CISO必读：重构应急演练，避免57%未演习安全事件

首页

科技

热心网友

转载

2025-10-30

网络事件响应管理报告显示，超过半数的重大网络安全事件都源于企业未曾预料的攻击类型，这揭示了一个普遍存在的隐患：许多企业的桌面推演演练往往与现实脱节，流于形式化，缺乏实战针对性。

根据《Cytactic 2025年网络事件响应管理(CIRM)报告》（该报告对480位美国网络安全高层领导进行了调查，其中包括165位CISO的数据显示，57%这一数字“暴露出了当前防御体系的薄弱环节”。尽管企业通常会针对勒索软件等已知威胁开展培训，但这些事件恰恰说明，真正造成安全混乱的往往来自意料之外的攻击途径。

报告进一步指出，如果安全团队不能持续更新推演内容，将难以应对层出不穷的新型威胁。“演练的真正价值在于确保其内容与企业面临的实际风险高度契合”，报告强调，“通过构建针对企业行业特性、部门职能和威胁特征量身定制的模拟场景，这样的演练将超越单纯的技术演习，成为整个企业协同应对危机的关键工具。

分析师和网络安全顾问发现，企业在开展桌面推演及其他准备演练时存在诸多问题——从演练内容脱离实际业务，到测试那些看似严重却不太可能发生的攻击场景，问题可谓不一而足。

一位不愿具名的顾问举例说明，在最近一次桌面推演中，企业为所有相关人员配置了备用手机，以便在攻击者监控常规通信时保持联络畅通。

然而在这次演练过程中，管理层坚持要求参与者实际使用备用设备，结果却发现许多员工花费大量时间才找到手机，因为他们根本记不清设备存放的具体位置。

在另一个典型案例中，安全运营中心(SOC)人员找到了在发生数据泄露时需要联系的人员名单，但当CISO坚持要求团队通过实际拨打电话、发送短信或邮件来联系这些人时，他们发现不少电话号码或联系地址早已停用。

“想要针对所有可能的攻击做好万全准备确实不现实，”Moor Insights & Strategy公司副总裁兼首席分析师Will Townsend表示，“虽然可以制定周全的应对计划，但如果遇到邮件被退回，或是找不到备用设备的情况，整个应急响应就会陷入困境。”

聚焦小规模攻击的角色扮演

安全供应商Corelight的首席技术官Vincent Stoffer建议，CISO应该更多关注那些不易察觉的数据窃取行为，而非仅仅防范大规模攻击事件。

“许多桌面推演过分侧重于自上而下的技术要素，并且过度关注戏剧性数据泄露事件，而忽略了现实中攻击者采取的实际战术，”Stoffer指出，并补充说明，无论攻击规模大小，大多数网络犯罪分子都偏好采用不易被察觉的隐蔽手段。

“攻击者更常通过横向移动或静默数据窃取等隐蔽行为得手，而这些行为在模拟演练中往往没有得到充分体现。”他进一步解释，攻击者“会采用任何能达成目的的方法，通常是寻找安全防护中最薄弱的环节——可能是暴露在外的活动目录、身份验证服务器，或是存储个人身份信息(PII)的数据集。他们可能会非常缓慢且有條不紊地行动，以避免触发告警机制。”

然而他发现，大多数企业网络安全团队测试的演练内容却与现实严重脱节。

“与此形成鲜明对比的是，许多模拟训练仍过度依赖预设条件或特定触发规则，例如主机感染恶意软件时的系统告警。虽然这确实在测试事件响应(IR)的系统和流程，但一般不需要太多批判性思维、探索和发现来开展场景，”Stoffer指出，“这导致SOC团队沿着他们熟悉和理解的道路前进，虽然作为演练仍有帮助，但我认为，通过采用更贴近真实攻击手法的演练方式，团队将获得更具价值的实战经验。”

Forrester公司副总裁兼首席分析师Jeff Pollard强调，应急响应中的人员联络细节往往被忽视。

“桌面推演的问题在于，我们总是试图一次性涵盖太多场景，”Pollard表示，他建议重点关注诸如“CISO正在航班上无法立即通话，我们需要与客户沟通吗？CEO需要参加多少个电话会议？我们能否让首席运营官(COO)代为参加部分会议？合作方该如何配合？”等具体问题。

Pollard也对备用手机的使用问题表达了担忧。“我们给每个人都配备了备用设备，但我们真的清楚这些设备的具体存放位置吗？它们是否都保持充电状态？相关人员是否清楚自己的备用手机号码？在全面系统故障的情况下，有人想到需要准备纸质联络清单吗？”

Info-Tech Research Group公司的技术顾问Erik Avakian发现，许多企业进行桌面推演的动机存在偏差。

“很多人一年只做一次演练，有时仅仅是为了满足合规和保险要求，纯粹是走个形式，”Avakian说。他鼓励CISO“真正把演练做实”，通过模拟真实攻击的紧张程度、压力水平和时间安排，让参与者体验真实的应急响应状态。“每个人都有自己的压力临界点，我们需要真正了解这些关键细节。”

面向未来的攻击场景

针对不知该为何种攻击做准备这一核心问题，Avakian建议利用内部团队或合作伙伴来模拟最可能的攻击途径。为了节约成本，他鼓励企业与大学合作进行富有想象力的威胁推演，并与特定行业的ISAC信息共享组织合作。

Comcast Business公司托管服务执行董事Ivan Shefrin就攻击类型的选择提出了具体建议。

“传统培训演练往往侧重于熟悉威胁或外围攻击，但我们看到攻击者不断找到入侵企业网络的新方法。以低交互、路过式攻击为例，它们仅需要用户访问恶意内容，无需其他交互，完全绕过了安全意识培训，这就是为什么技术控制仍然至关重要。”

“其次是高速、短时长的DDoS攻击，它们会探测并测试防御系统而不触发警报，”他补充道，“我们还注意到地毯式DDoS攻击正在激增，攻击者同时将流量分散到多个IP地址或子网，使得缓解措施复杂化。这类攻击可以绕过针对单个IP的防御，同时从整体上压垮网络架构。”

前联邦检察官、现网络安全机构执行董事Brian Levine表示，CISO需要正视这样一个现实：当前的桌面推演“更多地是被动响应而非主动预防”。

Levine给出的具体建议是：不要假设企业总是攻击目标。他说要模拟不同全球合作伙伴遭受攻击的场景。“当合作伙伴遭受攻击时，你的选择可能有限，但你仍然有选择余地。”

Levine还鼓励CISO放松心态，不要因为无法测试所有场景而焦虑。“你不可能通过桌面推演测试所有情况，”他说，“但通过测试那些最关键的场景，你将建立起应对危机的条件反射。”

来源:https://www.51cto.com/article/827312.html

免责声明：游乐网为非赢利性网站，所展示的游戏/软件/文章内容均来自于互联网或第三方用户上传分享，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系youleyoucom@outlook.com。

上一篇：解密MinIO开源转型：技术栈痛点分析与替代方案下一篇：勒索软件数据恢复困境：四成受害者支付赎金仍丢失数据