假设您是组织的CISO 或 IT 安全主管,并且事件响应计划需要提升。在向管理层提出令人信服的投资业务案例后,预算已获得批准并扩大。凭借新获得的财富,您可以专注于获取能够改善数据流量监控、检测和分析的技术。
事件计划真的因购买技术而得到改善,还是仅仅是表面上的提升?如果没有对该计划进行其他更改,则可以为后者提供强有力的理由。让我们看看为什么。
技术:不要让超级跑车停在车道上
与本文的标题相反,让我们从技术入手来说明投资缺口对下游的影响。首先,强大的技术是任何事件响应计划的重要支柱。但不要被愚弄:技术本身并不是坚不可摧的盾牌,需要支持。
问问自己:使用网络安全技术作为工具还是拐杖?如果是前者,程序可能也有知识渊博的人员和明确定义的流程支持它。但如果该项目缺乏人员和流程,无论是否意识到,技术都可能成为拐杖。
人员和流程可以消除技术盲点或故障点,例如:
- 配置错误
- 支离破碎或脱节的覆盖模型
- 服务重复或冲突
- 减少优化
- 无需微调或激活功能
- 维护不当且过时。
自动化可以带您走很长的路,但即使如此也需要人员和流程来运行。要避免的是在车道上停放一辆异国情调的超级跑车。当然,它看起来可能令人着迷,但您不想像它本来应该被驾驶的那样驾驶它吗?如果你不知道如何让这辆车脱离一档,那么充其量只是一辆昂贵且维护成本高的紧凑型汽车。最坏的情况是,这是一场代价高昂的事故等待发生。
这就是人员和流程发挥作用的地方。
员工:最重要的资产
如果智囊团决定投资赛车,最好也投资赛车手、维修站工作人员、工程师、分析师、研究人员以及赢得比赛所需的其他角色。毫不夸张地说,事件响应是一场竞赛——就像和平时期的勒芒 24 小时耐力赛与事故期间的 F1 疯人院相遇。
IBM最近委托的一项研究发现,前72小时的响应对于平息事件的混乱至关重要。指出显而易见的事实:人是参与其中的,人为因素永远是每个事件的开始、中间和结束。你需要人们:
- 管理多个利益相关者的期望
- 评估、报告并就(如果不是做出的话)重要决策提供建议
- 创造性地思考规划、响应和补救
- 解决上述盲点和痛点。
技术无法做到这些事情,但这正是事件响应人员的一天如此有趣的原因。就像赛车一样,一旦事故发生,其速度可以瞬间从 0 英里每小时加速到 100 英里每小时。但在和平时期,事件响应人员是当地的靴子,负责告知计划的要求和调整。
以下列问题为例:
- 工具缺失吗?
- 工具是否配置错误或未优化?
- 流程是否缺失或错位?
- 准备工作是否充分?
现在可能开始看到拼图拼凑起来了。这个范围的一端是大脑(人),另一端是工具(技术)。那么是什么让他们互动呢?这就是过程。
流程:最小化影响
事件响应流程——包括相关的政策、计划和行动手册——既是事件响应计划的粘合剂又是润滑剂。即使是最优秀的人也会遇到不幸,这就是为什么这些流程需要正式化。
随着事件继续带来压力并日益影响响应者的健康,上述研究表明,精心设计的流程是救世主(特别是对于勒索软件案例)。
正规化流程能够:
- 建立肌肉记忆
- 记录已针对环境进行压力测试并进行相应修改的操作(至少如果做得正确的话)
- 确保维护和修复活动
- 驱动一致性。
最重要的是,完善的流程使程序在整个事件响应生命周期中保持诚实,美国国家标准与技术研究院 (NIST) 特别出版物 800-61 计算机安全事件处理指南将其定义为:
- 准备
- 检测分析
- 遏制、根除和恢复
- 事件后活动。
最近的事件表明,简单的配置错误可能会导致严重的数据丢失,例如对面向公众的资产敞开大门。因此,生命周期的“准备”阶段不仅仅涉及事件响应者,还涉及分析师、架构师、工程师和决策者的协同工作。如果没有流程来促进这一点,决策就会在孤岛中做出,从而增加盲点。
同样,在危机期间,需要有预先存在的流程,以便角色、职责、互动、升级、激活和沟通顺利运作。
合适的三重奏
是时候完成这个完整的循环了。现在我们已经确定了事件响应计划的三个关键支柱,大多数人可能想到的问题是:我应该在哪里投资?
答案无处不在。每个支柱的投资水平变得更难以确定。这个问题的答案取决于风险承受能力。
如果想把所有的鸡蛋都扔进技术篮子里,那么没有什么可以阻止您,但请花点时间欣赏更大的图景。也许解决方案不是拥有一辆超级跑车,而是拥有一辆你知道如何驾驶并能在一定程度上维护自己的日常用车。否则,可能会发现自己对机械师(又名顾问和第三方)的依赖程度超出了预期。
最后,我们的教训是,需要在所有三个支柱上进行一定程度的平衡投资。两条短腿和一条长腿并不能构成一张有效的——甚至是可用的——凳子。