CISO必读：重构应急演练，避免57%未演习安全事件

首页

科技

热心网友

转载

2025-10-30

网络事件响应管理报告显示，超过半数的重大网络安全事件都源于企业未曾预料的攻击类型，这揭示了一个普遍存在的隐患：许多企业的桌面推演演练往往与现实脱节，流于形式化，缺乏实战针对性。

根据《Cytactic 2025年网络事件响应管理(CIRM)报告》（该报告对480位美国网络安全高层领导进行了调查，其中包括165位CISO的数据显示，57%这一数字“暴露出了当前防御体系的薄弱环节”。尽管企业通常会针对勒索软件等已知威胁开展培训，但这些事件恰恰说明，真正造成安全混乱的往往来自意料之外的攻击途径。

报告进一步指出，如果安全团队不能持续更新推演内容，将难以应对层出不穷的新型威胁。“演练的真正价值在于确保其内容与企业面临的实际风险高度契合”，报告强调，“通过构建针对企业行业特性、部门职能和威胁特征量身定制的模拟场景，这样的演练将超越单纯的技术演习，成为整个企业协同应对危机的关键工具。

分析师和网络安全顾问发现，企业在开展桌面推演及其他准备演练时存在诸多问题——从演练内容脱离实际业务，到测试那些看似严重却不太可能发生的攻击场景，问题可谓不一而足。

一位不愿具名的顾问举例说明，在最近一次桌面推演中，企业为所有相关人员配置了备用手机，以便在攻击者监控常规通信时保持联络畅通。

然而在这次演练过程中，管理层坚持要求参与者实际使用备用设备，结果却发现许多员工花费大量时间才找到手机，因为他们根本记不清设备存放的具体位置。

在另一个典型案例中，安全运营中心(SOC)人员找到了在发生数据泄露时需要联系的人员名单，但当CISO坚持要求团队通过实际拨打电话、发送短信或邮件来联系这些人时，他们发现不少电话号码或联系地址早已停用。

“想要针对所有可能的攻击做好万全准备确实不现实，”Moor Insights & Strategy公司副总裁兼首席分析师Will Townsend表示，“虽然可以制定周全的应对计划，但如果遇到邮件被退回，或是找不到备用设备的情况，整个应急响应就会陷入困境。”

聚焦小规模攻击的角色扮演

安全供应商Corelight的首席技术官Vincent Stoffer建议，CISO应该更多关注那些不易察觉的数据窃取行为，而非仅仅防范大规模攻击事件。

“许多桌面推演过分侧重于自上而下的技术要素，并且过度关注戏剧性数据泄露事件，而忽略了现实中攻击者采取的实际战术，”Stoffer指出，并补充说明，无论攻击规模大小，大多数网络犯罪分子都偏好采用不易被察觉的隐蔽手段。

“攻击者更常通过横向移动或静默数据窃取等隐蔽行为得手，而这些行为在模拟演练中往往没有得到充分体现。”他进一步解释，攻击者“会采用任何能达成目的的方法，通常是寻找安全防护中最薄弱的环节——可能是暴露在外的活动目录、身份验证服务器，或是存储个人身份信息(PII)的数据集。他们可能会非常缓慢且有條不紊地行动，以避免触发告警机制。”

然而他发现，大多数企业网络安全团队测试的演练内容却与现实严重脱节。

“与此形成鲜明对比的是，许多模拟训练仍过度依赖预设条件或特定触发规则，例如主机感染恶意软件时的系统告警。虽然这确实在测试事件响应(IR)的系统和流程，但一般不需要太多批判性思维、探索和发现来开展场景，”Stoffer指出，“这导致SOC团队沿着他们熟悉和理解的道路前进，虽然作为演练仍有帮助，但我认为，通过采用更贴近真实攻击手法的演练方式，团队将获得更具价值的实战经验。”

Forrester公司副总裁兼首席分析师Jeff Pollard强调，应急响应中的人员联络细节往往被忽视。

“桌面推演的问题在于，我们总是试图一次性涵盖太多场景，”Pollard表示，他建议重点关注诸如“CISO正在航班上无法立即通话，我们需要与客户沟通吗？CEO需要参加多少个电话会议？我们能否让首席运营官(COO)代为参加部分会议？合作方该如何配合？”等具体问题。

Pollard也对备用手机的使用问题表达了担忧。“我们给每个人都配备了备用设备，但我们真的清楚这些设备的具体存放位置吗？它们是否都保持充电状态？相关人员是否清楚自己的备用手机号码？在全面系统故障的情况下，有人想到需要准备纸质联络清单吗？”

Info-Tech Research Group公司的技术顾问Erik Avakian发现，许多企业进行桌面推演的动机存在偏差。

“很多人一年只做一次演练，有时仅仅是为了满足合规和保险要求，纯粹是走个形式，”Avakian说。他鼓励CISO“真正把演练做实”，通过模拟真实攻击的紧张程度、压力水平和时间安排，让参与者体验真实的应急响应状态。“每个人都有自己的压力临界点，我们需要真正了解这些关键细节。”