对安全事件所做的企业工作的事件响应有多好?RSA的一个小组说仍有很多工作要做
目标不佳。
显然,目标违规的影响尚未脱颖而出,因为它是在讨论AccessData“生活在持续妥协世界”小组的“生活中的”生活中的事件响应状态时,每个小组成员都提到的基线示例旧金山的RSA会议。
该小组将一些安全专家拉到一起,包括IDT电信的CISO戈兰本诺基;David Matthews,Expedia的事件响应导演;RIPT7的全球安全战略家Trey Ford;克里斯·克里斯太森是网络服务的助理副总裁和特拉维斯信用社的SANS教练;富裕的证券分析师Mogull;和Ponemon Institute的拉里·吉姆。
出于法律原因,小组成员花了几个小时的时间,超越了事件响应的一般性。要踢掉东西,主持人Craig Carpenter,AccessData的CMO,通过询问小组成员,典型的IR过程看起来像是一般的
+也在网络世界足球竞猜app软件沿我们从RSA的故事清单遵循+
“当一个组织受到损害时,他们大部分时间都会发现从第三方找到,”克里斯蒂安森说,在某些情况下,甚至是客户自己报告了这个问题。
“组织的规模决定了他们将如何做出反应;中型公司可以比大型船更快地船。同时,他们也试图弄清楚真正发生的事情。”
那么有什么帮助?组织如何开始回应的过程?
“拥有良好的关系并与其他组织合作是关键,其中包括从其他组织获取智能数据,”本班初说。虽然这引出了竞争对手是否真正愿意在这种意义上彼此帮助的问题 - 即使在理论上讲,它是为了更大的好好良好 - 本oni坚持认为,一些组织愿意倾听理性。
“一些垂直市场对其开放,就像电信或金融市场中的那些。他们通常愿意参加那个”合作“,只要涉及保密”。
Mogull继续澄清,本oni指的是这些日子,通过第三方服务的组织部分提供了更多的数据汇总,其中在与他人分享之前,信息被匿名。对于那些可能担心法律影响的人,Matthews补充说,匿名化通常是对公司的律师有什么上诉,他们可能会出汗那些披露这些披露。
“只要你保持高水平和匿名它,律师就可以了,”他说。即使鉴于剧烈的事件 - 就像爱德华斯诺登的事件一样 - 这表明分享信息并不总是最聪明的选择,小组成员似乎同意公司仍然重要的是,公司与彼此分享并支持彼此。“它对我们没有改变任何东西,”本班初说。“我们仍然需要彼此。”
Matthews补充说,在分享数据中,为了提高事故反应,重要的是与您个人所熟悉的人员合作和发展信任关系。“你更有可能相互信任,”他简单地说道。
人体元素
当涉及到事件响应时,时间明显是关键,因此自然倾向将相信自动化是您所有问题的答案。毕竟,让机器做的工作不仅意味着削减人力,但更快 - 因此更好 - 反应,对吗?本案名人同意自动化是一个健康的选择,但只有适度。
“我们已经仔细看看了我们如何自动化事件回应,”本班初说。他说,通过自动化,公司可以减少必要的人力,以回应事件,同时也可能在它变得严重之前含有问题。
“[通过自动IR,您可以]快速而且没有多大的人权力,在它成为一个大问题之前,你可能已经蕴了一个问题,”他说。
但克里斯蒂安森警告说,虽然自动化可以提高效率和响应时间,但组织应该小心不完全去除事件反应所需的人体元素。“那个检查部分,确保一切都没问题,仍然需要一套人眼确认,”他说。
本班尼澄清了他的立场,说:“我们没有取代人民。我们正在采取措施,每次人们都必须做,并自动化它们,所以当人类元素进入时,繁重的升降已经完成。”
Mogull与这种方法同意,保持在自动化IR的情况下,它更加关于自动化工作流程,而不是期望击中按钮并自动完成所有内容。“像重新成像一样,改变应用程序的所有权等的某些步骤应该是自动化的,以便大大加快这个过程,”他说。
“沟通是关键。”
事件响应在许多方面,所有这些都是关于沟通的。这不仅仅是如何(或何时)组织选择与公众遭到违反的公众,这也是安全团队如何选择与董事会成员的内部通信的问题。
当被问及是否像目标违约的事件敞开董事会成员的眼睛时,“它确实引起了高管的注意,我们的高管想知道它是否会发生在我们身上。所以我们告诉他们,这是我们的分析,这是我们适应该频谱的地方,这里是我们的差距。“
这样,他补充说,董事会成员可以确定如何最好花钱以保护其组织。
福特似乎稍微担心安全行业的沟通问题,但也决心尽可能积极地实现姿态。“通知在外部和内部都很艰难,”他说。
“问题不是,”我们被黑了吗?'这是,“它尚未发生,我们知道吗?”因此,如果需要报告违规行为,他解释说,Cisos甚至能够说他们知道有问题几乎是积极的。然而,这是至关重要的,他们的陈述是准确的。
“这是一个力量的位置,说这是我们所知道的以及我们所知道的我们所知道的。但我们必须以绝对的信心提供这些陈述,”他说。
Christianson表示,沟通如此重要,这是一位专家沟通者的安全专家今天是该行业的非常热门商品。“沟通是关键。我们有聪明的人,但他们并不总是交流者,”他说。“所以你想让人们到位,这两者都可以很好地沟通。”
其中谎言。虽然安全团队显然需要向董事会成员传达这些问题,但重要的是他们知道以董事会成员将理解的方式传达这个问题。换句话说,他们不需要解释错误的原因;他们需要画出如何影响他们的组织的图片,并且直到整个情况得到准确到期。
“董事会成员不在乎,这些违反了这样的侵犯,他们需要在业务条件下知道对其组织的影响,”Mogull说。
“董事会不了解潜在技术,”本班初同意。“所以我不明白闹钟熄灭的那一刻上的点。”
一旦确定存在问题,这对预算和未来支出意味着什么?这一刻发生了一段时间明显谈判与董事会成员预算的好时机吗?Ponemon似乎这么认为。
“董事会成员没有接受盲点。大多数董事会成员假设无知是幸福的。如果你不跟他们说话,那就错了,”他说。“他们认为安全是一个战术的事情,而不是战略性的事情,直到他们看到像目标事件的东西,他们就可以了。”
Ponemon似乎将其视为一个非常小的窗口,添加,“他们关心的唯一时间是在前页上突破后90秒,然后他们回到不关心。”
Mogull同意,高调案例以略微扭曲的方式,适合其他人,因为他们倾向于推进安全计划并增加董事会成员的意识。他说,当像目标这样的公司在数百万里亏损时,董事会成员注意。“我们正在变化,但以冰川的节奏。我可能不同意拉里的90秒发表的陈述,但也许是90天。”
无论他们是否同意对威胁景观的看法,小组成员似乎都同意更好的标准化方法是必要的。当然,当然,开始在遵守外面的思考复选框。
“合规是不够的,”本班初说。“董事会成员现在意识到安全性不止于此。”
福特采取了略微不太积极的方法,同意这是不够的,但这对它有一些好处。“合规是一个双刃剑。它意味着用作基线,但很多人都用它作为天花板,”他说。“但这是一个起点,我不认为那有什么不妥。”
事件响应的状态
当被问及入射反应今天的工作程度如何,小组成员似乎同意还有很长的路要走。是否以更多实践或招聘的形式衡量或创建 - 具有合适技能的安全专业人员,每个人似乎都同意工作要做。
“我们发现的最好的是定期练习响应,”马修斯说。“我们所做的越多,我们会回应更好,更快。而且,我们有通信到位,因此我们不必提前设置。”
克里斯蒂安森提到锻炼,如果没有其他原因,而不是教导安全团队,无法失败。mogull补充说:“这不仅仅是好的,我们需要引入失败。我们需要尝试创造压力。”
但现有成员的培训还不够。克里斯蒂安森说,有很多工作要在制作适当的人才来打击威胁方面进行。“我们需要拥有合适的人力技能,”他说。
“是法医学专家的人!所有中型组织都可以拥有那些具有所有不同技能的人。所以我们需要培训,所以人们知道他们在做什么。”
马修斯和Mogull符合,因为他们谈到了组织如何抓住学生和军事退伍军人等资源,以获得他们所需的帮助。本班义甚至提到IDT在他们的建筑中有一个认可的学校,以帮助创造更多熟练的团队成员。“它尚未解决我们的所有问题,但它很有帮助,”他说。
福特补充说,对于能够承认他们需要帮助的组织来说变得比以往任何时候都变得更加重要。“我们经常害怕说我们没有足够的X或Y,”他说。“Cisos害怕告诉董事会成员他们需要的东西。我们需要专家。”
阅读更多关于数据保护的信息在CSOonline的数据保护部分。
这个故事,“2014年RSAC:专家讨论事件反应的恶劣现实”最初是发表的CSO 。