投资者比以往任何时候都更加担心 数字威胁。普华永道的受访者’ 2018 “全球投资者调查”被称为“网络威胁”的企业面临的最大威胁-从上一年的第五位跃升。

这些恐惧是有道理的。去年12月发表的研究 安全突破研究了3,400种安全漏洞方法的报告 恶意软件 渗透成功率在60%以上。进入系统后,黑客比试图进入系统的时间更轻松。事实上,其中有70%的人能够横向浏览系统。

安全领导者有受到关注的权利,但是发现违规行为说起来容易做起来难。仅仅因为出现异常并不意味着系统已被破坏,有时甚至在任何异常发生之前就已经破坏了系统。时间到了 采取行动,许多团队甚至无法诊断问题。

真正的安全事件 指可能会对信息安全目标产生负面影响的事物,例如机密性,完整性或可用性。当系统中的某些事件触发警报或看起来异常时,安全团队需要制定协议来诊断,采取措施并消除该问题。有效的事件响应计划可以是容易修复的漏洞和灾难性的安全漏洞之间的区别。

是什么使安全响应计划合法?

不幸的是,网络安全事件的多变性使准备工作变得困难。制定事件响应计划就像准备一场龙卷风一样,您赢了’直到暴风雨来临之前,我们才真正知道破坏的程度。但是,您可以计划几个有效的行动方案,并收集所有信息’ll need to respond

设计事件响应计划需要花费时间,但是在事件之前进行计划要比在事件发生期间或之后减轻压力。某些时间紧张的企业可能会想从互联网上下载通用安全计划,但是如果没有前端的时间投入,组织中没有人会真正购买或深入研究该计划。因此,当发生事件并且通用计划中的某些协议(例如,从事件发生到事件发生之间的时间间隔为72个小时)与组织需求发生冲突时,没有人真正确定该怎么做。

欧洲的GDPR立法有一部分 试图为事件响应提供一些标准化,但这些准则仅提供特定于组织的计划的起点。 CISO及其团队面临太多可变问题,无法依靠剪切和粘贴计划。如果公司疏忽了其监测环境的义务,这是否可以解释?公司怎么样’内部控制首先识别出事件?组织是否拥有必要的工具和人员来遵循计划?有很多问题,要由CISO查找答案并将这些答案包括在定制计划中。

CISO加紧

CISO负责整个安全运营,因此当危机确实爆发时,’他们有责任为事件响应团队中的每个利益相关者提供清晰的方向。这包括安全性,法律和 法医 员工(通常是外部顾问);执法部门(通常是联邦调查局);有关监管者;保险公司;公关部门;人力资源;以及可能受到违反影响的其他任何人。每个组织都应该知道何时需要第三方的参与以及何时将流程保持在内部’的事件响应计划,这是自定义通常可以产生更有效计划的原因之一。

诸如 NIST网络安全框架 可以通过四个不同的步骤来帮助组织网络安全计划:识别,检测,响应和恢复。通过使用此框架作为出发点,CISO可以制定并实施针对其组织的事件响应计划,并尽可能减少机会。

与计划的存在同样重要的是它的维护。威胁在不断发展,定期测试和修订事件响应计划将使团队参与其中。识别新威胁是最大的障碍,但是这些新威胁也需要采取新的应对措施。

没有强有力的事件响应计划,任何公司都不应放任自流。下一个网络安全威胁总是指日可待,准备不足的公司会给自己和客户带来巨大的风险。

布拉德·蒂斯

BARR Advisory的创始人兼总裁

布拉德·蒂斯(Brad Thies)是BARR Advisory,P.A.的创始人和总裁,该公司是一家专门从事网络安全,风险管理和合规性的保证和咨询公司。布拉德在ISACA会议等行业活动中定期发表讲话,并且是AICPA的“信任信息完整性工作组”的成员。