根據(jù)《Cytactic 2025年網(wǎng)絡(luò)事件響應(yīng)管理(CIRM)報(bào)告》(該報(bào)告對“480位美國網(wǎng)絡(luò)安全高層領(lǐng)導(dǎo)進(jìn)行了調(diào)查，其中包括165位CISO”)，57%這一數(shù)字“揭示了一個(gè)重大漏洞。企業(yè)通常針對勒索軟件等已知威脅進(jìn)行培訓(xùn)，但這些事件證明，真正的混亂往往來自意外情況”。

　　報(bào)告總結(jié)稱，因此，如果安全團(tuán)隊(duì)不持續(xù)更新其桌面推演內(nèi)容，可能無法有效應(yīng)對新型威脅。報(bào)告指出：“真正的益處在于使這些演練具有相關(guān)性和現(xiàn)實(shí)性。通過構(gòu)建針對企業(yè)、行業(yè)、部門、風(fēng)險(xiǎn)和威脅特征量身定制的模擬場景，這些演練將超越單純的安全演練。它們將成為整個(gè)企業(yè)協(xié)同一致的關(guān)鍵工具。”

　　分析師和網(wǎng)絡(luò)安全顧問發(fā)現(xiàn)，企業(yè)在開展桌面推演和其他準(zhǔn)備演練時(shí)存在諸多問題，從不夠貼近現(xiàn)實(shí)到測試宏大但不太可能發(fā)生的攻擊場景，不一而足。

　　一位不愿透露姓名的顧問舉例說，在最近的一次桌面推演中，企業(yè)為所有相關(guān)人員購買了備用手機(jī)，以便在攻擊者監(jiān)控通信時(shí)安全地溝通。

　　在這次攻擊演練中，管理層堅(jiān)持要求參與者實(shí)際使用備用手機(jī)，結(jié)果卻發(fā)現(xiàn)許多員工花了很長時(shí)間才找到備用手機(jī)，因?yàn)樗麄儾挥浀檬謾C(jī)藏在哪里了。

　　在另一個(gè)案例中，安全運(yùn)營中心(SOC)工作人員找到了在發(fā)生重大數(shù)據(jù)泄露時(shí)需要聯(lián)系的人員名單，但當(dāng)CISO堅(jiān)持要求團(tuán)隊(duì)實(shí)際致電、發(fā)短信或發(fā)郵件聯(lián)系這些人時(shí)，他們發(fā)現(xiàn)許多電話號碼或消息地址已被禁用。

　　“要為特定攻擊做好準(zhǔn)備確實(shí)不可能，”Moor Insights & Strategy公司的副總裁兼首席分析師Will Townsend說，“你可以制定最佳計(jì)劃，但如果郵件被退回，或者找不到備用手機(jī)，那就是個(gè)問題。”

　　聚焦小規(guī)模攻擊的角色扮演

　　安全供應(yīng)商Corelight的首席技術(shù)官Vincent Stoffer建議，CISO應(yīng)更多地關(guān)注小規(guī)模數(shù)據(jù)泄露，而非大規(guī)模攻擊。

　　“許多桌面推演特別關(guān)注自下而上的技術(shù)元素，[并且]過度關(guān)注戲劇性數(shù)據(jù)泄露，而非現(xiàn)實(shí)中的對手戰(zhàn)術(shù)，”Stoffer說，并補(bǔ)充道，無論攻擊規(guī)模大小，大多數(shù)網(wǎng)絡(luò)犯罪分子都偏好不易被察覺的戰(zhàn)術(shù)。

　　“攻擊者更常通過橫向移動(dòng)或靜默數(shù)據(jù)竊取等不易被察覺的行為得手，而這些行為在模擬中往往不夠充分，”Stoffer說。攻擊者“會(huì)使用任何能讓他們達(dá)到目的的方法，通常是皇冠上的明珠——完全攻陷活動(dòng)目錄、身份服務(wù)器、個(gè)人身份信息(PII)等。他們可能會(huì)非常緩慢且有條不紊地行動(dòng)，以避免被發(fā)現(xiàn)，或者他們可能會(huì)使用常見但通常不太會(huì)引起警覺的技術(shù)進(jìn)行初始訪問，如網(wǎng)絡(luò)釣魚或憑證收集。一旦他們在企業(yè)中站穩(wěn)腳跟，就可以利用他們在環(huán)境中獲得的知識(shí)、觀察到的工具等，快速且靜默地移動(dòng)，以避免觸發(fā)警報(bào)。”

　　然而，他發(fā)現(xiàn)大多數(shù)企業(yè)網(wǎng)絡(luò)安全團(tuán)隊(duì)測試的內(nèi)容卻大相徑庭。

　　“與此形成對比的是，模擬演練更多地依賴于假設(shè)或特定觸發(fā)條件，如主機(jī)感染惡意軟件的警報(bào)。雖然這仍然在測試IR(事件響應(yīng))的系統(tǒng)和流程，但一般不需要太多的批判性思維、探索和發(fā)現(xiàn)來展開場景，”Stoffer指出，“這導(dǎo)致SOC團(tuán)隊(duì)進(jìn)一步沿著他們熟悉和理解的路徑前進(jìn)，雖然作為演練仍然有幫助，但我認(rèn)為，通過采用更微妙和現(xiàn)實(shí)的攻擊方法來進(jìn)行演練，會(huì)獲得更多收獲。”

　　Forrester公司的副總裁兼首席分析師Jeff Pollard強(qiáng)調(diào)，聯(lián)系人員的細(xì)節(jié)往往被忽視。

　　“桌面推演的問題在于，我們試圖一次做太多事情，”Pollard說，他建議關(guān)注諸如“CISO正在飛機(jī)上，無法立即通話。我們需要與客戶溝通嗎?CEO需要參加多少個(gè)電話會(huì)議?我們能否讓首席運(yùn)營官(COO)代替參加一些?合作伙伴方面呢?”等問題。

　　Pollard也表達(dá)了關(guān)于備用手機(jī)問題的擔(dān)憂。“我們給每個(gè)人都買了備用手機(jī)，但我們知道它們在哪里嗎?它們充電了嗎?[工作人員]知道他們的備用手機(jī)號碼嗎?在全面系統(tǒng)故障的情況下，有人想到要準(zhǔn)備紙質(zhì)資料嗎?”

　　Info-Tech Research Group公司的技術(shù)顧問Erik Avakian發(fā)現(xiàn)，許多企業(yè)進(jìn)行桌面推演的動(dòng)機(jī)不正確。

　　“很多人一年只做一次，有時(shí)只是為了合規(guī)和保險(xiǎn)，只是走個(gè)形式，”Avakian說。他鼓勵(lì)CISO“真正把演練做起來”，并模擬實(shí)際攻擊的緊張程度、壓力和時(shí)間安排。“每個(gè)人都有崩潰的臨界點(diǎn)。我們需要了解這些。”

　　面向未來的攻擊場景

　　至于不知道該為哪種攻擊做準(zhǔn)備這一核心問題，Avakian建議利用內(nèi)部團(tuán)隊(duì)或合作伙伴來模擬最可能的攻擊途徑。為了節(jié)省成本，他鼓勵(lì)企業(yè)與大學(xué)合作進(jìn)行富有想象力的威脅規(guī)劃，并與特定行業(yè)的ISAC合作。

　　Comcast Business公司托管服務(wù)執(zhí)行董事Ivan Shefrin就他鼓勵(lì)演練聚焦的攻擊類型提出了具體建議。

　　“傳統(tǒng)培訓(xùn)演練往往側(cè)重于熟悉威脅或外圍攻擊，但我們看到攻擊者不斷找到入侵企業(yè)網(wǎng)絡(luò)的新方法。以低effort、drive-by式攻擊為例，它們僅需用戶訪問惡意網(wǎng)站，無需其他交互，完全繞過了安全意識(shí)培訓(xùn)，這就是為什么技術(shù)控制仍然至關(guān)重要。”Shefrin說。

　　“然后是高速、短時(shí)長的DDoS攻擊，它們探測并測試防御系統(tǒng)而不觸發(fā)警報(bào)。我們觀察到這類攻擊的使用有所增加，許多攻擊持續(xù)時(shí)間不到10秒，”他補(bǔ)充道，“我們還注意到地毯式DDoS攻擊激增，攻擊者同時(shí)將流量分散到多個(gè)IP地址或子網(wǎng)，使緩解措施復(fù)雜化。這類攻擊可以繞過針對單個(gè)IP的防御，同時(shí)從整體上壓垮網(wǎng)絡(luò)。”

　　FormerGov(一個(gè)由前政府和軍事專家組成的名錄)的執(zhí)行董事、前聯(lián)邦檢察官Brian Levine表示，CISO需要接受這樣一個(gè)事實(shí)，即這些桌面推演“將更多地是被動(dòng)應(yīng)對而非主動(dòng)預(yù)防，因?yàn)槲覀兛梢酝茰y接下來會(huì)發(fā)生什么，但我們可能會(huì)錯(cuò)”。

　　Levine給出的具體建議是，不要假設(shè)企業(yè)總是攻擊目標(biāo)。他說，要模擬不同全球合作伙伴遭受攻擊的場景。“當(dāng)合作伙伴遭受攻擊時(shí)你的選擇可能更有限，但你仍然有選擇。”

　　Levine還鼓勵(lì)CISO放松心態(tài)，不要因?yàn)闊o法測試所有場景而恐慌。“你不可能通過桌面推演測試所有場景，”他說，“但通過測試一些場景，你將建立肌肉記憶。”