對于現(xiàn)代企業(yè)的CISO而言，防范網(wǎng)絡(luò)攻擊是他們?nèi)粘９ぷ髦械氖滓蝿?wù)。然而，在當(dāng)今復(fù)雜的威脅環(huán)境下，做好網(wǎng)絡(luò)攻擊防護(hù)并不容易。日前，谷歌云CISO辦公室主任Taylor Lehmann發(fā)表了一篇署名文章《CISO可以為優(yōu)化網(wǎng)絡(luò)攻擊防護(hù)做些什么？》，分享了谷歌公司在應(yīng)對網(wǎng)絡(luò)攻擊方面的理念和經(jīng)驗。為了幫助企業(yè)組織和CISO們更好地做好網(wǎng)絡(luò)攻擊防護(hù)，安全牛對該文進(jìn)行了編譯整理：

在當(dāng)今復(fù)雜的威脅形勢下，網(wǎng)絡(luò)攻擊不可避免，因為惡意攻擊者變得越來越老練，以牟利為動機(jī)的攻擊變得越來越普遍，新的惡意軟件家族層出不窮，因此對各種規(guī)模的企業(yè)組織而言，提前制定好有效的攻擊防范計劃就顯得尤為重要。

在谷歌公司，我們認(rèn)為詳細(xì)的網(wǎng)絡(luò)安全劇本對于有效防護(hù)網(wǎng)絡(luò)攻擊是必不可少，它可以準(zhǔn)確地概述當(dāng)攻擊發(fā)生時，安全團(tuán)隊在面對樂觀情況和最壞情況時，分別應(yīng)該具體做什么，這樣安全領(lǐng)導(dǎo)人就可以及時緩解問題，讓業(yè)務(wù)部門盡快擺脫攻擊的影響。

雖然每次網(wǎng)絡(luò)攻擊都很獨特，需要不同的響應(yīng)程序和恢復(fù)計劃，但我們認(rèn)為，首席信息安全官（CISO）應(yīng)該與安全團(tuán)隊和業(yè)務(wù)負(fù)責(zé)人一起，從三個階段思考應(yīng)對策略，并確保本組織做好相應(yīng)的攻擊響應(yīng)準(zhǔn)備。

階段一、在網(wǎng)絡(luò)攻擊之前，與所有利益相關(guān)者做好溝通與安全意識宣教

在谷歌， CISO辦公室和安全團(tuán)隊會定期與各個業(yè)務(wù)團(tuán)隊的負(fù)責(zé)人進(jìn)行溝通，討論其業(yè)務(wù)開展中的網(wǎng)絡(luò)安全問題，以及如何在網(wǎng)絡(luò)攻擊發(fā)生前進(jìn)行最有效的預(yù)警和準(zhǔn)備。為了避免在安全事件中出現(xiàn)意外情況，對于那些不直接參與日常安全工作的人，如董事會成員，宣傳教育和增強(qiáng)安全意識至關(guān)重要。

根據(jù)谷歌的實踐，我們認(rèn)為組織的CISO可以通過以下方式來加強(qiáng)安全意識的宣傳教育：

• 與業(yè)務(wù)領(lǐng)導(dǎo)人建立牢固的關(guān)系
  只有當(dāng)領(lǐng)導(dǎo)層廣泛了解安全形勢和關(guān)鍵風(fēng)險時，CISO才能夠有效地實施行動計劃。為此，CISO需要與適當(dāng)?shù)念I(lǐng)導(dǎo)人建立持續(xù)的合作關(guān)系，并進(jìn)行網(wǎng)絡(luò)安全教育，以便他們在發(fā)生攻擊時能夠?qū)Π踩蝿萦兴私狻?/li>
• 建立全面的安全事件響應(yīng)框架，明確角色和責(zé)任
  當(dāng)網(wǎng)絡(luò)攻擊發(fā)生時，組織的業(yè)務(wù)運營情況可能變得混亂，尤其是領(lǐng)導(dǎo)人沒有事先審查和批準(zhǔn)攻擊防范計劃時。為了確保在遇到網(wǎng)絡(luò)事件時所有人都能按照規(guī)定行事，CISO和安全團(tuán)隊?wèi)?yīng)該制定一個全面的框架，明確安全團(tuán)隊和整個組織在事件處置時的具體責(zé)任。
• 持續(xù)測試計劃，主動發(fā)現(xiàn)不足并優(yōu)化調(diào)整
  即使制定了安全事件響應(yīng)計劃，但是在這個框架中仍然可能存在缺陷或需要重新調(diào)整的問題，因此團(tuán)隊經(jīng)常測試行動計劃極為重要。通過對計劃進(jìn)行壓力測試，領(lǐng)導(dǎo)層可以發(fā)現(xiàn)規(guī)程存在的缺陷，并有時間進(jìn)行相應(yīng)的更新。組織應(yīng)該通過每年執(zhí)行幾次沙盤演練來測試和考驗行動計劃，并向領(lǐng)導(dǎo)層報告結(jié)果。通過實施上述措施，當(dāng)事件確實發(fā)生時，CISO可以更容易向利益相關(guān)者保證，雙方已經(jīng)經(jīng)過同意并測試了攻擊防范計劃的實施情況。

階段二、在網(wǎng)絡(luò)攻擊的過程中，要注重高效且充分的溝通

當(dāng)網(wǎng)絡(luò)攻擊確實發(fā)生時，組織必須能夠快速組建團(tuán)隊進(jìn)行響應(yīng)，并落實預(yù)先確立的角色和責(zé)任。最順利、最有效地應(yīng)對者通常訓(xùn)練有素且裝備精良，并提前準(zhǔn)備好了必要的工具。

領(lǐng)導(dǎo)層在危機(jī)期間的溝通方式和語氣對于網(wǎng)絡(luò)攻擊后有效的恢復(fù)至關(guān)重要，應(yīng)該在溝通中展示同理心，并采取一種能夠重新贏得受影響內(nèi)外人員信任的策略。

為確保每個人都能保持同步，使用清晰的溝通機(jī)制，提高每個安全事件響應(yīng)團(tuán)隊成員對自身角色和責(zé)任的認(rèn)識至關(guān)重要。當(dāng)然，有效地溝通也能夠讓安全事件響應(yīng)計劃能夠順利進(jìn)行，每個人還必須知道其他人都在做什么，以及誰是每個工作小組的關(guān)鍵聯(lián)系人。

階段三、在網(wǎng)絡(luò)攻擊之后，應(yīng)該深刻反思，但不隨意地相互指責(zé)

在高風(fēng)險高壓力的網(wǎng)絡(luò)安全環(huán)境中，組織需要營造一種開放的文化氛圍，鼓勵進(jìn)行詳盡如實的事后分析。在解決網(wǎng)絡(luò)攻擊引起的問題之后，安全團(tuán)隊?wèi)?yīng)該認(rèn)真反思事件，并深入總結(jié)成功經(jīng)驗和改進(jìn)的方向。在這些討論過程中，重要的是確保沒有人受到指責(zé)，而是集中關(guān)注組織如何進(jìn)行改進(jìn)。與利益相關(guān)者一起詳細(xì)審查網(wǎng)絡(luò)安全劇本，以確定是否需要進(jìn)行調(diào)整，以實現(xiàn)更有效的響應(yīng)。

在谷歌公司，我們奉行一種“不隨意指責(zé)個人的網(wǎng)絡(luò)攻擊事后分析理念”，這樣有利于營造一種開放的反思環(huán)境，鼓勵大家坦率地討論對錯以及從事件中汲取的教訓(xùn)。

事后總結(jié)的最終目標(biāo)是要避免在網(wǎng)絡(luò)事件前后出現(xiàn)意外情況。為此，組織應(yīng)該在整個網(wǎng)絡(luò)攻擊過程中與利益相關(guān)者不斷進(jìn)行溝通和宣傳教育，以加深對事件的理解，避免重蹈覆轍。如果制定一項經(jīng)常加以測試的行動計劃，明確角色和責(zé)任，不斷更新劇本，頻繁溝通，進(jìn)行事后分析，并在需要時尋求外部幫助，組織就可以更有效地應(yīng)對網(wǎng)絡(luò)攻擊。組織永遠(yuǎn)無法完全避免網(wǎng)絡(luò)攻擊，但總是可以學(xué)習(xí)經(jīng)驗和汲取教訓(xùn)，更有效地對付網(wǎng)絡(luò)攻擊。

參考鏈接：

https://www.darkreading.com/attacks-breaches/steps-cisos-should-take-before-during-after-cyberattack。