McKeown是一名心理學(xué)家，多年對(duì)高風(fēng)險(xiǎn)行業(yè)的研究為她提供了人類(lèi)在危機(jī)中如何應(yīng)對(duì)的視角。她的觀點(diǎn)不僅僅是理論上的，一些企業(yè)安全部門(mén)的負(fù)責(zé)人說(shuō)，他們也看到過(guò)一些團(tuán)隊(duì)在應(yīng)對(duì)真實(shí)事件時(shí)陷入困境，包括那些為應(yīng)對(duì)此類(lèi)事件進(jìn)行演練的團(tuán)隊(duì)。
　　如果企業(yè)遭到網(wǎng)絡(luò)攻擊或勒索軟件攻擊，其安全團(tuán)隊(duì)是否會(huì)挺身而出，并準(zhǔn)備好進(jìn)行積極地應(yīng)對(duì)?網(wǎng)絡(luò)安全培訓(xùn)平臺(tái)ImmersiveLabs的人類(lèi)科學(xué)總監(jiān)BecMcKeown表示，首席信息安全官可能會(huì)覺(jué)得他們的員工通常具備所需的技術(shù)專(zhuān)長(zhǎng)，但當(dāng)危機(jī)來(lái)臨時(shí)，他們有可能會(huì)束手無(wú)策。

　　McKeown說(shuō)，“企業(yè)可能制定了應(yīng)對(duì)危機(jī)的政策或措施，并認(rèn)為這些是在網(wǎng)絡(luò)攻擊發(fā)生時(shí)事件響應(yīng)團(tuán)隊(duì)首先要做的事情。但情況并不總是這樣，因?yàn)槿藗兊乃季S方式不只是應(yīng)對(duì)或逃跑，而是應(yīng)對(duì)、逃跑，或者束手無(wú)策。有人說(shuō)，‘我們知道如何應(yīng)對(duì)危機(jī)，但在危機(jī)發(fā)生時(shí)卻不知道該怎么辦。’”

　　McKeown是一名心理學(xué)家，多年對(duì)高風(fēng)險(xiǎn)行業(yè)的研究為她提供了人類(lèi)在危機(jī)中如何應(yīng)對(duì)的視角。她的觀點(diǎn)不僅僅是理論上的，一些企業(yè)安全部門(mén)的負(fù)責(zé)人說(shuō)，他們也看到過(guò)一些團(tuán)隊(duì)在應(yīng)對(duì)真實(shí)事件時(shí)陷入困境，包括那些為應(yīng)對(duì)此類(lèi)事件進(jìn)行演練的團(tuán)隊(duì)。

　　當(dāng)團(tuán)隊(duì)束手無(wú)策時(shí)，問(wèn)題就會(huì)越來(lái)越多

　　即使只有幾個(gè)小時(shí)的響應(yīng)延遲，也會(huì)給網(wǎng)絡(luò)攻擊更多的時(shí)間造成破壞，并延長(zhǎng)了恢復(fù)時(shí)間。這種情況還可能導(dǎo)致響應(yīng)成本增加，可能會(huì)導(dǎo)致更高的監(jiān)管罰款和業(yè)務(wù)損失。

　　McKeown表示，安全領(lǐng)導(dǎo)者應(yīng)該預(yù)測(cè)到這種情況，結(jié)合實(shí)踐來(lái)幫助最大限度地減少發(fā)生這種情況的可能性，并制定策略來(lái)識(shí)別和應(yīng)對(duì)網(wǎng)絡(luò)安全事件。

　　McKeown說(shuō)，“首席信息安全官必須明白在這些危機(jī)到來(lái)時(shí)將如何應(yīng)對(duì)?？梢耘囵B(yǎng)員工的技能，讓他們變得敏捷，并幫助他們?cè)诓痪邆渌星榫骋庾R(shí)的情況下做出反應(yīng)，這是一種心理準(zhǔn)備。”

　　團(tuán)隊(duì)為什么會(huì)陷入困境

　　McKeown表示，即使是準(zhǔn)備充分的團(tuán)隊(duì)也會(huì)有陷入困境的時(shí)候，首席信息安全官對(duì)此不應(yīng)該感到驚訝，因?yàn)檫@是人類(lèi)的天性。

　　她說(shuō)，有時(shí)事件響應(yīng)團(tuán)隊(duì)成員可能會(huì)有認(rèn)知狹窄的情況，因?yàn)樗麄兲珜?zhuān)注于眼前發(fā)生的事情，以至于他們沒(méi)有考慮整體的情況，這種經(jīng)歷會(huì)妨礙反應(yīng)者像在正常情況下那樣進(jìn)行思考。

　　企業(yè)網(wǎng)絡(luò)安全領(lǐng)導(dǎo)者、國(guó)際信息系統(tǒng)審計(jì)協(xié)會(huì)董事會(huì)主席NielHarper描述了他以前的經(jīng)歷。他在一家公司擔(dān)任安全顧問(wèn)的第一天，就目睹了該公司的安全團(tuán)隊(duì)在應(yīng)對(duì)勒索軟件攻擊方面束手無(wú)策。他回憶說(shuō)，“他們確實(shí)不知道該做什么，盡管他們有一些事件響應(yīng)演練的經(jīng)驗(yàn)，但卻處于恐慌狀態(tài)。”

　　Harper表示，他還見(jiàn)過(guò)其他情況，例如反應(yīng)受到阻礙導(dǎo)致應(yīng)對(duì)措施的延誤。在某些情況下，事件響應(yīng)團(tuán)隊(duì)擔(dān)心他們會(huì)被視為反應(yīng)過(guò)度。在另一些情況下，他們因?yàn)楹ε卤恢肛?zé)而導(dǎo)致陷入困境。在另一些事件中，團(tuán)隊(duì)成員沒(méi)有經(jīng)歷過(guò)真實(shí)的網(wǎng)絡(luò)安全事件，也沒(méi)有人有信心領(lǐng)導(dǎo)應(yīng)對(duì)事件。Harper說(shuō)：“所有這些問(wèn)題，無(wú)論單獨(dú)的還是組合的，都可能讓團(tuán)隊(duì)陷入困境。”

　　美國(guó)馬里蘭大學(xué)全球校區(qū)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院的兼職教授ChrisHughes表示，他也看到過(guò)這樣的情況。他當(dāng)時(shí)正在與一個(gè)政府機(jī)構(gòu)的安全團(tuán)隊(duì)合作，該團(tuán)隊(duì)發(fā)現(xiàn)了可疑的流量，確認(rèn)這是惡意攻擊，然后遭到阻礙，阻止他們采取行動(dòng)。

　　旁觀者效應(yīng)

　　Hughes說(shuō)，“這有點(diǎn)旁觀者效應(yīng)。他們假設(shè)或者希望有一個(gè)人能夠介入并起帶頭作用。沒(méi)有人這么做，也沒(méi)有人站出來(lái)。”他表示，后來(lái)在一位團(tuán)隊(duì)領(lǐng)導(dǎo)者的領(lǐng)導(dǎo)下，才使他們從震驚中恢復(fù)過(guò)來(lái)。

　　另一方面，經(jīng)驗(yàn)豐富的安全主管表示，有時(shí)企業(yè)高管們也會(huì)反應(yīng)遲鈍，并陷入“這不可能是真的”和“這不可能發(fā)生在我們身上”的感覺(jué)中，然后慢慢地相信這是真的。SANS技術(shù)研究所的主席EdSkoudis說(shuō)：“這個(gè)時(shí)刻通常發(fā)生在人們感到情況有多糟糕、會(huì)對(duì)企業(yè)造成多大傷害感到恐懼的時(shí)候，以及存在很多不確定性的時(shí)候。當(dāng)所有這些信息同時(shí)涌來(lái)時(shí)，團(tuán)隊(duì)不知道什么是真的，什么是假的，以及什么是最好的方法。因此有很多疑問(wèn)，當(dāng)存在恐懼、不確定、懷疑的時(shí)候，或者這三種情緒同時(shí)存在時(shí)，就會(huì)束手無(wú)策。這種情況經(jīng)常發(fā)生，他們不知道如何采取下一步的行動(dòng)。”

　　網(wǎng)絡(luò)安全服務(wù)商N(yùn)etSPI公司的首席信息技術(shù)官NormanKromberg表示，曾看到過(guò)團(tuán)隊(duì)陷入困境的情況。他是一家公司的安全負(fù)責(zé)人，該公司在發(fā)現(xiàn)惡意內(nèi)部活動(dòng)后宣布了發(fā)生網(wǎng)絡(luò)安全事件，該公司的團(tuán)隊(duì)在將近兩周的時(shí)間里一直在全力以赴采取措施應(yīng)對(duì)，執(zhí)法部門(mén)、會(huì)計(jì)師和網(wǎng)絡(luò)保險(xiǎn)公司也參與其中，但他們遇到了無(wú)法突破的瓶頸，因此沒(méi)有取得任何進(jìn)展。

　　Kromberg說(shuō)：“他們十分煩躁，并且彼此之間爭(zhēng)吵。”他解釋說(shuō)，他認(rèn)為疲勞和壓力讓他的團(tuán)隊(duì)處于無(wú)序狀態(tài)，無(wú)法推進(jìn)恢復(fù)的進(jìn)程。

　　如何突破困境

　　當(dāng)Kromberg看到他的團(tuán)隊(duì)陷入困境并推斷出原因時(shí)，他讓所有人回家休息。他補(bǔ)充說(shuō)，“我讓我們的團(tuán)隊(duì)、供應(yīng)商、法律和執(zhí)法部門(mén)的人員回家休息了一段時(shí)間，回來(lái)之后精神煥發(fā)，網(wǎng)絡(luò)安全恢復(fù)工作之后得到迅速推進(jìn)。”

　　他說(shuō)，這段經(jīng)歷教會(huì)了他為未來(lái)的這種時(shí)刻做好計(jì)劃。他表示，首席信息安全官都應(yīng)該這樣做，并指出他們可以結(jié)合各種培訓(xùn)和演習(xí)，以幫助最大限度地減少團(tuán)隊(duì)陷入困境的可能性。

　　首先要確保具有基礎(chǔ)知識(shí)。馬里蘭大學(xué)全球校區(qū)網(wǎng)絡(luò)安全與信息技術(shù)學(xué)院兼職教授PhilipChan表示：“首席信息安全官可以采取各種措施，通過(guò)制定事件響應(yīng)計(jì)劃、培訓(xùn)事件響應(yīng)團(tuán)隊(duì)、定期模擬事件、鼓勵(lì)公開(kāi)溝通、建立透明的指揮鏈，以及制定精確的風(fēng)險(xiǎn)管理和事件管理策略，來(lái)幫助防止團(tuán)隊(duì)陷入困境。”

　　安全專(zhuān)家表示，首席信息安全官下一步應(yīng)該檢查他們的演習(xí)(當(dāng)然應(yīng)該定期進(jìn)行演習(xí))，并添加可以幫助他們的團(tuán)隊(duì)更好地為真實(shí)事件做好準(zhǔn)備的元素。

　　為意外做好準(zhǔn)備

　　McKeown說(shuō)：“企業(yè)在網(wǎng)絡(luò)安全演習(xí)中提出一些新情況，這可能意味著讓員工故意出錯(cuò)。例如，在演習(xí)中完全關(guān)閉一個(gè)關(guān)鍵系統(tǒng)，這樣團(tuán)隊(duì)就可以練習(xí)應(yīng)對(duì)意想不到的或正在發(fā)生的網(wǎng)絡(luò)安全事件。”McKeown補(bǔ)充說(shuō)，這樣的練習(xí)可以培養(yǎng)敏捷性和團(tuán)隊(duì)合作精神，有助于避免危機(jī)期間經(jīng)常出現(xiàn)的指責(zé)和爭(zhēng)論。

　　Kromberg表示，他曾經(jīng)在一個(gè)周五中午的假日聚會(huì)之后舉行了一次未提前宣布的演習(xí)。他表示，黑客通常在企業(yè)最脆弱的時(shí)候進(jìn)行攻擊，所以他希望安全團(tuán)隊(duì)在這種情況下進(jìn)行練習(xí)，團(tuán)隊(duì)必須學(xué)會(huì)如何迅速進(jìn)入高速運(yùn)轉(zhuǎn)的狀態(tài)，并在關(guān)鍵人員已經(jīng)外出度假的情況下工作。

　　McKeown和Kromberg表示，首席信息安全官和他們的安全團(tuán)隊(duì)還通過(guò)盡可能多地模擬真實(shí)事件的練習(xí)來(lái)獲得肌肉記憶。這意味著從頭開(kāi)始——例如最早的警告，并通過(guò)實(shí)際操作模擬運(yùn)行相關(guān)場(chǎng)景，而不是演練類(lèi)型的安全培訓(xùn)課程。

　　專(zhuān)門(mén)從事云計(jì)算和網(wǎng)絡(luò)安全專(zhuān)業(yè)服務(wù)的Aquia公司的聯(lián)合創(chuàng)始人兼首席信息官Hughes說(shuō)：“當(dāng)人們模擬操作時(shí)，這種感覺(jué)會(huì)更加明顯。”

　　訓(xùn)練時(shí)使用倒計(jì)時(shí)鐘

　　Skoudis表示，他在訓(xùn)練中使用了倒計(jì)時(shí)鐘，這也讓團(tuán)隊(duì)習(xí)慣于在網(wǎng)絡(luò)事件中感受到的巨大壓力下工作。他說(shuō)：“這很尷尬，但只有多加練習(xí)，才能建立肌肉記憶。”

　　其他人還建議首席信息安全官?lài)L試讓盡可能多的企業(yè)高管、其他部門(mén)和與安全、IT和事件響應(yīng)協(xié)同工作的外部支持參與進(jìn)來(lái)，以確定這些額外的參與者是否會(huì)陷入困境。Kromberg說(shuō)：“人們可能會(huì)發(fā)現(xiàn)，在其他領(lǐng)域，一些事情可能會(huì)停滯不前，例如首席執(zhí)行官在談?wù)摼W(wǎng)絡(luò)安全事故所需的財(cái)務(wù)信息時(shí)會(huì)猶豫。”

　　Info-TechResearch集團(tuán)及其SoftwareReviews部門(mén)的顧問(wèn)總監(jiān)ThomasRandall表示，首席信息安全官還應(yīng)該考慮在危機(jī)中為員工創(chuàng)造提出解決方案的渠道。

　　支持創(chuàng)造性的解決方案

　　Randall補(bǔ)充道，在實(shí)際的安全事件中，團(tuán)隊(duì)可能沒(méi)有很多時(shí)間來(lái)思考更好的辦法，但擁有一些渠道來(lái)提供和評(píng)估這些辦法仍然很重要，因?yàn)檫@些創(chuàng)造性的解決方案可能會(huì)帶領(lǐng)團(tuán)隊(duì)克服讓他們陷入困境的障礙。

　　首席信息安全官可以采取的另一個(gè)步驟來(lái)幫助避免這些困境時(shí)刻：雇傭具有處理違規(guī)和黑客攻擊經(jīng)驗(yàn)的員工或與定期從事這項(xiàng)工作的外部事件響應(yīng)團(tuán)隊(duì)簽訂合同。

　　Harper說(shuō)，安全主管不應(yīng)該低估這種經(jīng)驗(yàn)的價(jià)值。那些經(jīng)歷過(guò)危機(jī)的人會(huì)形成肌肉記憶，使他們保持冷靜，并帶領(lǐng)別人走出困境。