当网络攻击发生时，安全负责人必须超越应急响应计划，确保全面准备、有效协作以及在危机中展现出强大的领导力。

应急响应计划对于确保企业能够为网络攻击做好准备至关重要，但这些详细阐述了在不同网络场景下应采取哪些步骤的文件，通常都将安全响应视为一个技术流程。

正如Linux基金会首席安全架构师克里斯托弗·罗宾逊所言：“这些计划是由工程师和技术人员制定的，所以他们关注的是‘我需要插上或拔下这个’或‘我需要应用这些修复或做出这些更改’。”

处理网络事件的其他关键部分，如集结网络安全团队、与企业内部利益相关者协作或运用其他关键领导能力，往往会被忽视，直到危机爆发的紧要关头。

但CISO如何领导度过网络危机，可能是成功减轻业务影响的最重要因素。我们与经历过高风险事件的安全专家和CISO进行了交谈。他们分享了从实战中艰难汲取的最佳实践，这些通常不会在应急响应计划中提及，但对于在攻击下成功领导至关重要。

明确权威和决策职责

CISO要想在危机中挺身而出，就必须明确他们是应对任何网络攻击的主要负责人。这看似显而易见，但正如eSentire的CISO格雷格·克劳利所指出的那样，当警报开始响起时，情况并不总是那么清楚。

“我经历过一些事件，在这些事件中，角色和责任并没有提前明确记录、理解或达成一致，而这只会造成混乱。而当你在经历危机时，你需要知道谁负责，”克劳利说道。

克劳利表示，企业需要提前详细记录总体负责人和企业结构。“所有高管、所有团队成员的角色和职责，他们的工作内容，以及CISO是负责的整体高管，”他说道，并指出CEO仍应拥有最终决定权。

New Relic的CISO兼信息安全副总裁埃斯特万·古铁雷斯表示，应急响应计划通常会概述要做什么，但不会说明谁做出具体决策，比如与客户沟通事件的影响。

“确保你非常清楚地了解谁将做出什么样的决策，以及谁来承担这一责任，”古铁雷斯说道。

通过模拟训练培养肌肉记忆和耐心

如果无法建立追随者，危机中的权威就毫无意义。而且这不仅限于应急响应团队：CISO必须与整个企业进行沟通——这是一项经常被误解的重要任务，近岸人才提供商BairesDev的CISO巴勃罗·里奥波尔迪说道。

“我发现，在网络攻击期间，员工参与度往往被忽视。很多时候，员工甚至不知道自己在危机中扮演什么角色，这可能会让事情出问题时陷入混乱，”里奥波尔迪说道，他建议通过员工模拟和桌面演练等形式的定期培训来为公司做好准备，并让每个人都更有信心。

趋势科技的销售工程总监詹姆斯·恩奎也建议进行模拟，尤其是那些模仿实际事件情感强度的模拟，因为在安全事件中的压力和紧张感会对团队表现产生负面影响。

“企业应提供有关压力管理和压力下决策的培训，其中可能包括在应急响应计划中提供心理健康支持资源，”恩奎说道。

思科安全副总裁拉里·利兹也提倡桌面演练，让员工“用不同于平时的角度看待问题”。

利兹之前在一家公司领导了一次流感大流行的模拟，这在新冠疫情期间派上了用场。尽管他们的一些假设是错误的，但他们能够基于之前的演练迅速调整远程工作和维持业务连续性。

利兹建议包括技术团队和高级领导在内的企业各级别都进行桌面演练。他还建议进行一项综合模拟，技术团队在一个房间，高管在另一个房间，每个团队在决定下一步行动之前都必须等待对方。

“我看到，在安全事件中，高管最难处理的事情之一就是需要有耐心。当我们处理安全事件时，有很多未知因素，需要进行大量分析。有时，高管要做的就是坐下来等待下一个更新，”利兹解释道。

Linux基金会的罗宾逊也是桌面演练的支持者。他表示，他的企业为其开源上游项目运行模拟，以便人们了解在危机中他们需要做什么。“这有助于培养一些肌肉记忆，所以当红色电话响起时，他们至少对这些术语和需要做什么有所了解，”他说道。

在风暴面前保持冷静

在网络攻击面前保持冷静可能具有挑战性，但卓越的表现需要做到这一点，New Relic的古铁雷斯说道。“有很多反应。在事件发生时，会有很多强烈的感受和情绪，”古铁雷斯说道。

古铁雷斯表示，虽然他们有时未能保持镇定，但在网络压力下，他们总体上保持了冷静，并为此感到自豪。作为在危机中受到考验的领导者，展现出镇定很重要，因为这会影响他人的感受、行为和做法。

“这不仅对你的团队很有帮助，对公司的高级领导、高层管理人员、其他利益相关者、董事会，有时甚至对你的客户都很有帮助，”古铁雷斯说道。

eSentire的克劳利表示，另一个陷阱是不要过于陷入技术细节。“CISO在事件响应期间不应该是亲自动手敲键盘的人。这些责任应该由响应团队中的其他人承担，”他说道。

克劳利用军事领袖来类比CISO，军事领袖应该观察战场。“CISO需要知道他们的角色是成为那个镇定自若的负责人。他们需要专注于领导团队、制定策略、寻求外部支持、清除障碍、回答问题以及沟通，”他说道，并强调网络安全事件有其“战争迷雾”。

信任你的团队——并向外部寻求帮助

当危机发生时，CISO往往会陷入责任陷阱，试图独自承担太多工作。

很多时候，CISO可能会感受到他们必须处理所有事情的压力。“哦，这就是我被雇佣的原因。我需要是那个解决问题的人，”克劳利(Crowley)说道。

尽管每家公司在网络安全资源配置方面都有所不同，但很少有企业能够完全内部处理安全事件。CISO必须足够谦逊，知道何时寻求外部帮助。

“回想起来，如果你正在遭受网络攻击，如果你为了省钱而没有聘请外部顾问或进行外部事件响应，没有人会关心这一点，而这本可以拯救你的公司，”他表示。

在公司内部建立社会资本

趋势科技的恩奎(Ngui)表示，在网络攻击期间与员工沟通时，需要使用适合当前听众的语言。据恩奎说，CISO和技术领导者经常使用企业内其他人员难以理解的术语。安全领导者反而应该开发一个针对普通人的共同词汇，以确保员工了解情况和他们在应对情况中所扮演的角色。

“技术团队必须培养将复杂安全事件转化为清晰、可行的业务影响的能力。这种能力使高管和其他利益相关者能够充分了解情况并做出明智的决策，”他表示。

当你已经与利益相关者建立了融洽关系时，与他们互动会更容易。New Relic的古铁雷斯(Gutierrez)说，这一点至关重要，因为网络安全团队将是事件响应方面的专家，但可能缺乏其他关键领域的知识。“他们并不总是对公司基础设施、产品或服务的特定部分很擅长。而这就需要我们公司其他部门同事的技能和知识来协助，”古铁雷斯说。

为了弥补这一差距，古铁雷斯建议与公司内的其他同事(如营销、销售和财务部门)建立关系。在New Relic，事件响应团队在很大程度上依赖于其与工程部门的关系，这有助于进行数据分析，以便在发生事件时了解问题所在。

“有了预先建立的关系，就很容易把事情做好。没有质疑。他们很理解。几乎没有什么反对意见。让人们腾出时间和投入专业技能变得很容易，”古铁雷斯说道。

eSentire的克劳利建议CISO通过特定渠道与不同的利益相关者建立融洽关系，比如向董事会提供半年一次的安全更新。克劳利认为，这些联系能够建立善意和至关重要的理解，这将在很大程度上确保在网络安全事件期间获得协作和支持。

“当危机发生时，他们认识你，你也认识他们。你知道与他们沟通的最佳方式，以及他们会提出的问题，而且你已经确立了自己是负责人，”他表示。“他们不必担心。”

通过行动承担责任

IDC Asia高级研究经理萨克希·格罗弗(Sakshi Grover)建议，企业在面临网络攻击时应避免互相指责。相反，CISO应该主动承担责任，并继续领导应对工作。“人们通常希望看到一位高层人员出面承担责任，”她说。

SoftServe的CISO阿德里安·帕夫利凯维奇( Adriyan Pavlykevych)也持有这一观点，并举例说明。在一起针对一家软件开发和咨询公司的勒索软件攻击事件中，一名员工在一次成功的网络钓鱼攻击后，攻击者横向移动，破解了管理账户，然后加密了虚拟机。

由于这次攻击影响了客户，帕夫利凯维奇立即与他们的信息安全团队会面，持续通报进展情况、事件调查和恢复工作，“以确保透明度和责任感”，这是SoftServe网络安全理念的重要组成部分，帕夫利凯维奇说道，并指出这种方法加强了与利益相关者的信任。

勒索软件攻击事件发生后，SoftServe对其安全控制进行了审查和审计，这最终使其在个人和客户数据存储与共享方面以及安全和隐私意识研讨会方面，都采取了改进方法。解决导致漏洞出现的根本问题并防止其升级至关重要，但不能通过指责来实现。

IDC的格罗弗说，尽管CISO做出了最大努力，但网络安全事件仍会对声誉造成损害。网络攻击后重建信任具有挑战性，但至关重要。

“如果你在所有方面都采取正确的步骤，你就可以扭转品牌形象，”格罗弗说道，并补充说，CISO可能需要考虑公关机构或咨询公司的专业意见来协助完成这项任务。

CISO还应特别考虑与董事会的沟通，这可能会影响对可能减少未来攻击暴露的产品或服务的高级别网络安全投资，她说。

“去向董事会汇报。你清楚地说明：漏洞的原因是什么?你吸取了什么教训?你承担责任，然后你再慢慢恢复你的可信度。”她说。