信息化觀察網(wǎng)

我們可以從一次次網(wǎng)絡(luò)安全危機(jī)中學(xué)到很多非常重要的教訓(xùn)，即便是那些并非實(shí)際發(fā)生的，而是比現(xiàn)實(shí)更具虛構(gòu)色彩的危機(jī)亦是如此。

我們經(jīng)常會(huì)聽到這樣的說法：直到社會(huì)變成一種危機(jī)，它們才會(huì)去處理問題。不幸的是，信息安全領(lǐng)域通常就是這種情況，但這種情況本來是可以避免的。作為安全從業(yè)者，我們無法解決整個(gè)社會(huì)的弊病。但是，我們可以通過學(xué)習(xí)如何區(qū)分真正的安全危機(jī)與編造的安全危機(jī)，并從經(jīng)歷的每次危機(jī)中學(xué)習(xí)經(jīng)驗(yàn)，最終實(shí)現(xiàn)完全避開這些危機(jī)的目的。

本著這種精神，我為大家總結(jié)了在面臨真實(shí)的網(wǎng)絡(luò)安全危機(jī)時(shí)需要思考的20個(gè)問題：

1. 實(shí)際面臨的威脅是什么？無論在特定情況下你聽到的信息如何，你都需要去了解自己正在處理的實(shí)際威脅究竟是什么！猜想和夸大其詞的炒作都無濟(jì)于事。相反地，你需要客觀地了解威脅會(huì)對(duì)組織帶來的風(fēng)險(xiǎn)。

2. 組織面對(duì)威脅的暴露程度如何？一旦了解到了真正的威脅，您就可以評(píng)估自身組織面對(duì)該威脅的暴露程度。這一步是非常有必要的，因?yàn)樗梢宰屬F組織充分了解情況的嚴(yán)重性和危險(xiǎn)性。

3. 這種威脅對(duì)組織而言有什么風(fēng)險(xiǎn)？一旦了解了組織面對(duì)威脅的暴露程度，就可以評(píng)估組織所面臨的風(fēng)險(xiǎn)問題。通過這一步驟，你才能真正開始了解認(rèn)真考慮威脅以及積極做出響應(yīng)的重要意義。

4. 圍繞這種威脅的炒作是否合理？將現(xiàn)實(shí)與虛構(gòu)分開十分重要。如果事實(shí)支持圍繞特定威脅進(jìn)行一定程度的炒作渲染，那么這種情況就是允許存在的。然而，如果事實(shí)與編造的故事間大相徑庭，那么這時(shí)候就需要擊碎這個(gè)虛構(gòu)的故事。

5. 圍繞威脅的炒作是否會(huì)轉(zhuǎn)化為組織的真正風(fēng)險(xiǎn)？如果該風(fēng)險(xiǎn)是真實(shí)存在的，那么就是時(shí)候做出適當(dāng)?shù)捻憫?yīng)了，這包括保持與正確的利益相關(guān)者之間的有效溝通。

6. 我們什么時(shí)候第一次意識(shí)到了這個(gè)問題？是剛剛意識(shí)到還是已經(jīng)意識(shí)到它有一段時(shí)間了？這種差異是非常關(guān)鍵的。如果您知道組織面臨重大風(fēng)險(xiǎn)并且沒有對(duì)其采取任何響應(yīng)行動(dòng)或適當(dāng)?shù)纳?jí)，這是一個(gè)相當(dāng)重大的安全失誤。

7. 為什么危機(jī)不早不晚偏偏這時(shí)候出現(xiàn)？如果存在原因，可以將其作為持續(xù)流程改進(jìn)的一部分來解決。如果沒有理由，了解原因很重要。

8. 我們可以事先避免這個(gè)問題嗎？在許多情況下，如果更積極地進(jìn)行風(fēng)險(xiǎn)評(píng)估，或者如果攻擊面顯著減少，就可以避免該問題。當(dāng)然并非所有情況下都是如此，但是知道提出這個(gè)問題是一件好事。

9. 我們?yōu)槭裁礇]能成功避免這個(gè)問題？一旦了解了如何避免問題，就需要問為什么最終沒能實(shí)現(xiàn)。

10. 該問題是否已經(jīng)對(duì)組織造成了任何破壞？當(dāng)然，這是一個(gè)典型問題。如果沒有發(fā)生損害，您需要及時(shí)修復(fù)風(fēng)險(xiǎn)，從錯(cuò)誤中吸取教訓(xùn)，并且心存感激。如果已經(jīng)發(fā)生了損害，您仍然需要及時(shí)修復(fù)風(fēng)險(xiǎn)，從錯(cuò)誤中吸取教訓(xùn)，當(dāng)然還要進(jìn)行事件響應(yīng)。

11. 修復(fù)問題需要采取哪些步驟？如果您需要響應(yīng)和修復(fù)，那么第一步就是要確定正確執(zhí)行該操作所需的步驟?；ㄐr(shí)間梳理下問題，并確保采取的措施可以覆蓋所有的基礎(chǔ)，如此才能在獲得更高質(zhì)量結(jié)果的同時(shí)節(jié)省下時(shí)間。

12. 從該問題中吸取了哪些教訓(xùn)？在處理完任何問題后，都需要從該問題中提取和學(xué)習(xí)部分經(jīng)驗(yàn)教訓(xùn)。此舉有助于安全組織獲得改進(jìn)并最終走向成熟。

13. 我們能否應(yīng)用這些教訓(xùn)來避免將來發(fā)生類似的情況？很顯然，危機(jī)模式是最后的手段。如果您可以應(yīng)用學(xué)習(xí)到的經(jīng)驗(yàn)教訓(xùn)，你將能夠避免再犯同樣的錯(cuò)誤。

14. 我們可能遇到哪些其他潛在危機(jī)？“后危機(jī)” (Post-crisis) 時(shí)期是跳出思維盒子并做一些分析的好時(shí)機(jī)。了解您可能會(huì)遇到的其他潛在危機(jī)，有助于提前緩解這些風(fēng)險(xiǎn)并改善組織的安全狀況。

15. 還可以做些什么來避免未來可能發(fā)生的問題？在危機(jī)過后，您可能已經(jīng)完成了修復(fù)，加強(qiáng)了控制措施或是改進(jìn)了監(jiān)控方式，但是您還能做些什么來避免未來發(fā)生相同或類似的情況呢？

16. 我們?nèi)绾未_保自身對(duì)問題的補(bǔ)救措施是有效的？您的計(jì)劃可能只是 “紙上談兵”，所以為了讓補(bǔ)救措施變得更有效率，您需要映射該問題所影響的技術(shù)和應(yīng)用程序，然后對(duì)其進(jìn)行全方位的檢查，以確定預(yù)設(shè)的補(bǔ)救措施是否能夠?qū)崿F(xiàn)您的預(yù)期目標(biāo)。

17. 我們是否已經(jīng)確認(rèn)補(bǔ)救措施有效？如果您已經(jīng)完成了修復(fù)，是否也已經(jīng)對(duì)這些修復(fù)措施進(jìn)行了測試以確保其有效性？如果沒有，未來可能仍然會(huì)發(fā)生類似的問題。

18. 我們已經(jīng)采取了哪些步驟來避免將來發(fā)生類似的情況？您需要確保無論自身已經(jīng)做了哪些補(bǔ)救措施，無論從錯(cuò)誤中學(xué)到了哪些教訓(xùn)，您所做的任何改進(jìn)都必須要是持久的，而不是一次性修復(fù)。

19. 我們是否已經(jīng)準(zhǔn)確有效地向管理層和高層傳達(dá)了行動(dòng)內(nèi)容？無論您是否經(jīng)歷了真實(shí)的危機(jī)事件，是否妥善地處理了該事件，以及是否對(duì)安全組織進(jìn)行了改進(jìn)，您的行為都需要記錄并傳達(dá)給企業(yè)管理層和高管們。此舉有助于建立組織對(duì)安全團(tuán)隊(duì)能力的信心，并避免在下一個(gè)問題出現(xiàn)時(shí)引發(fā)過多 “余波”。

20. 我們是否已經(jīng)采取了措施避免未來可能發(fā)生的損害？最后，一切都將取決于您是否采取了措施來避免或盡量減少未來可能發(fā)生的損害。這可能是最難回答的一個(gè)問題，但它同時(shí)可能也是最重要的一個(gè)問題。