每个安全团队都应进行的4种桌面演练

攻防
1月前

1712736275685696.jpg

任何组织都需要进行桌面演练,这些演练能够帮助解答关于他们对勒索软件、DDoS攻击、第三方风险以及内部威胁准备程度的关键问题。

确保企业免受漏洞侵害是安全团队的必要职能。同时也是网络保险供应商以及合规标准要求企业采取的最佳实践之一。在评估测试方式中,最流行的莫过于桌面演练,它帮助安全团队与公司管理层针对特定的威胁进行探讨,包含如何修复该威胁。

在这种模拟练习中,团队成员会讨论他们在紧急情况下,面对不同情境时的角色和反应,通常这需要一位协调者来引导。这不是一次实际的演习,而是为利益相关者提供一个机会,通过模拟危机情景来交流想法。

桌面演练的类型就同潜在的漏洞一样多样化,应该选择哪些模拟练习来进行测试就变成了组织需要考虑的问题?专家建议,桌面演练应该全年进行,并根据公司的风险轮廓进行轮换。然而,有些威胁却总是会出现在所有组织的风险列表中。以下是安全团队应该进行桌面演练的四种最常见的威胁:

 勒索软件

没有哪个组织能够完全避免勒索软件攻击,因为这对于犯罪分子来说是最有利可图的攻击方式之一。他们通常会无差别地选择攻击目标。除了最初的勒索要求外,攻击者还可能会试图对受害者及其商业伙伴、甚至是公司客户进行敲诈。2021年Cybereason的一项研究指出,支付过勒索软件酬金的公司有80%会被同一攻击者再次攻击,有时是相同的攻击方式,有时是后续的敲诈尝试。Akamai在2023年的一项研究表示,勒索软件的受害者在三个月内面临后续攻击的可能性是首次的六倍。

尽管2022年由于俄乌战争和新冠疫情的原因,勒索软件攻击数量有所下降,但2023年勒索软件的索赔量比2022年增长了50%。预计今年的勒索软件攻击数量将超过2023年。

企业可以通过进行网络攻击防御的桌面演练,来寻求识别和抵御勒索软件及其潜在后续敲诈攻击的策略。鉴于法规要求以及可能的法律及财务责任,除了安全团队外,法律、公关、财务、合规以及市场营销等其他部门的成员也应该参与到桌面演练中来。

为了进一步保护客户和业务伙伴不受初次攻击的影响,企业应当考虑以下问题。

• 是否所有的客户数据都进行了加密,以确保即使数据被盗,攻击者也无法使用?
• 客户数据是否存在一个独立的子网中,或者以其他的方式与主要的公司数据隔离?
• 如何保护商业伙伴数据,以确保在发生数据泄露时,商业伙伴的机密数据不会被用来进行敲诈?
• 有哪些策略可以用来防御基于人工智能的勒索软件攻击?
• 在演习中,现有的勒索软件抵御方案运行效果如何?
• 演练中的勒索软件抵御方案是如何确保公司系统的连续性的?有哪些地方可以改进?
• 可以使用什么方法来遏制攻击?
• 如果当前的备份受到损害,应急方案是什么?必须回溯多远才能找到一个未受损害的备份?
• 多久测试一次组织备份,以确认它们是否可以恢复且未被恶意软件感染?
• 监管合规所要求的上报勒索软件流程是什么样的?
• 安全团队如何与法务、营销以及通信等团队协调,来通知受影响方和媒体?

 第三方风险

根据Verizon 2022年数据泄露调查报告,62%的数据泄露事件都是通过第三方供应商途径发生的。实际上,该调查可能低估了第三方威胁,大概超过70%的数据泄露事件都涉及到第三方因素。TPRM(Third-party risk management,第三方风险管理)演习的参与者应包括来自关键下游业务伙伴的代表、网络保险供应商、执法机关及所有主要的利益相关方,通常还应包括董事会和高层管理人员。

供应链攻击虽然普遍存在,但它们在初始阶段常被误识别为勒索软件、高级持续性威胁或者其他网络安全事件。通常情况下,只有通过事后的专业取证和深入调查,安全专家们才能揭示出攻击实际是如何通过受信任的第三方进行的。

以下是一些建议纳入考虑的问题:

• 如何审查业务伙伴的通讯和数据传输以识别潜在威胁?
• 业务伙伴是否具有直接访问企业数据库的权限,还是说数据必须先经过潜在威胁筛查?
• 是否与业务伙伴有任何绕过现有安全控制或政策的操作,这可能会为恶意软件通过合作伙伴传播到公司内部创造漏洞?
• 如何确保来自下游二级和三级合作伙伴的数据是安全的,以防止这些数据进入内部网络或云环境时带来风险?是否对下游的供应链伙伴进行测试,还是仅对主要合作伙伴进行?
• 作为上游公司的第三方供应商,如何确保离开组织网络或云的数据不会将恶意软件传播给上游伙伴? 
• 为确保数据在转移给业务伙伴之前进行了恶意软件检测,组织设置了哪些政策和程序?
• 设置了哪些政策和程序来对潜在的业务伙伴进行审核,谁有权覆盖审核结果?
• 发现第三方存在安全漏洞时,有哪些修复程序能够在已被授权的伙伴访问公司资产之前解决这些问题?
• 是否对所有云服务实例进行了测试,以确保它们的配置正确并得到适当的保护?
• 公司是否对所有邮箱地址都进行了检查,以确保它们不属于已离职或已故员工,也不是未被使用的服务账户,并确保所有邮箱地址都获得了妥善的安全防护?

在某些情况下,即使是在一些看似“可靠”的代码仓库中下载数据,企业的代码库也仍会有被恶意软件感染的风险。例如,GitHub上的RepoJacking攻击就导致了数百万个仓库受到潜在威胁。以下是Aqua Security建议就GitHub(尽管这些问题适用于任何仓库泄露)回答的一些问题:

• 组织之前使用过的所有GitHub项目的组织名称是什么?
• 组织是否涉及过任何合并和收购?
• 代码中是否存在任何依赖项导致GitHub仓库容易受到RepoJacking的攻击?
• 是否有任何地方(文档、指南、Stack Overflow回答等)建议组织使用一个容易受到RepoJacking攻击的GitHub仓库?

 内部威胁

内部威胁主要分为两种类型:一类是故意破坏公司资产以获得个人、财务、政治或其他收益的恶意内部人员,另一类则是因缺乏知识或不经意间造成安全漏洞的人员,尽管他们并无恶意。前者涉及对公司的蓄意犯罪行为,而后者可能是由于员工失误或者员工为了工作需要而采取了看似合理的行动而无意中造成的漏洞,这种情况下可能并未构成犯罪。

在此类桌面演练场景中,以下问题有助于明确内部威胁是有意的还是无意的:

• 不论是通过电子邮件、电话还是视频呼叫,当收到请求转移公司资金时,有哪些安全控制措施?
• 由于技术能力的变化,安全和管理团队需要多久才会对这些控制措施进行一次重新评估和更新?
• 组织设置了哪些物理安全控制措施,来确保只有授权用户才能访问位于本地的计算资源?
• 对于远程用户对资产的访问(包括他们自己的电子邮件和数据存储),设有哪些安全控制措施?
• 有哪些工具可用来识别内部威胁?这些工具是否能够对潜在威胁进行恶意或非恶意的划分?
• 组织处理内部威胁的政策和程序是什么?
•内部威胁事件的法律和监管影响是什么?
•可以采取哪些步骤来减轻内部威胁的风险?

 分布式拒绝服务攻击

DDoS(distributed denial-of-service,分布式拒绝服务)攻击的目标很简单,就是使运营停止。2023年针对谷歌的攻击,峰值达到每秒近4亿个请求,可见企业在应对如今的僵尸网络大军时所面临的巨大潜在风险。

由于DDoS攻击几乎总是来自于外部网络,所以在准备针对DDoS保护桌面演练的企业需要就应急措施、早期识别和网络弹性等问题进行探讨。以下是一些示例:

• 攻击可以多快被识别和隔离?
• 在网络边界,有哪些措施和计划可用来抵御攻击?
• 在基础设施层面,有哪些防御措施可用来抵御同步(SYN)洪水和其他反射攻击?
• 在应用层面,有哪些防御措施可用来对抗HTTP请求洪水和类似的应用层攻击?
• 有哪些措施正在减少攻击面积,以减少攻击向量的数量?
• 网络如何被扩展以应对潜在的异常攻击?
• 组织的端点检测和响应配置是如何防御DDoS攻击的?并且多久测试一次?

尽管每个桌面演练都是独一无二的,会涉及到特定于企业目标的问题,但这些问题可以帮助安全团队梳理出他们的优先事项。一般来说,桌面演练的第一步是确定目标,然后这些问题将在最终的探讨中得到体现。

数世点评

相较于全面的模拟演习,桌面演练提供了一种成本效益更高、强度更低的方式,来帮助揭露企业在安全措施、应急响应计划、员工安全意识等方面的潜在薄弱环节。同时,桌面演练通过跨部门合作,有助于构建一种全员参与的安全文化,从而加强企业的整体安全防御能力。

在不断变化的网络安全威胁面前,桌面演练的重要性不容忽视,企业应将其作为常规安全实践的一部分,以确保业务的连续性以及数据的安全。

* 本文为茉泠编译,图片均来源于网络,无法联系到版权持有者。如有侵权,请与后台联系,做删除处理。

— 【 THE END 】—