資安長在訓練他們的團隊對抗駭客時,往往忽略了人類在危機時會因害怕而束手無策的傾向。對事件回應的心理狀態做好計畫與準備,能有助於預防團隊在錯誤的時刻出現緊張過度而束手無策的狀況。
文/Mary K. Pratt‧譯/酷魯
如果你的公司受到入侵或勒索軟體攻擊,你的安全團隊是否會挺身而出,準備好展開真正的戰鬥?資安長可能會覺得他們的員工總是具備所需的技術專長和足夠的訓練,但當壓力排出倒海地來臨時,他們仍然有可能束手無策。網路安全培訓平臺 Immersive Labs人類科學總監 Bec McKeown 表示。
「你可能有因應危機的教戰手冊和政策,你可能認為這些是你在事件發生時首先要做的事情。但情況並不總是這樣,因為你的大腦運作方式不只有戰鬥或逃跑而已。大腦不是選擇戰鬥,就是逃跑,還有可能呆住不動,」她說。「我曾聽人說:『雖然我們事前知道如何應對危機,但當危機真的發生時,我們反而會驚慌失措不知道該怎麼做。』」
[ 2023年企業IT投資重點為何?資安、人才、ESG如何部署?下載 CIO大調查報告 立即揭曉!]
McKeown 是一名心理學家,她對高風險/高利害關係產業的長年研究讓她對人類在危機中如何反應有了自己的觀點與看法。她的觀點想法不僅僅是理論上的。許多安全部門負責人也持同樣的看法表示,他們看過一些團隊在應對真實事件時嚇到束手無策的情形,甚至包括特別為此類事件進行過訓練的團隊也如出一轍。
團隊束手無策只會讓問題加劇
回應一旦延遲,即使只有幾個小時,也會給惡意攻擊者更多的時間進行破壞,並拉長復原時間。它還可能導致回應成本增加,甚至可能導致更高的監管機關罰款和業務損失。
考慮到這種反應的可能性,McKeown、分析師和資深的資安長們都表示,安全負責人必須預先預測到可能的束手無策反應,結合事前演練來幫助最大限度地減少發生這種情況的可能性,並制定出一旦在實際安全事件中確實發生這種情況而加以識別並有效應對的最佳策略。
「你必須明白在這些危機時刻你將如何應對。你可以培養旗下團隊成員的技能,讓他們變得敏捷,並幫助他們即使在不具備任何狀態意識的情況下也能有所回應。這一切就是要做好事前的心理準備,」McKeown 斬釘截鐵地說。
團隊何以會陷入驚慌失措、束手無策的狀態
即使是準備充分的團隊也會有驚慌失措到束手無策的時候,資安長也不應該感到驚訝;這是人類的天性,McKeown 直率地說。
她說,有時反應者可能會經歷認知窄化效應,他們因而完全專注於自己眼前的情況,以至於他們不能考慮完整的情況,這種經歷會阻止反應者正常思考。
身為企業網路安全負責人,同時也是國際電腦稽核協會 ISACA 董事會董事的 Niel Harper,他在一家公司擔任顧問的第一天就目睹了團隊在因應勒索軟體攻擊時束手無策的情形。「他們確實不知道該做什麼,儘管他們曾有事件回應演練的經驗,」他回憶道。「但他們卻處於恐慌的狀態。」
Harper 進一步說道,他還見過其他情況,亦即安全回應因受阻而導致拖延的狀況。在某些情況下,團隊會擔心自己被當成反應過度。在另一些情況下,他們因為害怕被指責而裹足不前。還有一些事件中,因為團隊成員中沒人有回應真實事件的經驗,致使沒有人有信心帶頭回應事件。「所有這些問題,不論是單獨出現或同時湧現,都可能導致組織束手無策,」Harper 表示。
馬里蘭大學全球分校(University of Maryland Global Campus,UMGC)網路安全與資訊技術學院兼任教授 Chris Hughes 表示,他也看到過這樣的情況。他當時正在與一個政府機構的安全團隊合作,該團隊發現了可疑的網路封包,經確認後認定是惡意封包,但卻突然撞上了一個阻止他們採取行動的障礙。
旁觀者效應
「這算是一種旁觀者效應(Bystander Effect)。他們假設或者希望有一個隊友會直接跳出來介入這件事並起帶頭作用。但卻沒有人真的這麼做;也沒有人站出來,」Hughes 分析道。直到一位資深主管的介入「才使他們從震驚中恢復過來」。
另一方面,經驗豐富的一些安全主管表示,有時束手無策的反而是主管,因為他們完全陷入「這不可能是真的」和「這不可能發生在我們身上」的情緒中,隨著時間的推移,他們才慢慢地相信這是真的。「像這樣的束手無策時刻通常發生在人們過度恐懼擔憂的時候(擔心事情有多糟,擔心它會對組織造成多大的傷害),以及心頭充斥太多不確定性的時候,」網路管理與安全機構 SANS 主席 Ed Skoudis 闡述道。「雖然所有這些資訊都進來了,但團隊不知道什麼是真的,什麼是假的,什麼是最好的方法。有很多疑問。當感到恐懼、不確定、懷疑,或者三種感覺同時存在時,它就會束手停擺。這種情況經常發生,企業不知道接下來要怎麼做。」
[ 推薦閱讀:讓安全策略符合 ESG 目標 ]
網路安全服務公司 NetSPI 資安長 Norman Kromberg 就曾看過一個團隊「陷入讓事情完全停擺的狀態」。他是一家公司的安全負責人,該公司在發現惡意內部活動後發出安全事件警告。約莫兩周,他的團隊一直「全力以赴」地應對該起安全事件,包括執法部門、資安鑑識專家、會計師和網路保險公司也參與其中。然後他的團隊遇到了瓶頸,無法突破;他們沒有取得任何進展。
「我可以從最新狀況電話會議中聽到,他們彼此之間對話總是吵鬧不休、氣急敗壞,」Kromberg 回憶指出並解釋,他認為疲勞和壓力讓他的團隊處於停滯狀態。「我們無法讓安全復原程序有任何進展。」
如何不陷入束手無策的窘境
當他看到他的團隊陷入困境並推斷出原因時,Kromberg 讓所有人回家。「我們在這個週末可以休息了,這不僅包括我們的團隊,還包括供應商、法律和執法部門。我們休息了一段時間,週一回來後精神煥發」他補充說,救援人員因此能夠迅速向前推進。
他說,這段經歷教會了他為未來的這類時刻做好計畫。他和其他人表示,各地的資安長都應該這樣做,並指出他們可以結合各種練習來幫助最大限度地減少團隊癱瘓的可能性。
首先,確保基礎。馬里蘭大學全球校區網路安全與資訊技術學院兼職教授 Philip Chan 表示:「資安長可以採取各種措施,透過制定事件回應計畫、培訓事件回應團隊、定期模擬事件、鼓勵公開溝通、建立透明的指揮鏈,以及制定精確的風險管理和事件管理策略,來幫助防止團隊進入凍結模式」
安全專家表示,資安長下一步應該檢查他們的演練(當然,他們應該定期進行演練),並添加可以幫助他們的團隊更好地為實際事件做好準備的元素。
為意外做好準備
「提出一些你教戰手冊裡沒有的新東西。」McKeown 建議道。這可能意味著讓員工故意做出錯誤的舉動(例如,將關鍵系統完全關閉),這樣團隊就可以練習如何應對意想不到的或正在發生的情況。McKeown 補充說,這樣的練習可以培養敏捷性和團隊合作的精神,有助於避免危機期間經常出現的指責和爭論,畢竟這些指責與爭論會困住團隊並阻礙他們快速前進。
Kromberg 表示,他曾經在週五中午的假日聚會後舉行一場未經宣佈的演練。他深知駭客總是喜歡挑在公司最漏洞百出的時候發動攻擊,所以他希望他的團隊在這種情況下進行演練。在這種情況下,他認為團隊必須學會如何迅速轉換進入高速運轉狀態,並在關鍵人員已外出度假的情況下確保安全防護機制的正常運作。
[ 加入 CIO Taiwan 官方 LINE 與 Facebook ,與全球 CIO 同步獲取精華見解 ]
McKeown、Kromberg 和其他人莫不異口同聲地認為,資安長和他們的安全團隊也需透過盡可能多模擬真實事件的安全演練來獲得所謂的肌肉記憶(Muscle Memory),以便能能對緊急惡意攻擊產生反射性的防護動作。這意味著從一開始(例如最早的安全告警)就必須透過實際模擬的場景進行演練(而不是桌上模擬或預演式的培訓課程)。
「當你把手放在鍵盤上時,這種感覺更加明顯,你可以從中經歷到真實的攻防動作,」Hughes 表示,Hughes 也是 Aquia 公司的共同創辦人兼資安長,Aquia 是一家專注於雲端運算和網路安全專業服務的公司。
安全演練時使用倒數計時器
Skoudis 表示,他在安全演練中使用了倒數計時器,這也讓團隊習慣於在巨大壓力下工作,畢竟真實事故會帶來巨大的壓力。「雖然很棘手,但只要在那樣的環境下演練,這樣就能建立肌肉記憶,」他解釋道。
其他人還建議資安長嘗試讓盡可能多的企業高層、其他部門以及與安全、IT 和事件回應機制協同工作的外部支援方參與進來,以確定這些額外的參與者是否也會變得束手無策。「你可能會發現,在其他領域,事情可能會停擺,比如執行長在談論事故期間所需的財務資訊時會退縮,」Kromberg 表示。
資安長還應該考慮到,在真正的危機中,他們如何為員工創造提出解決方案的管道,資訊科技研究與顧問公司 Info-Tech Research Group SoftwareReviews 部門諮詢總監 Thomas Randall 表示。
Randall 強調指出,科學研究發現人類面對危機時的反應不僅僅是對抗或逃跑,他們的反應通常是對抗、逃跑、嚇呆或討好(當人們變得過度樂於助人時) ─ 以討好作為回應,能為危機增加了冷靜和有可能極具創造性的解決方案。「所以,即使在壓力很大的情況下,也要確保同事們能夠放心地提出解決方案,」Randall 表示。
鼓勵創造性的解決方案
在實際事件中,團隊可能沒有很多時間深思熟慮想法,Randall 補充道,但建立一些管道來提供和評估這些想法仍然很重要,因為這些創造性的解決方案可能會帶領團隊前進,並排除讓他們停滯不前的障礙。
資安長可以採取另一個步驟來幫助避免這類的束手無策時刻:雇用具有處理資料外洩和駭客攻擊經驗的員工,並與經常從事這類工作的外部事件回應團隊簽訂契約。
Harper 指出,安全主管們不應該低估這種經驗的價值;他說,那些經歷過許多安全危機的人會發展出肌肉記憶,使他們保持冷靜,並讓他們能帶領別人解決那些讓毫無經驗者被一一難倒的最棘手問題。
(本文授權非營利轉載,請註明出處:CIO Taiwan)