在當今這個信息技術高度發(fā)達的時代,每一個組織和機構都要時刻準備著與信息安全威脅作斗爭。在這場沒有硝煙的信息化戰(zhàn)爭中,企業(yè)或組織不應該孤身奮戰(zhàn),而是應該與某些安全技術合作,以共同應對日趨復雜的安全風險。這將關系到自身網(wǎng)絡系統(tǒng)的完整性,所以其重要性不言而喻。
你可能會認為,你們公司已經(jīng)部署了應對計算機病毒、硬件故障和數(shù)據(jù)泄漏等安全事件的應急方案。但你要知道的是,你遲早會遇到一些意想不到的安全事件,這是任何企業(yè)或組織都無法避免的。當這類事件發(fā)生之后,我們應該怎樣去正確地處理這些安全應急事件呢?
我們應該做好充足的準備,每一個企業(yè)和組織都應該根據(jù)自身特點來評估和處理這些安全事件。需要提醒大家的是,為了正確地響應安全威脅事件,則很有可能要迫使企業(yè)改變當前所采用的網(wǎng)絡技術或工作方式,不過為了信息的安全,這樣的“犧牲”還是可以接受的。
那么我們到底應該怎么做呢?接下來,我會在文章中列舉出幾個可以衡量安全事件響應策略的因素,希望你可以時刻謹記這些原則,并將它們用于工作實踐中。
安全事件的嚴重性和分類
安全威脅事件會帶來怎樣的后果呢?先看看下面兩種情況:
1. 病毒感染了一臺計算機,導致這臺計算機目前暫時無法正常使用;
2. CryptoLocker感染了一臺服務器,導致企業(yè)的生產數(shù)據(jù)無法正常讀取和使用;
很明顯,這兩個事件都需要技術人員迅速對其進行處理。事件1可能影響的只是一個人,而事件2影響的則是整個企業(yè)。毫無疑問,我們應該優(yōu)先處理被感染的服務器。除此之外,如果企業(yè)同時發(fā)生了這兩種安全事件,那么的確應該重新考慮一下自身所部署的安全防御策略了。
安全事件與基礎設施攻擊事件
CryptoLocker會讓企業(yè)無法正常運作下去,而這一惡意軟件也表明你的系統(tǒng)中存在嚴重的安全問題。不過其他的一些安全事件同樣也有可能讓你的工作無法正常進行下去,但這類安全威脅并不會影響到企業(yè)數(shù)據(jù)的完整性。
關注安全新聞的人想必都知道,美國域名服務器供應商Dyn近期曾遭受了一次大規(guī)模的分布式拒絕服務(DDoS)攻擊,此次攻擊導致美國東海岸地區(qū)的大量用戶無法正常上網(wǎng)。盡管如此,但是公司和用戶的數(shù)據(jù)仍然是安全的。不過我們依然要部署相應的安全策略來應對這種威脅,因為這類威脅將會給企業(yè)帶來嚴重的經(jīng)濟損失。
安全事件響應中的“三R”原則:報告(REPORTING)、負責(RESPONSIBILITY)和資源(RESOURCES)
無論這一安全事件由誰負責處理,在遵循3R原則的企業(yè)中,每一個人都應該清楚并且了解這個策略的意義。當我們在面對安全事件時,當我們需要報告并且響應安全事件時,每一個人都應該清楚自己到底應該怎么做。
當用戶嘗試自己來處理這些安全問題時,一定要按照正確的方法來進行,否則將會引起更加嚴重的后果。還有一點一定要注意,當安全事件發(fā)生之后,不要急于追究此次安全事件發(fā)生的原因,因為這將有可能產生很多你不希望看見的負面影響。
除此之外,任何事件響應策略都應該考慮到方案執(zhí)行過程中所需的資源。如果方案設計得非常好,但是企業(yè)卻沒有足夠的人力資源和物力資源去實施的話,這樣的安全事件響應策略又有什么意義呢?
了解自身缺陷,做出合理的選擇
正是因為你在事件響應策略中定義了企業(yè)在面對安全事件時應該怎樣去做,所以你應該要確保應對方案中的各方已經(jīng)準備好隨時去應對安全事件。比如說,如果你的公司缺少一位專業(yè)的IT技術人員,那么你就應該直接告訴你的第三方服務提供商,并且提前設計好相應的應急預案。
請記住,當我們在對事件作出響應時,我們已經(jīng)身處危險地帶了。所以請不要猶豫不決了,趕緊讓安全專家來處理這些問題,如果處理不當,那么后果會更加嚴重。
告知
當安全事件發(fā)生之后,哪些人應該知道這一事件呢?這只是企業(yè)內部的問題嗎?如果只是企業(yè)內部的問題,那么企業(yè)內的哪些員工應該知道這件事情呢?這次事件是否會對企業(yè)的客戶、合作伙伴、以及其他第三方組織產生影響呢?他們應該知道這件事情嗎?
你應該仔細考慮這次的安全事件會對哪些人產生影響,這是非常重要的。與此同時,你應該將有關此次事件的詳細信息告知他們,無論是出于道德因素還是法律因素,你都應該這樣做。除此之外你也應該注意到,這些事件將有可能影響到你與他人所簽訂的各種協(xié)議。
測試
這一方面就不需要進行過多的解釋了。在事件響應策略制定完成之后,我們要對企業(yè)的執(zhí)行力進行測試,只有通過測試才能夠驗證方案的有效性。你要確保所有的安全保護技術都通過了測試,讓企業(yè)應急響應團隊的成員知道自己的職責所在,并且根據(jù)企業(yè)當前的情況來對之前制定的響應策略進行修改。
當事件解決之后,你要對企業(yè)的安全響應策略進行修改和完善,以應對新的安全威脅。不僅如此,當你在根據(jù)企業(yè)環(huán)境制定響應的策略時,也要保證響應策略的靈活性,因為你將面對的很可能是各種各樣未知的因素。