反面模式(anti-pattern)在軟件工程大量存在,主要是指在應(yīng)用實(shí)踐中經(jīng)常出現(xiàn)但又低效或是有待優(yōu)化的設(shè)計(jì)模式,以及那些不能很好解決問題的低效方法,。通過對反面模式進(jìn)行研究和分析,,可以幫助開發(fā)者在系統(tǒng)研發(fā)時(shí)主動規(guī)避,防止產(chǎn)品在實(shí)際交付中出現(xiàn)問題,。
網(wǎng)絡(luò)安全事件響應(yīng)是企業(yè)正在不斷探索和完善的一個(gè)新領(lǐng)域,在此過程中,一些組織嚴(yán)重依賴于模式化,、經(jīng)驗(yàn)化的傳統(tǒng)處置流程,卻往往忽略了其中存在的很多反面模式,。為了幫助企業(yè)提升網(wǎng)絡(luò)安全事件相應(yīng)效率,,本文收集整理了安全事件響應(yīng)中經(jīng)常會遇到、應(yīng)當(dāng)避免使用的一些常見反面模式,。通過對這些反面模式的分析總結(jié),,能夠讓安全人員從錯(cuò)誤或者失敗中學(xué)習(xí)提高,避免類似問題再次發(fā)生,。
反面模式1
將事件通報(bào)安全團(tuán)隊(duì)的每個(gè)人
每當(dāng)檢測到安全事件發(fā)生時(shí)舊立刻通報(bào)所有安全人員并不是很好的應(yīng)急響應(yīng)做法,,除非滿足以下兩個(gè)條件時(shí):
組織中的安全團(tuán)隊(duì)規(guī)模較小,可以快速通報(bào),,并且需要團(tuán)隊(duì)所有能力協(xié)同工作,;
安全事件非常嚴(yán)重,讓所有人都參與進(jìn)來是更好的選擇,;
當(dāng)企業(yè)安全團(tuán)隊(duì)規(guī)模不斷擴(kuò)大時(shí),,全面通報(bào)安全事件的做法可能并不理想,,因?yàn)樽罱K會通知到一些與事件無關(guān)的人。這可能會加重安全告警疲勞,,當(dāng)安全人員的專注力總是被無關(guān)事務(wù)干擾時(shí),,很多嚴(yán)重的安全事件反而會忽略。
優(yōu)化方案:
建立“隨叫隨到”的值班制度,,并設(shè)置有針對性的告警策略,,這樣可以幫助企業(yè)有效地分配處置任務(wù)并防止事件警報(bào)疲勞。
反面模式2
頻繁進(jìn)行處置信息同步
事件響應(yīng)者在處理突發(fā)安全事件時(shí),,往往希望一線處置人員不斷更新事件動態(tài),。當(dāng)然,更新是有好處的,,因?yàn)檫@樣可以讓更多人充分了解情況,,從而可能提供更多的建議和方案。然而,,在處理很多重大安全事件時(shí),,團(tuán)隊(duì)如果被迫更多地關(guān)注于發(fā)送更新動態(tài),就會無法集中精力解決事件,,這可能會影響到事件處置的過程和效果,。
優(yōu)化方案:
指派專人負(fù)責(zé)處理溝通事宜和動態(tài)更新,及時(shí)向團(tuán)隊(duì)同步最新的進(jìn)展情況,。
反面模式3
處置決策需要充分的討論
有一種觀點(diǎn)認(rèn)為,,在處置重大安全事件決策時(shí),需要經(jīng)過充分討論才能保障措施的正確性,,因此過程中充斥著混亂和恐慌都是正常的,。但實(shí)踐表明,這種認(rèn)知并不正確,。當(dāng)很多人共同應(yīng)對一起事件時(shí),,需要高度協(xié)同合作并讓每個(gè)人都與所采取的行動保持同步是非常關(guān)鍵的?;靵y和恐慌會使情況惡化,,應(yīng)該通過明確的角色和責(zé)任來避免。
優(yōu)化方案:
安全團(tuán)隊(duì)?wèi)?yīng)該有一個(gè)決策領(lǐng)導(dǎo)人,,負(fù)責(zé)決策并授權(quán)可能影響結(jié)果的更改,。響應(yīng)團(tuán)隊(duì)還可以使用線上會議平臺來確保有效的溝通,防止混亂和恐慌,。
反面模式4
事件發(fā)生后才開始評估危害性
在事件發(fā)生后才分析事件的嚴(yán)重性無疑是在浪費(fèi)處置的時(shí)間,。這段時(shí)間應(yīng)該用來全力解決事件。企業(yè)應(yīng)該為各種可能的安全事件提前定義出明確的嚴(yán)重性級別,,因?yàn)槭录憫?yīng),、計(jì)劃和決策都需要依據(jù)其嚴(yán)重性來開展,。理想狀態(tài)下,規(guī)則應(yīng)該是技術(shù)驅(qū)動的,、清晰的和自動化的,每個(gè)事件都應(yīng)該有預(yù)先定義好的嚴(yán)重級別,。
優(yōu)化方案:
定期進(jìn)行事件響應(yīng)培訓(xùn)和桌面推演,,以幫助團(tuán)隊(duì)了解如何更好地處理緊急安全事件。
反面模式5
沒有事件響應(yīng)關(guān)聯(lián)機(jī)制
當(dāng)企業(yè)缺乏將安全事件與正確的響應(yīng)者聯(lián)系起來的機(jī)制時(shí),,他們就無法在事件發(fā)生后第一事件通知到正確的響應(yīng)者,。為了尋找正確的處置人,企業(yè)可能會耽誤寶貴的事件處置時(shí)間,。除此之外,,當(dāng)涉及多個(gè)團(tuán)隊(duì)協(xié)作時(shí),也可能出現(xiàn)無法通知到正確響應(yīng)者的情況,。每個(gè)團(tuán)隊(duì)都要有一個(gè)可識別的,、可隨時(shí)聯(lián)系到的人,這一點(diǎn)對安全事件處置很重要,。
優(yōu)化方案:
提前制定一個(gè)清晰,、運(yùn)行良好的響應(yīng)機(jī)制,確??梢詫⑹录瘓?bào)及時(shí)通報(bào)給正確的響應(yīng)者,,以確保信息傳送和處置工作順利進(jìn)行。
反面模式6
事后分析不足
事后分析對于安全事件響應(yīng)非常重要,,因?yàn)樗梢詭椭髽I(yè)從已經(jīng)發(fā)生的安全事件中學(xué)習(xí),,并計(jì)劃未來的行動。如果沒有事后分析,,企業(yè)將無法認(rèn)識到什么是有效的,,以及可以改進(jìn)的地方。
導(dǎo)致事后分析失敗的原因有很多:
有些團(tuán)隊(duì)經(jīng)常因?yàn)榻刂谷掌诤鸵馔馐录陡袎毫?。因此,,一旦事件解決,就忽視了進(jìn)行事后分析,;
有時(shí)事后分析會變成互相指責(zé)和責(zé)任追究,,只有當(dāng)所有成員開誠布公地討論問題時(shí),才會有好的事后分析結(jié)果,;
在某些情況下,,企業(yè)進(jìn)行事后分析只是因?yàn)榱鞒绦枰皇菫榱藢ふ艺嬲拇鸢浮?/p>
優(yōu)化方案:
將安全事件的事后分析納入事件響應(yīng)過程的一部分,,并且必須得到所有人的重視,。
反面模式7
固化的處置策略和流程
企業(yè)會在一些歷史的處置實(shí)踐中形成思維定勢,,并依賴于延續(xù)這些固化的處置策略和流程。然而,,很多時(shí)候安全事件的發(fā)生難以預(yù)測,,固化的解決方法往往無法有效發(fā)揮作用。擁有靈活的策略和流程可以幫助企業(yè)適應(yīng)不斷變化的處置需求,,并在需要時(shí)找到正確,、合適的解決方案。
優(yōu)化方案:
企業(yè)應(yīng)該嘗試不斷應(yīng)對安全風(fēng)險(xiǎn)的發(fā)展變化,。另外,,不要害怕做出改變。盡管一些流程上的改變會在短期內(nèi)影響事件處置進(jìn)程,,但從長遠(yuǎn)來看會帶來更快,、更好的結(jié)果。
反面模式8
分工職責(zé)混亂
突發(fā)的安全事件往往會讓安全團(tuán)隊(duì)措手不及,,安全人員會在不知情的狀態(tài)下承擔(dān)多個(gè)角色,,這樣只會進(jìn)一步加劇混亂局面。在處置過程種的高壓狀態(tài)下,,安全人員被期望迅速開展行動,。但是,由于團(tuán)隊(duì)分工職責(zé)混亂,,誰也不知道自己需要做什么,,這會讓情況變得更糟。
優(yōu)化方案:
為安全團(tuán)隊(duì)提前定義正確的角色和責(zé)任,,如果出現(xiàn)改變應(yīng)及時(shí)更新同步信息,,讓團(tuán)隊(duì)所有成員都知道。
更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<
