面对网络入侵时 如何避免人为因素导致响应工作不力？

在整体环境和政策的推动下，近些年来企业用户对于网络安全的重视程度提升已是不争的事实，但对于企业内部专业或者兼职的安全人员而言，是否能够在遭受攻击的情况下具备与对手一战的能力呢？相信很多安全主管未必具有很强的信心，毕竟身经百战的人终归是少数，而那些哪怕经过了专业培训的安全人员，在实战的压力之下，仍然可能会不知所措，从而导致风险未能有效的全部阻断，甚至有可能进一步的扩大。
 
在很多因素推动下，很多企业在安全相关的制度、流程建设方面都做得较为到位，至少不是没有，可执行它的毕竟是人，当事件发生时，那些并不是很熟练的员工脑海中想到的第一个问题仍然是“我应该怎么做？”这甚至就像很多孩子上学时遇到的问题一样，各种公式倒背如流，但当一道题摆在面前时，却不知道如何运用。


恐慌心理。为什么有过培训、了解后仍然还会出现这样的情况？在我们看来，当事件来临时出现一定的恐慌情绪很正常，关键是能否快速冷静下来，但有些人则容易在这方面表现出反应过度，既有因缺少甚至未经历过真实事件而对自己能否成功处置事件没有信心，又或是担心因操作失误产生其他不良后果而被上级指责等等，当其中的某一个甚至是某几个因素叠加，必然会导致不知所措的情况出现。
 
旁观者心理。“能背锅的人千千万 为什么非得出头？”。这种现象在职场中也很常见，无论是个人性格问题还是有其他想法，在一些需要承担责任的工作方面，总会希望身边的同事会站出来。
 
这些情况是真实存在并会发生的，在安全事件出现时，安全人员所面对的时诸多的不确定性——攻击从哪儿来？它会造成什么样的后果？我的处置思路是不是正确的？会不会衍生其他次生灾害？当所有这些问题在一瞬间涌入到一个人的脑海中，恐慌、不确定、怀疑等等同时存在，足够在短时间内让人崩溃，不知所措的情况出现也就不足为奇了。到这里其实事情还没完，这些因素叠加还会导致人们产生一种急躁甚至是暴躁的情绪，这对于处置事件没有任何好处，只会让响应工作停滞的时间更久。
 
基础建设工作必须到位 实战演练不应限于“按部就班”
 
通过上述原因能够看出，和网络安全中的攻防对抗一样，我们要面对的不仅仅是攻击者，还有我们的队友和同事，那么如何尽可能降低上述情况出现的可能性呢？
 
1、基础建设工作必须到位。这里包括事件响应计划、培训事件响应团队、定期模拟演练、鼓励公开沟通、透明的指挥链条，此外还应拥有精确的风险管理和事件管理策略。其中重点是在演练、沟通和透明，以帮助安全相关人员能够在事件发生时就已经拥有一定的实战经验，哪怕是在自己无法处理的情况下，也会知道自己应该去找谁进行沟通和汇报，保证事件响应的工作不会停滞在某一个人身上。
 
2、为意外情况做好准备。这一措施仍然离不开演练，但和前面的常态化演练不同之处在于，需要在演练计划中设定一些“意外”事件，比如让一个参与人员故意做出错误的举动，或者在演练期间关闭某些关键系统等等，通过这些“意外”去检验和锻炼安全人员的实战能力，包括技能、沟通甚至指挥，这样做将有利于减少甚至规避在真实事件过程中会常见不作为、争论、推诿等可能出现的不良情况。
 
3、让安全人员习惯压力。这里所说的压力并不是刻意让大家加班那种类型的，而是锻炼在处置事件过程中的抗压能力，其实和上面第2点非常像，比如在演练过程中强制设定处置时长，超出就会有惩罚措施，这会令所有参与演练的人压力倍增，这也会促进所有参与人员以更积极地态度参与，而如果扛不住压力产生倦怠消极情绪的，也可以在这一过程中被淘汰，毕竟这样的人在真实事件发生时也不会及起到良好作用。
在我们看来，演练是规避很多人为问题的重要且有效的手段，从安全人员到普通员工，甚至是具有决策权的管理人员（这很重要），都应对企业的安全制度、流程有清晰的了解，并积极参与基础的安全建设和演练工作，就像运动员一样，通过一次次模拟真实赛场的演练，对在赛场中可能遇到各种情况的应对形成一种肌肉记忆，这样才能在安全事件从告警出现那一刻开始，整个响应、处置工作都是顺畅且有效的，至少不让人的因素成为阻碍响应工作进行的障碍。
 
除此之外，尽管成本相对较高，聘任具有丰富实战经验（无论是攻击还是防御）的安全专家仍然是在短期内迅速提高事件响应能力的有效手段，但任何团队都无法保证所有人员的能力都处在一个水平，因此前述那些工作尤其是常态化实战演练仍然要做。另外，采购专业安全厂商所提供的安全服务（如MSS）也会是一个投入产出比相对合适的方案之一。（扩展阅读：MSS：超越传统边界 搭载威胁情报、MDR等扩展能力）
 
无论如何，安全的问题最后还是人的问题，单纯的依靠纸面上的安全制度和某一两个人的力量是无法解决所有问题的，仍然需要磨合、演练去不断地检验和提升团队的实战能力，让安全团队的能力也伴随企业的发展而发展，在应对真实风险时具备符合期望的战斗力。