“如果你有知识，让他人在其中点燃蜡烛”

为什么分享网络安全事件和"未遂事件"的经验教训能帮助所有人进步

想象你拥有每次网络安全事件的详细资料：

• 攻击者最初如何获得入口并在网络中移动
• 他们的攻击目标是什么，攻击最终如何结束
• 所有为应对攻击采取的网络安全措施细节，包括有效的和无效的措施

我们认为这对您和您的组织将非常有用。您可以了解真实攻击，什么措施有助于阻止攻击（什么措施无效）。您可以利用这些信息来改进自身的网络安全。

然而，这只有在人们愿意分享网络攻击如何影响其组织的信息时才能实现。

为共同利益分享信息

此前，我来自NCSC事件管理部和ICO的同事已经分享了事件期间透明度的重要性，以及对包括受害者在内的所有人的益处。

但当尘埃落定，处理事件的压力减轻后，回顾发生的事情、吸取教训并进行必要更改至关重要。分享您从事件中学到的经验也能帮助他人学习。这就是我们邀请大英图书馆首席执行官Roly Keating爵士在CYBERUK 2024上发言，分享2023年10月影响其组织的网络攻击经验的原因之一。

过去，大多数组织会将此类信息保密。例如，2020年Cyentia研究所关于"过去五年100起最大网络损失事件"的报告几乎完全依赖于从受害者以外来源收集的信息。

然而，已经出现了一些组织分享网络安全事件"经验教训"的鼓舞人心的例子，通常是公共部门带头，比如这份关于Conti勒索软件攻击爱尔兰健康服务执行局的报告。

政府和监管机构正在鼓励组织对网络安全事件更加开放。与其被迫分享信息（无论是由于监管要求还是舆论压力），为什么不主动出击？为什么不按照自己的时间和方式自愿分享？

需要注意的是，有时分享这些信息可能会令人不适。如果您致力于从事件中学习，并非所有事情都是积极的。但通过分享所学，您将在构建网络安全生态系统学习环境方面发挥自己的作用。在这个环境中，我们都接受每个人都会犯错，并且如果我们基于开放和诚实吸取教训，我们都能进步。

我们认识到负责任分享的重要性，不向潜在攻击者提供任何额外信息。分享发现的弱点信息可能会提供关于仍然存在的漏洞的信息。

我们鼓励组织尽可能公开分享信息，如果不可能，在可信渠道和群组中分享仍然有益。我们还鼓励组织打破通常的行业内分享，因为经验教训通常比单个行业更具广泛适用性。

未成功的网络攻击——可能是由于网络安全防御或仅仅是运气——也能提供有价值的见解。这些"未遂事件"提供了了解您和他人面临的威胁以及网络防御有效性的机会。组织可以利用未遂事件为威胁建模开发真实场景，并改进对未来事件的响应，而不是追究责任。从未遂事件中吸取和分享的经验教训与真实事件中的经验教训同样有价值。

与更广泛社区分享从网络安全事件和未遂事件中获得的经验教训是我们集体韧性的重要组成部分，因此我希望您和您的组织能够积极参与。我们鼓励您通过以下方式分享事件和未遂事件的经验教训：

• 在负责任的前提下公开分享
• 在可信的网络安全群组中分享，最好跨行业

Ralph B
NCSC经济与社会首席技术官

*“如果你有知识，让他人在其中点燃蜡烛"的引文归功于美国记者、编辑、评论家、翻译家和女权倡导者Margaret Fuller Ossoli。