安全事件对公司的影响如何?RSA的一个小组说,还有很多工作要做
可怜的目标。
显然,Target漏洞的影响还没有完全消失,因为在旧金山的RSA会议上,当AccessData的“生活在一个持续妥协的世界”小组讨论事件响应状态时,每个小组成员都提到了这个基线例子。
该小组召集了一些安全专家,包括戈兰本Oni, IDT电信的CISO;David Matthews, Expedia事件响应总监;Rapid7全球安全策略师特雷·福特(Trey Ford);Chris Christianson,网络服务助理副总裁和Travis信用社的SANS讲师;Securosis的分析师Rich Mogull;还有波耐蒙研究所的拉里波耐蒙。
出于法律上的原因,小组成员花了几个小时对事件的反应进行了极其笼统的描述。首先,主持人Craig Carpenter, AccessData的首席营销官,以询问小组成员典型的IR过程是什么样的开始。
+也在网络世界有个足球雷竞技app跟随我们从RSA中运行的故事列表+
克里斯蒂安森说:“当一个组织受到影响时,大多数时候他们会从第三方那里发现。”他补充说,在某些情况下,甚至是客户自己报告了问题。
“组织的规模决定了他们将如何反应;中型公司能比大型公司更快地调整航向。与此同时,他们也在试图弄清楚到底发生了什么。”
帮助什么?组织如何开始响应过程?
他说:“与其他组织保持良好的关系和合作是关键,这包括从其他组织获得情报数据。”尽管这回避了这样一个问题,即竞争对手是否真的愿意在这个意义上互相帮助——即使理论上是为了更大的利益——但Ben-Oni坚持认为,一些组织愿意听取理由。
“一些垂直市场对它开放,比如电信或金融市场。只要有保密性,他们通常愿意参与这种‘合作竞争’。”
Mogull进一步澄清,Ben-Oni所指的事实是,现在有更多的组织通过第三方服务收集数据,这些信息在与他人分享之前被匿名化。马修斯补充说,对于那些可能担心法律影响的人来说,匿名化通常会吸引公司的律师,他们可能会担心这种披露。
他说:“只要你保持高水平并匿名,律师就可以接受。”尽管像爱德华·斯诺登(Edward Snowden)事件这样的激烈事件表明,共享信息并不总是最明智的选择,但与会者似乎都同意,企业之间相互分享和支持仍然很重要。“这对我们来说没有任何改变,”本-欧尼说。“我们仍然需要彼此。”
Matthews补充说,为了改善事件响应而共享数据时,与你已经认识的人合作并发展信任关系是很重要的。“你们会更容易信任对方,”他简单地说。
人类的元素
当涉及到事件响应时,时间显然是关键,所以人们自然倾向于相信自动化是解决所有问题的答案。毕竟,让机器来做这些工作不仅意味着减少人力,还意味着更快——因此更好——的响应,对吗?不完全正确,小组成员说,他们同意自动化是一个健康的选择,但只有适度。
Ben-Oni说:“我们已经仔细研究了如何使事件响应自动化。”他说,通过自动化,企业可以削减必要的人力来应对事件,同时还可能在问题变得严重之前控制住问题。
他说:“(通过自动化IR,你可以)在不需要太多人力的情况下快速完成,而且你可能在问题变成大问题之前就控制住了它。”
但是Christianson警告说,虽然自动化可以提高效率和响应时间,但组织应该小心不要完全去除人为因素,这在事件响应中是必要的。他说:“检查的部分,确保一切正常,仍然需要人类的眼睛来确认。”
然后Ben-Oni澄清了自己的立场,他说:“我们不会找人代替。我们正在采取人们每次都必须做的步骤,并将它们自动化,这样当人工因素进来时,繁重的工作就已经完成了。”
Mogull同意这种方法,认为当涉及到自动化IR时,它更多的是自动化一个工作流,而不是期望按一个按钮就能自动完成所有事情。他说:“某些步骤,如重新成像、更改应用程序的所有权等,应该实现自动化,从而大大加快整个过程。”
“沟通是关键。”
事件反应,在很多方面,都是关于沟通的。这不仅仅是一个组织如何(或何时)选择向公众传达他们已经被攻破的消息的问题,这也是一个安全团队如何选择与董事会成员进行内部沟通的问题。
当被问及塔吉特黑客事件是否会让董事会成员睁大眼睛时,马修斯说:“它确实引起了高管们的注意,我们的高管想知道这种事是否会发生在我们身上。”所以我们告诉他们,这是我们的分析,这是我们在这个范围内的位置,这是我们的差距。”
他还说,通过这种方式,董事会成员可以决定如何最好地使用他们的资金,以保护他们的组织。
福特似乎更关心安全行业的沟通问题,但也决心采取尽可能积极的立场。“通知外部和内部都很困难,”他说。
“问题不是‘我们被黑了吗?‘发生了吗,我们知道吗?’”他解释说,在需要报告入侵的情况下,几乎可以肯定的是,CISOs甚至可以说他们知道有什么地方出了问题。然而,在这样做的时候,至关重要的是他们的声明要准确。
“这是一个强有力的立场,说明我们知道什么,我们知道我们不知道什么。但我们必须以绝对的信心发表这些声明。
通信是如此重要,克里斯蒂安森说,安全专家同时也是专业的通信人员,是当今行业中非常热门的商品。“沟通是关键。我们有聪明人,但他们并不总是最好的沟通者,”他说。“所以,你需要的是既懂技术又能很好沟通的员工。”
这就是问题所在。虽然安全团队与董事会成员沟通这些问题显然是必要的,但重要的是他们知道如何以董事会成员能够理解的方式沟通问题。换句话说,他们不需要解释到底哪里错了;他们需要描绘出这将如何影响他们的组织的画面,而在整个情况被评估之前,这是无法准确地完成的。
Mogull说:“董事会成员并不关心某某被侵犯了,他们需要知道,用商业术语来说,对他们组织的影响。”
“董事会不了解底层技术,”Ben-Oni表示同意。“所以我不明白,警报一响就去董事会有什么意义。”
一旦确定存在问题,这对预算和未来支出意味着什么?一件事变得显而易见的时候,是不是与董事会成员讨论预算的好时机?波耐蒙似乎是这么想的。
“董事会成员不能接受盲点。大多数董事会成员认为无知是福。如果你不和他们说话,什么都没有错,”他说。“他们把安全视为一种战术,而不是战略,直到他们看到目标事件,他们才会理解。”
波耐蒙似乎认为这是一个非常小的窗口,他补充说,“他们唯一关心的时间是90秒后,这是在头版,然后他们回到不关心。”
Mogull也认为,以一种有点扭曲的方式,高调的案件对所有人都有好处,因为它们往往有助于推进安全计划,提高董事会成员的意识。他说,当像塔吉特这样的公司遭受数百万美元的损失时,董事会成员会关注。“我们正在改变,但速度非常缓慢。我可能不同意拉里的90秒陈述,但是。也许90天。”
不管他们是否同意对威胁现状的看法,小组成员似乎都认为有必要采取一种更好的标准化方法。当然,这要从遵从性复选框之外的思考开始。
“仅仅服从是不够的,”Ben-Oni说。“董事会成员现在意识到,安全不仅仅是这些。”
福特采取了稍微不那么激进的做法,承认这还不够,但也有一些好处。“顺从是一把双刃剑。它本应被用作基准,但许多人却将其用作上限,”他说。“但这只是个起点,我不认为这有什么错。”
事件响应的状态
当被问及今天的事件应对工作进展如何时,小组成员似乎都认为还有很长的路要走。无论这种进步是以更多的实践,还是以招聘(或创造)具备正确技能的安全专业人员的形式来衡量的,每个人似乎都认为有工作有待完成。
“我们发现最好的办法就是定期练习反应,”马修斯说。“我们做得越多,我们的反应就会越好、越快。而且,我们已经有了通讯设备,所以我们不必提前设置。”
克里斯蒂安森提到,如果没有其他原因,做练习就是为了让安全团队明白失败也没什么大不了的。Mogull补充说,“这不仅仅是好,我们需要引入失败。我们需要制造压力。”
但是对现有成员的培训还不够。克里斯蒂安森说,在培养对抗威胁的合适人才方面,还有很多工作要做。“我们需要拥有正确技能的正确人才,”他说。
“法医学专家,responseA!”所有中等规模的组织都能负担得起拥有各种技能的人。所以我们需要进行培训,让人们知道他们在做什么。”
Matthews和Mogull在讨论组织应该如何利用学生和退伍军人这样的资源来获得他们需要的帮助时是一致的。Ben-Oni甚至提到IDT在他们的大楼里有一所被认可的学校来帮助培养更有技能的团队成员。“这并没有解决我们所有的问题,但很有帮助,”他说。
福特补充说,对于组织机构来说,承认自己需要帮助比以往任何时候都更加重要。“我们常常不敢说我们没有足够的X或Y,”他说。“CISOs不敢告诉董事会成员他们需要什么。我们需要专家。”
阅读更多关于数据保护的内容在CSOonline的数据保护部分。
这个故事,“RSAC 2014:专家讨论事件反应的严酷现实”最初发表方案 。