游乐游手机版
首页/科技数码/文章详情

CISO必读:重构应急演练,避免57%未演习安全事件

时间:2025-10-30 20:47
网络事件响应管理报告显示,57%的重大网络安全事件源于企业未准备的攻击类型,这暴露出一个普遍问题:企业的桌面推演演练往往脱离现实、流于形式、缺乏实战性。 根据《Cytactic 2025年网络事件响

网络事件响应管理报告显示,超过半数的重大网络安全事件都源于企业未曾预料的攻击类型,这揭示了一个普遍存在的隐患:许多企业的桌面推演演练往往与现实脱节,流于形式化,缺乏实战针对性。

根据《Cytactic 2025年网络事件响应管理(CIRM)报告》(该报告对480位美国网络安全高层领导进行了调查,其中包括165位CISO的数据显示,57%这一数字“暴露出了当前防御体系的薄弱环节”。尽管企业通常会针对勒索软件等已知威胁开展培训,但这些事件恰恰说明,真正造成安全混乱的往往来自意料之外的攻击途径。

报告进一步指出,如果安全团队不能持续更新推演内容,将难以应对层出不穷的新型威胁。“演练的真正价值在于确保其内容与企业面临的实际风险高度契合”,报告强调,“通过构建针对企业行业特性、部门职能和威胁特征量身定制的模拟场景,这样的演练将超越单纯的技术演习,成为整个企业协同应对危机的关键工具。

分析师和网络安全顾问发现,企业在开展桌面推演及其他准备演练时存在诸多问题——从演练内容脱离实际业务,到测试那些看似严重却不太可能发生的攻击场景,问题可谓不一而足。

一位不愿具名的顾问举例说明,在最近一次桌面推演中,企业为所有相关人员配置了备用手机,以便在攻击者监控常规通信时保持联络畅通。

然而在这次演练过程中,管理层坚持要求参与者实际使用备用设备,结果却发现许多员工花费大量时间才找到手机,因为他们根本记不清设备存放的具体位置。

在另一个典型案例中,安全运营中心(SOC)人员找到了在发生数据泄露时需要联系的人员名单,但当CISO坚持要求团队通过实际拨打电话、发送短信或邮件来联系这些人时,他们发现不少电话号码或联系地址早已停用。

“想要针对所有可能的攻击做好万全准备确实不现实,”Moor Insights & Strategy公司副总裁兼首席分析师Will Townsend表示,“虽然可以制定周全的应对计划,但如果遇到邮件被退回,或是找不到备用设备的情况,整个应急响应就会陷入困境。”

聚焦小规模攻击的角色扮演

安全供应商Corelight的首席技术官Vincent Stoffer建议,CISO应该更多关注那些不易察觉的数据窃取行为,而非仅仅防范大规模攻击事件。

“许多桌面推演过分侧重于自上而下的技术要素,并且过度关注戏剧性数据泄露事件,而忽略了现实中攻击者采取的实际战术,”Stoffer指出,并补充说明,无论攻击规模大小,大多数网络犯罪分子都偏好采用不易被察觉的隐蔽手段。

“攻击者更常通过横向移动或静默数据窃取等隐蔽行为得手,而这些行为在模拟演练中往往没有得到充分体现。”他进一步解释,攻击者“会采用任何能达成目的的方法,通常是寻找安全防护中最薄弱的环节——可能是暴露在外的活动目录、身份验证服务器,或是存储个人身份信息(PII)的数据集。他们可能会非常缓慢且有條不紊地行动,以避免触发告警机制。”

然而他发现,大多数企业网络安全团队测试的演练内容却与现实严重脱节。

“与此形成鲜明对比的是,许多模拟训练仍过度依赖预设条件或特定触发规则,例如主机感染恶意软件时的系统告警。虽然这确实在测试事件响应(IR)的系统和流程,但一般不需要太多批判性思维、探索和发现来开展场景,”Stoffer指出,“这导致SOC团队沿着他们熟悉和理解的道路前进,虽然作为演练仍有帮助,但我认为,通过采用更贴近真实攻击手法的演练方式,团队将获得更具价值的实战经验。”

Forrester公司副总裁兼首席分析师Jeff Pollard强调,应急响应中的人员联络细节往往被忽视。

“桌面推演的问题在于,我们总是试图一次性涵盖太多场景,”Pollard表示,他建议重点关注诸如“CISO正在航班上无法立即通话,我们需要与客户沟通吗?CEO需要参加多少个电话会议?我们能否让首席运营官(COO)代为参加部分会议?合作方该如何配合?”等具体问题。

Pollard也对备用手机的使用问题表达了担忧。“我们给每个人都配备了备用设备,但我们真的清楚这些设备的具体存放位置吗?它们是否都保持充电状态?相关人员是否清楚自己的备用手机号码?在全面系统故障的情况下,有人想到需要准备纸质联络清单吗?”

Info-Tech Research Group公司的技术顾问Erik Avakian发现,许多企业进行桌面推演的动机存在偏差。

“很多人一年只做一次演练,有时仅仅是为了满足合规和保险要求,纯粹是走个形式,”Avakian说。他鼓励CISO“真正把演练做实”,通过模拟真实攻击的紧张程度、压力水平和时间安排,让参与者体验真实的应急响应状态。“每个人都有自己的压力临界点,我们需要真正了解这些关键细节。”

面向未来的攻击场景

针对不知该为何种攻击做准备这一核心问题,Avakian建议利用内部团队或合作伙伴来模拟最可能的攻击途径。为了节约成本,他鼓励企业与大学合作进行富有想象力的威胁推演,并与特定行业的ISAC信息共享组织合作。

Comcast Business公司托管服务执行董事Ivan Shefrin就攻击类型的选择提出了具体建议。

“传统培训演练往往侧重于熟悉威胁或外围攻击,但我们看到攻击者不断找到入侵企业网络的新方法。以低交互、路过式攻击为例,它们仅需要用户访问恶意内容,无需其他交互,完全绕过了安全意识培训,这就是为什么技术控制仍然至关重要。”

“其次是高速、短时长的DDoS攻击,它们会探测并测试防御系统而不触发警报,”他补充道,“我们还注意到地毯式DDoS攻击正在激增,攻击者同时将流量分散到多个IP地址或子网,使得缓解措施复杂化。这类攻击可以绕过针对单个IP的防御,同时从整体上压垮网络架构。”

前联邦检察官、现网络安全机构执行董事Brian Levine表示,CISO需要正视这样一个现实:当前的桌面推演“更多地是被动响应而非主动预防”。

Levine给出的具体建议是:不要假设企业总是攻击目标。他说要模拟不同全球合作伙伴遭受攻击的场景。“当合作伙伴遭受攻击时,你的选择可能有限,但你仍然有选择余地。”

Levine还鼓励CISO放松心态,不要因为无法测试所有场景而焦虑。“你不可能通过桌面推演测试所有情况,”他说,“但通过测试那些最关键的场景,你将建立起应对危机的条件反射。”

来源:https://www.51cto.com/article/827312.html
上一篇解密MinIO开源转型:技术栈痛点分析与替代方案 下一篇勒索软件数据恢复困境:四成受害者支付赎金仍丢失数据
本站内容用于信息整理与展示,如有侵权或内容问题请及时联系处理。

相关推荐

补充同频道和同主题内容,方便继续浏览更多相关内容。

同类最新

继续查看同栏目最近更新的文章。

更多
OpenClaw手机App上线,结果翻车了
科技数码 · 2026-07-01

OpenClaw手机App上线,结果翻车了

OpenClaw 官方宣布,已正式推出 iOS 和 Android 原生移动 App,用户如今可以在手机上使用这款主打“能真正帮你做事”的个人 AI 助手。官方在 X 上给出的定位也很直接:把 Agent 放进口袋里,让用户可以在移动端处理频道消息、任务和回复。从功能上看,OpenClaw 移动端并

优必选CEO周剑:家庭机器人生态核心投入过半精力
科技数码 · 2026-07-01

优必选CEO周剑:家庭机器人生态核心投入过半精力

先说几个核心判断:优必选正在布局一盘长远战略。创始人兼CEO周剑在近期一场媒体沟通会上,直接亮出了公司未来的发展路线——工业、商用、家庭陪伴机器人三条业务主赛道并行推进,现阶段每条线各占约一半精力。一边是已经能够稳定创造收入的工业场景,另一边则是他眼中“最具想象力与未来空间”的家庭陪伴领域。工业人形

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛
科技数码 · 2026-07-01

CPO/NPO/OIO开启封装级光连接价值空间,技术路线尚未收敛

6月30日,申银万国在光连接系列研报中重点指出,MPO光连接器领域的投资机会值得高度关注。通俗来说,随着AI算力集群持续扩张,光互联升级带来的连锁效应——数据中心光纤通道数量、前面板端口密度、机柜内光纤管理复杂度——均在同步攀升。光连接器的角色早已超越传统的低价值标准件,如今它直接决定着链路插损、可

龙岗AR实景剧本游内测体验短板有效破解之道
科技数码 · 2026-07-01

龙岗AR实景剧本游内测体验短板有效破解之道

在今年龙岗区第二届人工智能与机器人发展大会上,区级部门一次性推出了7个AI“龙搭子”。其中,名为“龙导游”的成果成为文商旅融合领域的核心亮点。据南都N视频记者了解,依托“龙导游”打造的全区全域AR实景剧本游“龙岗大陆”,已在今年五一假期发布了内测版本。经过一个月市场验证后,该项目正式启动面向全社会的

南下资金6月30日净买入中芯国际与建滔积层板
科技数码 · 2026-07-01

南下资金6月30日净买入中芯国际与建滔积层板

6月30日,南下资金持续大举买入港股,单日净流入金额高达58 95亿港元。接下来,我们直接盘点哪些个股获得资金青睐、哪些遭到减持: 净买入方面,中芯国际领跑全场,单日吸金19 33亿港元;建滔积层板紧随其后,净买入10 59亿港元;腾讯控股获得7 65亿港元净流入;智谱(02513 HK)也有6 5