富布赖特学者、红皇后动力公司(Red Queen Dynamics, Inc.)首席执行官塔拉·惠勒(Tarah Wheeler)在大会的座谈会上说:“人们在迫不得已的时候才会对网络安全做些什么。黑帽.
她是对的。一个IBM 2021年的研究(在新窗口打开)发现不到一半的受访者表示他们的组织有网络安全事件响应计划。如果企业不花时间调查网络安全事件是如何发生的,他们可能注定会重蹈历史的覆辙。
学习新的剧本
这就是惠勒和哈佛大学研究员维多利亚·昂蒂弗罗斯(Victoria Ontiveros)以及威胁建模专家亚当·肖斯塔克(Adam Shostack)试图解决的难题。他们的答案是:《重大网络事件调查手册》(Major Cyber Incident Investigations Playbook)。
该文件包含了在组织中创建独立审查委员会的指南,从决定谁应该加入委员会到向有关方面提交调查结果。这些小组的任务是收集有关网络安全事件的事实,然后在网上与更广泛的网络安全社区分享这些信息,这样他们就可以在未来避免同样的错误。
在一个2021年的报告(在新窗口打开)惠勒、肖斯塔克和罗伯特Knake(在新窗口打开)三人在哈佛贝尔弗中心发布的报告中表示,他们的计划可能会像“网络国家运输安全委员会”一样。美国国家运输安全委员会(NTSB)调查所有重大交通事故,其报告向公众公开,这有助于运输行业避免未来发生类似事件。在黑帽大会上,研究人员认为这种策略也应该应用于网络事件调查。
联邦调查局已经在做类似的事情。二月,国土安全部成立了网络安全审查委员会(CSRB).该组织的使命是在企业网络安全社区和美国政府机构之间搭建桥梁。董事会的第一份报告(在新窗口打开),上个月发布了Log4j在2021年底发现的漏洞,包括供组织遵循的19条建议,以避免未来发生此类事件。
但研究人员在黑帽大会上指出,鉴于网络安全事件数量庞大,私营部门不能仅依赖CSRB。他们需要自己做这项工作。
研究团队正在为他们的审查委员会创建指南寻找一个永久的家,他们表示有兴趣让公共图书馆的读者可以使用它。目前,该文档是可以在GitHub上找到(在新窗口打开).