避免倦怠：黑客工作的事件响应十大秘诀

最近的安全毕业生升学事件响应的世界，还是那些具有强大的安全背景作出了职业生涯的举动，面对充满挑战的环境，往往导致挫折和倦怠。

从个人的经验来说，莱斯利卡哈特，事件响应团队负责为摩托罗拉解决方案公司的安全运营中心（SOC），将通过把那些进入行业首次特别关注，一个在解决与事件响应的职业相关的职业倦怠呈现在印第安纳波利斯今年六月CircleCityCon。

Carhart的谈话着眼于事件响应的人的一面，并避免讨论方法。相反，她根据自己在工作中“学到的教训”创建了路线图，以及如何利用这些教训在安全和业务领域之间建立(而不是烧毁)桥梁。

在讲话中对CSO在线的轮廓，卡哈特说，她已经看到了安全社区内和SOC倦怠的例子不胜枚举，因为他们培养新人。

“虽然努力在监管层面正在取得提供组织事件响应流程和程序，很少受到重视培训人类要更好的装备，事件响应，”她说。

此外，尽管有大量的公共知识和提供培训的，当谈到事件响应的方法，这些方法都完全准备新人到外地;尤其是当它涉及到处理复杂性，压力，或安全和业务之间的关系。

“通过为处理这些问题没有提供适当的基础上，我们没有下一代DFIR专业人员。聪明的年轻人谁拥有优秀的技术教育往往不能或者当他们面对企业的官僚机构，高压的情况下退出，以及缺乏的业务技能，”她解释说。

没有人关心我的开拓

Carhart说:“我将从我的规则中最具争议性的开始，而我个人认为，对于技术人员来说，在进入事故响应领域时，这个规则会造成最大的压力和失败。”

故事以一个才华横溢的年轻黑客，已经开发了一种新的工具，新员工开始，发现一个有趣的漏洞，或开发用于处理与给定的恶意软件的某种变型的计划。当这些调查结果，工具或计划被提交给管理，黑客被告知要回去工作。

“这将需要一个社会学家说一般的黑客性格类型是否是部分新千年一代，或者说完全独特的副产品。无论如何，安全专业人士往往是创造性的，聪明，独立，”她补充说。

但是，这些特性并不总是与企业的社会网，所以第一个规则，新的事故人员需要学习的是如何把东西卖给他们的组织。虽然成绩无所谓，他们在量化值的方式来呈现。

“我们必须明白，在最基本的层面上，就是我们组织的关心。在非常简单的，几乎所有想赚钱，避免亏损。在极少数和特定情况下，他们可能会在意生死。所以，我们当我们把它呈现给一家公司，无论是我们的工具可以挣多少元，工作时间，如果不采取预防措施，将丢失，或生活，这将是数必须量化的东西在这些条款如果保存我军操作成功，”卡哈特说。

建立良好人际关系

一个残酷的现实是，安全性不赢在业务每战。

然而，当大多数安全部门在某种程度上处于真空状态时，事件响应程序却不能。事件反应者和处理者需要协调他们的努力，从IT到法律，从工程到市场。此外，事件响应项目需要这些领域的支持。

“即使当我们依靠人民，不是技术熟练或抵制的补救措施，但至关重要的是，我们保持冷静和礼貌，”卡哈特说。

“虽然在压力下首先想到的往往是在无响应团队抨击，但在大多数事件响应的角色很可能我们会用同样的人反复对接。我们应该永远燃烧的桥梁。在许多场合，我有回到掩盖IT员工谁参与了之前的事件对另一种情况援助。他们更可能为我做的好处，如果我已经在过去有礼貌，乐于助人“。

另一个技巧是让网上社区你的本地安全社区内良好的人脉关系，以及。这开辟了支持几种途径，包括对新的漏洞或攻击的恶意软件样本的相关性，潜在的培训机会和信息。

沟通很重要

同时保持冷静和礼貌的剩余，请记住，口头和书面沟通，不仅有事件响应中所需的技能，这也是一大弱点。

“计算机安全是一个专业和苛刻的领域，往往吸引谁不特别语言研究感兴趣的人。不幸的是，在转会事件响应，不仅要我们处理许多不同的球队，但我们也必须处理所有级别。的技术专长其实很多，我经常依靠球队都非技术：律师，公关，甚至是人力资源，”卡哈特说。

你不必成为一名英语专业的，但你需要有能力表达自己的方式，非技术人员完全可以理解的能力。人们将你基于你沟通的方式判断。

“这意味着在正确的拼写，语法和书面沟通和其中需要一个事件响应的无数报道标点符号的一种尝试。底线是，人们将回到他们能够理解的帮助，用赞美的人，并有机会晋升“。

假设没有！

“不仅是一个事件响应呈现来自最终用户的信息，但许多其他的球队，从技术到非技术。即使是最聪明的恶意软件分析师，工程师，法医分析，以及C级管理人员能够并且将会犯错误。在一个紧张，忙碌的安全事故，它可以非常诱人必须以事实或者我们在面值提出的，而不是检验或考虑他们的结论，”卡哈特说。

科学的方法应该适用于事件响应。从头开始，收集并确认所有的事实，然后确认或修正任何看起来不正确。

“一个错误的假设就会导致我们的整个调查走向错误的方向，彻底破坏补救工作。”作为安全专家，我们经常被恐怖故事和妄想狂轰炸。这也很容易影响我们在调查早期得出的结论。”

总之，没有发现事实，以适应一个结论，借鉴事实的结论。

为了避免其他假设包括思想路线，每个人都有必要的技能和经验做技术任务，事件响应小组考虑简单。此外，还有每个人都有必要执行这些任务的工具和资源的假设。两者都远离真理删除。

教育和文档

事故响应团队需要不断训练严格的音符，每天的日常工作，和事故。这包括球队确实不止一次的任何任务，任务只有一个人知道怎么做，和教训每一个事件之后的经验教训。

点，卡哈特说，是能够快速的参考流程和注意事项会拯救我们增加的压力和困惑在压力下工作一段时间。此外，管理层应允许的时间和资金，以训练他们的安全团队。但是，还有更多比只是参加一个类或采取认证测试。

“事件响应能力应该钻，直到他们很容易在压力下回忆说，”她说。

“警察和携带枪支的军事训练，直到拍摄正确的第二天性。救灾人员定期响应和大规模人员伤亡的训练。在谴责建筑物消防队员的做法。我们的目标是做的关键任务和流程，使很多次，在高压力的环境，他们可以不费力地完成。没有理由我们不应该这样做。”

然而，教育为最终用户和其他业务部门也同样重要。在更多的支持和理解，一个事件响应小组从组织的其余部分，接收更容易了工作会。

此外，事件响应者需要采取自己的培训和安全知识，个人的责任。说穿了，有一个事件响应者没有任何借口，缺乏关于什么做标题一个大致的了解当天在安全新闻。获取这些信息是太容易获得。

智能分诊

在训练中经常被忽视，分流也许是最基本，最不可或缺的技能事故响应团队可以有。

“有压倒性的天为突发事件响应，当一切都同时出现问题。幸运的是，在其他行业中分流使用的技能是相当普遍的，许多可以很容易地应用到安全，”卡哈特说。

“首先，在事故发生时采取的几分钟，呼吸，搞清楚接下来的步骤几乎都是值得的。这是在这一点上，分流过程中，我们以前记录的流程，方法和培训成为关键。”

该建议是使用风险矩阵，这将提供一个事件的风险和优先级的粗略评估从低到极致。这种分流方法也使得事件响应小组解释他们的决策管理。

不要惊慌！

为了更好地了解这个项目，应该看看两类人安全事件中谁恐慌。

第一类是技术性极强的人谁发现细节。他们可能是在各自领域的专家，但他们很可能因小失大，还是没能停下来思考一下情况。

第二组是谁见过的东西的惊动他们的非技术人员。这可能来自电子邮件，新闻文章，或在通过交谈。

“我们的保安人员可能落入视情况而定两组 - 没有人是专家，在每一个领域恐慌的安全性（如其他东西），是不是良好的安全性，我们再次回落到我们的科学方法，。“同行评议”我们正在接受似乎没有事实和可靠的资料，”卡哈特说。

“这是一个好时机，弹出‘事件响应者’和‘事件处理程序’，再次之间的区别。在理想情况下，无论是工作职能应该存在，以及处理程序应该谈论到恐慌的团队成员，管理和结束用户而响应工作的调查相对不间断“。

记住基本知识：实践，良好的文档和培训，分流能力。当感觉不堪重负，事件响应小组应该求助于这些生命线。

专业化是昆虫

“在信息安全的发展趋势是开始作为一个日志分析，然后移动到一个专门的角色，如渗透测试，恶意软件分析，开拓发展，或数字取证。大多数人被吸引更多的一些领域比别人的。为突发事件响应，我们必须重新成为一个多面手，这是不是说专门知识是没有用的。但是，风险在于我们的专业化将颜色我们感知事件的方式，”卡哈特解释。

“我的专业是数字取证。如果我看同样受损系统作为法医分析师正如我的同事谁是恶意软件分析，我可以看到一个非常不同的情况。虽然他会看到恶意软件二进制文件的细节和他们沟通受损系统，我会注意到文件的修改，删除和移动，和远程系统访问“。

为了有效，都必须通过恶意软件分析，网络分析，渗透测试人员和法医分析师的眼中看到了这一事件。与此同时，无论是有可能成为这些技术的专家，有需要时提供帮助的资源。但是，如果只明白了什么步骤都要下一个采取知识的通才水平是非常重要的。

查看大图

有许多不同类型的安全事故，卡哈特解释，一切从有针对性的攻击，恶意软件爆发和内部威胁。

每个人都会对受害者组织的不同部门不同的业务影响以及事件响应者有责任了解大企业的图片。

“他（或她）一般应认识到系统和项目，可能是攻击者的目标或利益，并能谁知道有关它们的进一步信息，请联系。这一事件响应者也应采取足够的尽职调查，了解文化”她说我们的业务单位和物理位置之间，法律，环境和财务的差别。这将允许安全团队了解事件将如何影响不同的每一个，他们将需要如何以不同的方式补救。

保持事件的控制

事故响应导致响应和整治的协调，并确保各个团队负责留在轨道，并如期进行。他们是谁决定下一步如侦查线索的人。

该事件处理程序的职责是安排与所有受影响的团队经常性的沟通和状态更新。工作的这方面可能需要一些项目和人员管理技能，许多大学不提供信息安全的学生。

“我建议任何人与任务调度处理或与高层领导打交道采取基本的管理课程。参加安全会议和各种聚会（在会议上讲话尤其）挣扎，还可以帮助建立这些技能，”卡哈特解释。

最后，一个事件反应者应该以他或她的工作为荣，并为他或她的错误负责。每个事件都是不同的，每个人最终都会犯错误。我们能做的最好的事情就是从中学习，而不是重复。”

这个故事，“避免倦怠：黑客工作的事件响应十大秘诀”最初发表CSO 。