信息化观察网

本文来自GoUpSec。

桌面演练（推演）是一种重要的安全演习形式，参演人员利用演练方案、流程图、计算机模拟、视频会议等辅助手段，针对事先假定的演练情景，讨论和推演应急决策及现场处置，从而促使相关人员掌握应急预案所规定的职责和程序，提高指挥决策和协同配合能力。

企业往往需要基于风险态势全年进行桌面演练并轮换主题，但是面对日益增长的漏洞和威胁，企业安全团队应该优先选择哪些威胁进行测试？

以下是2024年安全团队需要重点桌面演练的四个最常见威胁：

一、勒索软件攻击

勒索软件攻击依然是企业面临的最大威胁之一。除了最初的赎金要求之外，攻击者还可能会进一步勒索受害者及其商业伙伴和客户。据2021年的一项研究，80%支付赎金的公司在之后会再次遭到同一攻击者的攻击。2023年的一项研究表明，勒索软件受害者在三个月内再次遭受攻击的可能性是未受害者的六倍。

尽管2022年勒索软件攻击有所减少，但德锐索尔网络保险经纪公司网络风险责任副总裁DavidAnderson指出，2023年的勒索软件索赔金额比2022年增长了50%。预计今年的勒索软件攻击将比2023年更多。

企业可通过桌面演练寻找识别和缓解勒索软件攻击的方法。由于监管要求和潜在的法律和财务责任，安全部门以外的利益相关者也应该参与其中，例如法律、公关、财务、合规和营销部门的人员。

以下是进行勒索软件攻击桌面演练时安全团队需要重点关注的问题：

• 是否所有客户数据都经过加密，以确保即使数据被盗，对攻击者来说也毫无用处？
• 客户数据是否位于单独的子网上或以其他方式与主要公司数据隔离？
• 如何保护业务合作伙伴的数据，以确保在发生违规行为时，业务合作伙伴的机密数据不会被用于勒索目的？
• 有哪些策略可以防御人工智能(AI)驱动的勒索软件攻击？
• 现有勒索软件防御计划在演习期间的效果如何？
• 实施后的勒索软件计划如何确保公司系统的连续性？有什么可以改进的地方？
• 您可以使用什么方法来遏制攻击？
• 如果您当前的备份受到损害，您的应急计划是什么？您必须追溯到多久之前才能找到未受损的备份？
• 您多久测试一次备份，看看它们是否可恢复且未被恶意软件破坏？
• 报告勒索软件攻击以满足监管合规性的流程是什么？
• 安全部门如何与法律、营销和沟通团队协调以通知受影响方和媒体？

二、第三方风险

根据Verizon 2022年数据泄露调查报告，62%的数据泄露都与第三方供应商有关。Forrester高级研究分析师AllaValente去年表示，这项调查可能低估了第三方威胁，或许超过70%的数据泄露都涉及第三方因素。

在第三方风险管理(TPRM)演练中，参与者应包括来自关键下游业务合作伙伴（为企业提供商品和服务的合作伙伴）、网络安全保险供应商、执法部门以及所有主要利益相关者（通常包括董事会和高级管理层）的代表。

供应链攻击无处不在，但通常会被误判，例如将攻击错误识别为勒索软件、高级持续性威胁或其他网络威胁。通常需要取证团队在事后调查中才能确定攻击来自受信赖的第三方。

以下是第三方风险演练中应该涉及的重点问题：

• 对业务合作伙伴的通信和数据传输是否存在潜在威胁的审查情况如何？
• 业务合作伙伴是否可以直接访问企业的数据库，或者数据是否首先经过潜在威胁的筛选？
• 是否与合作伙伴开展了任何绕过现有安全控制或策略的操作，从而为恶意软件从合作伙伴传递到企业造成潜在漏洞？
• 制定了哪些政策和程序来确保下游的二级和三级合作伙伴提供最终进入您的网络或云的不受影响的数据？您测试下游供应链合作伙伴还是仅测试主要合作伙伴？
• 许多企业是上游公司的第三方供应商，因为他们使用进行桌面练习的公司提供的数据和服务。如何测试离开公司网络或云的数据以确保没有恶意软件感染上游合作伙伴？
• 制定了哪些政策和程序来确保公司网络或云中存在的任何数据在传输给业务合作伙伴之前都经过恶意软件分析？
• 有哪些政策和程序来审查潜在的业务合作伙伴以及谁有权否决审查过程的结果？
• 如果发现第三方存在漏洞，在合作伙伴有权访问公司资产之前，需要采取哪些程序来修复该问题？
• 是否测试了所有云实例以确保它们得到正确配置和保护？
• 是否测试了所有公司电子邮件地址，以确保没有一个地址属于前任或已故员工或未使用的服务帐户，并且所有电子邮件地址都得到适当的保护？

三、内部威胁

内部威胁主要分为两种类型：恶意内部人员出于个人、财务、政治或其他利益故意损害公司资产的人员，以及无意中或因缺乏知识而造成安全漏洞的人员（并非恶意）。

以下是一些可以在桌面演练中提出的问题，帮助识别内部威胁是恶意还是疏忽：

• 当提出转移公司资金的特定请求时，无论请求是通过电子邮件、电话还是视频通话提出，都会采取哪些安全控制措施？
• 由于技术能力的变化，安全和管理团队多久重新评估和更新这些控制措施？
• 采取了哪些物理安全控制措施来确保只有授权用户才能访问本地计算资产？
• 远程用户访问任何资产（包括他们自己的电子邮件和数据存储）时采取了哪些安全控制措施？
• 您有哪些工具来识别内部威胁？这些工具是否能够将潜在威胁分类为恶意或非恶意？
• 组织处理内部威胁的政策和程序是什么？
• 内部威胁事件的法律和监管影响是什么？
• 可以采取哪些步骤来减轻内部威胁的风险？

四、分布式拒绝服务攻击(DDoS)

分布式拒绝服务(DDoS)攻击的唯一目的就是瘫痪运营。2023年针对谷歌的攻击峰值接近每秒4亿个请求，展示了企业在防御当今僵尸网络大军时面临的巨大挑战。

由于DDoS攻击几乎都是来自网络外部，因此准备针对DDoS防护的桌面演练的企业需要询问有关应急措施、早期识别和网络弹性方面的问题，例如：

• 识别和隔离DDoS攻击的时间周期？
• 制定了哪些计划来减轻攻击，特别是在网络边缘？
• 基础设施层采取了哪些防御措施来防御同步(SYN)洪水和其他反射攻击？
• 应用程序层针对HTTP请求洪水和类似的基于应用程序的攻击采取了哪些防御措施？
• 正在采取哪些措施来减少攻击面和攻击媒介的数量？
• 如何扩展网络以应对潜在的异常攻击？
• 端点检测和响应如何配置以防御DDoS攻击？多久测试一次？