事件響應(yīng):網(wǎng)絡(luò)安全防范的關(guān)鍵
2018年01月16日
企業(yè)在安全方面更糟糕的做法是沒有人承擔相應(yīng)的責任��。當網(wǎng)絡(luò)攻擊者攻擊并竊取企業(yè)的數(shù)據(jù)時尤其如此���。
很多新聞報道了企業(yè)遭受的網(wǎng)絡(luò)安全事件,很多企業(yè)因處置問題不當而招致批評��。英國電信公司泄露了157000名客戶的個人資料��,該公司由于此次事件發(fā)生之后���,與客戶溝通不暢而遭到指責�,因此損失了10.1萬名客戶�,并且導致4200萬英鎊的損失。然后���,一家ICO公司因不適當?shù)陌踩胧┒P款40萬英鎊�����。
最近發(fā)生的一個信用機構(gòu)的違規(guī)事件更為嚴重��,至少有1.43億人的個人資料落入了黑客之手�。批評人士指出,這家公司在數(shù)據(jù)泄露五個多星期之后才發(fā)現(xiàn)違規(guī)行為�,事件發(fā)生后建立一個違規(guī)通知網(wǎng)站,要求用戶提供敏感信息�,而其配置如此糟糕,以至于OpenDNS將其當作一個釣魚網(wǎng)站而屏蔽�����。
這樣的錯誤會影響企業(yè)的聲譽���,并會影響財務(wù)狀況。企業(yè)的高級管理人員必須為以下三件事進行準備�,并避免出現(xiàn)這樣的問題:
通過高級管理層的支持確認其重要性。
與員工溝通���。
創(chuàng)建安全策略
企業(yè)必須創(chuàng)建一個全面的安全策略���,其中包括事件響應(yīng)計劃,以便企業(yè)隨時準備在最壞情況發(fā)生時迅速做出反應(yīng)。
安全策略是企業(yè)針對網(wǎng)絡(luò)攻擊者的第一道防線�����,將概述保護系統(tǒng)和數(shù)據(jù)的過程��。它將人員和技術(shù)結(jié)合在一起��,確保員工和承包商懂得如何負責任地���、安全地使用計算機系統(tǒng)����。
這個策略通常包括可接受的加密���、可接受的應(yīng)用程序使用��、密碼保護和數(shù)據(jù)傳輸?shù)阮悇e���。它也包含其他的不太明顯的細節(jié),如保持桌面清潔以及處理紙質(zhì)文件的過程(垃圾箱中沒有敏感文件)�。
有效的書面溝通和安全策略可以顯著降低違規(guī)事件的可能性,但對于網(wǎng)絡(luò)攻擊者來說����,只需要成功一次就可以實現(xiàn)目標�。如果網(wǎng)絡(luò)攻擊者發(fā)現(xiàn)有效的方法�,并且企業(yè)遭遇了數(shù)據(jù)泄露,那么第二道防線就會啟動:事件響應(yīng)計劃��。
事件響應(yīng)計劃是任何安全策略的重要組成部分�����。正如企業(yè)確切地知道在緊急情況下應(yīng)該怎么做�,以及如何在緊急情況下,事件響應(yīng)計劃使企業(yè)關(guān)鍵的工作人員通過必要的步驟遏制和消除網(wǎng)絡(luò)安全威脅����,從中斷中恢復并對損害進行補救。企業(yè)通過幾個權(quán)威指南來創(chuàng)建事件響應(yīng)計劃��。
在英國��,網(wǎng)絡(luò)安全非盈利機構(gòu)CREST公司發(fā)布了一份制定網(wǎng)絡(luò)安全事件響應(yīng)計劃的詳細指南��。在美國��,美國國家標準與技術(shù)研究院出版了一個很好的指導性文件�����,涵蓋了這個過程中的幾個階段��。
制定這些計劃的行業(yè)資源可能在那里�����,但企業(yè)往往在準備過程中的做法不盡人意�。“NTT全球安全風險:價值報告”的報告中指出,只有48%的受訪者表示制定了事件響應(yīng)計劃�,其余的受訪者表示正處在實施或設(shè)計的不同階段。10%的受訪者表示對事件響應(yīng)計劃的存在一無所知�,或者表示他們對此沒有準備好。
確認策略的重要性
這些計劃非常重要�����,因為它們可以使組織在數(shù)據(jù)泄露事件中擁有所有權(quán)以及承擔責任����。將為企業(yè)帶來快速有效的恢復和緩慢痛苦恢復之間的區(qū)別?����?梢詭椭髽I(yè)進行精心策劃的、能夠勝任的回應(yīng)�����,并避免混亂的下意識反應(yīng)讓客戶感到困惑和憤怒��。
安全策略需要經(jīng)驗技巧和專業(yè)知識結(jié)合在一起�,但是除非高級管理人員對此關(guān)注,否則它是無用的��。而企業(yè)的董事如果重視這一策略�,就會傳達給企業(yè)其他部門實施。
事件響應(yīng)是需要來自組織最高層多方面提供幫助多學科工作���。當企業(yè)遭遇違規(guī)事件時�,其反應(yīng)速度和決策權(quán)力是必不可少的��。企業(yè)關(guān)鍵的團隊成員必須有適當?shù)臋?quán)力來完成任務(wù)�。
這在理論上聽起來很好,但在實踐中并不會經(jīng)常發(fā)生��。在NTT安全2017年風險價值報告中所調(diào)查的1350名國際非IT決策者中��,有73%的受訪者認為防止安全漏洞應(yīng)該是企業(yè)董事會議程上的一個常規(guī)項目��。事實上����,只有56%的企業(yè)董事會成員經(jīng)常談?wù)撨@個問題,而44%的公司還沒有實施完整的安全策略���。
向員工傳達安全政策
企業(yè)的首席信息安全官(CISO)如何確保事件響應(yīng)計劃成功?從溝通開始�����。在實施這一計劃的企業(yè)中����,只有47%的受訪者了解其中的內(nèi)容���。
事件響應(yīng)團隊理解計劃并準備執(zhí)行���。
企業(yè)擁有一個強大的安全策略和事件響應(yīng)計劃應(yīng)對網(wǎng)絡(luò)攻擊的良好基礎(chǔ),但它不僅僅是對自身的保護�����。首席信息安全官必須使這些計劃和政策很好地結(jié)合起來���,形成一個滲透其公司文化的文件�。而這將是其在2018年的一個很好的項目。
江蘇國駿信息科技有限公司在信息網(wǎng)絡(luò)安全�、運維平臺建設(shè)、動漫設(shè)計��、軟件研發(fā)���、數(shù)據(jù)中心領(lǐng)域具備十多年的行業(yè)沉淀�����。公司遵循信息安全整體性的IATF模型�,從“人員素養(yǎng)”�、“制度流程”、“技術(shù)產(chǎn)品”三個視角提供全面��、可信的方案�����,業(yè)務(wù)涵蓋咨詢����、評估����、規(guī)劃��、管控����、建設(shè)�����、培訓等�����。
江蘇國駿信息科技有限公司——全面可信的信息安全服務(wù)商 �����。
