根據(jù)《Cytactic 2025年網(wǎng)絡(luò)事件響應(yīng)管理(CIRM)報(bào)告》(該報(bào)告對(duì)“480位美國(guó)網(wǎng)絡(luò)安全高層領(lǐng)導(dǎo)進(jìn)行了調(diào)查，其中包括165位CISO”)，57%這一數(shù)字“揭示了一個(gè)重大漏洞。企業(yè)通常針對(duì)勒索軟件等已知威脅進(jìn)行培訓(xùn)，但這些事件證明，真正的混亂往往來(lái)自意外情況”。

報(bào)告總結(jié)稱(chēng)，因此，如果安全團(tuán)隊(duì)不持續(xù)更新其桌面推演內(nèi)容，可能無(wú)法有效應(yīng)對(duì)新型威脅。報(bào)告指出：“真正的益處在于使這些演練具有相關(guān)性和現(xiàn)實(shí)性。通過(guò)構(gòu)建針對(duì)企業(yè)、行業(yè)、部門(mén)、風(fēng)險(xiǎn)和威脅特征量身定制的模擬場(chǎng)景，這些演練將超越單純的安全演練。它們將成為整個(gè)企業(yè)協(xié)同一致的關(guān)鍵工具。”

分析師和網(wǎng)絡(luò)安全顧問(wèn)發(fā)現(xiàn)，企業(yè)在開(kāi)展桌面推演和其他準(zhǔn)備演練時(shí)存在諸多問(wèn)題，從不夠貼近現(xiàn)實(shí)到測(cè)試宏大但不太可能發(fā)生的攻擊場(chǎng)景，不一而足。

一位不愿透露姓名的顧問(wèn)舉例說(shuō)，在最近的一次桌面推演中，企業(yè)為所有相關(guān)人員購(gòu)買(mǎi)了備用手機(jī)，以便在攻擊者監(jiān)控通信時(shí)安全地溝通。

在這次攻擊演練中，管理層堅(jiān)持要求參與者實(shí)際使用備用手機(jī)，結(jié)果卻發(fā)現(xiàn)許多員工花了很長(zhǎng)時(shí)間才找到備用手機(jī)，因?yàn)樗麄儾挥浀檬謾C(jī)藏在哪里了。

在另一個(gè)案例中，安全運(yùn)營(yíng)中心(SOC)工作人員找到了在發(fā)生重大數(shù)據(jù)泄露時(shí)需要聯(lián)系的人員名單，但當(dāng)CISO堅(jiān)持要求團(tuán)隊(duì)實(shí)際致電、發(fā)短信或發(fā)郵件聯(lián)系這些人時(shí)，他們發(fā)現(xiàn)許多電話(huà)號(hào)碼或消息地址已被禁用。

“要為特定攻擊做好準(zhǔn)備確實(shí)不可能，”Moor Insights & Strategy公司的副總裁兼首席分析師Will Townsend說(shuō)，“你可以制定最佳計(jì)劃，但如果郵件被退回，或者找不到備用手機(jī)，那就是個(gè)問(wèn)題?！?/p>

聚焦小規(guī)模攻擊的角色扮演

安全供應(yīng)商Corelight的首席技術(shù)官Vincent Stoffer建議，CISO應(yīng)更多地關(guān)注小規(guī)模數(shù)據(jù)泄露，而非大規(guī)模攻擊。

“許多桌面推演特別關(guān)注自下而上的技術(shù)元素，[并且]過(guò)度關(guān)注戲劇性數(shù)據(jù)泄露，而非現(xiàn)實(shí)中的對(duì)手戰(zhàn)術(shù)，”Stoffer說(shuō)，并補(bǔ)充道，無(wú)論攻擊規(guī)模大小，大多數(shù)網(wǎng)絡(luò)犯罪分子都偏好不易被察覺(jué)的戰(zhàn)術(shù)。

“攻擊者更常通過(guò)橫向移動(dòng)或靜默數(shù)據(jù)竊取等不易被察覺(jué)的行為得手，而這些行為在模擬中往往不夠充分，”Stoffer說(shuō)。攻擊者“會(huì)使用任何能讓他們達(dá)到目的的方法，通常是皇冠上的明珠——完全攻陷活動(dòng)目錄、身份服務(wù)器、個(gè)人身份信息(PII)等。他們可能會(huì)非常緩慢且有條不紊地行動(dòng)，以避免被發(fā)現(xiàn)，或者他們可能會(huì)使用常見(jiàn)但通常不太會(huì)引起警覺(jué)的技術(shù)進(jìn)行初始訪(fǎng)問(wèn)，如網(wǎng)絡(luò)釣魚(yú)或憑證收集。一旦他們?cè)谄髽I(yè)中站穩(wěn)腳跟，就可以利用他們?cè)诃h(huán)境中獲得的知識(shí)、觀(guān)察到的工具等，快速且靜默地移動(dòng)，以避免觸發(fā)警報(bào)?！?/p>

然而，他發(fā)現(xiàn)大多數(shù)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)測(cè)試的內(nèi)容卻大相徑庭。

“與此形成對(duì)比的是，模擬演練更多地依賴(lài)于假設(shè)或特定觸發(fā)條件，如主機(jī)感染惡意軟件的警報(bào)。雖然這仍然在測(cè)試IR(事件響應(yīng))的系統(tǒng)和流程，但一般不需要太多的批判性思維、探索和發(fā)現(xiàn)來(lái)展開(kāi)場(chǎng)景，”Stoffer指出，“這導(dǎo)致SOC團(tuán)隊(duì)進(jìn)一步沿著他們熟悉和理解的路徑前進(jìn)，雖然作為演練仍然有幫助，但我認(rèn)為，通過(guò)采用更微妙和現(xiàn)實(shí)的攻擊方法來(lái)進(jìn)行演練，會(huì)獲得更多收獲?！?/p>

Forrester公司的副總裁兼首席分析師Jeff Pollard強(qiáng)調(diào)，聯(lián)系人員的細(xì)節(jié)往往被忽視。

“桌面推演的問(wèn)題在于，我們?cè)噲D一次做太多事情，”P(pán)ollard說(shuō)，他建議關(guān)注諸如“CISO正在飛機(jī)上，無(wú)法立即通話(huà)。我們需要與客戶(hù)溝通嗎?CEO需要參加多少個(gè)電話(huà)會(huì)議?我們能否讓首席運(yùn)營(yíng)官(COO)代替參加一些?合作伙伴方面呢?”等問(wèn)題。

Pollard也表達(dá)了關(guān)于備用手機(jī)問(wèn)題的擔(dān)憂(yōu)?！拔覀兘o每個(gè)人都買(mǎi)了備用手機(jī)，但我們知道它們?cè)谀睦飭?它們充電了嗎?[工作人員]知道他們的備用手機(jī)號(hào)碼嗎?在全面系統(tǒng)故障的情況下，有人想到要準(zhǔn)備紙質(zhì)資料嗎?”

Info-Tech Research Group公司的技術(shù)顧問(wèn)Erik Avakian發(fā)現(xiàn)，許多企業(yè)進(jìn)行桌面推演的動(dòng)機(jī)不正確。

“很多人一年只做一次，有時(shí)只是為了合規(guī)和保險(xiǎn)，只是走個(gè)形式，”Avakian說(shuō)。他鼓勵(lì)CISO“真正把演練做起來(lái)”，并模擬實(shí)際攻擊的緊張程度、壓力和時(shí)間安排?！懊總€(gè)人都有崩潰的臨界點(diǎn)。我們需要了解這些?！?/p>

面向未來(lái)的攻擊場(chǎng)景

至于不知道該為哪種攻擊做準(zhǔn)備這一核心問(wèn)題，Avakian建議利用內(nèi)部團(tuán)隊(duì)或合作伙伴來(lái)模擬最可能的攻擊途徑。為了節(jié)省成本，他鼓勵(lì)企業(yè)與大學(xué)合作進(jìn)行富有想象力的威脅規(guī)劃，并與特定行業(yè)的ISAC合作。

Comcast Business公司托管服務(wù)執(zhí)行董事Ivan Shefrin就他鼓勵(lì)演練聚焦的攻擊類(lèi)型提出了具體建議。

“傳統(tǒng)培訓(xùn)演練往往側(cè)重于熟悉威脅或外圍攻擊，但我們看到攻擊者不斷找到入侵企業(yè)網(wǎng)絡(luò)的新方法。以低effort、drive-by式攻擊為例，它們僅需用戶(hù)訪(fǎng)問(wèn)惡意網(wǎng)站，無(wú)需其他交互，完全繞過(guò)了安全意識(shí)培訓(xùn)，這就是為什么技術(shù)控制仍然至關(guān)重要。”Shefrin說(shuō)。

“然后是高速、短時(shí)長(zhǎng)的DDoS攻擊，它們探測(cè)并測(cè)試防御系統(tǒng)而不觸發(fā)警報(bào)。我們觀(guān)察到這類(lèi)攻擊的使用有所增加，許多攻擊持續(xù)時(shí)間不到10秒，”他補(bǔ)充道，“我們還注意到地毯式DDoS攻擊激增，攻擊者同時(shí)將流量分散到多個(gè)IP地址或子網(wǎng)，使緩解措施復(fù)雜化。這類(lèi)攻擊可以繞過(guò)針對(duì)單個(gè)IP的防御，同時(shí)從整體上壓垮網(wǎng)絡(luò)?！?/p>

FormerGov(一個(gè)由前政府和軍事專(zhuān)家組成的名錄)的執(zhí)行董事、前聯(lián)邦檢察官Brian Levine表示，CISO需要接受這樣一個(gè)事實(shí)，即這些桌面推演“將更多地是被動(dòng)應(yīng)對(duì)而非主動(dòng)預(yù)防，因?yàn)槲覀兛梢酝茰y(cè)接下來(lái)會(huì)發(fā)生什么，但我們可能會(huì)錯(cuò)”。

Levine給出的具體建議是，不要假設(shè)企業(yè)總是攻擊目標(biāo)。他說(shuō)，要模擬不同全球合作伙伴遭受攻擊的場(chǎng)景?！爱?dāng)合作伙伴遭受攻擊時(shí)你的選擇可能更有限，但你仍然有選擇。”

Levine還鼓勵(lì)CISO放松心態(tài)，不要因?yàn)闊o(wú)法測(cè)試所有場(chǎng)景而恐慌?！澳悴豢赡芡ㄟ^(guò)桌面推演測(cè)試所有場(chǎng)景，”他說(shuō)，“但通過(guò)測(cè)試一些場(chǎng)景，你將建立肌肉記憶。”