根据《Cytactic 2025年网络事件响应管理(CIRM)报告》(该报告对“480位美国网络安全高层领导进行了调查,其中包括165位CISO”),57%这一数字“揭示了一个重大漏洞。企业通常针对勒索软件等已知威胁进行培训,但这些事件证明,真正的混乱往往来自意外情况”。
报告总结称,因此,如果安全团队不持续更新其桌面推演内容,可能无法有效应对新型威胁。报告指出:“真正的益处在于使这些演练具有相关性和现实性。通过构建针对企业、行业、部门、风险和威胁特征量身定制的模拟场景,这些演练将超越单纯的安全演练。它们将成为整个企业协同一致的关键工具。”
分析师和网络安全顾问发现,企业在开展桌面推演和其他准备演练时存在诸多问题,从不够贴近现实到测试宏大但不太可能发生的攻击场景,不一而足。
一位不愿透露姓名的顾问举例说,在最近的一次桌面推演中,企业为所有相关人员购买了备用手机,以便在攻击者监控通信时安全地沟通。
在这次攻击演练中,管理层坚持要求参与者实际使用备用手机,结果却发现许多员工花了很长时间才找到备用手机,因为他们不记得手机藏在哪里了。
在另一个案例中,安全运营中心(SOC)工作人员找到了在发生重大数据泄露时需要联系的人员名单,但当CISO坚持要求团队实际致电、发短信或发邮件联系这些人时,他们发现许多电话号码或消息地址已被禁用。
“要为特定攻击做好准备确实不可能,”Moor Insights & Strategy公司的副总裁兼首席分析师Will Townsend说,“你可以制定最佳计划,但如果邮件被退回,或者找不到备用手机,那就是个问题。”
聚焦小规模攻击的角色扮演
安全供应商Corelight的首席技术官Vincent Stoffer建议,CISO应更多地关注小规模数据泄露,而非大规模攻击。
“许多桌面推演特别关注自下而上的技术元素,[并且]过度关注戏剧性数据泄露,而非现实中的对手战术,”Stoffer说,并补充道,无论攻击规模大小,大多数网络犯罪分子都偏好不易被察觉的战术。
“攻击者更常通过横向移动或静默数据窃取等不易被察觉的行为得手,而这些行为在模拟中往往不够充分,”Stoffer说。攻击者“会使用任何能让他们达到目的的方法,通常是皇冠上的明珠——完全攻陷活动目录、身份服务器、个人身份信息(PII)等。他们可能会非常缓慢且有条不紊地行动,以避免被发现,或者他们可能会使用常见但通常不太会引起警觉的技术进行初始访问,如网络钓鱼或凭证收集。一旦他们在企业中站稳脚跟,就可以利用他们在环境中获得的知识、观察到的工具等,快速且静默地移动,以避免触发警报。”
然而,他发现大多数企业网络安全团队测试的内容却大相径庭。
“与此形成对比的是,模拟演练更多地依赖于假设或特定触发条件,如主机感染恶意软件的警报。虽然这仍然在测试IR(事件响应)的系统和流程,但一般不需要太多的批判性思维、探索和发现来展开场景,”Stoffer指出,“这导致SOC团队进一步沿着他们熟悉和理解的路径前进,虽然作为演练仍然有帮助,但我认为,通过采用更微妙和现实的攻击方法来进行演练,会获得更多收获。”
Forrester公司的副总裁兼首席分析师Jeff Pollard强调,联系人员的细节往往被忽视。
“桌面推演的问题在于,我们试图一次做太多事情,”Pollard说,他建议关注诸如“CISO正在飞机上,无法立即通话。我们需要与客户沟通吗?CEO需要参加多少个电话会议?我们能否让首席运营官(COO)代替参加一些?合作伙伴方面呢?”等问题。
Pollard也表达了关于备用手机问题的担忧。“我们给每个人都买了备用手机,但我们知道它们在哪里吗?它们充电了吗?[工作人员]知道他们的备用手机号码吗?在全面系统故障的情况下,有人想到要准备纸质资料吗?”
Info-Tech Research Group公司的技术顾问Erik Avakian发现,许多企业进行桌面推演的动机不正确。
“很多人一年只做一次,有时只是为了合规和保险,只是走个形式,”Avakian说。他鼓励CISO“真正把演练做起来”,并模拟实际攻击的紧张程度、压力和时间安排。“每个人都有崩溃的临界点。我们需要了解这些。”
面向未来的攻击场景
至于不知道该为哪种攻击做准备这一核心问题,Avakian建议利用内部团队或合作伙伴来模拟最可能的攻击途径。为了节省成本,他鼓励企业与大学合作进行富有想象力的威胁规划,并与特定行业的ISAC合作。
Comcast Business公司托管服务执行董事Ivan Shefrin就他鼓励演练聚焦的攻击类型提出了具体建议。
“传统培训演练往往侧重于熟悉威胁或外围攻击,但我们看到攻击者不断找到入侵企业网络的新方法。以低effort、drive-by式攻击为例,它们仅需用户访问恶意网站,无需其他交互,完全绕过了安全意识培训,这就是为什么技术控制仍然至关重要。”Shefrin说。
“然后是高速、短时长的DDoS攻击,它们探测并测试防御系统而不触发警报。我们观察到这类攻击的使用有所增加,许多攻击持续时间不到10秒,”他补充道,“我们还注意到地毯式DDoS攻击激增,攻击者同时将流量分散到多个IP地址或子网,使缓解措施复杂化。这类攻击可以绕过针对单个IP的防御,同时从整体上压垮网络。”
FormerGov(一个由前政府和军事专家组成的名录)的执行董事、前联邦检察官Brian Levine表示,CISO需要接受这样一个事实,即这些桌面推演“将更多地是被动应对而非主动预防,因为我们可以推测接下来会发生什么,但我们可能会错”。
Levine给出的具体建议是,不要假设企业总是攻击目标。他说,要模拟不同全球合作伙伴遭受攻击的场景。“当合作伙伴遭受攻击时你的选择可能更有限,但你仍然有选择。”
Levine还鼓励CISO放松心态,不要因为无法测试所有场景而恐慌。“你不可能通过桌面推演测试所有场景,”他说,“但通过测试一些场景,你将建立肌肉记忆。”
