-
整体= '[“showHide”、“trackProductListViewed”]的>
ciso及其在欧洲和世界各地的团队,要么已经经历了乌克兰战争以及对俄罗斯和白俄罗斯行为者施加的制裁的网络安全影响,要么很快就会。如果你还没有,下面是一些与网络安全相关的步骤,以及一些需要避免的陷阱。
恕我直言,请遵从国家网络安全主管部门的建议。美国网络安全和基础设施安全局(CISA)已经通过他们的“防护罩行动”(Shields Up initiative)警告称,对关键基础设施和国防工业基地的攻击会增加。这是从CISA获得关于当前冲突状态的最新信息的最佳地点。在英国,国家网络安全中心(NCSC)公布了在当前威胁加剧的情况下采取的具体措施。其他机构,如欧盟网络安全机构(ENISA)、德国联邦信息安全办公室(BSI)和法国国家网络安全机构(ANSSI)都对这一情况发出了警告,并已部署了一个欧盟网络单位来协助乌克兰。澳大利亚网络安全中心也在2月23日澳大利亚政府对俄罗斯实施制裁时,通过紧急警报提供了指导。如果没有国家网络安全部门提供的具体信息,请使用我们链接的指南。
联系政府联系人。确保您在每个国家的政府内部都有稳定的联系,如果您有大型业务,您可以在发生事件或获取最新情况时联系到政府。在美国,InfraGard与关键基础设施提供商协调信息共享。在英国,审查由英国国家网络安全中心(NCSC)关键国家基础设施中心和欧洲类似机构提供的信息。对于基于欧盟的组织,请联系您当地的CSIRT(计算机安全事件响应团队)和CERT(计算机紧急响应团队)联系人。(在这里找到完整的列表。)
向您的威胁情报供应商发起“情报请求”。理想情况下,这是你合同中现有的一部分——但即使你必须支付额外的费用,这也是值得的。解释报告的目标受众,以便您的供应商能够以正确的高度生成信息(为您的董事会、为您的安全团队等)。情报请求应该超出你的供应商提供的常规概述,它应该包括与你的垂直行业和运营地点相关的细节。此外,它应该提供有关所关注的威胁参与者以及这些威胁参与者使用的战术、技术和程序(TTPs)的信息。
在新闻周期之前向您的高级利益相关者简要介绍威胁、环境和风险。获得媒体关注的网络安全事件通常会让高管和董事会成员感到恐慌,导致你和你的团队被一连串惊慌失措的问题所困扰。不要在不知情的情况下被发现,因为这样的请求会消耗宝贵的时间,您将需要处理潜在的事件。提前准备一份简报,尽可能真实地描述总体外部威胁和情况、对组织的潜在影响,以及业务面临的总体风险。借此机会提醒你的高管,你正在采取什么样的战术行动来处理眼前的问题,以及你的战略将如何为现在和将来的此类事件做好准备。
与您的安全供应商合作。您组织的安全供应商需要在您准备网络冲突和深度防御时发挥积极作用。依赖你的供应商客户代表;他们有动力确保你得到合同规定的或特定于该技术的适当水平的护理。对于产品供应商,确认规则集和补丁更新的周转时间和自动化选项;对于托管服务,明确其流程和通信通道。你应该已经收到了你的供应商关于乌克兰冲突的信息。如果你还没有收到更新,直接联系供应商,你的代表,支持团队等。特别要注意在Log4Shell期间响应较慢的供应商,因为在危机期间有两个低于标准的性能会造成令人不快的模式。
不要试图预测民族国家会做什么。世界各国的情报机构在团结一致、共享情报以限制错误信息和假信息方面做得非常出色。他们拥有你和我们所没有的信息,但他们仍然错过了一些东西。把重点放在准备和提高公司的适应力上,而不是试图预测接下来会发生什么。
当网络攻击已经发生时,你不可能做好准备,所以不要尝试。牙医会告诉你“你不能为了牙医考试而死记硬背”,这是相似的;要发起广泛的技术变革已经太晚了。这就是为什么网络安全是一个项目,为什么准备和准备如此重要。如果您可以在最近的桌面会话之后对流程或通信进行调整,请进行调整——并相应地更新您的文档。
下面是下一步该做什么
在你完成上述步骤后,下面是你的下一个清单:
准备好接受更多的错误信息和不实信息。在导致这场冲突的过程中,错误信息和不实信息占了很大比重。其中一个例子是,有人指控在做出决定后很久就举行内阁会议。2月3日,美国预测俄罗斯将利用虚假视频作为入侵的借口。开源情报研究人员分析了两周后浮出水面的一段视频,证明了美国的说法是正确的。这些视频有两个目的:一是增强国内的侵略情绪,二是扭曲国外的叙事。在法国、印度、英国和美国,接受我们2021年3月全球信任势在必行调查的受访者更信任他们的雇主,而不是他们的国家和地方政府领导人。这意味着您的安全团队提供的信息具有相当大的分量。因此,请随时准备好您的事件响应计划和它们的沟通元素。
考虑安全性、私密性和可靠性方面的安全通信工具。企业担心商业通信的安全性和私密性——例如窃听、通信元数据暴露、数据丢失或不遵从——可以采取措施保护企业通信。乌克兰及其周边地区的员工也可能面临通讯基础设施中断的问题。像Element、KoolSpan和Wickr这样的加密消息传递和调用解决方案可以在低带宽环境中工作。这些工具不是一次性的投资;您可以使用它们来保护您的日常通信,并在事件响应期间作为带外通信通道,并为旅行高管提供增强的安全性。
建立你的事故反应队伍。如果您一直在寻求为您的高性能安全操作中心(SOC)分析师或安全工程师创造一种进步的途径,现在正是时候。许多事件响应服务提供商为内部团队提供响应行动、法医调查和证据收集方面的培训。有针对性的攻击通常会导致复杂而持久的反应。与你的服务提供者合作,制定一个培训计划,在晋升道路上建立一批有能力的替补,这样你就可以让你的关键应对人员休息一下,避免精疲力竭。
注意设备和软件卫生。这看起来似乎是一个显而易见的问题,特别是考虑到典型的C2C(遵守连接)策略,但这是一个让您的设备、端点和应用程序完全补丁和更新的关键时刻。优先考虑关键漏洞和任何已知的漏洞,但不要忽视高潮和中等;一个一直在囤积大量漏洞的不相干的攻击者很可能决定在全世界都在忙于乌克兰战争的时候使用这些漏洞。此外,考虑一个桌面练习,以响应和修补新的零日。
这篇文章是由首席分析师保罗·麦凯写的,最初出现在这里。
