當網絡安全事件發生時，這不僅僅是一個孤立的事件。對于許多CISO來說，它重塑了他們對韌性、風險管理乃至工作中個人福祉的看法。

幾位安全領袖反思了從實際事件中汲取的教訓，并強調了與社區分享這些教訓的重要性，以加強集體韌性、消除對數據泄露的偏見，并幫助那些可能自己面臨類似事件的人。

1. 分享學習成果，提升整體安全水平

處于風暴中心的CISO應預料到媒體關注以及來自各方對事件的評論，這些評論可能帶有各種不同的動機。

“你很快就會受到全世界的關注。”Solarwinds的CISO Tim Brown說。

而且并非所有關注都是善意的，因為一些評論者會利用事件來達到自己的目的，無論是提高自己的知名度、貶低其他企業，還是僅僅為了上新聞。

另一方面，一些事件為幫助整個行業提供了機會，因為包括優秀研究人員在內的各種人都在關注，Brown說。

雖然分享內容可能受到法律、公司和監管方面的考慮，但在技術策略方面，很可能有值得分享的東西。

Brown認為，從數據泄露中總能汲取重要教訓，無論是那些最終被編入教科書和大學課程的高知名度事件，還是通過會議小組和其他活動在同行之間分享的經驗。“總是要從事件中尋找積極的一面，你如何幫助行業前進?你能幫助CISO社區嗎?”他說。

CrashPlan的CISO Todd Thorsen也同意，參與事件會帶來戰術上的教訓。有時，事件就是“不應該發生什么”的完美測試案例，Thorsen在2013年Target數據泄露事件期間是網絡安全團隊的一員。

他的方法是進行無責備的復盤，以了解根本原因，創造一個開放討論的安全環境，并識別可以改進的地方。目標是分析流程，而無需擔心后果。他鼓勵安全人員與社區分享學習成果，因為“最終，大家都在打同樣的仗”。

分享見解也是在更廣泛的社區中建立支持網絡并回饋社區的重要方式，因為總有一天你可能需要向同行求助。“你永遠不知道什么時候可能需要從社區中‘提取’幫助。”Thorsen說。

2. 你需要從防御轉向進攻

事件發生后，CISO的角色和職責將不再相同。

“12月11日我的工作和12月12日及之后的工作截然不同。”Brown說。

事件發生后，一些企業需要進行如此程度的變革，以至于他們需要一個具有不同方法的新CISO。根據Brown的說法，CISO并不總是因為無能或人們認為是他們的錯而被解雇，這很大程度上取決于具體情況以及CISO的適應能力。

“如果你想成為事件后的CISO，那么你真的需要具備成為那樣的CISO所需的技能，而這些技能與你前一天所需的技能大不相同。”Brown說。

許多經歷過事件的CISO將改變他們的方法和心態，以親身經歷攻擊。“你將培養一種攻擊性的視角，想要比對手更好地了解你的攻擊面，并相應地分配資源以防范風險。”AppOmni的安全和IT副總裁Cory Michel說，他曾參與過幾個事件響應團隊。

在實踐中，從防御轉向進攻意味著為不同類型的攻擊做好準備，無論是平臺濫用、漏洞利用還是高級持續性威脅(APT)，并量身定制響應措施。

Michel將紅隊演練和實戰化演練納入進攻策略，這也意味著定期回顧、重新開始，并挑戰當前的安全方法，以尋找差距和弱點。在職的CISO“可能會因為過于沉浸在細節中而看不到當前的情況。”他告訴記者。

3. 你將制定處理事件的戰術手冊

事件提醒我們，需要有一個經過充分演練的響應計劃，它應指定一名強有力的內部協調員，并有權利用外部專業知識，如泄露教練和法律顧問。

“你需要核心人員與媒體溝通、與保險公司接觸、在無法恢復數據時開始調查，并知道如何與攻擊者就贖金問題進行溝通。”XYPRO的CISO Steve Tcherchian說。

Tcherchian發現，如果沒有明確的角色和職責，恐慌會很快蔓延。“一開始就是‘我們該怎么辦?誰負責?我們聯系誰?我們涉及誰?我們不涉及誰?’”Tcherchian說，他曾在勒索軟件攻擊后擔任顧問。

手冊需要對事件期間和之后的溝通提供明確指導，因為這可能會在處理危機時被忽視，但最終，它可能會定義一個眾所周知的數據泄露的持久影響。

“危機期間，每個字都很重要，”Brown說，“你發布的內容、你說的話、你怎么說，所以，為此做好準備非常重要。”

手冊還需要概述事件的終點，以便做出關于何時停止調查的決定。“管理網絡安全事件最困難的部分之一就是知道何時停止調查。”IANS Research的教師和Bedrock Security的CISO George Gerchow說。

如果有大型團隊在調查事件，他們很可能會開始發現其他事情，但如果他們陷入了無休止的調查中，就會分散注意力并延遲對當前問題的處理。

CISO需要接受一些門可能仍然開著的事實，但如果它們是小風險，重要的是不要忽視主要事件。“關鍵是要專注于‘已知已知’，保持透明，并將事件結束，主要目標是確定數據是否被泄露。”Gerchow說，他曾在SumoLogic和MongoDB經歷過事件。

4. 忽視強大、受監控的備份將讓你付出高昂代價

如果發生危及數據的事件，擁有未受保護或不充分的備份可能是一個代價高昂的疏忽。在某些情況下，CISO已經付出了慘痛的教訓，永遠不要假設備份系統是安全且完全可用的。

“現在很多勒索軟件攻擊，他們首先會攻擊備份，然后再做其他事情，他們會攻擊你的恢復位置、恢復點、備份介質，他們會確保讓你無法恢復數據，從而避免支付贖金。”Tcherchian說。

即使決定支付贖金，也沒有保證企業會得到數據，這強調了確保備份隔離且正常工作的必要性。

Tcherchian建議定期測試和驗證備份系統是否正常且干凈。“你的網絡上可能存在漏洞或惡意負載，它可能在那里潛伏了30天、60天，這意味著它一直在被復制到你的備份中，”他說，“如果你認為自己受到了攻擊，你會從備份中恢復，但你所做的只是將那個病毒或惡意軟件重新引入到你的環境中。”

5. 設定更高的安全標準

事件發生后，你可能會以不同的方式看待你的安全態勢，這包括不斷努力改進安全流程，目標是超越僅僅合規。準備好重新發明和重建系統以增強韌性，實施多層安全措施，考慮更高水平的合規性，進行更多的桌面演練、安全審計、紅隊演練、端點保護等。

“這些中的每一個都會讓我們更接近一個可以展示的典范模式，即‘是的，這發生在我們身上，但現在我們正在做可以變得更好的事情’，并分享這些經驗，”Brown說。“我們的方法是，如何實際地讓事情對抗感染或另一個有針對性的泄露變得更加困難。”

經歷過事件的CISO也可能會改變他們對桌面演練的方法，在Brown的情況下，它們現在更頻繁地發生，并且涉及更嚴重的潛在事件，因為當你經歷過事件時，你就會知道這是可能的。

“一旦你經歷過，你的語氣就會完全不同。而且，在成為現實之前，它只是理論的想法，已經深深地印在我們這些經歷過的人的腦海中。”他說。

6. 警惕“閃耀新物”綜合癥

Michel的一個收獲是避免被酷炫、有趣的新工具分散注意力，但在一個充滿大肆宣傳和令人困惑術語的行業里，這可能很難做到。“整個行業都有‘閃耀新物’綜合癥。”他說。

相反，應專注于安全措施，如漏洞管理和補丁管理、強大的檢測和響應程序、強認證方法(如零信任和密碼無認證)、員工教育和培訓，以及實戰化事件響應演練以測試準備情況。最重要的是，要對夸大其詞的宣傳保持警惕。

“每個人都討厭進行漏洞管理，但這是你可以做的最重要的事情之一，以了解你的攻擊面、知道漏洞在哪里，并將它們消除到你可以對風險感到舒適的程度。”他說。

7. 事件后資金可能會枯竭

事件有一種將注意力集中在網絡安全上的方式，突然間，董事會和執行領導層都想談論網絡安全、聽取風險報告，并且有錢可花，以便讓人們能夠安心入睡。

對于一直在努力爭取更多資金的CISO來說，這可能是悅耳的音樂，但關注——以及資金——可能是短暫的。

“當你一直在說‘這些是風險’，然后突然間你發現自己處于那個位置，那么執行人員、董事會、所有人，在一段時間內都只想談論網絡安全，但隨后這種關注就開始逐漸減弱。”Gerchow說。

隨著預算的增加，期望也隨之提高，問題是，進行盡職調查以引入合適的工具和技能集需要時間，但如果預算在一段時間內沒有被用完，一旦事件后的強烈關注消退，執行人員可能會將其重新分配到其他領域。

這使得CISO處于一個困難的位置，即不得不向董事會和其他執行人員解釋資金損失意味著什么，而許多人可能更愿意關注指標和改進情況。“CISO可能會談論風險和針對事件所取得的進展，但不會談論預算和職位可能如何被削減。”他說。

8. 你必須時刻照顧好自己

如果有一個對CISO來說共同且重要的教訓，那就是你必須在整個職業生涯中時刻照顧好自己，無論是從法律、專業還是心理上。

隨著倦怠、高壓力和不斷增加的責任，許多CISO都感受到了這個角色的壓力。事件增加了這些壓力源，但隨著攻擊頻率的增加，它們正變得越來越普遍。

“不幸的是，事件很普遍;這是工作的一部分。”Thorsen說。

Brown鼓勵CISO認識到高壓力角色對健康的潛在影響，并建立正確的支持系統，這在事件發生時將是至關重要的，并且不要低估處于風暴中心對你應對機制的壓力有多大。

“其中一個重要的信息是，盡管你可能認為自己正在管理壓力，但你可能并沒有做得很好，”Brown說，“CISO的工作已經足夠艱難了，所以人們必須找到一個發泄口，但在事件發生期間，情況會變得更糟。承認這一點，并為自己制定一個個人計劃，因為一種方法并不適合所有人來應對這種情況。”