類比分析|新冠疫情危機處置VS資訊保安事件響應

綠盟科技發表於2020-03-17

一、前言

本次突發的新冠疫情來勢洶洶,截至目前除我國外全球多個疫情爆發地區呈現不樂觀發展的態勢,部分國家政府已經將其視為一個關係到國家公共衛生安全的威脅並對應提高了威脅級別和採取了相應的應對措施。新冠疫情是一場公共衛生的突發事件,其處置流程和資訊保安事件響應處置的流程實質上並無根本區別。因此,如果從資訊保安事件響應管理的角度去看待各國政府應對本次突發疫情的處置措施和效果,確有不少值得警惕和學習的地方。


二、資訊保安事件響應管理內容簡析

資訊保安事件響應管理是IT治理中關於資訊保安運營的一個重要的管理程式。它主要解決發生資訊保安事故後機構如何透過既定的處置預案,協調安排相應的資源去處理解決正在發生或已經發生的安全風險,將其限制在企業機構能夠承受的風險接受範圍內。關於資訊保安的應急處置管理,國內外有大量的安全標準、實踐指南和手冊可供參考。其中國內的標準包括《資訊保安事件管理 第1部分:事件管理原理》(GB/T 20985.1-2017)、《網路安全事件描述和交換格式》(GB/T 28517-2012)、《資訊保安應急響應計劃規範》(GB/T 24363-2009)、《資訊系統災難恢復規範》(GB/T 20988-2007)以及正在制定的《公共資訊網路安全預警指南》、《網路安全威脅表達模型》、《網路安全事件應急演練通用指南》等標準。國外的標準則包括美國國家標準與技術研究院(NIST)制訂的《電腦保安事件處理指南》(NIST SP 800-61r2)、《網路空間安全事件恢復指南》(NIST SP 800-184/2016),ISO組織的《資訊保安事件管理第1部分 事件管理原理》(ISO/IEC 27035-1:2016)、《資訊保安事件管理第2部分 事件響應規劃和準備指南》(ISO/IEC 27035-2:2016)以及《資訊和通訊技術事故應對行動指南》(ISO/IEC 27035-3)。不論是國內和國外的標準,針對資訊保安事件響應管理都遵循了PDCA戴明環的迴圈處置流程,儘管不同的標準可能將其流程進一步拆解為不同的階段或相對強調某一階段的內容(例如NIST SP 800-61r2強調分析與檢測,ISO/IEC 27035-2:2016強調報告和檢測)。


三、安全觀察分析


安全觀察1:領導的專業性知識儲備可幫助更好的增加應急響應處置的整體可控性

通常情況下絕大多數機構中CEO、CIO或CTO由於實際工作中並不直接負責IT安全,因此他們對資訊保安未必都能有較為深刻的理解。其次一些機構中資訊保安管理部門的負責人也可能不具備資訊保安的知識和實踐背景,嚴重的甚至連IT背景都不具備。

如果機構中這樣的高管和中層負責人在日常工作中主觀意願上亦未能深入學習和了解監管的安全要求、資訊保安領域的背景知識以及機構當前的資訊保安狀態,那該機構在資訊保安管理方面將陷入一種盲從和外行領導內行的境地。該情況可能導致在發生資訊保安事故時,資訊保安的直接負責人無法正確的理解認知和評估判斷應急處置上報資訊中提及和反饋的當前正在發生和未來可能持續或新增的風險。

在這種情形下,該負責人很可能做出不正確和不恰當的處置決策。這種不正確或不恰當的戰術層面判斷處置決策可能進一步誤導機構的CEO或董事會做出戰略層面的誤判,導致在第一時間沒有能夠投入充足的資源以及沒有采取其他相關的正確措施將事故的影響和危害控制在更小的範圍,同時還將造成當前風險的持續蔓延以及產生額外的新的安全風險。從

另一個角度看,由於C-level層的許可權更大,如果該層領導也缺乏對資訊保安風險的深刻認知,那麼機構將失去從戰略層面糾正戰術層面錯誤的最後一個風險控制點。有鑑於此,機構應該透過IT風險治理機制讓C-level層及中層管理執行層的領導具備和提升相應的資訊保安管理知識背景及管理能力,在發生資訊保安事故時才能更好的藉助專業性的知識儲備來做出正確的分析判斷和決策處置。


安全觀察2:應急預案的完善度關係到響應處置的有效性和可靠性

當下絕大多數機構均已按照資訊保安事件響應管理的要求編制了安全應急處置預案。但這些處置預案存在以下四個主要問題,導致發生事故時,預案無法有效的指導相應處置工作的操作執行,造成了不必要的風險損失。

問題一:應急預案沒有做到應急操作級

一般情況下我們可以把應急預案分為應急場景級預案和和應急操作級預案。例如僅泛泛說明有病毒入侵導致業務主機當機,業務中斷,要求進行網路隔離和病毒查殺的預案屬於場景級別。而詳細描述透過何種具體操作恢復當機主機、阻斷網路病毒的傳播、刪除主機病毒、進行資料恢復的預案則屬於操作級別。顯而易見,應急操作級預案是應急場景級預案的細化,其落地性和可操作性更強。

很多機構的安全預案通常僅限於應急場景級別的預案,這些定義的場景例如停電、網路通訊中斷、網路攻擊和入侵、業務中斷、資料洩露、安全迎檢等。未編制操作級應急預案的原因包括由於機構的網路複雜、業務系統繁多複雜、業務操作複雜以及牽涉部門人員較多等因素導致資訊保安部門難以下定決心去進行預案編制。儘管存在上述客觀因素,但考慮到應急處置的有效性和可靠性,建議機構仍需下決心開展操作級預案的編制和完善。

在編制過程中,可採取循序漸進的方式,首先將應急場景進行細化,將其拆分成不同的操作子場景;其次要求在某一操作子場景情況下涉及的部門進行場景適用性確認並據此進行操作級預案的編制;最後定期或不定期組織相關人員進行預案的評審和修編。相信只要持續進行該項工作,機構最終將建立完善的操作級應急預案體系。

問題二:應急預案沒有考慮預案實施完成的自持性

不少中小機構在一些特定的預案中如網路攻擊/入侵應急處置預案和資料災備恢復預案中基本上很少考慮機構內部人員是否能夠獨立完成該應急處置需求。在實際應急處置的活動中,由於網路攻擊入侵防控和資料恢復的複雜性,同時還可能受限於機構的編制和人員的技能,很多中小機構在發生此類安全事故時,其內部應急響應人員並不能獨立應對。

因此這些機構在制定應急預案時需要評估機構本身的應急處置能力並考慮在發生事故時是否需要邀請第三方力量進行參與介入,幫助共同應對。此外機構還要考慮和評估參與介入第三方機構的匹配能力、參與介入的成本負擔、參與介入的方式和方法,資訊共享的範圍和內容、合同及責任的約定以及因共享資訊和應急介入可能發生第三方資訊洩露的風險。

問題三:預案更新不及時

機構在運營過程中常常會面臨內外部環境的變化。外部變化通常包括法律法規等監管要求的變化(如提升和加強了對應急響應處置的要求)、第三方合作機構/和人員(業務往來/運維支撐/開發外包等)發生了人事及通訊聯絡方式變更、服務能力變更、駐地機構變更等。內部變化則主要包括內部的網路環境發生變化、業務系統發生軟硬體更迭/升級、業務操作流程變更、內部人員人事及通訊聯絡方式變更、應急處置工具不再可用等。以上內外部的變化如果沒有在應急預案中得到及時更新,那麼當發生事故時,將發生預案與實際情形相差甚遠的情況而致使響應處置工作無法按預期順利進行。

問題四:應急預案未得到實際操演

預案本身是停留在紙面上的,在沒有實際演練的情況下,預案所涵蓋的內容並不能得到充分的檢測同時也不能發現預案內容的不足(例如未考慮到備品備件的不足,人員實際到崗的不足、人員應急處置技能的不足)。實踐中由於並行測試和完全中斷測試演練成本高,週期長,通常難以進行,那就需要採用其他應急演練方式並儘可能的全面。

例如在模擬測試的方式下,建議可以採取頭腦風暴的方法,在預先設定的場景中儘可能全面的評估和考慮到所有的可能性,並進行一一推演和測試。當然,如果機構具備並行測試和完全中斷測試的條件,建議定期採用這兩種演練方式並獲得最為全面和最為真實的演練效果。


安全觀察3:人員因素是應急響應的關鍵要素之一

在資訊保安事件響應處置流程中,在預防/準備階段透過開展對內部員工的安全意識教育、安全技能培訓提升以及應急演練可以極大改善應急響應處置的效果。普通員工的安全意識教育在此不再多說。

需要特別注意的是在實踐中機構的IT設施運營通常由軟體開發與測試、業務運維、系統運維、網路運維、桌面運維、安全運維的員工或外包服務商來完成,因此對於這幾類角色的人員,一定要讓他們具備較之普通員工更高的安全意識,深入瞭解自己負責的工作內容可能面臨怎樣的安全威脅,產生怎樣的安全風險以及相應的應對手段。

此外應急演練的設計應覆蓋以上人員,演練中讓他們都能實際參與,透過桌面推演、模擬測試、並行測試、完全中斷測試以及第三方參演的紅藍對抗的方式錘鍊他們的應急處置能力,增加應急處置經驗。隨著參演人員的實際參與,機構的事件響應處置能力也將隨之改善和提升。

資訊保安應急響應小組是應急響應處置中的主要團隊。機構管理者通常往往過於強調小組成員組成的全面性,小組成員的技能,但卻忽視了人員在應急處置時所面臨的精神壓力。這些壓力包括逃避免責壓力和響應處置壓力。

逃避免責壓力:應急響應人員本身可能就是平時的運維人員或一線管理人員,因此一旦發生資訊保安事故,從人類心理趨利避禍的情況下,有可能會採取瞞報漏報、虛報謊報的方式來儘可能降低自身可能因事後追責而需要承擔的個人風險。因此,在安全管理過程中需要儘可能的避免此類情況的出現。具體可行的方式包括在相關的管理制度中明確禁止主動遮蔽正確資訊的輸出以及對應處罰,在明確職責的同時也儘可能闡明例外的情況以及相應的免責,同時也包括對應急處置應對得當,避免更進一步損失發生的獎勵措施。

響應處置壓力:在處置的過程中,由於響應時間視窗十分有限,應急處置人員面臨著公司高管傳遞的工作壓力。心理抗壓能力差的員工在此種情況下可能會出現心理牴觸、工作推諉、專注力和操作能力的非正常下降。因此在處置過程中,常要求處置人員具備良好的心理抗壓能力和嫻熟的處置應對技能。

一個具備良好抗壓能力心理素質的人員其最佳表現峰值點與其他人相比在如上圖所示的關係曲線圖中將會右移。因此在平時的安全應急演練過程中一方面需要參入壓力訓練的內容增加和強化在這種壓力環境下的抗壓演練。另一方面資訊保安管理經理也需要主動觀察參演人員的具體表現,對未來參與應急響應的人員有正確的預判和優先預設的考慮。


安全觀察4:建立“吹哨人”機制增加重大事故的快速響應能力

在常規的安全事件響應處置流程中,安全事故的發現和處置報告是遵循層層上報的機制。這個傳統的流程機制本身沒有錯,但是如果機構存在著官僚作風以及前面提到的層級領導缺乏專業性知識儲備的情況,那麼該流程機制就有可能導致安全事故的響應處置視窗期被人為的拉長。

另外資訊保安應急響應小組通常會被認為是純粹的技術單元,因此在很多機構的資訊保安管理體系中,資訊保安響應小組的意見和報告並不能直接和完整的呈現在管理層的溝通會議上,這意味著沒有一種可行的直接上報機制和通道,能將最直接的風險損失分析資訊直接上傳抵達更高的決策層。此種快速直通車機制的缺失或將導致身處一線的員工在一些突發且隱患巨大的情況下無法成為喚醒巨人的“吹哨人”。

因此建議機構組織可以考慮設定和開放這樣的“吹哨人”上報機制和通道,允許技術層面的反饋也能在特殊情況下直接反饋於高管層,縮短應急響應處置的時間窗並降低風險損失。此外,該機制從管理層面上看還可增加一個威懾監督的作用,可以在一定程度上減少和降低執行管理人員發生瞞報虛報等不合規行為的機率。


安全觀察5:不慎重的危機公關將是另一場危機

在發生資訊保安事故時,機構有可能會根據情況判斷而開展危機公關,消除或降低客戶或公眾存在的憤怒、困惑和沮喪等情緒,挽回對機構的信任,降低商業信譽遭受破壞的風險。然而在回顧既往眾多的安全事件危機公關應急處置案例,我們可以發現很多處置不當的例子。綜合來看,主要有以下這些問題。

1、事件上報不及時;

2、事件對外披露不及時;

3、對外披露資訊不足;

4、對外披露資訊可信度不足;

5、出現多個釋出口徑,且披露資訊不一致;

6、措辭表態不恰當;

7、發言人的級別與事件危害程度和影響程度不符合;

8、發言人現場應對能力不足;

9、後續責罰措施及補償應對措施處置不當;

 ……

這些問題的存在不僅沒能達到公關本身設定的目標,反而可能導致事件影響不斷髮酵和蔓延,消耗和浪費了客戶或公眾的信任度,最終不得不付出更多的處置成本和公關成本。因此在決定進行正式對外的危機公關時,建議機構需要提前做好公關分析和演練(如果涉及現場釋出會)。在公關分析的時候,內部一定要對事故資訊進行梳理和資訊的同步對稱。包括,

1、發生事故的原因是什麼;

2、哪些系統和業務受到了影響;

3、影響的程度如何;

4、是否發生客戶資訊洩露的情況;

5、預計洩露了多少資料資訊;

6、可能造成什麼影響;

7、機構內部當前的響應處置進度和情況如何,如系統漏洞是否已修補、攻擊入侵是否已結束或已經得到控制、惡意程式碼是否已清除、系統配置是否已恢復、業務是否已恢復執行、業務資料是否已恢復、已採取了哪些安全改進措施;

8、擬對遭受損失的客戶所採取的補償措施;

9、針對本次事故對客戶側推薦的安全建議;

10、適合的資訊釋出時間點,釋出渠道以及恰當的發言人;

11、公關後可能未達到預期效果後的備選方案設計等

參與的部門和人員建議包括IT支撐團隊、市場/業務團隊、法務團隊、公關團隊以及牽頭負責的高管。此外,如果有現場資訊釋出會,那麼建議在正式的釋出會之前進行至少一次的模擬演練,確保公關釋出萬無一失。


四、綜述

在現實世界中,機構出了安全事故總要有人擔責。因此機構中的資訊保安管理者,不論是CEO還是CIO、CTO、CSO甚至是安全部門經理的職業生涯都可能因此而受到影響。

2017年9月7日美國徵信巨頭Equifax被披露發生大規模資料洩露事件,洩露敏感資訊涉及1.43億使用者,導致公司股價暴跌30%,公司資本市值蒸發50億美元。該公司隨之在9月15日宣佈其首席安全官(CSO)蘇珊·馬爾定,資訊長(CIO)大衛·韋伯即刻從公司退位。同年Uber公司發生的資訊洩露事故導致Uber公司首席安全官喬·沙利文和公司安全與執法法律總監克雷格·克拉克被辭退。

以上這些案例讓手握高薪的CEO/CIO/CSO們有種高處不勝寒的感覺。在安全行業普遍流傳著一種說法,沒有不被攻破的堡壘,只是不知道什麼時候發生。因此機構的資訊保安管理者們需要認真看待和審視機構的安全現狀,加強資訊保安管理和建設。在本文所提到的安全應急處置方面建議機構加強高管層的安全意識教育、最佳化響應處置工作的流程和機制、不斷地完善資訊保安應急預案、持續地進行安全演練,以練兵千日,用兵一時的姿態去認真對待未來可能面臨的安全事故和安全威脅。


參考文獻

[1]    https://examinedexistence.com/the-correlation-between-stress-and-performance/

相關文章