网络事件响应管理报告显示,超过半数的重大网络安全事件都源于企业未曾预料的攻击类型,这揭示了一个普遍存在的隐患:许多企业的桌面推演演练往往与现实脱节,流于形式化,缺乏实战针对性。
根据《Cytactic 2025年网络事件响应管理(CIRM)报告》(该报告对480位美国网络安全高层领导进行了调查,其中包括165位CISO的数据显示,57%这一数字“暴露出了当前防御体系的薄弱环节”。尽管企业通常会针对勒索软件等已知威胁开展培训,但这些事件恰恰说明,真正造成安全混乱的往往来自意料之外的攻击途径。
报告进一步指出,如果安全团队不能持续更新推演内容,将难以应对层出不穷的新型威胁。“演练的真正价值在于确保其内容与企业面临的实际风险高度契合”,报告强调,“通过构建针对企业行业特性、部门职能和威胁特征量身定制的模拟场景,这样的演练将超越单纯的技术演习,成为整个企业协同应对危机的关键工具。
分析师和网络安全顾问发现,企业在开展桌面推演及其他准备演练时存在诸多问题——从演练内容脱离实际业务,到测试那些看似严重却不太可能发生的攻击场景,问题可谓不一而足。
一位不愿具名的顾问举例说明,在最近一次桌面推演中,企业为所有相关人员配置了备用手机,以便在攻击者监控常规通信时保持联络畅通。
然而在这次演练过程中,管理层坚持要求参与者实际使用备用设备,结果却发现许多员工花费大量时间才找到手机,因为他们根本记不清设备存放的具体位置。
在另一个典型案例中,安全运营中心(SOC)人员找到了在发生数据泄露时需要联系的人员名单,但当CISO坚持要求团队通过实际拨打电话、发送短信或邮件来联系这些人时,他们发现不少电话号码或联系地址早已停用。
“想要针对所有可能的攻击做好万全准备确实不现实,”Moor Insights & Strategy公司副总裁兼首席分析师Will Townsend表示,“虽然可以制定周全的应对计划,但如果遇到邮件被退回,或是找不到备用设备的情况,整个应急响应就会陷入困境。”
聚焦小规模攻击的角色扮演
安全供应商Corelight的首席技术官Vincent Stoffer建议,CISO应该更多关注那些不易察觉的数据窃取行为,而非仅仅防范大规模攻击事件。
“许多桌面推演过分侧重于自上而下的技术要素,并且过度关注戏剧性数据泄露事件,而忽略了现实中攻击者采取的实际战术,”Stoffer指出,并补充说明,无论攻击规模大小,大多数网络犯罪分子都偏好采用不易被察觉的隐蔽手段。
“攻击者更常通过横向移动或静默数据窃取等隐蔽行为得手,而这些行为在模拟演练中往往没有得到充分体现。”他进一步解释,攻击者“会采用任何能达成目的的方法,通常是寻找安全防护中最薄弱的环节——可能是暴露在外的活动目录、身份验证服务器,或是存储个人身份信息(PII)的数据集。他们可能会非常缓慢且有條不紊地行动,以避免触发告警机制。”
然而他发现,大多数企业网络安全团队测试的演练内容却与现实严重脱节。
“与此形成鲜明对比的是,许多模拟训练仍过度依赖预设条件或特定触发规则,例如主机感染恶意软件时的系统告警。虽然这确实在测试事件响应(IR)的系统和流程,但一般不需要太多批判性思维、探索和发现来开展场景,”Stoffer指出,“这导致SOC团队沿着他们熟悉和理解的道路前进,虽然作为演练仍有帮助,但我认为,通过采用更贴近真实攻击手法的演练方式,团队将获得更具价值的实战经验。”
Forrester公司副总裁兼首席分析师Jeff Pollard强调,应急响应中的人员联络细节往往被忽视。
“桌面推演的问题在于,我们总是试图一次性涵盖太多场景,”Pollard表示,他建议重点关注诸如“CISO正在航班上无法立即通话,我们需要与客户沟通吗?CEO需要参加多少个电话会议?我们能否让首席运营官(COO)代为参加部分会议?合作方该如何配合?”等具体问题。
Pollard也对备用手机的使用问题表达了担忧。“我们给每个人都配备了备用设备,但我们真的清楚这些设备的具体存放位置吗?它们是否都保持充电状态?相关人员是否清楚自己的备用手机号码?在全面系统故障的情况下,有人想到需要准备纸质联络清单吗?”
Info-Tech Research Group公司的技术顾问Erik Avakian发现,许多企业进行桌面推演的动机存在偏差。
“很多人一年只做一次演练,有时仅仅是为了满足合规和保险要求,纯粹是走个形式,”Avakian说。他鼓励CISO“真正把演练做实”,通过模拟真实攻击的紧张程度、压力水平和时间安排,让参与者体验真实的应急响应状态。“每个人都有自己的压力临界点,我们需要真正了解这些关键细节。”
面向未来的攻击场景
针对不知该为何种攻击做准备这一核心问题,Avakian建议利用内部团队或合作伙伴来模拟最可能的攻击途径。为了节约成本,他鼓励企业与大学合作进行富有想象力的威胁推演,并与特定行业的ISAC信息共享组织合作。
Comcast Business公司托管服务执行董事Ivan Shefrin就攻击类型的选择提出了具体建议。
“传统培训演练往往侧重于熟悉威胁或外围攻击,但我们看到攻击者不断找到入侵企业网络的新方法。以低交互、路过式攻击为例,它们仅需要用户访问恶意内容,无需其他交互,完全绕过了安全意识培训,这就是为什么技术控制仍然至关重要。”
“其次是高速、短时长的DDoS攻击,它们会探测并测试防御系统而不触发警报,”他补充道,“我们还注意到地毯式DDoS攻击正在激增,攻击者同时将流量分散到多个IP地址或子网,使得缓解措施复杂化。这类攻击可以绕过针对单个IP的防御,同时从整体上压垮网络架构。”
前联邦检察官、现网络安全机构执行董事Brian Levine表示,CISO需要正视这样一个现实:当前的桌面推演“更多地是被动响应而非主动预防”。
Levine给出的具体建议是:不要假设企业总是攻击目标。他说要模拟不同全球合作伙伴遭受攻击的场景。“当合作伙伴遭受攻击时,你的选择可能有限,但你仍然有选择余地。”
Levine还鼓励CISO放松心态,不要因为无法测试所有场景而焦虑。“你不可能通过桌面推演测试所有情况,”他说,“但通过测试那些最关键的场景,你将建立起应对危机的条件反射。”
