CISO必須重構應急演練:57%的安全事件從未經過演習
根據《Cytactic 2025年網絡事件響應管理(CIRM)報告》(該報告對“480位美國網絡安全高層領導進行了調查,其中包括165位CISO”),57%這一數字“揭示了一個重大漏洞。企業通常針對勒索軟件等已知威脅進行培訓,但這些事件證明,真正的混亂往往來自意外情況”。
報告總結稱,因此,如果安全團隊不持續更新其桌面推演內容,可能無法有效應對新型威脅。報告指出:“真正的益處在于使這些演練具有相關性和現實性。通過構建針對企業、行業、部門、風險和威脅特征量身定制的模擬場景,這些演練將超越單純的安全演練。它們將成為整個企業協同一致的關鍵工具。”
分析師和網絡安全顧問發現,企業在開展桌面推演和其他準備演練時存在諸多問題,從不夠貼近現實到測試宏大但不太可能發生的攻擊場景,不一而足。
一位不愿透露姓名的顧問舉例說,在最近的一次桌面推演中,企業為所有相關人員購買了備用手機,以便在攻擊者監控通信時安全地溝通。
在這次攻擊演練中,管理層堅持要求參與者實際使用備用手機,結果卻發現許多員工花了很長時間才找到備用手機,因為他們不記得手機藏在哪里了。
在另一個案例中,安全運營中心(SOC)工作人員找到了在發生重大數據泄露時需要聯系的人員名單,但當CISO堅持要求團隊實際致電、發短信或發郵件聯系這些人時,他們發現許多電話號碼或消息地址已被禁用。
“要為特定攻擊做好準備確實不可能,”Moor Insights & Strategy公司的副總裁兼首席分析師Will Townsend說,“你可以制定最佳計劃,但如果郵件被退回,或者找不到備用手機,那就是個問題。”
聚焦小規模攻擊的角色扮演
安全供應商Corelight的首席技術官Vincent Stoffer建議,CISO應更多地關注小規模數據泄露,而非大規模攻擊。
“許多桌面推演特別關注自下而上的技術元素,[并且]過度關注戲劇性數據泄露,而非現實中的對手戰術,”Stoffer說,并補充道,無論攻擊規模大小,大多數網絡犯罪分子都偏好不易被察覺的戰術。
“攻擊者更常通過橫向移動或靜默數據竊取等不易被察覺的行為得手,而這些行為在模擬中往往不夠充分,”Stoffer說。攻擊者“會使用任何能讓他們達到目的的方法,通常是皇冠上的明珠——完全攻陷活動目錄、身份服務器、個人身份信息(PII)等。他們可能會非常緩慢且有條不紊地行動,以避免被發現,或者他們可能會使用常見但通常不太會引起警覺的技術進行初始訪問,如網絡釣魚或憑證收集。一旦他們在企業中站穩腳跟,就可以利用他們在環境中獲得的知識、觀察到的工具等,快速且靜默地移動,以避免觸發警報。”
然而,他發現大多數企業網絡安全團隊測試的內容卻大相徑庭。
“與此形成對比的是,模擬演練更多地依賴于假設或特定觸發條件,如主機感染惡意軟件的警報。雖然這仍然在測試IR(事件響應)的系統和流程,但一般不需要太多的批判性思維、探索和發現來展開場景,”Stoffer指出,“這導致SOC團隊進一步沿著他們熟悉和理解的路徑前進,雖然作為演練仍然有幫助,但我認為,通過采用更微妙和現實的攻擊方法來進行演練,會獲得更多收獲。”
Forrester公司的副總裁兼首席分析師Jeff Pollard強調,聯系人員的細節往往被忽視。
“桌面推演的問題在于,我們試圖一次做太多事情,”Pollard說,他建議關注諸如“CISO正在飛機上,無法立即通話。我們需要與客戶溝通嗎?CEO需要參加多少個電話會議?我們能否讓首席運營官(COO)代替參加一些?合作伙伴方面呢?”等問題。
Pollard也表達了關于備用手機問題的擔憂。“我們給每個人都買了備用手機,但我們知道它們在哪里嗎?它們充電了嗎?[工作人員]知道他們的備用手機號碼嗎?在全面系統故障的情況下,有人想到要準備紙質資料嗎?”
Info-Tech Research Group公司的技術顧問Erik Avakian發現,許多企業進行桌面推演的動機不正確。
“很多人一年只做一次,有時只是為了合規和保險,只是走個形式,”Avakian說。他鼓勵CISO“真正把演練做起來”,并模擬實際攻擊的緊張程度、壓力和時間安排。“每個人都有崩潰的臨界點。我們需要了解這些。”
面向未來的攻擊場景
至于不知道該為哪種攻擊做準備這一核心問題,Avakian建議利用內部團隊或合作伙伴來模擬最可能的攻擊途徑。為了節省成本,他鼓勵企業與大學合作進行富有想象力的威脅規劃,并與特定行業的ISAC合作。
Comcast Business公司托管服務執行董事Ivan Shefrin就他鼓勵演練聚焦的攻擊類型提出了具體建議。
“傳統培訓演練往往側重于熟悉威脅或外圍攻擊,但我們看到攻擊者不斷找到入侵企業網絡的新方法。以低effort、drive-by式攻擊為例,它們僅需用戶訪問惡意網站,無需其他交互,完全繞過了安全意識培訓,這就是為什么技術控制仍然至關重要。”Shefrin說。
“然后是高速、短時長的DDoS攻擊,它們探測并測試防御系統而不觸發警報。我們觀察到這類攻擊的使用有所增加,許多攻擊持續時間不到10秒,”他補充道,“我們還注意到地毯式DDoS攻擊激增,攻擊者同時將流量分散到多個IP地址或子網,使緩解措施復雜化。這類攻擊可以繞過針對單個IP的防御,同時從整體上壓垮網絡。”
FormerGov(一個由前政府和軍事專家組成的名錄)的執行董事、前聯邦檢察官Brian Levine表示,CISO需要接受這樣一個事實,即這些桌面推演“將更多地是被動應對而非主動預防,因為我們可以推測接下來會發生什么,但我們可能會錯”。
Levine給出的具體建議是,不要假設企業總是攻擊目標。他說,要模擬不同全球合作伙伴遭受攻擊的場景。“當合作伙伴遭受攻擊時你的選擇可能更有限,但你仍然有選擇。”
Levine還鼓勵CISO放松心態,不要因為無法測試所有場景而恐慌。“你不可能通過桌面推演測試所有場景,”他說,“但通過測試一些場景,你將建立肌肉記憶。”
