我们可以从一次次网络安全危机中学到很多非常重要的教训,即便是那些并非实际发生的,而是比现实更具虚构色彩的危机亦是如此。
![]()
我们经常会听到这样的说法:直到社会变成一种危机,它们才会去处理问题。不幸的是,信息安全领域通常就是这种情况,但这种情况本来是可以避免的。作为安全从业者,我们无法解决整个社会的弊病。但是,我们可以通过学习如何区分真正的安全危机与编造的安全危机,并从经历的每次危机中学习经验,最终实现完全避开这些危机的目的。
本着这种精神,我为大家总结了在面临真实的网络安全危机时需要思考的20个问题:
1. 实际面临的威胁是什么?无论在特定情况下你听到的信息如何,你都需要去了解自己正在处理的实际威胁究竟是什么!猜想和夸大其词的炒作都无济于事。相反地,你需要客观地了解威胁会对组织带来的风险。
2. 组织面对威胁的暴露程度如何?一旦了解到了真正的威胁,您就可以评估自身组织面对该威胁的暴露程度。这一步是非常有必要的,因为它可以让贵组织充分了解情况的严重性和危险性。
3. 这种威胁对组织而言有什么风险?一旦了解了组织面对威胁的暴露程度,就可以评估组织所面临的风险问题。通过这一步骤,你才能真正开始了解认真考虑威胁以及积极做出响应的重要意义。
4. 围绕这种威胁的炒作是否合理?将现实与虚构分开十分重要。如果事实支持围绕特定威胁进行一定程度的炒作渲染,那么这种情况就是允许存在的。然而,如果事实与编造的故事间大相径庭,那么这时候就需要击碎这个虚构的故事。
5. 围绕威胁的炒作是否会转化为组织的真正风险?如果该风险是真实存在的,那么就是时候做出适当的响应了,这包括保持与正确的利益相关者之间的有效沟通。
6. 我们什么时候第一次意识到了这个问题?是刚刚意识到还是已经意识到它有一段时间了?这种差异是非常关键的。如果您知道组织面临重大风险并且没有对其采取任何响应行动或适当的升级,这是一个相当重大的安全失误。
7. 为什么危机不早不晚偏偏这时候出现?如果存在原因,可以将其作为持续流程改进的一部分来解决。如果没有理由,了解原因很重要。
8. 我们可以事先避免这个问题吗?在许多情况下,如果更积极地进行风险评估,或者如果攻击面显著减少,就可以避免该问题。当然并非所有情况下都是如此,但是知道提出这个问题是一件好事。
9. 我们为什么没能成功避免这个问题?一旦了解了如何避免问题,就需要问为什么最终没能实现。
10. 该问题是否已经对组织造成了任何破坏?当然,这是一个典型问题。如果没有发生损害,您需要及时修复风险,从错误中吸取教训,并且心存感激。如果已经发生了损害,您仍然需要及时修复风险,从错误中吸取教训,当然还要进行事件响应。
11. 修复问题需要采取哪些步骤?如果您需要响应和修复,那么第一步就是要确定正确执行该操作所需的步骤。花些时间梳理下问题,并确保采取的措施可以覆盖所有的基础,如此才能在获得更高质量结果的同时节省下时间。
12. 从该问题中吸取了哪些教训?在处理完任何问题后,都需要从该问题中提取和学习部分经验教训。此举有助于安全组织获得改进并最终走向成熟。
13. 我们能否应用这些教训来避免将来发生类似的情况?很显然,危机模式是最后的手段。如果您可以应用学习到的经验教训,你将能够避免再犯同样的错误。
14. 我们可能遇到哪些其他潜在危机?“后危机” (Post-crisis) 时期是跳出思维盒子并做一些分析的好时机。了解您可能会遇到的其他潜在危机,有助于提前缓解这些风险并改善组织的安全状况。
15. 还可以做些什么来避免未来可能发生的问题?在危机过后,您可能已经完成了修复,加强了控制措施或是改进了监控方式,但是您还能做些什么来避免未来发生相同或类似的情况呢?
16. 我们如何确保自身对问题的补救措施是有效的?您的计划可能只是 “纸上谈兵”,所以为了让补救措施变得更有效率,您需要映射该问题所影响的技术和应用程序,然后对其进行全方位的检查,以确定预设的补救措施是否能够实现您的预期目标。
17. 我们是否已经确认补救措施有效?如果您已经完成了修复,是否也已经对这些修复措施进行了测试以确保其有效性?如果没有,未来可能仍然会发生类似的问题。
18. 我们已经采取了哪些步骤来避免将来发生类似的情况?您需要确保无论自身已经做了哪些补救措施,无论从错误中学到了哪些教训,您所做的任何改进都必须要是持久的,而不是一次性修复。
19. 我们是否已经准确有效地向管理层和高层传达了行动内容?无论您是否经历了真实的危机事件,是否妥善地处理了该事件,以及是否对安全组织进行了改进,您的行为都需要记录并传达给企业管理层和高管们。此举有助于建立组织对安全团队能力的信心,并避免在下一个问题出现时引发过多 “余波”。
20. 我们是否已经采取了措施避免未来可能发生的损害?最后,一切都将取决于您是否采取了措施来避免或尽量减少未来可能发生的损害。这可能是最难回答的一个问题,但它同时可能也是最重要的一个问题。
【本文是51CTO专栏作者“李少鹏”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】
戳这里,看该作者更多好文
