本文來自GoUpSec。
桌面演練(推演)是一種重要的安全演習(xí)形式,參演人員利用演練方案、流程圖、計算機模擬、視頻會議等輔助手段,針對事先假定的演練情景,討論和推演應(yīng)急決策及現(xiàn)場處置,從而促使相關(guān)人員掌握應(yīng)急預(yù)案所規(guī)定的職責(zé)和程序,提高指揮決策和協(xié)同配合能力。
企業(yè)往往需要基于風(fēng)險態(tài)勢全年進(jìn)行桌面演練并輪換主題,但是面對日益增長的漏洞和威脅,企業(yè)安全團(tuán)隊?wèi)?yīng)該優(yōu)先選擇哪些威脅進(jìn)行測試?
以下是2024年安全團(tuán)隊需要重點桌面演練的四個最常見威脅:
一、勒索軟件攻擊
勒索軟件攻擊依然是企業(yè)面臨的最大威脅之一。除了最初的贖金要求之外,攻擊者還可能會進(jìn)一步勒索受害者及其商業(yè)伙伴和客戶。據(jù)2021年的一項研究,80%支付贖金的公司在之后會再次遭到同一攻擊者的攻擊。2023年的一項研究表明,勒索軟件受害者在三個月內(nèi)再次遭受攻擊的可能性是未受害者的六倍。
盡管2022年勒索軟件攻擊有所減少,但德銳索爾網(wǎng)絡(luò)保險經(jīng)紀(jì)公司網(wǎng)絡(luò)風(fēng)險責(zé)任副總裁DavidAnderson指出,2023年的勒索軟件索賠金額比2022年增長了50%。預(yù)計今年的勒索軟件攻擊將比2023年更多。
企業(yè)可通過桌面演練尋找識別和緩解勒索軟件攻擊的方法。由于監(jiān)管要求和潛在的法律和財務(wù)責(zé)任,安全部門以外的利益相關(guān)者也應(yīng)該參與其中,例如法律、公關(guān)、財務(wù)、合規(guī)和營銷部門的人員。
以下是進(jìn)行勒索軟件攻擊桌面演練時安全團(tuán)隊需要重點關(guān)注的問題:
- 是否所有客戶數(shù)據(jù)都經(jīng)過加密,以確保即使數(shù)據(jù)被盜,對攻擊者來說也毫無用處?
- 客戶數(shù)據(jù)是否位于單獨的子網(wǎng)上或以其他方式與主要公司數(shù)據(jù)隔離?
- 如何保護(hù)業(yè)務(wù)合作伙伴的數(shù)據(jù),以確保在發(fā)生違規(guī)行為時,業(yè)務(wù)合作伙伴的機密數(shù)據(jù)不會被用于勒索目的?
- 有哪些策略可以防御人工智能(AI)驅(qū)動的勒索軟件攻擊?
- 現(xiàn)有勒索軟件防御計劃在演習(xí)期間的效果如何?
- 實施后的勒索軟件計劃如何確保公司系統(tǒng)的連續(xù)性?有什么可以改進(jìn)的地方?
- 您可以使用什么方法來遏制攻擊?
- 如果您當(dāng)前的備份受到損害,您的應(yīng)急計劃是什么?您必須追溯到多久之前才能找到未受損的備份?
- 您多久測試一次備份,看看它們是否可恢復(fù)且未被惡意軟件破壞?
- 報告勒索軟件攻擊以滿足監(jiān)管合規(guī)性的流程是什么?
- 安全部門如何與法律、營銷和溝通團(tuán)隊協(xié)調(diào)以通知受影響方和媒體?
二、第三方風(fēng)險
根據(jù)Verizon 2022年數(shù)據(jù)泄露調(diào)查報告,62%的數(shù)據(jù)泄露都與第三方供應(yīng)商有關(guān)。Forrester高級研究分析師AllaValente去年表示,這項調(diào)查可能低估了第三方威脅,或許超過70%的數(shù)據(jù)泄露都涉及第三方因素。
在第三方風(fēng)險管理(TPRM)演練中,參與者應(yīng)包括來自關(guān)鍵下游業(yè)務(wù)合作伙伴(為企業(yè)提供商品和服務(wù)的合作伙伴)、網(wǎng)絡(luò)安全保險供應(yīng)商、執(zhí)法部門以及所有主要利益相關(guān)者(通常包括董事會和高級管理層)的代表。
供應(yīng)鏈攻擊無處不在,但通常會被誤判,例如將攻擊錯誤識別為勒索軟件、高級持續(xù)性威脅或其他網(wǎng)絡(luò)威脅。通常需要取證團(tuán)隊在事后調(diào)查中才能確定攻擊來自受信賴的第三方。
以下是第三方風(fēng)險演練中應(yīng)該涉及的重點問題:
- 對業(yè)務(wù)合作伙伴的通信和數(shù)據(jù)傳輸是否存在潛在威脅的審查情況如何?
- 業(yè)務(wù)合作伙伴是否可以直接訪問企業(yè)的數(shù)據(jù)庫,或者數(shù)據(jù)是否首先經(jīng)過潛在威脅的篩選?
- 是否與合作伙伴開展了任何繞過現(xiàn)有安全控制或策略的操作,從而為惡意軟件從合作伙伴傳遞到企業(yè)造成潛在漏洞?
- 制定了哪些政策和程序來確保下游的二級和三級合作伙伴提供最終進(jìn)入您的網(wǎng)絡(luò)或云的不受影響的數(shù)據(jù)?您測試下游供應(yīng)鏈合作伙伴還是僅測試主要合作伙伴?
- 許多企業(yè)是上游公司的第三方供應(yīng)商,因為他們使用進(jìn)行桌面練習(xí)的公司提供的數(shù)據(jù)和服務(wù)。如何測試離開公司網(wǎng)絡(luò)或云的數(shù)據(jù)以確保沒有惡意軟件感染上游合作伙伴?
- 制定了哪些政策和程序來確保公司網(wǎng)絡(luò)或云中存在的任何數(shù)據(jù)在傳輸給業(yè)務(wù)合作伙伴之前都經(jīng)過惡意軟件分析?
- 有哪些政策和程序來審查潛在的業(yè)務(wù)合作伙伴以及誰有權(quán)否決審查過程的結(jié)果?
- 如果發(fā)現(xiàn)第三方存在漏洞,在合作伙伴有權(quán)訪問公司資產(chǎn)之前,需要采取哪些程序來修復(fù)該問題?
- 是否測試了所有云實例以確保它們得到正確配置和保護(hù)?
- 是否測試了所有公司電子郵件地址,以確保沒有一個地址屬于前任或已故員工或未使用的服務(wù)帳戶,并且所有電子郵件地址都得到適當(dāng)?shù)谋Wo(hù)?
三、內(nèi)部威脅
內(nèi)部威脅主要分為兩種類型:惡意內(nèi)部人員出于個人、財務(wù)、政治或其他利益故意損害公司資產(chǎn)的人員,以及無意中或因缺乏知識而造成安全漏洞的人員(并非惡意)。
以下是一些可以在桌面演練中提出的問題,幫助識別內(nèi)部威脅是惡意還是疏忽:
- 當(dāng)提出轉(zhuǎn)移公司資金的特定請求時,無論請求是通過電子郵件、電話還是視頻通話提出,都會采取哪些安全控制措施?
- 由于技術(shù)能力的變化,安全和管理團(tuán)隊多久重新評估和更新這些控制措施?
- 采取了哪些物理安全控制措施來確保只有授權(quán)用戶才能訪問本地計算資產(chǎn)?
- 遠(yuǎn)程用戶訪問任何資產(chǎn)(包括他們自己的電子郵件和數(shù)據(jù)存儲)時采取了哪些安全控制措施?
- 您有哪些工具來識別內(nèi)部威脅?這些工具是否能夠?qū)撛谕{分類為惡意或非惡意?
- 組織處理內(nèi)部威脅的政策和程序是什么?
- 內(nèi)部威脅事件的法律和監(jiān)管影響是什么?
- 可以采取哪些步驟來減輕內(nèi)部威脅的風(fēng)險?
四、分布式拒絕服務(wù)攻擊(DDoS)
分布式拒絕服務(wù)(DDoS)攻擊的唯一目的就是癱瘓運營。2023年針對谷歌的攻擊峰值接近每秒4億個請求,展示了企業(yè)在防御當(dāng)今僵尸網(wǎng)絡(luò)大軍時面臨的巨大挑戰(zhàn)。
由于DDoS攻擊幾乎都是來自網(wǎng)絡(luò)外部,因此準(zhǔn)備針對DDoS防護(hù)的桌面演練的企業(yè)需要詢問有關(guān)應(yīng)急措施、早期識別和網(wǎng)絡(luò)彈性方面的問題,例如:
- 識別和隔離DDoS攻擊的時間周期?
- 制定了哪些計劃來減輕攻擊,特別是在網(wǎng)絡(luò)邊緣?
- 基礎(chǔ)設(shè)施層采取了哪些防御措施來防御同步(SYN)洪水和其他反射攻擊?
- 應(yīng)用程序?qū)俞槍TTP請求洪水和類似的基于應(yīng)用程序的攻擊采取了哪些防御措施?
- 正在采取哪些措施來減少攻擊面和攻擊媒介的數(shù)量?
- 如何擴(kuò)展網(wǎng)絡(luò)以應(yīng)對潛在的異常攻擊?
- 端點檢測和響應(yīng)如何配置以防御DDoS攻擊?多久測試一次?