助CISO群體？”

CrashPlan公司的CISO Todd Thorsen也認(rèn)同實(shí)戰(zhàn)經(jīng)驗(yàn)的價(jià)值。他曾在2013年Target數(shù)據(jù)泄露事件中參與安全團(tuán)隊(duì)。Thorsen說(shuō)，有時(shí)一次事件正是驗(yàn)證哪些不該發(fā)生的絕佳案例。

他的做法是開(kāi)展無(wú)追責(zé)事后復(fù)盤(pán)。理解根本原因，創(chuàng)建安全的討論環(huán)境，找出改進(jìn)點(diǎn)，目標(biāo)是毫無(wú)顧慮地分析流程。他鼓勵(lì)安全人員分享經(jīng)驗(yàn)，因?yàn)椤皻w根結(jié)底，大家面臨同樣的戰(zhàn)斗”。

分享見(jiàn)解也是建立廣泛支持網(wǎng)絡(luò)的重要方式。主動(dòng)付出，因?yàn)樗邪踩藛T可能都需要同行的幫助。Thorsen說(shuō)：“你永遠(yuǎn)不知道何時(shí)需要向社群‘提取’支持。”

02

需要從防御轉(zhuǎn)向進(jìn)攻

事件后，CISO的角色和工作將不同以往。Brown說(shuō)：“12月11日我的工作和12月12日之后的截然不同。”

事件后，有些組織變化巨大，需要換一位有不同方法的CISO。Brown表示，CISO被解雇不總是因?yàn)槟芰Σ蛔慊虮粴w咎。這很大程度上取決于具體情況以及CISO的適應(yīng)能力。“若想成為事件后的CISO，你需要具備相應(yīng)技能。這些技能與之前所需大不相同。”

許多經(jīng)歷事件考驗(yàn)的CISO會(huì)轉(zhuǎn)變思維模式。AppOmni公司安全和IT副總裁Cory Michel曾在多個(gè)事件響應(yīng)團(tuán)隊(duì)任職。他說(shuō)：“你會(huì)形成攻擊者視角。希望比對(duì)手更了解自身攻擊面，并據(jù)此分配資源以隔絕風(fēng)險(xiǎn)。”

實(shí)踐中，從防御轉(zhuǎn)向進(jìn)攻意味著準(zhǔn)備應(yīng)對(duì)不同類型事件。包括平臺(tái)濫用、漏洞利用或APT攻擊。然后定制響應(yīng)的措施。

Michel的進(jìn)攻方案包括紅隊(duì)演練和實(shí)戰(zhàn)演習(xí)。當(dāng)然也需定期抽身，從頭開(kāi)始，質(zhì)疑現(xiàn)有安全方案，尋找差距和弱點(diǎn)。他對(duì)此表示：“現(xiàn)任CISO可能因深陷細(xì)節(jié)而對(duì)現(xiàn)狀視而不見(jiàn)。”

03

需要制定戰(zhàn)術(shù)手冊(cè)應(yīng)對(duì)事件

事件提醒著安全領(lǐng)導(dǎo)者，需要制定訓(xùn)練有素的響應(yīng)計(jì)劃。計(jì)劃需明確有力的內(nèi)部協(xié)調(diào)人。其職責(zé)應(yīng)包括調(diào)集外部專家，如泄露顧問(wèn)和法律顧問(wèn)。

XYPRO公司的CISO Steve Tcherchian表示：“你需要核心人員與媒體溝通、聯(lián)絡(luò)保險(xiǎn)公司。若無(wú)法恢復(fù)數(shù)據(jù)，還需啟動(dòng)調(diào)查，并知道如何與勒索攻擊者交涉。”

Tcherchian發(fā)現(xiàn)，若無(wú)清晰的角色職責(zé)，恐慌會(huì)迅速蔓延。他曾擔(dān)任勒索軟件攻擊后續(xù)顧問(wèn)，他對(duì)此說(shuō)：“最初的實(shí)踐就是搞清楚：‘我們?cè)撟鍪裁矗空l(shuí)負(fù)責(zé)？該聯(lián)系誰(shuí)？該拉誰(shuí)進(jìn)來(lái)？不該讓誰(shuí)參與？’”

戰(zhàn)術(shù)手冊(cè)需提供清晰的溝通指導(dǎo)，包括事件期間和之后。因?yàn)閼?yīng)對(duì)危機(jī)時(shí)易忽略溝通。但最終，公眾所知的泄露事件，其長(zhǎng)久影響可能由此決定。Brown對(duì)此表示：“危機(jī)時(shí)期每個(gè)字都重要。發(fā)布的內(nèi)容、措辭和方式。所以提前準(zhǔn)備極其關(guān)鍵。”

手冊(cè)還需明確終點(diǎn)。這樣才能決定何時(shí)結(jié)束事件調(diào)查。IANS研究院和Bedrock Security公司的CISO George Gerchow說(shuō)：“處置網(wǎng)絡(luò)安全事件最難之處，在于知道何時(shí)停止調(diào)查。許多大型調(diào)查團(tuán)隊(duì)可能會(huì)發(fā)現(xiàn)其他問(wèn)題，但若他們深究無(wú)關(guān)細(xì)節(jié)，會(huì)偏離重點(diǎn)，延誤正事。”

CISO需接受有些問(wèn)題可能懸而未決，對(duì)于一些風(fēng)險(xiǎn)較小的事件，最重要的是不要迷失在其中。曾在SumoLogic和MongoDB經(jīng)歷事件的Gerchow說(shuō)：“關(guān)鍵要聚焦‘已知的因素’，始終保持透明，這樣才能盡快結(jié)束事件。同時(shí)，首要目標(biāo)是確認(rèn)數(shù)據(jù)是否外泄。”

04

不要忽視對(duì)備份的保護(hù)

若發(fā)生數(shù)據(jù)泄露事件，備份保護(hù)不足或缺失將代價(jià)高昂。吃過(guò)苦頭的CISO深知教訓(xùn)：絕不能想當(dāng)然認(rèn)為備份系統(tǒng)安全且功能正常。Tcherchian說(shuō)：“如今很多勒索軟件攻擊，動(dòng)手前都會(huì)先瞄準(zhǔn)備份。它們會(huì)攻擊你的恢復(fù)位置、恢復(fù)點(diǎn)和備份介質(zhì)，以此讓你無(wú)法恢復(fù)數(shù)據(jù)，只能選擇‘交贖金’這條路。”

而現(xiàn)實(shí)是，即便決定支付贖金，也無(wú)法保證拿回?cái)?shù)據(jù)。這更突顯確保備份隔離且有效的必要性。

Tcherchian建議定期測(cè)試備份系統(tǒng)是否正常可用。他說(shuō)：“網(wǎng)絡(luò)可能存在漏洞或惡意載荷。它或許潛伏了30或60天，意味著它已不斷被復(fù)制到了備份中。當(dāng)企業(yè)以為遭攻擊后可以從備份中恢復(fù)，沒(méi)想到這樣做只會(huì)把病毒或惡意軟件重新引入進(jìn)企業(yè)的系統(tǒng)環(huán)境。”

05

設(shè)定更高的安全標(biāo)準(zhǔn)

事件發(fā)生后，企業(yè)可能會(huì)重新審視自身的安全狀況，這包括持續(xù)改進(jìn)安全流程。而此時(shí)的目標(biāo)不僅是達(dá)標(biāo)，還會(huì)被要求做得更好。因此，安全領(lǐng)導(dǎo)者要做好準(zhǔn)備，去改造或重建系統(tǒng)以提高韌性。安全領(lǐng)導(dǎo)者可以采取多層安全防護(hù)措施，考慮更高級(jí)別的合規(guī)要求，又或是進(jìn)行更多的桌面推演、安全審計(jì)、紅隊(duì)演練和終端防護(hù)等。

Brown表示：“每一項(xiàng)改進(jìn)都會(huì)讓我們更接近一個(gè)最佳實(shí)踐。我們可以說(shuō)：‘是的，這事發(fā)生了，現(xiàn)在我們做得更好了。’并對(duì)此分享經(jīng)驗(yàn)。我們的方法是切實(shí)加大‘攻擊者實(shí)施感染或定向入侵’的難度。”

經(jīng)歷過(guò)事件磨練的CISO也可能改變他們進(jìn)行桌面推演的方式。以Brown所在企業(yè)為例，推演會(huì)變得更頻繁，模擬事件也會(huì)變得更嚴(yán)峻。因?yàn)榻?jīng)歷事件后，我們會(huì)發(fā)現(xiàn)，一切皆有可能。“一旦親身經(jīng)歷，你的語(yǔ)氣會(huì)大不相同。我們這些過(guò)來(lái)人都明白，事情在真實(shí)發(fā)生前，只會(huì)被視為客觀理論。”

06

警惕“新奇事物綜合癥”

Michel得到的一個(gè)教訓(xùn)是：避免被酷炫的新工具分心。但在充斥夸張宣傳和晦澀術(shù)語(yǔ)的行業(yè)中，這可能很難直接避免。“因此可以說(shuō)，整個(gè)行業(yè)都有‘新奇事物綜合癥’。”

Michel表示，我們應(yīng)專注于基本安全措施：漏洞管理與補(bǔ)丁更新、強(qiáng)大的檢測(cè)與響應(yīng)計(jì)劃、強(qiáng)身份驗(yàn)證（如零信任和無(wú)密碼認(rèn)證）、員工教育培訓(xùn)，以及實(shí)彈式事件響應(yīng)演練來(lái)檢驗(yàn)準(zhǔn)備情況。最重要的，是對(duì)天花亂墜的銷售宣傳保持警惕。

“大家都不愛(ài)做漏洞管理，但這卻是最重要的工作之一。它能讓你了解攻擊面，發(fā)現(xiàn)漏洞所在并修復(fù)它們，直到你對(duì)風(fēng)險(xiǎn)承受度感到滿意。”

07

事件過(guò)后，“預(yù)算熱度”可能消退

事件確實(shí)能讓人們聚焦網(wǎng)絡(luò)安全。比如，突然間，董事會(huì)和高管層都想談網(wǎng)絡(luò)話題、了解風(fēng)險(xiǎn)，還批了錢讓大家晚上能安心睡覺(jué)。對(duì)一直爭(zhēng)取更多資金的CISO來(lái)說(shuō)，這聽(tīng)起來(lái)很美，但這種關(guān)注，以及資金支持，可能轉(zhuǎn)瞬即逝。

Gerchow對(duì)此表示：“當(dāng)你一直警告‘這些是風(fēng)險(xiǎn)’，然后風(fēng)險(xiǎn)真的來(lái)了，公司上下都親歷其中，因此高管層會(huì)在短期內(nèi)只談網(wǎng)絡(luò)安全。但很快，關(guān)注度就開(kāi)始減弱。”

預(yù)算增加，期望也隨之提高。問(wèn)題是：盡職調(diào)查、引入合適工具和人才都需要時(shí)間。但如果在熱度消退后，規(guī)定時(shí)間內(nèi)的預(yù)算沒(méi)用完，高管就可能將其調(diào)撥到其他領(lǐng)域。

這讓CISO陷入困境：許多高管只關(guān)心指標(biāo)和改進(jìn)成果時(shí)，他們不得不向董事會(huì)解釋資金削減意味著什么。“CISO可能會(huì)談風(fēng)險(xiǎn)和事件后的改進(jìn)，但未必會(huì)提預(yù)算和崗位正在減少。”

08

必須時(shí)刻照顧好自己

如果CISO們能從事件中學(xué)到一個(gè)普遍且核心的道理，那就是：必須全程照顧好自己——包括法律層面、專業(yè)層面和心理層面，在整個(gè)行業(yè)生涯中皆如此。

由于職業(yè)倦怠、高壓和不斷增長(zhǎng)的職責(zé)，許多CISO感受到了這個(gè)職位的重壓。而安全事件加劇了這種壓力，隨著攻擊頻率上升，壓力正變得司空見(jiàn)慣。Thorsen對(duì)此表示：“不幸的是，安全事件很常見(jiàn)；這就是工作的一部分。”

Brown鼓勵(lì)CISO們認(rèn)識(shí)到高壓角色對(duì)健康的潛在影響，并建立完善的支持體系。這在事件發(fā)生時(shí)至關(guān)重要。切勿低估身處風(fēng)暴中心對(duì)自身應(yīng)對(duì)機(jī)制造成的巨大壓力。

“一個(gè)重要的提示是：你可能以為自己能應(yīng)付壓力，但其實(shí)你未必能應(yīng)付好。”Brown說(shuō)：“CISO的工作本就艱難，人們必須找到宣泄口。但事件發(fā)生時(shí)，壓力會(huì)更大。要認(rèn)識(shí)到這點(diǎn)，為自己制定個(gè)人計(jì)劃，因?yàn)樘幚磉@種事情的方法因人而異。”

09

結(jié)語(yǔ)

安全事件絕非終點(diǎn)，而是重塑安全格局的起點(diǎn)。這八條由CISO們用實(shí)戰(zhàn)經(jīng)驗(yàn)換來(lái)的深刻教訓(xùn)，其價(jià)值遠(yuǎn)超任何理論框架。它們揭示了一個(gè)核心真相：網(wǎng)絡(luò)安全是一場(chǎng)永不停歇的攻防博弈，成功不僅依賴于精良的技術(shù)與流程，更在于領(lǐng)導(dǎo)者思維的轉(zhuǎn)變、實(shí)踐的韌性與持續(xù)的自省。

這些經(jīng)驗(yàn)的價(jià)值，不僅在于幫助CISO們更好地準(zhǔn)備、響應(yīng)和恢復(fù)，更在于它們傳遞了一種務(wù)實(shí)、堅(jiān)韌且協(xié)作的安全文化。其中最重要的就是照顧好戰(zhàn)斗在最前線的自己。畢竟，守護(hù)企業(yè)數(shù)字疆域的安全，需要依賴于每一位清醒、專注且得到充分支持的CISO。

這些血淚教訓(xùn)，是獻(xiàn)給所有奮戰(zhàn)在網(wǎng)絡(luò)安全前線勇士的寶貴財(cái)富，也是推動(dòng)整個(gè)行業(yè)在挑戰(zhàn)中不斷進(jìn)化、提升韌性的動(dòng)力源泉。將它們銘記于心，付諸實(shí)踐，方能在下一次風(fēng)暴來(lái)襲時(shí)，更有力量去面對(duì)。

原文地址：

https://www.csoonline.com/article/4002175/8-things-cisos-have-learnt-from-cyber-incidents.html

作者：

Rosalyn Page Contributing writer 特約撰稿人

聲明：本文來(lái)自安在，稿件和圖片版權(quán)均歸原作者所有。所涉觀點(diǎn)不代表東方安全立場(chǎng)，轉(zhuǎn)載目的在于傳遞更多信息。如有侵權(quán)，請(qǐng)聯(lián)系rhliu@skdlabs.com，我們將及時(shí)按原作者或權(quán)利人的意愿予以更正。