我們經(jīng)常會聽到這樣的說法:直到社會變成一種危機,它們才會去處理問題。不幸的是,信息安全領(lǐng)域通常就是這種情況,但這種情況本來是可以避免的。作為安全從業(yè)者,我們無法解決整個社會的弊病。但是,我們可以通過學(xué)習(xí)如何區(qū)分真正的安全危機與編造的安全危機,并從經(jīng)歷的每次危機中學(xué)習(xí)經(jīng)驗,最終實現(xiàn)完全避開這些危機的目的。
本著這種精神,我為大家總結(jié)了在面臨真實的網(wǎng)絡(luò)安全危機時需要思考的20個問題:
1. 實際面臨的威脅是什么?無論在特定情況下你聽到的信息如何,你都需要去了解自己正在處理的實際威脅究竟是什么!猜想和夸大其詞的炒作都無濟于事。相反地,你需要客觀地了解威脅會對組織帶來的風(fēng)險。
2. 組織面對威脅的暴露程度如何?一旦了解到了真正的威脅,您就可以評估自身組織面對該威脅的暴露程度。這一步是非常有必要的,因為它可以讓貴組織充分了解情況的嚴(yán)重性和危險性。
3. 這種威脅對組織而言有什么風(fēng)險?一旦了解了組織面對威脅的暴露程度,就可以評估組織所面臨的風(fēng)險問題。通過這一步驟,你才能真正開始了解認(rèn)真考慮威脅以及積極做出響應(yīng)的重要意義。
4. 圍繞這種威脅的炒作是否合理?將現(xiàn)實與虛構(gòu)分開十分重要。如果事實支持圍繞特定威脅進(jìn)行一定程度的炒作渲染,那么這種情況就是允許存在的。然而,如果事實與編造的故事間大相徑庭,那么這時候就需要擊碎這個虛構(gòu)的故事。
5. 圍繞威脅的炒作是否會轉(zhuǎn)化為組織的真正風(fēng)險?如果該風(fēng)險是真實存在的,那么就是時候做出適當(dāng)?shù)捻憫?yīng)了,這包括保持與正確的利益相關(guān)者之間的有效溝通。
6. 我們什么時候第一次意識到了這個問題?是剛剛意識到還是已經(jīng)意識到它有一段時間了?這種差異是非常關(guān)鍵的。如果您知道組織面臨重大風(fēng)險并且沒有對其采取任何響應(yīng)行動或適當(dāng)?shù)纳?,這是一個相當(dāng)重大的安全失誤。
7. 為什么危機不早不晚偏偏這時候出現(xiàn)?如果存在原因,可以將其作為持續(xù)流程改進(jìn)的一部分來解決。如果沒有理由,了解原因很重要。
8. 我們可以事先避免這個問題嗎?在許多情況下,如果更積極地進(jìn)行風(fēng)險評估,或者如果攻擊面顯著減少,就可以避免該問題。當(dāng)然并非所有情況下都是如此,但是知道提出這個問題是一件好事。
9. 我們?yōu)槭裁礇]能成功避免這個問題?一旦了解了如何避免問題,就需要問為什么最終沒能實現(xiàn)。
10. 該問題是否已經(jīng)對組織造成了任何破壞?當(dāng)然,這是一個典型問題。如果沒有發(fā)生損害,您需要及時修復(fù)風(fēng)險,從錯誤中吸取教訓(xùn),并且心存感激。如果已經(jīng)發(fā)生了損害,您仍然需要及時修復(fù)風(fēng)險,從錯誤中吸取教訓(xùn),當(dāng)然還要進(jìn)行事件響應(yīng)。
11. 修復(fù)問題需要采取哪些步驟?如果您需要響應(yīng)和修復(fù),那么第一步就是要確定正確執(zhí)行該操作所需的步驟?;ㄐr間梳理下問題,并確保采取的措施可以覆蓋所有的基礎(chǔ),如此才能在獲得更高質(zhì)量結(jié)果的同時節(jié)省下時間。
12. 從該問題中吸取了哪些教訓(xùn)?在處理完任何問題后,都需要從該問題中提取和學(xué)習(xí)部分經(jīng)驗教訓(xùn)。此舉有助于安全組織獲得改進(jìn)并最終走向成熟。
13. 我們能否應(yīng)用這些教訓(xùn)來避免將來發(fā)生類似的情況?很顯然,危機模式是最后的手段。如果您可以應(yīng)用學(xué)習(xí)到的經(jīng)驗教訓(xùn),你將能夠避免再犯同樣的錯誤。
14. 我們可能遇到哪些其他潛在危機?“后危機” (Post-crisis) 時期是跳出思維盒子并做一些分析的好時機。了解您可能會遇到的其他潛在危機,有助于提前緩解這些風(fēng)險并改善組織的安全狀況。
15. 還可以做些什么來避免未來可能發(fā)生的問題?在危機過后,您可能已經(jīng)完成了修復(fù),加強了控制措施或是改進(jìn)了監(jiān)控方式,但是您還能做些什么來避免未來發(fā)生相同或類似的情況呢?
16. 我們?nèi)绾未_保自身對問題的補救措施是有效的?您的計劃可能只是 “紙上談兵”,所以為了讓補救措施變得更有效率,您需要映射該問題所影響的技術(shù)和應(yīng)用程序,然后對其進(jìn)行全方位的檢查,以確定預(yù)設(shè)的補救措施是否能夠?qū)崿F(xiàn)您的預(yù)期目標(biāo)。
17. 我們是否已經(jīng)確認(rèn)補救措施有效?如果您已經(jīng)完成了修復(fù),是否也已經(jīng)對這些修復(fù)措施進(jìn)行了測試以確保其有效性?如果沒有,未來可能仍然會發(fā)生類似的問題。
18. 我們已經(jīng)采取了哪些步驟來避免將來發(fā)生類似的情況?您需要確保無論自身已經(jīng)做了哪些補救措施,無論從錯誤中學(xué)到了哪些教訓(xùn),您所做的任何改進(jìn)都必須要是持久的,而不是一次性修復(fù)。
19. 我們是否已經(jīng)準(zhǔn)確有效地向管理層和高層傳達(dá)了行動內(nèi)容?無論您是否經(jīng)歷了真實的危機事件,是否妥善地處理了該事件,以及是否對安全組織進(jìn)行了改進(jìn),您的行為都需要記錄并傳達(dá)給企業(yè)管理層和高管們。此舉有助于建立組織對安全團隊能力的信心,并避免在下一個問題出現(xiàn)時引發(fā)過多 “余波”。
20. 我們是否已經(jīng)采取了措施避免未來可能發(fā)生的損害?最后,一切都將取決于您是否采取了措施來避免或盡量減少未來可能發(fā)生的損害。這可能是最難回答的一個問題,但它同時可能也是最重要的一個問題。