在数字化浪潮席卷全球的当下，网络安全已成为企业运营的核心防线。然而，即便有着严密的防护体系，网络攻击仍如同暗处的利刃，随时可能刺破企业的安全屏障。那些亲身经历过网络攻击的CISO们，在惊心动魄的攻防博弈后，不仅承受了巨大的压力，更从中汲取了足以改变职业生涯的深刻教训，这些教训彻底重塑了他们后续的网络安全工作模式。

网络安全事件不仅仅是孤立事件，对许多CISO来说，它重塑了他们对安全防护、风险管理的看法，甚至影响他们的职业健康。多位安全领导者反思了实战事件的经验，他们认为，分享这些至关重要。这能增强整体韧性，消除数据泄露的污名，并帮助可能遭遇事件的同行。

01 

分享经验，提升整体安全

处于风暴中心的CISO应预见媒体关注和各种外界议程。Solarwinds公司的CISO Tim Brown说：“你会迅速引起全世界的关注。”并非所有评论者都怀善意。有些人利用事件谋取私利。可能为了提高曝光、诋毁他人，或只为登上新闻。

但Brown也指出，另一方面，一些事件带来了帮助行业的机遇。因为所有人都在关注，包括优秀的研究员。“分享内容可能受法律、公司或监管限制。但在技术应对方案上，总有值得分享之处。”

Brown认为，数据泄露总能带来重要经验。无论是写入教材的高调案例，还是同行在会议上交流的心得。他说：“总要从事件中寻找积极面。比如如何推动行业发展？比如能否帮助CISO群体？”

CrashPlan公司的CISO Todd Thorsen也认同实战经验的价值。他曾在2013年Target数据泄露事件中参与安全团队。Thorsen说，有时一次事件正是验证哪些不该发生的绝佳案例。

他的做法是开展无追责事后复盘。理解根本原因，创建安全的讨论环境，找出改进点，目标是毫无顾虑地分析流程。他鼓励安全人员分享经验，因为“归根结底，大家面临同样的战斗”。

分享见解也是建立广泛支持网络的重要方式。主动付出，因为所有安全人员可能都需要同行的帮助。Thorsen说：“你永远不知道何时需要向社群‘提取’支持。”

02

需要从防御转向进攻

事件后，CISO的角色和工作将不同以往。Brown说：“12月11日我的工作和12月12日之后的截然不同。”

事件后，有些组织变化巨大，需要换一位有不同方法的CISO。Brown表示，CISO被解雇不总是因为能力不足或被归咎。这很大程度上取决于具体情况以及CISO的适应能力。“若想成为事件后的CISO，你需要具备相应技能。这些技能与之前所需大不相同。”

许多经历事件考验的CISO会转变思维模式。AppOmni公司安全和IT副总裁Cory Michel曾在多个事件响应团队任职。他说：“你会形成攻击者视角。希望比对手更了解自身攻击面，并据此分配资源以隔绝风险。”

实践中，从防御转向进攻意味着准备应对不同类型事件。包括平台滥用、漏洞利用或APT攻击。然后定制响应的措施。

Michel的进攻方案包括红队演练和实战演习。当然也需定期抽身，从头开始，质疑现有安全方案，寻找差距和弱点。他对此表示：“现任CISO可能因深陷细节而对现状视而不见。”

03

需要制定战术手册应对事件

事件提醒着安全领导者，需要制定训练有素的响应计划。计划需明确有力的内部协调人。其职责应包括调集外部专家，如泄露顾问和法律顾问。

XYPRO公司的CISO Steve Tcherchian表示：“你需要核心人员与媒体沟通、联络保险公司。若无法恢复数据，还需启动调查，并知道如何与勒索攻击者交涉。”

Tcherchian发现，若无清晰的角色职责，恐慌会迅速蔓延。他曾担任勒索软件攻击后续顾问，他对此说：“最初的实践就是搞清楚：‘我们该做什么？谁负责？该联系谁？该拉谁进来？不该让谁参与？’”

战术手册需提供清晰的沟通指导，包括事件期间和之后。因为应对危机时易忽略沟通。但最终，公众所知的泄露事件，其长久影响可能由此决定。Brown对此表示：“危机时期每个字都重要。发布的内容、措辞和方式。所以提前准备极其关键。”

手册还需明确终点。这样才能决定何时结束事件调查。IANS研究院和Bedrock Security公司的CISO George Gerchow说：“处置网络安全事件最难之处，在于知道何时停止调查。许多大型调查团队可能会发现其他问题，但若他们深究无关细节，会偏离重点，延误正事。”

CISO需接受有些问题可能悬而未决，对于一些风险较小的事件，最重要的是不要迷失在其中。曾在SumoLogic和MongoDB经历事件的Gerchow说：“关键要聚焦‘已知的因素’，始终保持透明，这样才能尽快结束事件。同时，首要目标是确认数据是否外泄。”

04

不要忽视对备份的保护

若发生数据泄露事件，备份保护不足或缺失将代价高昂。吃过苦头的CISO深知教训：绝不能想当然认为备份系统安全且功能正常。Tcherchian说：“如今很多勒索软件攻击，动手前都会先瞄准备份。它们会攻击你的恢复位置、恢复点和备份介质，以此让你无法恢复数据，只能选择‘交赎金’这条路。”

而现实是，即便决定支付赎金，也无法保证拿回数据。这更突显确保备份隔离且有效的必要性。

Tcherchian建议定期测试备份系统是否正常可用。他说：“网络可能存在漏洞或恶意载荷。它或许潜伏了30或60天，意味着它已不断被复制到了备份中。当企业以为遭攻击后可以从备份中恢复，没想到这样做只会把病毒或恶意软件重新引入进企业的系统环境。”

05

设定更高的安全标准

事件发生后，企业可能会重新审视自身的安全状况，这包括持续改进安全流程。而此时的目标不仅是达标，还会被要求做得更好。因此，安全领导者要做好准备，去改造或重建系统以提高韧性。安全领导者可以采取多层安全防护措施，考虑更高级别的合规要求，又或是进行更多的桌面推演、安全审计、红队演练和终端防护等。

Brown表示：“每一项改进都会让我们更接近一个最佳实践。我们可以说：‘是的，这事发生了，现在我们做得更好了。’并对此分享经验。我们的方法是切实加大‘攻击者实施感染或定向入侵’的难度。”

经历过事件磨练的CISO也可能改变他们进行桌面推演的方式。以Brown所在企业为例，推演会变得更频繁，模拟事件也会变得更严峻。因为经历事件后，我们会发现，一切皆有可能。“一旦亲身经历，你的语气会大不相同。我们这些过来人都明白，事情在真实发生前，只会被视为客观理论。”

06

警惕“新奇事物综合症”

Michel得到的一个教训是：避免被酷炫的新工具分心。但在充斥夸张宣传和晦涩术语的行业中，这可能很难直接避免。“因此可以说，整个行业都有‘新奇事物综合症’。”

Michel表示，我们应专注于基本安全措施：漏洞管理与补丁更新、强大的检测与响应计划、强身份验证（如零信任和无密码认证）、员工教育培训，以及实弹式事件响应演练来检验准备情况。最重要的，是对天花乱坠的销售宣传保持警惕。

“大家都不爱做漏洞管理，但这却是最重要的工作之一。它能让你了解攻击面，发现漏洞所在并修复它们，直到你对风险承受度感到满意。”

07

事件过后，“预算热度”可能消退

事件确实能让人们聚焦网络安全。比如，突然间，董事会和高管层都想谈网络话题、了解风险，还批了钱让大家晚上能安心睡觉。对一直争取更多资金的CISO来说，这听起来很美，但这种关注，以及资金支持，可能转瞬即逝。

Gerchow对此表示：“当你一直警告‘这些是风险’，然后风险真的来了，公司上下都亲历其中，因此高管层会在短期内只谈网络安全。但很快，关注度就开始减弱。”

预算增加，期望也随之提高。问题是：尽职调查、引入合适工具和人才都需要时间。但如果在热度消退后，规定时间内的预算没用完，高管就可能将其调拨到其他领域。

这让CISO陷入困境：许多高管只关心指标和改进成果时，他们不得不向董事会解释资金削减意味着什么。“CISO可能会谈风险和事件后的改进，但未必会提预算和岗位正在减少。”

08

必须时刻照顾好自己

如果CISO们能从事件中学到一个普遍且核心的道理，那就是：必须全程照顾好自己——包括法律层面、专业层面和心理层面，在整个行业生涯中皆如此。

由于职业倦怠、高压和不断增长的职责，许多CISO感受到了这个职位的重压。而安全事件加剧了这种压力，随着攻击频率上升，压力正变得司空见惯。Thorsen对此表示：“不幸的是，安全事件很常见；这就是工作的一部分。”

Brown鼓励CISO们认识到高压角色对健康的潜在影响，并建立完善的支持体系。这在事件发生时至关重要。切勿低估身处风暴中心对自身应对机制造成的巨大压力。

“一个重要的提示是：你可能以为自己能应付压力，但其实你未必能应付好。”Brown说：“CISO的工作本就艰难，人们必须找到宣泄口。但事件发生时，压力会更大。要认识到这点，为自己制定个人计划，因为处理这种事情的方法因人而异。”

09

结语

安全事件绝非终点，而是重塑安全格局的起点。这八条由CISO们用实战经验换来的深刻教训，其价值远超任何理论框架。它们揭示了一个核心真相：网络安全是一场永不停歇的攻防博弈，成功不仅依赖于精良的技术与流程，更在于领导者思维的转变、实践的韧性与持续的自省。

这些经验的价值，不仅在于帮助CISO们更好地准备、响应和恢复，更在于它们传递了一种务实、坚韧且协作的安全文化。其中最重要的就是照顾好战斗在最前线的自己。毕竟，守护企业数字疆域的安全，需要依赖于每一位清醒、专注且得到充分支持的CISO。

这些血泪教训，是献给所有奋战在网络安全前线勇士的宝贵财富，也是推动整个行业在挑战中不断进化、提升韧性的动力源泉。将它们铭记于心，付诸实践，方能在下一次风暴来袭时，更有力量去面对。

原文地址：

https://www.csoonline.com/article/4002175/8-things-cisos-have-learnt-from-cyber-incidents.html

作者：

Rosalyn Page Contributing writer 特约撰稿人

声明：本文来自安在，稿件和图片版权均归原作者所有。所涉观点不代表东方安全立场，转载目的在于传递更多信息。如有侵权，请联系rhliu@skdlabs.com，我们将及时按原作者或权利人的意愿予以更正。