当CISO经历网络攻击后,他们认识到这绝不仅仅是一个孤立事件。这些事件从根本上重塑了他们的应变能力、风险管理策略,甚至工作中的个人幸福感。因此,多位安全领导者强调,从真实事件中吸取教训并与社区分享变得至关重要——这既能增强集体防御韧性,也能为未来可能面临类似挑战的同行提供宝贵支持。


一.分享经验教训 提升整体安全
经历网络事件后,CISO们深知会引发广泛关注和各方评论,其中不乏为提升个人影响力、诋毁对手或博取眼球者。然而,正如SolarWindsCISO蒂姆·布朗所指出,这类事件也提供了帮助整个行业的契机,因为大量关注者中包括优秀的研究人员。
虽然分享内容需考虑法律、企业和监管限制,但在技术层面总有值得共享的内容。布朗强调,应着眼于事件积极面,思考如何提炼关键教训——无论是成为教材的经典案例,还是供同行交流的实战经验,以推动行业进步并助力CISO社群。
CrashPlan CISO托德·索尔森对此深表认同,他以2013年亲身经历塔吉特数据泄露事件为例,指出某些事件恰是反面教材的完美测试案例。他提倡进行无责的根本原因分析,营造安全的公开讨论环境,明确改进方向,并鼓励安全人员将经验分享给社区,因为“所有人都在打同一场仗”。索尔森还指出,分享见解不仅能在社区中构建支持网络,更是一种回馈,毕竟“你永远不知道何时需要向社区‘取款’。”
二.从防守转为进攻
“亲身经历攻击的CISO往往会转变思维。”AppOmni安全与IT副总裁科里·米歇尔结合自身事件响应经验指出,这会塑造“攻击者视角”,促使你比对手更透彻地了解自身攻击面,并据此分配资源管控风险。
这种从防御到进攻的转变,意味着为平台滥用、漏洞利用、APT等各类事件定制响应方案。米歇尔认为进攻性策略应包括红队演习等实战演练,同时需定期抽身重新审视全局,挑战现有安全措施以发现漏洞——现任CISO“可能因过度专注细节而忽视潜在盲点”。
三.制定应急响应计划
网络事件深刻警示我们:一个经过充分演练的响应计划不可或缺。该计划必须明确指定一位强有力的内部协调员,并具备整合外部专业资源的能力。
XYPRO CISO史蒂夫•切尔奇安强调,核心团队需精通与媒体沟通、对接保险公司、启动数据无法恢复时的调查,乃至与攻击者谈判赎金等关键任务。切尔奇安基于其处理勒索软件攻击的经验指出,缺乏清晰的角色分工极易引发恐慌——“谁负责?联系谁?让谁参与?”等问题会瞬间涌现。
该计划还需包含事件期间及后续沟通的详细指南,因为在危机中沟通常被忽视,却恰恰定义着事件的最终影响。正如蒂姆•布朗所言:“发布的内容、措辞和方式都至关重要,必须提前准备。”
此外,计划必须界定响应终点,明确何时停止调查。IANS Research教授、Bedrock Security首席安全官乔治•格尔乔(George Gerchow)表示:“管理网络事件最棘手的环节之一就是判断何时收尾。”大型调查团队可能发现新线索,但深究次要问题会分散精力、延误处置。
格尔乔结合在SumoLogic和MongoDB的实战经验建议,CISO需接受某些风险敞口的存在,若属次要风险则不应干扰事件主体处置。关键在于聚焦核心事实,保持透明度,并以“确认数据是否泄露”为首要目标来结束事件。
四.确保备份隔离且功能正常
一旦发生危及数据的事件,未受保护或功能不全的备份往往成为代价高昂的疏忽。CISO们从实践中深刻认识到:绝不可对备份系统存在安全且有效的侥幸心理。
如今许多勒索软件攻击在行动前会首先摧毁备份——瞄准还原位置、还原点及备份介质,确保企业无法恢复数据以迫使其支付赎金。然而,即便支付赎金,也无法保证数据能成功取回,这更凸显了确保备份隔离且功能正常的极端重要性。
XYPRO CISO史蒂夫•切尔奇安建议:必须定期测试并验证备份系统的功能性与清洁度。他指出:“网络中的漏洞或恶意负载可能潜伏数十天,在此期间会持续污染备份。若在遭受攻击后仅依赖此类备份恢复,无异于将病毒或恶意软件重新引入生产环境。”
五.设置更高的安全标准 持续优化安全流程
经历网络事件后,CISO往往会以全新视角审视安全态势,推动安全流程的持续进化——其核心目标已超越单纯合规,转向系统性,增强韧性。这意味着重新设计与重建系统、部署多层防护、追求更高等级合规要求、增加桌面推演频次、强化安全审计、开展红队演练及升级终端保护等全方位提升。
正如蒂姆·布朗所强调:“每起事件都成为我们改进的标杆,让我们能向业界展示‘我们经历过,现正采取更优方案’,并分享这些实践经验——核心在于如何提升攻击门槛,阻断感染或下一次定向入侵。”事件亲历同样深刻改变CISO对桌面推演的态度:布朗团队如今不仅演练频次更高,且更侧重模拟高烈度场景,因为“一旦亲历危机,你便深知其可能性。对每位过来人而言,安全威胁在成为现实前已不再是理论假设,而是刻骨铭心的认知。”
六.警惕“追逐新奇”综合症 聚焦核心安全措施
米歇尔的结论之一是避免被新工具分散注意力,应聚焦于核心安全措施:漏洞管理与修补、构建强大的检测响应流程、实施零信任及无密码认证等强身份验证机制、持续开展员工教育,并通过实战演练检验准备度。
他强调:“漏洞管理虽令人厌倦,却是最关键的环节之一——它能让你看清攻击面、定位弱点,并将风险削减至可接受水平。”
七.资金流动易错位
网络事件能瞬间聚焦高层对网络安全的关注:董事会和管理层急于了解风险、投入资金以换取安心。这对长期争取资源的CISO而言看似利好,但关注度和资金往往难以持续。
乔治·格尔乔指出的:“当你反复预警风险后突遭事件,短期内所有人都会谈论网络安全,但热度终将消退。”预算增加的同时预期也水涨船高,而尽职调查引入合适工具和人才需要时间。若资金未在窗口期内用完,高层很可能在事件关注度降低后将其调拨他用。这使CISO陷入困境——他们需要向董事会解释预算削减的后果,但后者往往更关注改进指标。
八.平衡压力与工作
CISO这个角色本就伴随着职业倦怠、高压与巨大责任,而频发的网络攻击事件更使这些压力源日益普遍。正如托德·索尔森所言:“不幸的是,事故已司空见惯,成为工作的一部分。”
蒂姆·布朗则强调,需清醒认识高压职位对健康的潜在侵蚀,并建立关键支持系统——尤其在危机中。“处于风暴中心对应对机制的压力远超想象,”他警示道,“尽管你可能自认能管理压力,实则未必。CISO的工作本就艰难,必须找到宣泄出口;而事件期间压力会剧增。要正视这点,制定个性化应对方案。”
结语:
网络攻击的洗礼远非终点,而是CISO角色深刻进化的起点。它迫使安全领导者以全新的攻击者视角审视防御体系,将被动响应转化为主动进化——从精心设计的响应计划、坚不可摧的隔离备份,到全面提升的安全标准和聚焦核心的务实策略。
参考链接:https://www.csoonline.com/article/4002175/8-things-cisos-have-learnt-from-cyber-incidents.html