信息化觀察網(wǎng)

本文來自安全牛。

反面模式（anti-pattern）在軟件工程大量存在，主要是指在應用實踐中經(jīng)常出現(xiàn)但又低效或是有待優(yōu)化的設計模式，以及那些不能很好解決問題的低效方法。通過對反面模式進行研究和分析，可以幫助開發(fā)者在系統(tǒng)研發(fā)時主動規(guī)避，防止產(chǎn)品在實際交付中出現(xiàn)問題。

網(wǎng)絡安全事件響應是企業(yè)正在不斷探索和完善的一個新領域，在此過程中，一些組織嚴重依賴于模式化、經(jīng)驗化的傳統(tǒng)處置流程，卻往往忽略了其中存在的很多反面模式。為了幫助企業(yè)提升網(wǎng)絡安全事件相應效率，本文收集整理了安全事件響應中經(jīng)常會遇到、應當避免使用的一些常見反面模式。通過對這些反面模式的分析總結(jié)，能夠讓安全人員從錯誤或者失敗中學習提高，避免類似問題再次發(fā)生。

反面模式1

將事件通報安全團隊的每個人

每當檢測到安全事件發(fā)生時舊立刻通報所有安全人員并不是很好的應急響應做法，除非滿足以下兩個條件時：

組織中的安全團隊規(guī)模較小，可以快速通報，并且需要團隊所有能力協(xié)同工作；

安全事件非常嚴重，讓所有人都參與進來是更好的選擇；

當企業(yè)安全團隊規(guī)模不斷擴大時，全面通報安全事件的做法可能并不理想，因為最終會通知到一些與事件無關的人。這可能會加重安全告警疲勞，當安全人員的專注力總是被無關事務干擾時，很多嚴重的安全事件反而會忽略。

優(yōu)化方案：

建立“隨叫隨到”的值班制度，并設置有針對性的告警策略，這樣可以幫助企業(yè)有效地分配處置任務并防止事件警報疲勞。

反面模式2

頻繁進行處置信息同步

事件響應者在處理突發(fā)安全事件時，往往希望一線處置人員不斷更新事件動態(tài)。當然，更新是有好處的，因為這樣可以讓更多人充分了解情況，從而可能提供更多的建議和方案。然而，在處理很多重大安全事件時，團隊如果被迫更多地關注于發(fā)送更新動態(tài)，就會無法集中精力解決事件，這可能會影響到事件處置的過程和效果。

優(yōu)化方案：

指派專人負責處理溝通事宜和動態(tài)更新，及時向團隊同步最新的進展情況。

反面模式3

處置決策需要充分的討論

有一種觀點認為，在處置重大安全事件決策時，需要經(jīng)過充分討論才能保障措施的正確性，因此過程中充斥著混亂和恐慌都是正常的。但實踐表明，這種認知并不正確。當很多人共同應對一起事件時，需要高度協(xié)同合作并讓每個人都與所采取的行動保持同步是非常關鍵的。混亂和恐慌會使情況惡化，應該通過明確的角色和責任來避免。

優(yōu)化方案：

安全團隊應該有一個決策領導人，負責決策并授權(quán)可能影響結(jié)果的更改。響應團隊還可以使用線上會議平臺來確保有效的溝通，防止混亂和恐慌。

反面模式4

事件發(fā)生后才開始評估危害性

在事件發(fā)生后才分析事件的嚴重性無疑是在浪費處置的時間。這段時間應該用來全力解決事件。企業(yè)應該為各種可能的安全事件提前定義出明確的嚴重性級別，因為事件響應、計劃和決策都需要依據(jù)其嚴重性來開展。理想狀態(tài)下，規(guī)則應該是技術(shù)驅(qū)動的、清晰的和自動化的，每個事件都應該有預先定義好的嚴重級別。

優(yōu)化方案：

定期進行事件響應培訓和桌面推演，以幫助團隊了解如何更好地處理緊急安全事件。

反面模式5

沒有事件響應關聯(lián)機制

當企業(yè)缺乏將安全事件與正確的響應者聯(lián)系起來的機制時，他們就無法在事件發(fā)生后第一事件通知到正確的響應者。為了尋找正確的處置人，企業(yè)可能會耽誤寶貴的事件處置時間。除此之外，當涉及多個團隊協(xié)作時，也可能出現(xiàn)無法通知到正確響應者的情況。每個團隊都要有一個可識別的、可隨時聯(lián)系到的人，這一點對安全事件處置很重要。

優(yōu)化方案：

提前制定一個清晰、運行良好的響應機制，確?？梢詫⑹录瘓蠹皶r通報給正確的響應者，以確保信息傳送和處置工作順利進行。

反面模式6

事后分析不足

事后分析對于安全事件響應非常重要，因為它可以幫助企業(yè)從已經(jīng)發(fā)生的安全事件中學習，并計劃未來的行動。如果沒有事后分析，企業(yè)將無法認識到什么是有效的，以及可以改進的地方。

導致事后分析失敗的原因有很多：

有些團隊經(jīng)常因為截止日期和意外事件而倍感壓力。因此，一旦事件解決，就忽視了進行事后分析；

有時事后分析會變成互相指責和責任追究，只有當所有成員開誠布公地討論問題時，才會有好的事后分析結(jié)果；

在某些情況下，企業(yè)進行事后分析只是因為流程需要，而不是為了尋找真正的答案。

優(yōu)化方案：

將安全事件的事后分析納入事件響應過程的一部分，并且必須得到所有人的重視。

反面模式7

固化的處置策略和流程

企業(yè)會在一些歷史的處置實踐中形成思維定勢，并依賴于延續(xù)這些固化的處置策略和流程。然而，很多時候安全事件的發(fā)生難以預測，固化的解決方法往往無法有效發(fā)揮作用。擁有靈活的策略和流程可以幫助企業(yè)適應不斷變化的處置需求，并在需要時找到正確、合適的解決方案。

優(yōu)化方案：

企業(yè)應該嘗試不斷應對安全風險的發(fā)展變化。另外，不要害怕做出改變。盡管一些流程上的改變會在短期內(nèi)影響事件處置進程，但從長遠來看會帶來更快、更好的結(jié)果。

反面模式8

分工職責混亂

突發(fā)的安全事件往往會讓安全團隊措手不及，安全人員會在不知情的狀態(tài)下承擔多個角色，這樣只會進一步加劇混亂局面。在處置過程種的高壓狀態(tài)下，安全人員被期望迅速開展行動。但是，由于團隊分工職責混亂，誰也不知道自己需要做什么，這會讓情況變得更糟。

優(yōu)化方案：

為安全團隊提前定義正確的角色和責任，如果出現(xiàn)改變應及時更新同步信息，讓團隊所有成員都知道。