CISO必读:重构应急演练,避免57%未演习安全事件
网络事件响应管理报告显示,超过半数的重大网络安全事件都源于企业未曾预料的攻击类型,这揭示了一个普遍存在的隐患:许多企业的桌面推演演练往往与现实脱节,流于形式化,缺乏实战针对性。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
根据《Cytactic 2025年网络事件响应管理(CIRM)报告》(该报告对480位美国网络安全高层领导进行了调查,其中包括165位CISO的数据显示,57%这一数字“暴露出了当前防御体系的薄弱环节”。尽管企业通常会针对勒索软件等已知威胁开展培训,但这些事件恰恰说明,真正造成安全混乱的往往来自意料之外的攻击途径。
报告进一步指出,如果安全团队不能持续更新推演内容,将难以应对层出不穷的新型威胁。“演练的真正价值在于确保其内容与企业面临的实际风险高度契合”,报告强调,“通过构建针对企业行业特性、部门职能和威胁特征量身定制的模拟场景,这样的演练将超越单纯的技术演习,成为整个企业协同应对危机的关键工具。
分析师和网络安全顾问发现,企业在开展桌面推演及其他准备演练时存在诸多问题——从演练内容脱离实际业务,到测试那些看似严重却不太可能发生的攻击场景,问题可谓不一而足。
一位不愿具名的顾问举例说明,在最近一次桌面推演中,企业为所有相关人员配置了备用手机,以便在攻击者监控常规通信时保持联络畅通。
然而在这次演练过程中,管理层坚持要求参与者实际使用备用设备,结果却发现许多员工花费大量时间才找到手机,因为他们根本记不清设备存放的具体位置。
在另一个典型案例中,安全运营中心(SOC)人员找到了在发生数据泄露时需要联系的人员名单,但当CISO坚持要求团队通过实际拨打电话、发送短信或邮件来联系这些人时,他们发现不少电话号码或联系地址早已停用。
“想要针对所有可能的攻击做好万全准备确实不现实,”Moor Insights & Strategy公司副总裁兼首席分析师Will Townsend表示,“虽然可以制定周全的应对计划,但如果遇到邮件被退回,或是找不到备用设备的情况,整个应急响应就会陷入困境。”
聚焦小规模攻击的角色扮演
安全供应商Corelight的首席技术官Vincent Stoffer建议,CISO应该更多关注那些不易察觉的数据窃取行为,而非仅仅防范大规模攻击事件。
“许多桌面推演过分侧重于自上而下的技术要素,并且过度关注戏剧性数据泄露事件,而忽略了现实中攻击者采取的实际战术,”Stoffer指出,并补充说明,无论攻击规模大小,大多数网络犯罪分子都偏好采用不易被察觉的隐蔽手段。
“攻击者更常通过横向移动或静默数据窃取等隐蔽行为得手,而这些行为在模拟演练中往往没有得到充分体现。”他进一步解释,攻击者“会采用任何能达成目的的方法,通常是寻找安全防护中最薄弱的环节——可能是暴露在外的活动目录、身份验证服务器,或是存储个人身份信息(PII)的数据集。他们可能会非常缓慢且有條不紊地行动,以避免触发告警机制。”
然而他发现,大多数企业网络安全团队测试的演练内容却与现实严重脱节。
“与此形成鲜明对比的是,许多模拟训练仍过度依赖预设条件或特定触发规则,例如主机感染恶意软件时的系统告警。虽然这确实在测试事件响应(IR)的系统和流程,但一般不需要太多批判性思维、探索和发现来开展场景,”Stoffer指出,“这导致SOC团队沿着他们熟悉和理解的道路前进,虽然作为演练仍有帮助,但我认为,通过采用更贴近真实攻击手法的演练方式,团队将获得更具价值的实战经验。”
Forrester公司副总裁兼首席分析师Jeff Pollard强调,应急响应中的人员联络细节往往被忽视。
“桌面推演的问题在于,我们总是试图一次性涵盖太多场景,”Pollard表示,他建议重点关注诸如“CISO正在航班上无法立即通话,我们需要与客户沟通吗?CEO需要参加多少个电话会议?我们能否让首席运营官(COO)代为参加部分会议?合作方该如何配合?”等具体问题。
Pollard也对备用手机的使用问题表达了担忧。“我们给每个人都配备了备用设备,但我们真的清楚这些设备的具体存放位置吗?它们是否都保持充电状态?相关人员是否清楚自己的备用手机号码?在全面系统故障的情况下,有人想到需要准备纸质联络清单吗?”
Info-Tech Research Group公司的技术顾问Erik Avakian发现,许多企业进行桌面推演的动机存在偏差。
“很多人一年只做一次演练,有时仅仅是为了满足合规和保险要求,纯粹是走个形式,”Avakian说。他鼓励CISO“真正把演练做实”,通过模拟真实攻击的紧张程度、压力水平和时间安排,让参与者体验真实的应急响应状态。“每个人都有自己的压力临界点,我们需要真正了解这些关键细节。”
面向未来的攻击场景
针对不知该为何种攻击做准备这一核心问题,Avakian建议利用内部团队或合作伙伴来模拟最可能的攻击途径。为了节约成本,他鼓励企业与大学合作进行富有想象力的威胁推演,并与特定行业的ISAC信息共享组织合作。
Comcast Business公司托管服务执行董事Ivan Shefrin就攻击类型的选择提出了具体建议。
“传统培训演练往往侧重于熟悉威胁或外围攻击,但我们看到攻击者不断找到入侵企业网络的新方法。以低交互、路过式攻击为例,它们仅需要用户访问恶意内容,无需其他交互,完全绕过了安全意识培训,这就是为什么技术控制仍然至关重要。”
“其次是高速、短时长的DDoS攻击,它们会探测并测试防御系统而不触发警报,”他补充道,“我们还注意到地毯式DDoS攻击正在激增,攻击者同时将流量分散到多个IP地址或子网,使得缓解措施复杂化。这类攻击可以绕过针对单个IP的防御,同时从整体上压垮网络架构。”
前联邦检察官、现网络安全机构执行董事Brian Levine表示,CISO需要正视这样一个现实:当前的桌面推演“更多地是被动响应而非主动预防”。
Levine给出的具体建议是:不要假设企业总是攻击目标。他说要模拟不同全球合作伙伴遭受攻击的场景。“当合作伙伴遭受攻击时,你的选择可能有限,但你仍然有选择余地。”
Levine还鼓励CISO放松心态,不要因为无法测试所有场景而焦虑。“你不可能通过桌面推演测试所有情况,”他说,“但通过测试那些最关键的场景,你将建立起应对危机的条件反射。”
相关攻略
近期我们发现两种旨在长期获取情报的攻击活动,其攻击路径直指企业内部关键节点。CISO的挑战在于确保企业不会仅因网络连接方式就成为他人的情报通道。 共享服务带来的安全困境现代企业依赖的共享服务、统一身
勒索软件攻击正从高调加密转向隐蔽潜伏与数据窃取,报告显示,攻击者更侧重持久化与防御规避,甚至利用OpenAI、AWS等受信任平台隐藏C2流量。 攻击者正从“掠夺式”的快速攻击转向“寄生式”的长期潜伏
研究报告发现,在成功抵御勒索软件攻击后,CISO职位得以保留的概率仅为四分之一,即使攻击来自CISO无法直接控制的因素,利益相关者仍然期望CISO能够防止任何最坏情况的发生。 根据Sophos公司最
报告显示,勒索软件威胁在2025年上半年再创新高,受害者数同比飙升67%。RaaS模式让攻击组织数量激增且频繁更迭,令防御者难以追踪。随着备份和恢复能力提升,黑客正从加密转向数据窃取施压,并借助初始
网络攻击的焦点正从技术漏洞转向更易获利的“身份经济”:被窃取的用户名、密码和访问权限像商品般被交易,成为绕过防火墙的最快捷径。 攻击者不再追逐软件漏洞或网络弱点,而是将目标锁定在更容易窃取的东西上:
热门专题
热门推荐
抖音入口点击直接进入不需下载:更便捷的创意内容平台 无需下载安装,立即访问https: www douyin com ,即可畅享抖音的精彩内容。如今的抖音已演进为一个集短视频创作、社交互动与实时娱乐于一体的综合内容生态。最新版本在原有强大功能基础上,带来了显著升级——智能剪辑工具、前沿AI特效与更
暗区突围无限燎原赛季重磅开启:全新地图、装备与战术革新 各位暗区先锋,准备迎接全新挑战了吗?《暗区突围》无限燎原赛季现已正式上线,为您带来一场前所未有、肾上腺素飙升的激烈战斗体验。新赛季如同一把烈火,彻底点燃了整个暗区世界,带来了更多变数、更高风险与更丰厚的回报。 战术博弈,地图先行。本次赛季对暗区
拳刃深度解析:连击爆发的灵动近战利器,玩法教学与实战技巧 在众多近战武器中,拳刃以其极致的攻速脱颖而出。其攻击节奏迅捷如风,能够在瞬间倾泻出多段高频率伤害,给予对手极强的压制力。这套武器的出招逻辑非常丰富,通过轻击(普攻)与重击(霸体)的不同顺序与节奏组合,可以打出多种高伤害连招。即便是新手玩家,熟
第五人格熊猫时装要多少钱?获取方式与价格全攻略 在《第五人格》众多精致时装中,熊猫系列以其独特的萌趣造型和高人气脱颖而出。标志性的黑白配色、毛茸茸的耳朵设计,完美融合了角色特质,自亮相以来便收获了大量玩家的喜爱。如果你也想知道这套可爱的熊猫装扮具体需要花费多少,本文将为你详细解析其价格体系与多种获取
在小小书店世界达成海鸥扫盲成就:完整攻略与技巧详解 想要成功解锁小小书店中的“海鸥扫盲”成就?关键在于系统性地寻找并解读环境中所有与海鸥相关的隐藏元素。首先,你需要将注意力集中在书店的各个角落——从错落的书架间隙、临窗的台面,到天花板的隐蔽装饰处,都可能暗藏着与海鸥有关的视觉线索或文字提示。养成细致