遭遇網絡攻擊會很痛苦，但如果事先有準備，痛苦程度會降低。

[[226262]]

說起企業網絡事件，有幾個事實是無可非議的：攻擊越來越復雜，越來越頻繁，攻擊規模越來越大，攻擊所造成的影響也越來越嚴重。2015年，網絡犯罪導致的公司企業經濟損失是3萬億美元。而到2021年，該數字可能翻個倍。到那時，網絡犯罪可能就是全世界最賺錢的犯罪企業了。

睿智的企業領導人知道網絡攻擊不是有可能發生，而是肯定會發生。然而，即便意識到網絡犯罪帶來的威脅，公司企業為網絡攻擊事件所做的準備還是不夠充分。

以必要的措施保護企業基礎設施非常重要，而且這些措施不僅僅是技術上的，人員和過程也需遵循一定的防護策略。如果攻擊者攻破了這些防線會發生什么?公司企業如何處理安全事件及其影響?分秒必爭的時候，前期準備就可以提升企業響應速度，避免倉促決策——因為決策利弊都已經事先權衡過了。

一、錯誤做法

各行各業大大小小公司企業遭遇的數據泄露可謂車載斗量，想找出幾個企業網絡安全事件響應失敗的例子簡直不要太容易。比如說，Equifax。這家信用監測公司遭遇了史上最大數據泄露之后，數據泄露本身就不再占據新聞頭條了;該公司組織混亂問題多多的響應過程才是新聞主角。該公司先是導引潛在受害者去訪問帶漏洞的網站，然后又在數據泄露案發之后不停發推特消息貼出網絡釣魚鏈接。

二、從Equifax身上我們可以汲取如下幾種錯誤響應的教訓：

教訓1：太多時間花在拒不承認上

一旦檢測到事件，每分每秒都十分寶貴。然而，太多公司掉入了否認陷阱，要么無視異常活動，要么在事件曝光后刻意低估異常行為的影響。這種拒不承認的態度通常會破壞客戶和員工信任度，令公司信譽受損，同時也會喪失掉寶貴的響應時間——正如Equifax案中所呈現的那樣。

教訓2：管理混亂

被黑或許會讓企業陷入尷尬境地，但若能在攻擊襲來時凸顯出良好的組織和控制能力，公司的未來反而會更明朗。Equifax案的各種昏恰好反映出該公司內部指揮體系的缺失。

教訓3：缺乏遠見

指揮體系的缺位往往伴隨著遠見卓識的缺乏，這一點在倉促應戰、矯枉過正、弄個“修復”卻產生更多問題的公司身上體現得很明顯。預測未來或者預判將來需作出的決策是不可能的。但我們可以事先就決策過程和人選達成一致。有了確定的負責人和規程，就可以最小化情緒和個性差異的影響，可以立即作出明智的決策。

三、事件響應計劃最佳實踐

對企業而言，擁有全面而策略性的網絡安全事件響應計劃，是緩解惡意入侵的最重要一步。要設計、測試和實現這樣的響應計劃，我們可遵循如下最佳實踐：

1. 主要利益相關者參與安全實踐

安全事件影響公司里多個不同部門。因此，跨部門支持和認可在安全事件響應計劃的制定和發展階段是必要的。人力資源主管、合規官、法律代表、技術提供商及公關公司之類外部供應商，以及管理層聯絡人等等都需要參與進來。

2. 描述角色

納入主要利益相關者后，需要清晰描述其在面對安全事件時的具體責任。HR主管可能負責事件發生時的內部溝通，PR團隊則處理外部協調事務。同時，法律代表應做好應對監管核查的準備，IT專家則應熟悉自身需處理的后端工作。在事件發生前確定好各自角色，可以防止出現Equifax事件中發生的那種高層混亂。

3. 桌面推演

隨著事件響應計劃的充實， 一次事件模擬可以作為對計劃真正的檢驗。演練的最佳方式是通過第三方來進行，因為這可以消除模擬攻擊設計中的偏倚。桌面推演的目標應是確認事件響應計劃考慮到了事件響應所需的種種動作和行為。桌面推演還可確認每個部門是否真的理解了自己的角色，而且，更重要的是，可以揭示不同個性會如何影響事件響應。

4. 有效溝通

網絡安全事件發生時，多個工作流、相互競爭的事項，還有牽涉的各類人群之中出現混亂幾乎是不可避免的。事件調查只是響應中的一個部分，事件響應還包括高管簡報、法律通告、HR、監管考量、公共關系等等。公司企業必須清楚怎么在混亂中有效溝通，應創建出觸及公司各個部門的可行事件響應計劃，然后簡單明了地將該計劃傳達給每一名員工。

說到對公司企業的網絡攻擊，這里包含兩個部分：事件和響應。公司企業往往控制不了前者，但可對后者施以充分的控制。設計實現出主要利益相關者認可的跨部門事件響應計劃，公司企業就能在遭遇安全事件時增強其公共信任和品牌信譽，化危機為機遇。