網(wǎng)絡(luò)威脅不會(huì)消失，CISO們深知僅靠預(yù)防是遠(yuǎn)遠(yuǎn)不夠的。做好準(zhǔn)備以應(yīng)對(duì)威脅同樣重要。網(wǎng)絡(luò)危機(jī)模擬便是一種測(cè)試準(zhǔn)備情況的方法。它們能讓團(tuán)隊(duì)在可控環(huán)境中經(jīng)歷現(xiàn)實(shí)世界中的場(chǎng)景，從而暴露出漏洞和不足之處，并指明哪些方面需要加強(qiáng)。這是在真正的攻擊發(fā)生之前，切實(shí)強(qiáng)化應(yīng)急計(jì)劃的一種途徑。

預(yù)算在增加，壓力也隨之上升

Hack The Box最近的一項(xiàng)調(diào)查顯示，74%的CISO計(jì)劃在今年增加網(wǎng)絡(luò)危機(jī)模擬的年度預(yù)算，這一趨勢(shì)是由2024年發(fā)生的一系列備受矚目的事件所推動(dòng)的。許多企業(yè)發(fā)現(xiàn)，當(dāng)面臨真實(shí)世界的攻擊時(shí)，它們的應(yīng)對(duì)流程會(huì)崩潰。結(jié)果是警報(bào)被遺漏、決策緩慢、溝通不暢，以及聲譽(yù)受損。

“不善于管理公眾輿論會(huì)影響收入、股價(jià)、聲譽(yù)和客戶(hù)關(guān)系。開(kāi)展全公司范圍內(nèi)的網(wǎng)絡(luò)模擬是一種方式，能夠證明企業(yè)已經(jīng)盡一切可能做好了準(zhǔn)備，”沉浸式網(wǎng)絡(luò)演練與恢復(fù)部高級(jí)總監(jiān)丹·波特解釋道。

模擬整個(gè)業(yè)務(wù)，而不僅僅是IT

一次數(shù)據(jù)泄露不僅影響系統(tǒng)，還會(huì)波及客戶(hù)、合作伙伴和監(jiān)管機(jī)構(gòu)。這意味著業(yè)務(wù)領(lǐng)導(dǎo)者需要參與到模擬中來(lái)。

如今最有效的模擬包括全體高管的參與，通常會(huì)使用平臺(tái)來(lái)模擬端到端的危機(jī)。一些平臺(tái)允許CISO、法務(wù)部門(mén)、首席財(cái)務(wù)官和公關(guān)團(tuán)隊(duì)實(shí)時(shí)參與數(shù)據(jù)泄露場(chǎng)景，在模擬的壓力下做出決策。這些演練不僅測(cè)試系統(tǒng)，還測(cè)試公司文化和協(xié)調(diào)能力。

不要忽視人的因素

危機(jī)模擬還提供了一個(gè)觀察團(tuán)隊(duì)如何在壓力下工作的機(jī)會(huì)。它們應(yīng)該被用來(lái)測(cè)試流程、發(fā)現(xiàn)壓力點(diǎn)，并增強(qiáng)韌性。高績(jī)效團(tuán)隊(duì)在壓力下相互信任且溝通順暢。

安全分析師的倦怠是一個(gè)日益嚴(yán)重的問(wèn)題，尤其是在繁忙的安全運(yùn)營(yíng)中心(SOC)環(huán)境中。長(zhǎng)時(shí)間的工作、不斷的警報(bào)、重復(fù)的任務(wù)和高壓力水平會(huì)隨著時(shí)間的推移而逐漸產(chǎn)生負(fù)面影響。這種影響體現(xiàn)在身心健康上——疲勞、頭痛、睡眠障礙、焦慮和甚至抑郁。對(duì)于CISO來(lái)說(shuō)，這不僅僅是一個(gè)人力資源問(wèn)題。它是對(duì)團(tuán)隊(duì)表現(xiàn)和長(zhǎng)期實(shí)力的一種威脅。

一些企業(yè)現(xiàn)在將心理健康意識(shí)和工作量檢查納入其危機(jī)預(yù)案中。對(duì)于CISO來(lái)說(shuō)，這是一種思維方式的轉(zhuǎn)變：成功不僅僅是快速響應(yīng)，而是在長(zhǎng)時(shí)間內(nèi)保持持續(xù)的性能。

“網(wǎng)絡(luò)安全團(tuán)隊(duì)承受著巨大的壓力，知道下一次數(shù)據(jù)泄露可能就在眼前。這種壓力水平會(huì)影響團(tuán)隊(duì)在危機(jī)發(fā)生時(shí)有效應(yīng)對(duì)的能力。為了改善危機(jī)應(yīng)對(duì)，企業(yè)應(yīng)該特別考慮在危機(jī)規(guī)劃中納入心理健康因素，承認(rèn)增加的壓力和倦怠會(huì)損害安全團(tuán)隊(duì)的整體表現(xiàn)。”Hack The Box的CEO哈里斯·皮拉里諾斯說(shuō)道。

“CISO在制定人才發(fā)展戰(zhàn)略時(shí)采取全面方法至關(guān)重要。網(wǎng)絡(luò)安全領(lǐng)域的壓力、倦怠和心理健康正處于歷史最高水平。為團(tuán)隊(duì)提供定期培訓(xùn)、舉行匯報(bào)會(huì)，以及在培訓(xùn)和演練期間及之后協(xié)助識(shí)別倦怠癥狀，可以幫助團(tuán)隊(duì)變得更加有韌性和自信，”皮拉里諾斯總結(jié)道。

進(jìn)行模擬的好處

• 發(fā)現(xiàn)弱點(diǎn)：模擬能夠暴露出技術(shù)防御和人為響應(yīng)的漏洞，使企業(yè)能夠主動(dòng)應(yīng)對(duì)脆弱性。
• 增強(qiáng)協(xié)調(diào)：它們促進(jìn)部門(mén)間更好的協(xié)作，確保在事件發(fā)生時(shí)能夠統(tǒng)一應(yīng)對(duì)。
• 建立信心：定期的演練能夠建立肌肉記憶，使團(tuán)隊(duì)能夠在壓力下迅速而有效地作出響應(yīng)。
• 合規(guī)性：許多行業(yè)要求定期測(cè)試事件響應(yīng)計(jì)劃;模擬有助于滿(mǎn)足這些合規(guī)標(biāo)準(zhǔn)。

“過(guò)去，僅通過(guò)風(fēng)險(xiǎn)矩陣進(jìn)行風(fēng)險(xiǎn)識(shí)別并將其記錄在描述威脅及其發(fā)生可能性的電子表格中便足夠了，”Sophos亞太地區(qū)和日本地區(qū)的CISO亞倫·布加爾說(shuō)道。“然而，看到勒索軟件造成的影響以及隨后勒索要求讓高管團(tuán)隊(duì)和董事會(huì)成員措手不及，這凸顯出他們對(duì)網(wǎng)絡(luò)犯罪分子無(wú)處不在的程度及其抓住的機(jī)會(huì)缺乏了解?！?/p>

為了超越理論規(guī)劃，布加爾提倡進(jìn)行數(shù)據(jù)泄露模擬作為實(shí)際前進(jìn)的一步?！耙淮螖?shù)據(jù)泄露模擬將使你能夠制定出你和你的企業(yè)所要求的簡(jiǎn)明且經(jīng)過(guò)充分衡量的響應(yīng)行動(dòng)，”他解釋道。召集各部門(mén)高管有助于發(fā)現(xiàn)準(zhǔn)備工作中的不足?！芭c各部門(mén)高管、董事會(huì)成員、人力資源、IT、安全、法務(wù)和公關(guān)人員坐在一起，共同梳理出高效應(yīng)對(duì)所需的程序、職責(zé)和資源?！?/p>

通過(guò)提前進(jìn)行這些演練，企業(yè)可以避免實(shí)時(shí)危機(jī)管理的混亂局面?！澳M提供了一種結(jié)構(gòu)化的方法來(lái)構(gòu)建和完善數(shù)據(jù)泄露響應(yīng)方案，同時(shí)演練并發(fā)現(xiàn)需要改進(jìn)的地方，”布加爾補(bǔ)充道，“而不是在活躍攻擊的壓力下學(xué)習(xí)和恐慌?！?/p>

如何運(yùn)行有效的模擬

為了最大化網(wǎng)絡(luò)危機(jī)模擬的效益，請(qǐng)考慮以下策略：

• 開(kāi)發(fā)逼真的場(chǎng)景：設(shè)計(jì)反映當(dāng)前威脅態(tài)勢(shì)且與你企業(yè)的運(yùn)營(yíng)相關(guān)的場(chǎng)景。
• 召集跨部門(mén)團(tuán)隊(duì)：納入來(lái)自IT、法務(wù)、溝通和高層領(lǐng)導(dǎo)等部門(mén)的成員，以確保全面應(yīng)對(duì)。
• 設(shè)定明確目標(biāo)：為每次模擬定義你想要實(shí)現(xiàn)的目標(biāo)，無(wú)論是測(cè)試特定協(xié)議還是改善部門(mén)間溝通。
• 融入現(xiàn)實(shí)世界工具：利用提供逼真、親身實(shí)踐體驗(yàn)的平臺(tái)。例如，某些模擬器能夠使包括CEO、首席財(cái)務(wù)官、CISO和法務(wù)部門(mén)在內(nèi)的管理層在模擬網(wǎng)絡(luò)危機(jī)期間實(shí)時(shí)協(xié)作，提升決策能力并測(cè)試危機(jī)響應(yīng)預(yù)案。
• 總結(jié)復(fù)盤(pán)并迭代：每次演練結(jié)束后，進(jìn)行一次徹底的復(fù)盤(pán)，討論哪些措施有效、哪些無(wú)效，以及流程如何改進(jìn)。

Cloud Range的CEO黛比·戈登強(qiáng)調(diào)，成功的網(wǎng)絡(luò)危機(jī)模擬取決于CISO們通常忽視的幾個(gè)關(guān)鍵要素。首先，在所有團(tuán)隊(duì)成員中明確界定角色至關(guān)重要。每位參與者都應(yīng)提前了解自己的職責(zé)，從安全團(tuán)隊(duì)到溝通專(zhuān)家，這樣在危機(jī)發(fā)生時(shí)便不會(huì)出現(xiàn)歧義。其次，盡可能使模擬逼真。模擬不應(yīng)為了舒適而被淡化或削弱——它們需要反映真實(shí)世界數(shù)據(jù)泄露的復(fù)雜性。如果參與者只獲得了部分事實(shí)，或者覺(jué)得因?yàn)槭茄菥毸钥梢浴疤^(guò)”某些行動(dòng)，那么演練就會(huì)失去價(jià)值。第三，CISO們必須確保沒(méi)有懈怠的空間。避免“這不是真的，所以我們不需要像在真正的危機(jī)中那樣行動(dòng)”的心態(tài)。每項(xiàng)行動(dòng)都應(yīng)以同樣的緊迫性和嚴(yán)謹(jǐn)性來(lái)執(zhí)行。最后，確保有可行的結(jié)果和后續(xù)跟進(jìn)。模擬的價(jià)值在于從中吸取教訓(xùn)。之后，進(jìn)行復(fù)盤(pán)、跟蹤改進(jìn)并優(yōu)化事件響應(yīng)計(jì)劃，以確保下一次危機(jī)響應(yīng)更加有效。

在危機(jī)中，協(xié)調(diào)優(yōu)于運(yùn)氣

CISO們無(wú)法控制事件發(fā)生的時(shí)間。但他們可以控制團(tuán)隊(duì)?wèi)?yīng)對(duì)的準(zhǔn)備程度。

網(wǎng)絡(luò)危機(jī)模擬無(wú)法阻止攻擊，但它們能夠決定結(jié)果。有了適當(dāng)?shù)脑O(shè)計(jì)、頻率和參與，模擬可以將混亂轉(zhuǎn)化為協(xié)調(diào)。在2025年，協(xié)調(diào)至關(guān)重要。