網(wǎng)絡(luò)威脅不會消失，CISO們深知僅靠預(yù)防是遠遠不夠的。做好準備以應(yīng)對威脅同樣重要。網(wǎng)絡(luò)危機模擬便是一種測試準備情況的方法。它們能讓團隊在可控環(huán)境中經(jīng)歷現(xiàn)實世界中的場景，從而暴露出漏洞和不足之處，并指明哪些方面需要加強。這是在真正的攻擊發(fā)生之前，切實強化應(yīng)急計劃的一種途徑。

預(yù)算在增加，壓力也隨之上升

Hack The Box最近的一項調(diào)查顯示，74%的CISO計劃在今年增加網(wǎng)絡(luò)危機模擬的年度預(yù)算，這一趨勢是由2024年發(fā)生的一系列備受矚目的事件所推動的。許多企業(yè)發(fā)現(xiàn)，當面臨真實世界的攻擊時，它們的應(yīng)對流程會崩潰。結(jié)果是警報被遺漏、決策緩慢、溝通不暢，以及聲譽受損。

“不善于管理公眾輿論會影響收入、股價、聲譽和客戶關(guān)系。開展全公司范圍內(nèi)的網(wǎng)絡(luò)模擬是一種方式，能夠證明企業(yè)已經(jīng)盡一切可能做好了準備，”沉浸式網(wǎng)絡(luò)演練與恢復(fù)部高級總監(jiān)丹·波特解釋道。

模擬整個業(yè)務(wù)，而不僅僅是IT

一次數(shù)據(jù)泄露不僅影響系統(tǒng)，還會波及客戶、合作伙伴和監(jiān)管機構(gòu)。這意味著業(yè)務(wù)領(lǐng)導(dǎo)者需要參與到模擬中來。

如今最有效的模擬包括全體高管的參與，通常會使用平臺來模擬端到端的危機。一些平臺允許CISO、法務(wù)部門、首席財務(wù)官和公關(guān)團隊實時參與數(shù)據(jù)泄露場景，在模擬的壓力下做出決策。這些演練不僅測試系統(tǒng)，還測試公司文化和協(xié)調(diào)能力。

不要忽視人的因素

危機模擬還提供了一個觀察團隊如何在壓力下工作的機會。它們應(yīng)該被用來測試流程、發(fā)現(xiàn)壓力點，并增強韌性。高績效團隊在壓力下相互信任且溝通順暢。

安全分析師的倦怠是一個日益嚴重的問題，尤其是在繁忙的安全運營中心(SOC)環(huán)境中。長時間的工作、不斷的警報、重復(fù)的任務(wù)和高壓力水平會隨著時間的推移而逐漸產(chǎn)生負面影響。這種影響體現(xiàn)在身心健康上——疲勞、頭痛、睡眠障礙、焦慮和甚至抑郁。對于CISO來說，這不僅僅是一個人力資源問題。它是對團隊表現(xiàn)和長期實力的一種威脅。

一些企業(yè)現(xiàn)在將心理健康意識和工作量檢查納入其危機預(yù)案中。對于CISO來說，這是一種思維方式的轉(zhuǎn)變：成功不僅僅是快速響應(yīng)，而是在長時間內(nèi)保持持續(xù)的性能。

“網(wǎng)絡(luò)安全團隊承受著巨大的壓力，知道下一次數(shù)據(jù)泄露可能就在眼前。這種壓力水平會影響團隊在危機發(fā)生時有效應(yīng)對的能力。為了改善危機應(yīng)對，企業(yè)應(yīng)該特別考慮在危機規(guī)劃中納入心理健康因素，承認增加的壓力和倦怠會損害安全團隊的整體表現(xiàn)。”Hack The Box的CEO哈里斯·皮拉里諾斯說道。

“CISO在制定人才發(fā)展戰(zhàn)略時采取全面方法至關(guān)重要。網(wǎng)絡(luò)安全領(lǐng)域的壓力、倦怠和心理健康正處于歷史最高水平。為團隊提供定期培訓(xùn)、舉行匯報會，以及在培訓(xùn)和演練期間及之后協(xié)助識別倦怠癥狀，可以幫助團隊變得更加有韌性和自信，”皮拉里諾斯總結(jié)道。

進行模擬的好處

• 發(fā)現(xiàn)弱點：模擬能夠暴露出技術(shù)防御和人為響應(yīng)的漏洞，使企業(yè)能夠主動應(yīng)對脆弱性。
• 增強協(xié)調(diào)：它們促進部門間更好的協(xié)作，確保在事件發(fā)生時能夠統(tǒng)一應(yīng)對。
• 建立信心：定期的演練能夠建立肌肉記憶，使團隊能夠在壓力下迅速而有效地作出響應(yīng)。
• 合規(guī)性：許多行業(yè)要求定期測試事件響應(yīng)計劃;模擬有助于滿足這些合規(guī)標準。

“過去，僅通過風險矩陣進行風險識別并將其記錄在描述威脅及其發(fā)生可能性的電子表格中便足夠了，”Sophos亞太地區(qū)和日本地區(qū)的CISO亞倫·布加爾說道。“然而，看到勒索軟件造成的影響以及隨后勒索要求讓高管團隊和董事會成員措手不及，這凸顯出他們對網(wǎng)絡(luò)犯罪分子無處不在的程度及其抓住的機會缺乏了解?！?/p>

為了超越理論規(guī)劃，布加爾提倡進行數(shù)據(jù)泄露模擬作為實際前進的一步?！耙淮螖?shù)據(jù)泄露模擬將使你能夠制定出你和你的企業(yè)所要求的簡明且經(jīng)過充分衡量的響應(yīng)行動，”他解釋道。召集各部門高管有助于發(fā)現(xiàn)準備工作中的不足?！芭c各部門高管、董事會成員、人力資源、IT、安全、法務(wù)和公關(guān)人員坐在一起，共同梳理出高效應(yīng)對所需的程序、職責和資源?！?/p>

通過提前進行這些演練，企業(yè)可以避免實時危機管理的混亂局面?！澳M提供了一種結(jié)構(gòu)化的方法來構(gòu)建和完善數(shù)據(jù)泄露響應(yīng)方案，同時演練并發(fā)現(xiàn)需要改進的地方，”布加爾補充道，“而不是在活躍攻擊的壓力下學(xué)習(xí)和恐慌?！?/p>

如何運行有效的模擬

為了最大化網(wǎng)絡(luò)危機模擬的效益，請考慮以下策略：

• 開發(fā)逼真的場景：設(shè)計反映當前威脅態(tài)勢且與你企業(yè)的運營相關(guān)的場景。
• 召集跨部門團隊：納入來自IT、法務(wù)、溝通和高層領(lǐng)導(dǎo)等部門的成員，以確保全面應(yīng)對。
• 設(shè)定明確目標：為每次模擬定義你想要實現(xiàn)的目標，無論是測試特定協(xié)議還是改善部門間溝通。
• 融入現(xiàn)實世界工具：利用提供逼真、親身實踐體驗的平臺。例如，某些模擬器能夠使包括CEO、首席財務(wù)官、CISO和法務(wù)部門在內(nèi)的管理層在模擬網(wǎng)絡(luò)危機期間實時協(xié)作，提升決策能力并測試危機響應(yīng)預(yù)案。
• 總結(jié)復(fù)盤并迭代：每次演練結(jié)束后，進行一次徹底的復(fù)盤，討論哪些措施有效、哪些無效，以及流程如何改進。

Cloud Range的CEO黛比·戈登強調(diào)，成功的網(wǎng)絡(luò)危機模擬取決于CISO們通常忽視的幾個關(guān)鍵要素。首先，在所有團隊成員中明確界定角色至關(guān)重要。每位參與者都應(yīng)提前了解自己的職責，從安全團隊到溝通專家，這樣在危機發(fā)生時便不會出現(xiàn)歧義。其次，盡可能使模擬逼真。模擬不應(yīng)為了舒適而被淡化或削弱——它們需要反映真實世界數(shù)據(jù)泄露的復(fù)雜性。如果參與者只獲得了部分事實，或者覺得因為是演練所以可以“跳過”某些行動，那么演練就會失去價值。第三，CISO們必須確保沒有懈怠的空間。避免“這不是真的，所以我們不需要像在真正的危機中那樣行動”的心態(tài)。每項行動都應(yīng)以同樣的緊迫性和嚴謹性來執(zhí)行。最后，確保有可行的結(jié)果和后續(xù)跟進。模擬的價值在于從中吸取教訓(xùn)。之后，進行復(fù)盤、跟蹤改進并優(yōu)化事件響應(yīng)計劃，以確保下一次危機響應(yīng)更加有效。

在危機中，協(xié)調(diào)優(yōu)于運氣

CISO們無法控制事件發(fā)生的時間。但他們可以控制團隊應(yīng)對的準備程度。

網(wǎng)絡(luò)危機模擬無法阻止攻擊，但它們能夠決定結(jié)果。有了適當?shù)脑O(shè)計、頻率和參與，模擬可以將混亂轉(zhuǎn)化為協(xié)調(diào)。在2025年，協(xié)調(diào)至關(guān)重要。