关于网络安全应急响应(IR)的讨论比比皆是。这并不奇怪:因为每个组织最终都会遇到安全事件,我们需要确保做好应对准备。共享有关 IR 最佳实践的知识、发布有关过去事件的事后分析、审查行业工具以及在桌面演习中演练行动,这些都是实现准备就绪的众多方法中的一部分。

在今天的深度探讨中,我将与我的朋友、经验丰富的应急响应者 Nathan Case 合作,讨论应急响应中尚未探索的方面,包括人为因素、IR 对响应者的影响,以及我们作为一个行业不断改进事件处置过程的方法。

应急响应的四个步骤

从根本上说,处理任何事件都有四个步骤:

  1. 避免事件发生。这包括降低事故发生概率的工作--加强组织控制、减少攻击面、培训员工在工作时保持警惕,以及实施考虑到企业需求的安全计划。

  2. 为事故做好准备。虽然 "每家公司最终都会遭遇安全事件 "这一观点听起来有些悲观、确定,甚至是虚无主义,但这却是我们这个复杂且相互关联的世界的现实。问题不在于我们是否会被入侵,而在于当它不可避免地发生时,我们将如何应对。为了应对事件发生,可以考虑提前采取控制措施,以便在事件发生时,敏感数据不会泄露,客户不会受到影响,业务运营不会停顿数小时、数天甚至数周。

  3. 处理事件。当组织得知发生了安全事件时,就会触发这一步骤。当事件发生时,IR 计划就会启动,安全专业人员就会努力将入侵者从组织环境中清除出去。

  4. 从事件中恢复对回归正常运营和业务正常运转至关重要。令人惊讶的是,应急响应的这一阶段往往是实践最少的阶段。令人费解的是,许多组织都忽视了这一步骤,很可能是由于认为需要付出努力或成本。然而,坚持不懈的实践是必不可少的。如果事实证明这一过程太具有挑战性或需要大量资源,我们就必须探索新的、更有效的恢复方法。在任何事件中都需要应急响应的这一环节,而这一环节往往是缺失的。

这一过程过于简单化,但它确实说明了一个问题,即 IR 与事件发生期间所采取的行动无关;它与安全事件发生之前和发生之后的很长一段时间内所发生的事情有关。NIST 有四个类似的主题,但缺乏 "避免事件 "的现实意义,而将这些行动纳入了 "准备"。在此将其拆分开来,指出了避免和接受这两种行动之间的区别,并有助于以后直观地了解这些主题的实际情况。

这四个步骤中的每一个都很复杂。然而,我们认为,在所有四个步骤中,第二个步骤,即为事件做好准备,以及第四个步骤,即从事件中恢复,是我们一直以来最为纠结的话题。

众所周知,人类在为好事或坏事做准备方面做得很差。IR 准备和业务连续性之所以如此困难,是因为在心理层面上,我们不想承认我们需要做好应对准备。我们不愿意接受我们不可避免地会失败。不仅是安全问题,你会发现事实就是如此。以临终规划为例:我们知道我们每个人都会死,但我们绝大多数人都不会考虑临终规划,好像我们能以某种方式逃避死亡。无遗嘱死亡(即未留下遗嘱)、有能力购买人寿保险却不购买人寿保险、没有预先医疗指示的人数多得惊人。我们没有为不可避免的死亡做好准备,而是像鸵鸟一样把头藏起来,以为自己会成为第一个避免死亡的人。

我们需要尽快改进的另一个领域是从安全问题中恢复。这主要有两个原因。首先,企业通常过于急切地希望尽快恢复创收,因此一旦运营恢复正常,他们就会认为事件已经解决。因此,接下来的一切工作,如事后分析、调查、跟进和报告,往往被视为流于形式,与核心应急响应脱节。其次,制定全面的恢复计划需要时间、测试和资源。由于其复杂性和所需投资,这项任务很快就被搁置了。但实际上,事件发生后还需要关注许多其他方面,包括响应人员本身的健康和效率。

应急响应的人为因素

每个职业都是多面而复杂的,应急响应也不例外。作为人类,我们倾向于很好地总结和分享有关这种复杂性的战术方面的知识,例如如何进入网络安全 IR,人们需要具备哪些技能才能成功,需要实施哪些流程才能有效响应,以及哪些工具(无论是供应商产品还是开源解决方案)最适合这项工作。由于网络安全是从黑客和开源社区发展而来的,因此在在线论坛和 Discord 频道、行业活动和同行社区中,有很多分享和交流学习内容的活动。

并非所有应急响应方面都得到了同等程度的讨论。特别是,有一个方面似乎被掩盖了,几乎被故意遗忘、忽略、隐藏起来。这就是 IR 对处理这些事件的人的影响。就像一个孩子因为床底下有怪物而躲在床单下一样,我们不想谈论 IR 人为因素的一面。这是一个可怕的话题。然而,我们必须这样做,因为这种影响超出了 "工作过度和捉襟见肘 "的范畴。

应急响应对从事全职IR专业人员的心理影响

并非每个人都遭受同样的痛苦

在讨论应急响应对IR专业人员心理的影响之前,让我们澄清一下,我们并不是在谈论安全团队中那些每年要处理一两次应急响应的人员。虽然许多问题可能仍然会影响他们的生活,但不会像那些以IR为生的人那样严重。

上帝综合症

负责大型活动的人往往患有所谓的 "上帝综合症"--觉得自己是万能的、不可战胜的,能够完全预测别人会怎么想、怎么做或怎么说。

这并非网络安全应急响应所独有。任何处理紧急事件的人,从医生到救援潜水员、士兵和消防员,每一个长期掌控他人生命的人,最终都会成为这种综合症的受害者。简而言之,大多数人的情感设置无法在不变得麻木和损害他们的同理心、协作和平等看待他人的能力的情况下持续处理大规模事件。

网络安全给了安全从业人员一种优越感,因为他们能看到别人看不到的东西,知道谁在做什么,还能控制别人的电脑。他们以 "拥有 "这些东西为荣。随着时间的推移,他们习惯了这种控制感,许多人产生了优越感。作为一名事故响应者,这种自豪感会将人吞噬。数百人在数周内聆听负责 IR 的人所说的每一句话,这种事实令人陶醉。突然间,安全从业人员变得比以前更强了--他们觉得自己与众不同、更优秀、凌驾于所有人之上。

在应急响应的不同领域,已有数百名研究人员对上帝综合征的原因和影响进行了研究。在 医学 、 空中交通管制 和 消防等领域,都有关于这一现象的文章和综合书籍。遗憾的是,目前还没有关于安全和网络安全应急响应问题的研究。这种研究上的空白以及这些问题未被讨论的事实对人类的生活造成了真正的影响。如何做到 IR 并保持谦逊?当你所有的成功都被置于保密协议之下,你不能谈论任何你感到自豪的事情时,你如何获得成就感?发生事故后,如何回家而不觉得自己高高在上?如何培养一个关心同伴的孩子?怎样才能不在无意中把别人挤得满身是血而自己却浑然不觉?所有这些都是真实的问题,如果我们不首先努力研究这些问题,就不可能回答它们。

要控制与 "上帝情结 "相关的症状,尤其是在高度紧张或躁狂期间,最简单但也是最关键的建议之一就是保证充足的睡眠。睡眠不足会加剧不可战胜感、自大感和判断力下降,而这些往往与躁狂状态和上帝情结有关。

睡眠为何重要

睡眠不足会损害认知功能、情绪调节和决策能力。对于容易产生好高骛远想法或上帝情结的人来说,这些障碍会增加做出错误决定、高估能力或忽视他人意见的风险。充足的睡眠有助于保持更平衡的视角和更好的自我意识,这是减轻上帝情结影响的关键。

具体实施

制定一个有组织的 6 到 8 小时休息时间的待命时间表是一个切实可行的步骤。虽然在团队规模较小或发生高强度事故的情况下,这可能具有挑战性,但优先安排轮班之间的休息时间至关重要。这些休息不仅仅是身体上的休息——它们还能减轻精神和情绪上的压力,让团队成员重新获得清醒和洞察力。

方法示例

  • 轮班:实行轮班制,每个团队成员在规定时间(如 6-8 小时)内待命,随后必须休息。

  • 安排休息时间:即使在轮班期间也应安排休息时间,让团队成员休息并恢复精力。这有助于防止倦怠并保持高绩效水平

  • 伙伴制度:让团队成员结对,互相监督彼此的休息需求,并在出现疲劳或压力迹象时鼓励休息。

将有计划的休息融入工作流程,不仅能消除可能导致 "上帝情结 "的体力透支,还能营造一个更健康、更可持续的工作环境。

创伤后应激障碍(PTSD)

网络安全应急响应可能会导致创伤后应激障碍 (PTSD),因为工作强度大、风险高,会对心理产生深远影响。经历过创伤事件的人通常会在脑海中重现这些事件,试图走上一条不再存在的道路,这可能会加剧他们的压力和焦虑。

人们试图避免创伤后应激障碍的一种方法是对工作保持冷静,将应急响应视为另一项工作,并远离其行为的后果。然而,这种方法往往与 IR 的本质相悖。应急响应是一个由改变世界、保护组织和维护世界安全的激情驱动的领域。这种激情首先吸引了许多专业人员从事网络安全工作,但同时也使他们更容易受到工作情绪的影响。

对于许多IR专业人员来说,任何错误或延误都可能给组织带来灾难性的后果。这种巨大的压力造成了无处不在的恐惧和焦虑感,尤其是在处理严重事故之后。应对突发事件时肾上腺素飙升会掩盖直接的情绪影响,但长期影响往往挥之不去。内疚感、过度警惕甚至噩梦在经历过严重 IR 情况的人中并不少见。

遗憾的是,许多组织未能认识到或解决这些心理健康挑战。IR 团队通常需要 24/7 待命,随时准备响应,这可能会使他们无法完全从之前事件的心理压力中恢复过来。对技术恢复的关注常常掩盖了对情感和心理支持的需求,导致响应者得不到他们所需的照顾。

各组织必须认识到,有效的应急响应包括关心投资者关系团队的心理健康。提供心理健康资源、促进有关压力和创伤的公开讨论,以及确保在两次事件之间有时间进行恢复,这些都有助于降低创伤后应激障碍的风险。全面的IR计划应包括技术和运营方面的恢复,以及人的状态方面的恢复。复原能力强的 IR 团队不仅技术精湛,而且精神和情绪健康。

零和思维

与对手作战是一种零和游戏:一方获胜,另一方必然失败。习惯了这种游戏的人自然会在其他生活领域采取同样的心态。他们需要帮助来制定双赢的问题解决方案,因为无论主题是什么(为安全争取更多预算、让更多人了解安全等),一切都像是一场必须打赢的战斗。这种零和思维往往会损害应急响应者和安全从业人员发展人际关系、建立职业生涯和取得商业成功的能力。

将许多事情视为一个连续的过程会有所帮助。James Carse 写过一本书, "有限和无限的游戏" ,探讨了将事情视为一场有终点的游戏还是一场永无止境的游戏之间的区别。虽然单个战斗是有限的,但安全作为一个过程却是无限的。

“首先,在赢得一场有限游戏后你会做什么?你必须报名参加另一场游戏,你必须找到一种方法来展示你过去的胜利。有限玩家必须炫耀他们的财富和地位。他们需要展示他们积累的胜利标志,以便其他玩家知道他们在与谁打交道。卡斯认为这些玩家花时间回顾过去,因为那是他们的胜利所在。

相比之下,无限游戏玩家则着眼于未来。因为他们的目标是让游戏继续下去,所以他们较少关注已经发生的事情,而会花更多精力去探索可能发生的事情。通过玩单一的、不可重复的游戏,他们不关心过去状态的保持和展示。他们更关注的是如何定位自己,以便有效应对任何挑战。

寻找提高安全性和应急响应能力的途径

事件不会消失,这不可能是目标

我们永远无法将安全事件的数量降至零,这也不应该是我们的目标。相反,我们需要不断提高攻击者的门槛,在安全问题不可避免地发生时减少其造成的损失,并使恢复变得更容易、更快捷。

当一个入侵者在努力实现自己的目标时,他们必然会成功。这就是统计学和概率论的原理。以银行抢劫为例。自从有了银行,抢劫就一直存在,几个世纪以来,我们一直在不懈地努力阻止抢劫。在保险公司的资助下,地球上一些最聪明的人一直在设计无法破解的保险箱。银行及其保险公司聘请了渗透测试公司来测试银行的安全措施有多强大。我们雇用了保安人员,安装了警报器和紧急通信系统,并为运送现金的人员配备了装甲车和安保人员。尽管有这些投资,并积累了数百年来关于哪些措施有效、哪些措施无效的数据,但事件数量并非为零。根据联邦调查局的数据 ,仅在美国,2022 年就发生了 1612 起银行抢劫案 ,虽然比以前有所减少,但数量仍然不少。尽管如此,我们还是成功地将威慑、预防、侦查和应对结合起来,以:

  • 阻止入侵者企图犯罪。

  • 使攻破银行防御的难度大大增加。

  • 确保当劫匪得手时,他们抢走的钱微不足道,不会对银行的资产负债表产生重大影响。

  • 使捕捉犯罪证据、重现犯罪现场、调查犯罪过程以及随后抓捕罪犯变得更加容易。

网络安全也不例外。我们知道事故会不断发生,因此我们的目标应该是确保员工点击钓鱼链接不会导致整个公司瘫痪,确保攻击者无法在数月内不被发现,确保宝贵的数据不会在一次事故中全部泄漏。

我们应采取哪些措施推动应急响应能力的提升

建立应急响应人员队伍

安全事件的数量一直在上升,并将继续上升。为了解决这个问题,我们需要确保有许多强大的应急响应人员。遗憾的是,我们似乎并没有。拥有一些应对安全事件的经验与成为一名IR专业人员之间的区别,就好比会做心肺复苏术或急救的人与急救医疗技术员(EMT)之间的区别。我们两者都需要,但两者都不具备。如果我们继续以此类推,问题似乎有两个方面:

  1. 我们不会强迫每个在危险环境中工作的人都接受心肺复苏术和急救培训,这主要是因为人们的情况各不相同。尽管事故不可避免地会发生,但并不是每个安全从业人员都做好了应对事故的准备。良好的 IR 培训很难获得。

  2. 我们没有足够的“急救医疗技术员”或冲向灾难现场的人员,而且也没有很好的方法来大规模培养他们。曾经为谷歌、微软或亚马逊等公司做过 IR 的人以及许多退伍军人都非常擅长应对事件,其中一些人还创办了自己的 IR 公司。虽然我们可以看到数百家公司大规模开展应急响应工作,但这些人非常少,我们需要更多这样的人。

如果我们要确保当今世界的安全,避免事件频发,我们就需要建立应急响应者的培训体系。这个问题肯定还有另一个答案。

研究应急响应的人为因素

此外,我们需要投入更多精力,深入了解应急响应人为影响的一面。我们需要对诸如上帝综合症、创伤后应激障碍和零和心态等问题进行扎实的学术研究,这些问题会影响那些选择 IR 作为职业的人。关于各种必须在压力下保持冷静、拥有大量访问权限的人的心理,我们拥有大量知识,安全应急响应需要迎头赶上,这不是因为它有多么独特,而是因为它有多么相似。有一本关于救援潜水的好书,名为《压力之下:深入人为因素》。如果你用“救援潜水”代替“应急响应”,你会发现两者对人类心理的影响有多么相似。

IR 心理学研究成果,应能为组织如何对待负责应急响应工作的人员,以及 IR 流程/操作本身提供参考。特别是:

  • 我们需要减少 IR 人员的工作量,减少在事件上花费的时间。他们需要时间来恢复,需要强制休假,需要时间来回顾他们参与的事件。

  • 公司必须明白,当事故发生时,整个组织都必须挺身而出,参与其中。

  • 应急响应人员需要根据人员能力将权力更多地下放给他们,以便他们完成自己的工作。这意味着 IR 专业人员应该更多地专注于组织和协调响应,而不是成为英雄并亲自承担所有繁重的工作。

汇总有关事件和应急响应的数据

如今,我们需要更多关于应急响应的数据。CISA、FBI 或 CIA 目前都无法汇总全国范围内的事件数据。

Verizon DBIR和CrowdStrike 全球威胁报告等报告已经是我们可以得到的最好的报告了,但它们需要更全面。似乎没有人能够权威地说出公司在 2022 年、2023 年或任何其他年份支付了多少钱在勒索软件上。这是一个问题。我们知道,我们之所以能够相当擅长识别和应对医疗流行病的早期迹象,是因为所有州每天都会汇总和共享有关感染和疾病的数据。然后,政府可以快速识别异常并发现致命疾病的早期预警信号,以免为时已晚。我们需要一种类似的网络安全数据聚合方法,超越SEC 对“重大事件”的披露。

我们认为,汇总事件和应急响应数据应该是政府的责任。好消息是,基础设施已经具备,我们在 ISACS 方面的成功表明,这项工作可以做得很好。现在需要的是采取最后步骤将其正式化的政治意愿。像 CISA 这样的政府机构非常适合被赋予广泛的授权,成为美国网络安全数据的中央汇总机构。增加有关心理健康和康复的数据实际上可以让我们充分了解长期 IR 对公司或个人的影响。它还能告诉我们目前在恢复能力钟形曲线上的位置。我们可以了解目前我们的团队和国家接收事件和有效应对事件的能力。

我们知道,公司并没有分享敏感数据的积极性,任何与投资者关系有关的信息都被掩盖在保密协议和法律繁文缛节之下,以减少责任。基础设施和安全提供商也在努力掩盖他们的事件,因为他们希望被认为是安全的。尽管如此,我们也知道,除了上市公司之外,保险公司也能了解实地发生的情况。每家保险公司都清楚地知道他们的投保人何时被入侵,入侵的原因是什么,他们是否聘请了第三方进行勒索软件谈判,以及他们是否支付了赎金以及支付了多少赎金。可以强制要求保险提供商汇总这些数据,并以匿名方式报告给 CISA,以便其进一步分析并与业内其他公司共享。

保险公司从事统计和数据科学业务。他们在汇总其他类型风险的数据方面做得非常出色,从车祸到火灾、自然死亡、医疗故障以及各种疾病。如果没有所有这些数据,他们将无法建立保险精算表并承保保单。让保险公司收集和分享一些有关安全事件的数据听起来是政府更好地了解网络状况的自然下一步。

减少全球范围内的事故数量

国家级攻击者想从安全团队手中夺取东西--他们想要信息、金钱或控制权,以满足他们的需求。这意味着我们没有安全问题,我们有的只是权力问题,归根结底就是金钱问题。

如果我们突然转向,将问题彻底解决,结果会怎样?以一个被排斥的小国或地区为例。该地区与全球供应链、文化和经济隔绝,为了生存,不得不成为全球犯罪集团。但如果我们换一种方式处理这个问题,结果会怎样?如果我们探索将该地区重新融入全球社会的方法,而不是只关注制裁和孤立,结果会怎样?通过为其人民创造为全球文化和经济做出贡献的机会(也许通过编码或提供服务等合法途径),我们可能会减少网络犯罪的诱因。投资目前是网络犯罪温床的海外小城镇,并允许它们产生合法收入,可以创造更稳定的经济基础。如果我们能让这些行为者不那么想针对银行,那么对所有相关方来说,这可能是双赢的。老实说,这样一来,每个人都可以时不时地小睡一会儿,我们都可以多玩一会儿。

此外,关于建立网络安全联盟的讨论也一直在进行。无论是军事联盟还是类似联合国的组织,这种合作都将极大地促进全球网络安全工作。通过促进政府间合作和建立明确的网络安全规则,我们可以创造一个更加安全和稳定的数字环境。这将加强防御机制,并为在全球范围内追究国家级攻击者的责任提供一个框架。

原文链接:

https://ventureinsecurity.net/p/a-different-take-on-security-incident

声明:本文来自安全喵喵站,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。