4.2 捍卫事件响应所需的资源
网络安全部门在很多行业被看作企业IT的成本部门,一旦企业业务经营遇到波折或进行了调整,网络安全部门制定的年度预算或项目往往最容易被搁置或被取消。作为CSO,你需要认识到,其他所有项目或任务都能延后或取消,但是一定要捍卫事件响应程序所需的相关资源;并且还需要向公司高管描述几个业务示例,以证明事件响应程序为公司及其运营带来的价值。
那么,事件响应计划的商业价值是什么?网络安全事件正在成为世界各地的头条新闻,许多攻击给包括政府和企业在内的各种类型的组织带来了严重破坏。拥有成熟的事件响应程序的组织将具有系统的行动方案,可以以快速、有效和全面的方式响应这些攻击。但是,许多组织并不认为事件响应是成熟的过程。因此,它们倾向于将其外包给第三方。
为了解决这个问题,我们将讨论CSO在内部决策会议上会遇到哪些挑战,以及如何化解公司高管或业务部门对网络安全投资的争论。
(1)关于网络安全事件的定义太多,导致投资变成无底洞
在公司中,业务部门往往认为网络安全事件的定义太多,各种各样网络安全事件的潜在风险导致不同部门对如何管理它们存在不同的看法。许多组织认为很难有效解决所有网络安全事件的潜在问题。另外一方面,潜在风险并不一定会发生,因此,与其投资在不一定会发生的项目上,还不如将资源投入更具实效性的业务改进上。
对于许多公司来说,当它们首次开始处理事件响应并为CSO分配资源以构建网络安全事件响应机制时,确实存在这样的困惑。但是,只要依据一些国际标准或最佳实践(如NIST SP 800-61r2和ISO/IEC 27035等,其中一些参考资料说明了如何在可控的范围内建设网络安全事件响应机制)进行分析,就能确定在当前时间段内,公司的网络安全事件响应机制中哪些任务是紧急的,哪些任务是重要的,哪些任务是既不紧急也不重要的。
(2)网络安全事件的来源和类型不同,为什么不考虑外包
网络安全事件有很多不同的类型,一些似乎来自较小的犯罪集团,其他一些则来自导致商业活动结束的大型有组织的犯罪集团。另外,网络事件种类繁多,如黑客攻击、恶意软件或社会工程,所有这些都会引起混乱。既然如此,与其雇佣很多安全专员,为什么不外包给专门从事事件响应的合作伙伴呢?
总有一些事件响应服务可以外包给第三方。话虽如此,企业仍对其在违规期间如何管理资产负责,并且必须能够回答“合理防护”的问题。例如,组织是否实施了合理的安全控制并遵循了行业最佳实践,以尽可能减少风险暴露?如果公司没有事件响应程序,则它们很可能不符合“合理防护”标准。即使签约的第三方完成了事件响应程序的主要工作,企业仍须具有事件响应计划。该计划将涵盖与合作伙伴的沟通、为事件激活的资源、全面负责事件管理的人员,以及如何和何时向执行领导报告结果等内容。在关于如何处理事件的错误信息的海洋中,事件响应程序可提供业务清晰度,以减少事件的影响并使业务运营恢复正常。
许多组织对如何应对网络安全事件缺乏了解。实际上,这些组织通常都没有做好充分的准备,没有将任何人员分配给事件响应团队或提供培训以提高团队成员的技能。即使有事件响应计划,也缺乏明确的政策,无法提供有关如何识别网络安全事件、调查事件、基于事件采取适当的补救措施以及恢复关键业务系统的指南。
(3)公司没有什么重要资料,是否有必要投资建立如此复杂的事件响应机制
不少业务部门会认为CSO的提议往往是“小题大做”,其原因是许多组织还不完全了解其关键业务数据的位置或使用情况。没有企业网络拓扑结构的完整描述,也不清楚所有指向互联网的出口/入口。最后,部门中的许多人缺乏有关事件本身的信息。由于没有事件响应程序或充其量只有一个不成熟的程序,只会在事件影响组织后对事件做出响应,并且很少收集事件发生时间、地点和方式的内部威胁情报。
突发事件响应计划、策略和程序提供了一个框架,该框架使你能够快速做出决策,并在需要时提供沟通过程以访问关键的第三方。网络安全事件响应机制会指定流程和要求,以帮助团队成员了解在网络安全事件关键时刻需要做什么、如何做以及何时进行。由CSO领导的网络安全事件响应流程还将使组织了解其数据的生命周期及其网络的结构,并帮助确定哪些事件日志适合收集和存储。在补救过程中,事件日志的收集将使团队成员能够了解事件的发生时间、地点和方式。最后,网络安全事件响应机制能帮助组织定义其业务优先级,它提供了有关其在流程、支持系统和合作伙伴(如云提供商或安全服务商)之间的相互依赖性的理解。
(4)已经有了事件响应的外包服务团队,交给他们不就行了
许多企业选择购买具有适当资格的第三方的服务,为企业遇到网络安全事件时做应急响应,此选项可以为企业提供很大的帮助。它可以为合格的人员提供更有效、更适当地处理网络事件的经验。但是,企业必须与这些第三方人员建立联系并与他们合作,因为他们需要使企业网络、数据、应用程序和业务实践中的内容有效地发挥作用。即使将完整的网络安全事件响应流程外包出去,企业仍将不得不参与网络安全相关的事件,并且要控制网络安全事件处理过程中相关秘密的保护和消除。
如果企业缺乏资源来完全建立内部的网络安全事件响应机制,那么一般可以采用一种混合方法。混合方法是指公司具有由CSO创建和管理的事件响应程序,该事件响应程序来自组织内的成员和受信任的外部合作伙伴。当要求第三方员工协助进行技术调查或进行事后分析时,该程序能详细指定企业对特定类型的事件和文档的响应。
实际上,由CSO管理的网络安全事件响应机制可以提供一个平台来教育员工的安全意识,促进良好的网络操作和行为,并为企业内部和外部的法律和刑事调查部门提供联系。所有这些积极成果都证明,成熟的网络安全事件响应流程可以为任意组织带来价值。事件响应与技术无关,它涉及业务以及企业如何使用人员、流程、技术和数据来捍卫该业务。