CISO应当从网络攻击事件中学到的8件事

当CISO经历网络攻击后，他们认识到这绝不仅仅是一个孤立事件。这些事件从根本上重塑了他们的应变能力、风险管理策略，甚至工作中的个人幸福感。因此，多位安全领导者强调，从真实事件中吸取教训并与社区分享变得至关重要——这既能增强集体防御韧性，也能为未来可能面临类似挑战的同行提供宝贵支持。

 

一．分享经验教训 提升整体安全
 

经历网络事件后，CISO们深知会引发广泛关注和各方评论，其中不乏为提升个人影响力、诋毁对手或博取眼球者。然而，正如SolarWindsCISO蒂姆·布朗所指出，这类事件也提供了帮助整个行业的契机，因为大量关注者中包括优秀的研究人员。
 

虽然分享内容需考虑法律、企业和监管限制，但在技术层面总有值得共享的内容。布朗强调，应着眼于事件积极面，思考如何提炼关键教训——无论是成为教材的经典案例，还是供同行交流的实战经验，以推动行业进步并助力CISO社群。
 

CrashPlan CISO托德·索尔森对此深表认同，他以2013年亲身经历塔吉特数据泄露事件为例，指出某些事件恰是反面教材的完美测试案例。他提倡进行无责的根本原因分析，营造安全的公开讨论环境，明确改进方向，并鼓励安全人员将经验分享给社区，因为“所有人都在打同一场仗”。索尔森还指出，分享见解不仅能在社区中构建支持网络，更是一种回馈，毕竟“你永远不知道何时需要向社区‘取款’。”

 

 

“亲身经历攻击的CISO往往会转变思维。”AppOmni安全与IT副总裁科里·米歇尔结合自身事件响应经验指出，这会塑造“攻击者视角”，促使你比对手更透彻地了解自身攻击面，并据此分配资源管控风险。
 

这种从防御到进攻的转变，意味着为平台滥用、漏洞利用、APT等各类事件定制响应方案。米歇尔认为进攻性策略应包括红队演习等实战演练，同时需定期抽身重新审视全局，挑战现有安全措施以发现漏洞——现任CISO“可能因过度专注细节而忽视潜在盲点”。

 

 

网络事件深刻警示我们：一个经过充分演练的响应计划不可或缺。该计划必须明确指定一位强有力的内部协调员，并具备整合外部专业资源的能力。
 

XYPRO CISO史蒂夫•切尔奇安强调，核心团队需精通与媒体沟通、对接保险公司、启动数据无法恢复时的调查，乃至与攻击者谈判赎金等关键任务。切尔奇安基于其处理勒索软件攻击的经验指出，缺乏清晰的角色分工极易引发恐慌——“谁负责？联系谁？让谁参与？”等问题会瞬间涌现。
 

该计划还需包含事件期间及后续沟通的详细指南，因为在危机中沟通常被忽视，却恰恰定义着事件的最终影响。正如蒂姆•布朗所言：“发布的内容、措辞和方式都至关重要，必须提前准备。”
 

此外，计划必须界定响应终点，明确何时停止调查。IANS Research教授、Bedrock Security首席安全官乔治•格尔乔（George Gerchow）表示：“管理网络事件最棘手的环节之一就是判断何时收尾。”大型调查团队可能发现新线索，但深究次要问题会分散精力、延误处置。
 

格尔乔结合在SumoLogic和MongoDB的实战经验建议，CISO需接受某些风险敞口的存在，若属次要风险则不应干扰事件主体处置。关键在于聚焦核心事实，保持透明度，并以“确认数据是否泄露”为首要目标来结束事件。

 

 

一旦发生危及数据的事件，未受保护或功能不全的备份往往成为代价高昂的疏忽。CISO们从实践中深刻认识到：绝不可对备份系统存在安全且有效的侥幸心理。

如今许多勒索软件攻击在行动前会首先摧毁备份——瞄准还原位置、还原点及备份介质，确保企业无法恢复数据以迫使其支付赎金。然而，即便支付赎金，也无法保证数据能成功取回，这更凸显了确保备份隔离且功能正常的极端重要性。
 

XYPRO CISO史蒂夫•切尔奇安建议：必须定期测试并验证备份系统的功能性与清洁度。他指出：“网络中的漏洞或恶意负载可能潜伏数十天，在此期间会持续污染备份。若在遭受攻击后仅依赖此类备份恢复，无异于将病毒或恶意软件重新引入生产环境。”

 

 

经历网络事件后，CISO往往会以全新视角审视安全态势，推动安全流程的持续进化——其核心目标已超越单纯合规，转向系统性，增强韧性。这意味着重新设计与重建系统、部署多层防护、追求更高等级合规要求、增加桌面推演频次、强化安全审计、开展红队演练及升级终端保护等全方位提升。
 

正如蒂姆·布朗所强调：“每起事件都成为我们改进的标杆，让我们能向业界展示‘我们经历过，现正采取更优方案’，并分享这些实践经验——核心在于如何提升攻击门槛，阻断感染或下一次定向入侵。”事件亲历同样深刻改变CISO对桌面推演的态度：布朗团队如今不仅演练频次更高，且更侧重模拟高烈度场景，因为“一旦亲历危机，你便深知其可能性。对每位过来人而言，安全威胁在成为现实前已不再是理论假设，而是刻骨铭心的认知。”

 

 

米歇尔的结论之一是避免被新工具分散注意力，应聚焦于核心安全措施：漏洞管理与修补、构建强大的检测响应流程、实施零信任及无密码认证等强身份验证机制、持续开展员工教育，并通过实战演练检验准备度。
 

他强调：“漏洞管理虽令人厌倦，却是最关键的环节之一——它能让你看清攻击面、定位弱点，并将风险削减至可接受水平。”

 

 

网络事件能瞬间聚焦高层对网络安全的关注：董事会和管理层急于了解风险、投入资金以换取安心。这对长期争取资源的CISO而言看似利好，但关注度和资金往往难以持续。
 

乔治·格尔乔指出的：“当你反复预警风险后突遭事件，短期内所有人都会谈论网络安全，但热度终将消退。”预算增加的同时预期也水涨船高，而尽职调查引入合适工具和人才需要时间。若资金未在窗口期内用完，高层很可能在事件关注度降低后将其调拨他用。这使CISO陷入困境——他们需要向董事会解释预算削减的后果，但后者往往更关注改进指标。

 

 

CISO这个角色本就伴随着职业倦怠、高压与巨大责任，而频发的网络攻击事件更使这些压力源日益普遍。正如托德·索尔森所言：“不幸的是，事故已司空见惯，成为工作的一部分。”
 

蒂姆·布朗则强调，需清醒认识高压职位对健康的潜在侵蚀，并建立关键支持系统——尤其在危机中。“处于风暴中心对应对机制的压力远超想象，”他警示道，“尽管你可能自认能管理压力，实则未必。CISO的工作本就艰难，必须找到宣泄出口；而事件期间压力会剧增。要正视这点，制定个性化应对方案。”

 

 

网络攻击的洗礼远非终点，而是CISO角色深刻进化的起点。它迫使安全领导者以全新的攻击者视角审视防御体系，将被动响应转化为主动进化——从精心设计的响应计划、坚不可摧的隔离备份，到全面提升的安全标准和聚焦核心的务实策略。

 

参考链接：https://www.csoonline.com/article/4002175/8-things-cisos-have-learnt-from-cyber-incidents.html