啟示錄:網絡安全工作的8條血淚教訓
責編:gltian |2025-07-23 17:20:17在數字化浪潮席卷全球的當下,網絡安全已成為企業運營的核心防線。然而,即便有著嚴密的防護體系,網絡攻擊仍如同暗處的利刃,隨時可能刺破企業的安全屏障。那些親身經歷過網絡攻擊的CISO們,在驚心動魄的攻防博弈后,不僅承受了巨大的壓力,更從中汲取了足以改變職業生涯的深刻教訓,這些教訓徹底重塑了他們后續的網絡安全工作模式。
網絡安全事件不僅僅是孤立事件,對許多CISO來說,它重塑了他們對安全防護、風險管理的看法,甚至影響他們的職業健康。多位安全領導者反思了實戰事件的經驗,他們認為,分享這些至關重要。這能增強整體韌性,消除數據泄露的污名,并幫助可能遭遇事件的同行。
01?
分享經驗,提升整體安全
處于風暴中心的CISO應預見媒體關注和各種外界議程。Solarwinds公司的CISO Tim Brown說:“你會迅速引起全世界的關注。”并非所有評論者都懷善意。有些人利用事件謀取私利。可能為了提高曝光、詆毀他人,或只為登上新聞。
但Brown也指出,另一方面,一些事件帶來了幫助行業的機遇。因為所有人都在關注,包括優秀的研究員。“分享內容可能受法律、公司或監管限制。但在技術應對方案上,總有值得分享之處。”
Brown認為,數據泄露總能帶來重要經驗。無論是寫入教材的高調案例,還是同行在會議上交流的心得。他說:“總要從事件中尋找積極面。比如如何推動行業發展?比如能否幫助CISO群體?”
CrashPlan公司的CISO Todd Thorsen也認同實戰經驗的價值。他曾在2013年Target數據泄露事件中參與安全團隊。Thorsen說,有時一次事件正是驗證哪些不該發生的絕佳案例。
他的做法是開展無追責事后復盤。理解根本原因,創建安全的討論環境,找出改進點,目標是毫無顧慮地分析流程。他鼓勵安全人員分享經驗,因為“歸根結底,大家面臨同樣的戰斗”。
分享見解也是建立廣泛支持網絡的重要方式。主動付出,因為所有安全人員可能都需要同行的幫助。Thorsen說:“你永遠不知道何時需要向社群‘提取’支持。”
02
需要從防御轉向進攻
事件后,CISO的角色和工作將不同以往。Brown說:“12月11日我的工作和12月12日之后的截然不同。”
事件后,有些組織變化巨大,需要換一位有不同方法的CISO。Brown表示,CISO被解雇不總是因為能力不足或被歸咎。這很大程度上取決于具體情況以及CISO的適應能力。“若想成為事件后的CISO,你需要具備相應技能。這些技能與之前所需大不相同。”
許多經歷事件考驗的CISO會轉變思維模式。AppOmni公司安全和IT副總裁Cory Michel曾在多個事件響應團隊任職。他說:“你會形成攻擊者視角。希望比對手更了解自身攻擊面,并據此分配資源以隔絕風險。”
實踐中,從防御轉向進攻意味著準備應對不同類型事件。包括平臺濫用、漏洞利用或APT攻擊。然后定制響應的措施。
Michel的進攻方案包括紅隊演練和實戰演習。當然也需定期抽身,從頭開始,質疑現有安全方案,尋找差距和弱點。他對此表示:“現任CISO可能因深陷細節而對現狀視而不見。”
03
需要制定戰術手冊應對事件
事件提醒著安全領導者,需要制定訓練有素的響應計劃。計劃需明確有力的內部協調人。其職責應包括調集外部專家,如泄露顧問和法律顧問。
XYPRO公司的CISO Steve Tcherchian表示:“你需要核心人員與媒體溝通、聯絡保險公司。若無法恢復數據,還需啟動調查,并知道如何與勒索攻擊者交涉。”
Tcherchian發現,若無清晰的角色職責,恐慌會迅速蔓延。他曾擔任勒索軟件攻擊后續顧問,他對此說:“最初的實踐就是搞清楚:‘我們該做什么?誰負責?該聯系誰?該拉誰進來?不該讓誰參與?’”
戰術手冊需提供清晰的溝通指導,包括事件期間和之后。因為應對危機時易忽略溝通。但最終,公眾所知的泄露事件,其長久影響可能由此決定。Brown對此表示:“危機時期每個字都重要。發布的內容、措辭和方式。所以提前準備極其關鍵。”
手冊還需明確終點。這樣才能決定何時結束事件調查。IANS研究院和Bedrock Security公司的CISO George Gerchow說:“處置網絡安全事件最難之處,在于知道何時停止調查。許多大型調查團隊可能會發現其他問題,但若他們深究無關細節,會偏離重點,延誤正事。”
CISO需接受有些問題可能懸而未決,對于一些風險較小的事件,最重要的是不要迷失在其中。曾在SumoLogic和MongoDB經歷事件的Gerchow說:“關鍵要聚焦‘已知的因素’,始終保持透明,這樣才能盡快結束事件。同時,首要目標是確認數據是否外泄。”
04
不要忽視對備份的保護
若發生數據泄露事件,備份保護不足或缺失將代價高昂。吃過苦頭的CISO深知教訓:絕不能想當然認為備份系統安全且功能正常。Tcherchian說:“如今很多勒索軟件攻擊,動手前都會先瞄準備份。它們會攻擊你的恢復位置、恢復點和備份介質,以此讓你無法恢復數據,只能選擇‘交贖金’這條路。”
而現實是,即便決定支付贖金,也無法保證拿回數據。這更突顯確保備份隔離且有效的必要性。
Tcherchian建議定期測試備份系統是否正常可用。他說:“網絡可能存在漏洞或惡意載荷。它或許潛伏了30或60天,意味著它已不斷被復制到了備份中。當企業以為遭攻擊后可以從備份中恢復,沒想到這樣做只會把病毒或惡意軟件重新引入進企業的系統環境。”
05
設定更高的安全標準
事件發生后,企業可能會重新審視自身的安全狀況,這包括持續改進安全流程。而此時的目標不僅是達標,還會被要求做得更好。因此,安全領導者要做好準備,去改造或重建系統以提高韌性。安全領導者可以采取多層安全防護措施,考慮更高級別的合規要求,又或是進行更多的桌面推演、安全審計、紅隊演練和終端防護等。
Brown表示:“每一項改進都會讓我們更接近一個最佳實踐。我們可以說:‘是的,這事發生了,現在我們做得更好了。’并對此分享經驗。我們的方法是切實加大‘攻擊者實施感染或定向入侵’的難度。”
經歷過事件磨練的CISO也可能改變他們進行桌面推演的方式。以Brown所在企業為例,推演會變得更頻繁,模擬事件也會變得更嚴峻。因為經歷事件后,我們會發現,一切皆有可能。“一旦親身經歷,你的語氣會大不相同。我們這些過來人都明白,事情在真實發生前,只會被視為客觀理論。”
06
警惕“新奇事物綜合癥”
Michel得到的一個教訓是:避免被酷炫的新工具分心。但在充斥夸張宣傳和晦澀術語的行業中,這可能很難直接避免。“因此可以說,整個行業都有‘新奇事物綜合癥’。”
Michel表示,我們應專注于基本安全措施:漏洞管理與補丁更新、強大的檢測與響應計劃、強身份驗證(如零信任和無密碼認證)、員工教育培訓,以及實彈式事件響應演練來檢驗準備情況。最重要的,是對天花亂墜的銷售宣傳保持警惕。
“大家都不愛做漏洞管理,但這卻是最重要的工作之一。它能讓你了解攻擊面,發現漏洞所在并修復它們,直到你對風險承受度感到滿意。”
07
事件過后,“預算熱度”可能消退
事件確實能讓人們聚焦網絡安全。比如,突然間,董事會和高管層都想談網絡話題、了解風險,還批了錢讓大家晚上能安心睡覺。對一直爭取更多資金的CISO來說,這聽起來很美,但這種關注,以及資金支持,可能轉瞬即逝。
Gerchow對此表示:“當你一直警告‘這些是風險’,然后風險真的來了,公司上下都親歷其中,因此高管層會在短期內只談網絡安全。但很快,關注度就開始減弱。”
預算增加,期望也隨之提高。問題是:盡職調查、引入合適工具和人才都需要時間。但如果在熱度消退后,規定時間內的預算沒用完,高管就可能將其調撥到其他領域。
這讓CISO陷入困境:許多高管只關心指標和改進成果時,他們不得不向董事會解釋資金削減意味著什么。“CISO可能會談風險和事件后的改進,但未必會提預算和崗位正在減少。”
08
必須時刻照顧好自己
如果CISO們能從事件中學到一個普遍且核心的道理,那就是:必須全程照顧好自己——包括法律層面、專業層面和心理層面,在整個行業生涯中皆如此。
由于職業倦怠、高壓和不斷增長的職責,許多CISO感受到了這個職位的重壓。而安全事件加劇了這種壓力,隨著攻擊頻率上升,壓力正變得司空見慣。Thorsen對此表示:“不幸的是,安全事件很常見;這就是工作的一部分。”
Brown鼓勵CISO們認識到高壓角色對健康的潛在影響,并建立完善的支持體系。這在事件發生時至關重要。切勿低估身處風暴中心對自身應對機制造成的巨大壓力。
“一個重要的提示是:你可能以為自己能應付壓力,但其實你未必能應付好。”Brown說:“CISO的工作本就艱難,人們必須找到宣泄口。但事件發生時,壓力會更大。要認識到這點,為自己制定個人計劃,因為處理這種事情的方法因人而異。”
09
結語
安全事件絕非終點,而是重塑安全格局的起點。這八條由CISO們用實戰經驗換來的深刻教訓,其價值遠超任何理論框架。它們揭示了一個核心真相:網絡安全是一場永不停歇的攻防博弈,成功不僅依賴于精良的技術與流程,更在于領導者思維的轉變、實踐的韌性與持續的自省。
這些經驗的價值,不僅在于幫助CISO們更好地準備、響應和恢復,更在于它們傳遞了一種務實、堅韌且協作的安全文化。其中最重要的就是照顧好戰斗在最前線的自己。畢竟,守護企業數字疆域的安全,需要依賴于每一位清醒、專注且得到充分支持的CISO。
這些血淚教訓,是獻給所有奮戰在網絡安全前線勇士的寶貴財富,也是推動整個行業在挑戰中不斷進化、提升韌性的動力源泉。將它們銘記于心,付諸實踐,方能在下一次風暴來襲時,更有力量去面對。
原文地址:
https://www.csoonline.com/article/4002175/8-things-cisos-have-learnt-from-cyber-incidents.html
作者:
Rosalyn Page Contributing writer 特約撰稿人