不要忽视安全事件应急响应管理

简介:

法律顾问兼首席安全官Chris Pierson认为,事件应急响应预案可在安全事件发生后最大程度地帮助CISO挽救其公司。

不要忽视安全事件应急响应管理

作为Lewis Roca Rothgerber律师事务所的公司法律顾问,Chris Pierson建立了该公司的网络安全实践,并就事件应急响应和高危事件恢复对公司进行建议。他认为,随着事件危害的逐渐上升,CISO们必须负责事件应急响应预案,并雇用第三方对管理层“场景展示而非讲述”那些通过尽职调查可被避免的业务问题。

Pierson目前是Viewpost知识产权控股公司首席安全官、执行副总裁兼公司法律总顾问,负责领导该公司的网络安全以及法规遵从性项目。Pierson是美国国土安全部(DHS)数据隐私与完整性咨询委员会以及网络安全小组委员会委任成员,也是Ponemon研究机构一位杰出的研究员。他之前还担任过苏格兰皇家银行美国银行业务的高级副总裁兼首席隐私官,负责公司的隐私与数据保护项目。近日,他与我们探讨了如何找出并填补事件应急响应项目的缺口。

近期有大量讨论,认为应评判CISO们的事件应急响应管理能力而不是他们的事件防御能力,因为后者不再是一个现实的目标。您同意这个前提吗?

Chris Pierson:我认为它甚至比这还要广泛。我们需要评判的是公司针对事件以及企业内部产生问题的响应能力。事件不代表现实生活,尤其在某个点上的事件并不会正好影响到每一家公司—这些日子已一去不复返。

每家公司都存在问题,都可能有事件发生,也都会面临这些挑战并进行相应的斗争。的确,你在市场所见已转向于更多关注事件应急响应、提供调查能力的调查技术与方案,也更多关注预案,这样可以提前通过桌面或实弹演习确定事件范围。因此我认为应评判整个公司以及CISO、CIO—当然他们将发挥更大作用—但即使法律和法规遵从在这里有许多事需要提供,相关部门作为合作伙伴参与进来也极为重要。

在事件响应中CISO角色是什么,且在您看来这一角色正发生变化吗?

Chris Pierson:这是个好问题。我认为他们是应急响应的责任人。他们也许正与CIO进行合作,但在事件当天结束时,所有人都将关注在CISO身上。我们正在做的是什么?现在我们知道了什么?我们还需要其它什么信息?以及针对我们当前面临且正挑战我们业务的事项,有什么资源正被用于分析、访问与决策?我认为从技术角度,CISO在应急响应中扮演四分卫角色。

他们的角色还会是在为公司取得成功方面、更广义的团队一份子。CISO们不是那些书写事件应急响应信件的个人,也不必是身处公关沟通前线的个人。然而在事件发生时,他们将是强有力的公司代理人以及与其他角色强协同的合作伙伴。

我还想强调—这是非常重要的—在内、外部什么人需要参与事件应急方面,包括最高级别的所有人目光都会投向CISO。CISO必须提前确定好范围。

CISO们领导负责桌面演习,他们在任何事件发生之前必须清楚应急响应所有的组成与人员。这包括那些参与外部顾问以及市场营销与沟通的人员。CISO们的确需要成为组织多方共同进行事前准备的粘合剂。

CISO的角色在事件应急响应中正发生变化吗?

Chris Pierson:CISO正是那位与法规遵从合作的责任人,且以合法方式提前了解涉及什么角色,并在团队中发挥更大作用。它不再只是公司的1和0。

我认为答案是CISO角色已经发生变化。之前,CISO将负责对已发生事件提供技术建议和指导:我们如何修复?他们过去曾负责合理化这些方面的事情。

CISO角色在两个核心领域已经发生变化。首先,在预案方面他们正被关注,了解需要在桌旁的玩家,并确保通过桌面演习提前做好准备。第二,我认为在事件当天结束时,CISO正是那位与法规遵从合作、且以合法方式提前了解涉及什么角色、并在团队中发挥更大作用的责任人。合规不再仅仅是公司的1和0;这些个人必须知情并确切了解那些对他们产生影响的条例和法规。

你怎么看待CISO在定义一起安全事件范围时所起的作用,尤其在理解该事件范围或在管理层面前低估事件影响方面?

Chris Pierson:首先,CISO负责确保全公司每个人都知道什么类型事件可能发生、这些事件可能会如何上演,而又有什么前置条件导致出现这些挑战。以及最后,所有其他参与者的角色及职责需要明确——这一点非常关键。

另一方面是确定某种公司治理流程就绪。这可能在CISO职责之外,甚至更佳方式,广义上由合规、风险或法律部门负责。让所有干系人坐到一起,这一点也极为重要,以便确保公司高管和中层人员对事件以及可能产生影响都有认识。CISO还要确定每个人都感到满意,且采纳潜在的事件应急响应方案,这样当事件发生时,不会存在由于没有组织而导致大量混乱、时间浪费以及良好意愿的消费。我认为这是一位CISO需要关注的关键领域。

您如何看待事件应急响应的准备时间是否合理?谁应该参与预案工作,尤其当首席执行官说:“我们不想发生任何事件”?

Chris Pierson:这是一个惊人的问题——让该组织加入。而且,这也的确无关组织规模。CISO应当担心的关键在于让所有人理解他们自身的角色以及这将如何影响到公司,并将此织入业务目标。对于应急预案以及最终的应急响应举措中所涉及到的时间、资源以及金钱,必须有一些更为广泛的业务理由进行支撑。

我会告诉你这一点,从业务角度进行准备,通过事件预案可以更容易实现保护良好意愿、保护品牌与客户信赖方面的目标。这意味着事前有针对性预案,并装配合适的团队—一个知道如何合作、清楚规则和职责的团队—以及一位理解这将很大程度保护公司运营的执政官。该[方法]将让公司走向成功。那正是长远来看节省财力的举措,不具有大量失误以及对公司品牌或市场地位的负面影响。

在2014年早些的RSA大会主题演讲中,您提及了国土安全部的网络空间安全评估项目,并讨论了对管理层“场景展示而非讲述”业务问题的一些方法。您能对此再做详细介绍吗?

Chris Pierson:CISO关键领导力之一是确保你正面向高管甚至公司董事会“场景展示而非讲述”当前风险、你针对这些风险所采取的应对措施、乃至这些风险的生命周期以及它们如何影响公司。一个好的方式是通过第三方参与,无论他们是外部审计人员或外部安全专业人士,都没关系。

一个好用的工具是DHS C3(关键基础设施网络社区C3自愿项目)计划,这是一种国土安全部以伙伴关系参与、帮助你的组织评估跨信息安全基础设施和其他技术的风险范围,告知参考美国国家标准与技术研究院(NIST)网络安全框架和其他标准如何对风险排名,并提供相关信息。如果您的组织存在差距,他们还会提供大量文档,关于你如何想缩小差距或对现存任何项获得清楚认识。

或者你也可以自己来做。大约一年前,2014年2月,该项目面向个人使用开放了。所以它可以带入任何规模的组织而不论成本或专业知识要求,用于一种真正的风险评估并映射于组织。这是一个了不起的工具,我希望人人都知道、或正在考虑使用它。

公司应多频繁审查他们的事件应急响应预案?一般原则过去是每年审查。这已经发生变化了吗?

Chris Pierson:我认为这的确已发生变化。事件应急响应预案应加以审查,绝对是最新的为一年一次。涉及到会影响公司的新型风险或新型威胁向量,事件应急响应项目也应对此进行补充和审查。

那么,如果你在一家依赖于销售点终端设备的零售公司,并已经访问到大约一年前的入侵信息,那么你的组织原本不应该等到年度审查;而你原本应该已经审查过事件应急响应预案,判断它将如何有效应对,这样,面对任何未来的信息安全挑战时你都将处于有利地位。

作者:Kathleen Richards


来源:51CTO

相关文章
|
2月前
|
监控 安全 Linux
网络安全事件应急响应
应急响应是针对网络安全事件的快速处理流程,包括信息收集、事件判断、深入分析、清理处置、报告产出等环节。具体步骤涵盖准备、检测、抑制、根除、恢复和总结。
|
7月前
|
存储 监控 安全
企业如何建立网络事件应急响应团队?
建立企业网络事件应急响应团队是应对勒索软件等威胁的关键。团队的迅速、高效行动能减轻攻击影响。首先,企业需决定是外包服务还是自建团队。外包通常更经济,适合多数公司,但大型或有复杂IT环境的企业可能选择内部团队。团队包括应急响应小组和技术支持监控团队,前者专注于安全事件处理,后者负责日常IT运维和安全监控。团队应包括安全分析工程师、IT工程师、恶意软件分析师、项目经理、公关和法律顾问等角色。此外,选择合适的工具(如SIEM、SOAR、XDR),制定行动手册、合规政策,创建报告模板,并进行定期训练和演练以确保团队的有效性。外包时,理解团队构成和运作方式依然重要。
143 1
|
安全 fastjson 网络安全
记一次fastjson事件应急响应
记一次fastjson事件应急响应
246 0
|
安全 Java 应用服务中间件
记一次异常外联事件应急响应
记一次异常外联事件应急响应
353 0
|
云安全 监控 安全
一次云上病毒事件的应急响应——阿云的阿里云安全技术实践(1)
企业安全团队在阿里云上的一次木马病毒事件响应——一次根据非真实事件改编的安全小说……“安骑士主机异常事件:木马程序。”就不高速运转的脑神经,突然一阵抽搐……
3650 0
|
运维 Prometheus 监控
ARMS 助力极氪提效服务应急响应,为安全出行保驾护航
本文主要介绍了ARMS 助力极氪提效服务应急响应,重点介绍整体方案中围绕“告警、接手”两项落地的“以事件为中心的告警全生命周期管理”解决方案。
443 14
|
云安全 监控 负载均衡
信息安全-应急响应-阿里云安全应急响应服务
虽然企业已对业务系统进行了安全防护,如使用了阿里云安全组、web应用防火墙、云防火墙等安全产品,但随着攻击方法的发展,以及新的安全漏洞的出现等情况,业务系统面临着一些未知的潜在的安全风险。为了应对潜在的安全风险,企业需要通过应急响应,来保障现有业务系统的稳定运行。本文将对应急响应的基本原理进行介绍,并结合阿里云“安全应急响应服务”进行分析
1037 0
信息安全-应急响应-阿里云安全应急响应服务
|
存储 监控 安全
安全应急响应的一些经验总结
本文讲的是安全应急响应的一些经验总结,在2016年,我尽可能的参与到了事件响应的工作中,并且我还花费了超过300小时的时间去作为今年很多安全事件或者数据泄露事件的顾问。这些工作中包括我目前正在进行的工作,协调事件受害者与事件响应人员的关系。
2379 0
|
安全 黑灰产治理
有重奖!阿里安全应急响应中心“2018 专项情报收集计划”
我们发布《2018专项情报收集计划》,相关情报我们有更强的意愿接收及给出更好的奖励,并根据提交情况在年末为卓越情报专家颁发“年度情报之星”荣誉。
2565 0