四种实战和桌面演习 (TTX) 为网络攻击做好准备

为突发事件做准备，这说起来容易，做起来难。在网络攻击案例中，许多公司在防御和响应方面都存在漏洞，很显然，他们并没有为黑客入侵做好准备。许多组织从开展实战演习和桌面演习中获益良多，这些演习可以在各个级别测试公司的响应计划。除此之外，这些演习几乎可以明确地揭示出安全性、响应计划以及员工对自身职责的熟悉程度等多方面的问题。

当你最不期待看到网络攻击时，却总是会发生此类事件。而当它们发生时，又通常都是迅雷不及掩耳的态势。做出适当的响应不仅仅是网络安全团队的责任；组织中的每个人都可以发挥作用。您的团队准备好了吗？他们知道应该做什么和不应该做什么吗？最重要的是，您的整个团队都实践过响应计划吗？每个人——董事会、企业高管、经理和团队成员——都必须知道自身的角色和职责，并在实时网络攻击给组织造成巨大压力之前解决其响应过程中的任何潜在问题。

有一种简单的方法可以确定您的安全事件响应计划（IRP）是否有效，以及您的团队是否知道他们的角色：测试。然而，波耐蒙研究所（Ponemon Institute） 

的调查显示，有47％的受访组织尚未评估其安全事件响应团队的准备程度，这就意味着他们第一次测试自己的计划是否有效会是在最糟糕的时候——网络攻击进行时。在正式发动攻击前，攻击者会不断并持续地测试您的防御和响应策略，所以，您必须执行相同的操作。

在我们帮助全球各类公共和私人组织进行网络攻击防御的过程中，我们发现实战演习和桌面演习是为最坏的情况做准备的好方法。

实战和桌面演习（TTX）

试想一下发生车祸后的急诊室情况。当重伤患者到达时，急诊室工作人员必须确切地知道该怎么做以及如何去做。他们不能在危机发生的同时学习。C级领导和高层管理人员也是如此。为了确保他们在网络攻击期间保持一致并了解公司计划，他们需要提前练习并建立起如何应对的“肌肉记忆”。模拟场景可以帮助组织验证其计划可行性。

有效的参与可能需要数周的计划，并且在使用实际情况和场景时效果最佳。我们通常会制作视频来模仿在晚间新闻中受到批评的公司，让记者出现并要求采访CEO，或者打断记者招待会询问有关网络攻击的信息。我们甚至模拟了暗网，在其中，高管们可以看到他们最具价值的知识产权被拍卖给了出价最高的人，而他们的股价也受到影响急剧下跌。

有效参与的第一步是确保有明确的学习目标，并确定哪些网络攻击后果将对组织产生严重的负面影响。实战和桌面演习可以帮助企业组织确定需要解决的漏洞和风险，向组织证明风险的严重性以及安全资源和投资的重要性，并以帮助所有人做好准备的方式测试计划。几乎可以肯定会发生意料之外的事情。知道该怎么做有助于管理人员在意外情况真正发生时迅速有效地做出响应。

每种测试都有不同的用途。桌面演习是不定时的一种练习方式，测试管理能力和团队级别的响应能力；实战演习是定期的演习，测试人员、过程和技术，以确保他们做出适当的响应，并在第一线响应不起作用的情况下制定应急计划。如果支持组织的数字系统受到威胁，确定备用的通讯计划、运营计划、备份和紧急资源至关重要，因为这些备用资源可以回填，直至可以恢复正常的流程和系统。

如果没有这些测试，那么在主要系统遭到破坏的那一刻，组织非常容易受到任何可能的影响，并且可能导致重大业务中断，例如Santander银行、巴尔的摩市以及美国财务部最近所经历的那样。

4种有效的实战和桌面演习

那么您应该从哪开始呢？这取决于您要测试的对象。我们发现了如下4种最有效的实战和桌面演习：

上面列出的每种方法都能够测试公司计划的不同部分。

针对C级高管的桌面演习将帮助他们练习公司当前的响应计划。针对董事会的桌面演习也提供了类似的机会。

从最终结果来看，桌面和实战演习能够提高人们的安全意识，并围绕不同的角色在维护组织安全方面的重要性建立价值观、态度和信念。重要的是，每项测试都可以帮助公司找出他们的计划不起作用的原因，并且给出时间让他们修复该计划，然后再将其付诸实践。

您的组织可能会发现什么？

一项好的桌面演习能够使参与者沉浸在网络攻击中，以便他们可以切实地感受到他们做出的决策以及公司计划的有效性。大多数组织会在此过程中发现其计划存在的一些问题，例如：

计划不完善且难以管理：一家制造公司意识到他们的安全事件响应计划长达400页，但却没有人读过它。当股东和新闻记者向该公司询问相关问题时就会发现，其员工根本不知道该怎么办，而此时网络犯罪分子正在窃取大量数据或对您的计算机进行加密，以使员工无法工作。这时候再想起来阅读这400页文档（有效信息可能只有5-6页）以确定需要采取的措施，显然为时已晚。

知道应该与谁联系：在另一项演习案例中，应对危机的第一线解决方案是“致电Pat，他会检查软件并解决问题”，但是，只有一个人知道Pat是谁，而Pat本人并不知道这是他的职责。正是这种细节决定了演习的真正价值。 

新的意外风险：有些时候，这些测试可以使公司意识到他们从未考虑过的风险。在2018年，我们进行了多次桌面演习，其中演习场景包括多个组织范围外的物理位置，使得该组织不得不迁移到“居家办公”场景。没想到的是，我们的演习场景竟在2年后变成了现实，尽管当时并没有人意识到后来的新冠疫情导致全球迁移至“居家办公”模式。

业务连续性以外的影响：桌面演习是突出业务连续性以外影响的有用工具。在一个非常大型的金融机构中，我们创建了一个演习场景，使客户对与该组织开展业务失去信心。一位C级高管在演习过程中叫停了活动并说道，“我们意识到他（假装成网络罪犯的桌面演习协助者）只是通过一种可能的情况就成功摧毁了我们的公司！我们需要在网络安全方面投入更多。”

投资网络安全的动机：在Osterman Research的最新研究中，有45％的受访者表示，使用桌面演习之后，他们能够增加其安全预算。这笔预算中的大部分用于采购其他解决方案和培训其员工。这项研究还表明，有78％的网络安全专业人员认为他们的桌面和实战演习帮助企业组织更好地做好了准备，以应对未来的网络威胁。

您的组织接下来应该做什么？

使用外部资源创建和进行实战演习或桌面演习可以增加收益。内部设计的练习通常缺少令人意外和惊讶的场景以及干预措施。创建响应计划后，内部团队成员很难去设想出一些意想不到的事情。此外，团队成员可能难以挑战同事和高管们，导致演习难以进行或发挥不出效果。寻找细节并发现计划中的缺陷对于内部人员来说可能存在职业的限制，但这又是有效练习必须实现的目的。外部领导者并不存在这些问题。

当然，虽说引入外部人员有很多好处，而且我们认为这也是值得投资的，但是实力不具备的企业同样可以自行组织这些测试。以下是一些用于创建和进行自己练习的最佳实践：

1. 选择合适的人员参与。提前安排会议，并让高管知道这是强制性的。让每个人待在同一个房间或进行Zoom通话2～4小时可能是一个挑战。

2为您的组织制定一个可能的方案时间表，并仔细共享信息。选择一种对您的组织类型而言最有可能发生的网络攻击，因为这种练习可能更加真实也更具吸引力。确定网络攻击是否会持续数小时、数天或数周，并确保您传达出如何在练习中加快速度的信息。真正的攻击会随着时间不断推进，因此事件的发展对于演习十分重要。在时间轴上的每个时间点，参与者都必须根据所掌握的信息做出最佳决策。不要在任何给定时间向参与者提供他们想要的所有信息。这有助于他们了解在实际事件中需要了解的内容。

3. 创建场景让团队的每个成员都能发挥作用。告诉别人应该做什么非常容易，但有时候这会让他们没动力去思考自己应该做什么。响应计划通常具有针对特定角色的活动（例如CEO应该做什么？CIO应该做什么？CHRO应该做什么等等）。如果可能，请提前与团队共享完整的组织响应计划，以便他们知道该计划的存在（并希望他们阅读该计划）。创建一个针对每个参与者定制的缩写版本，其中仅包含该参与者的角色和职责，以帮助他们尽可能地做好准备。

4. 在时间轴的每个暂停处讨论行动计划。在告诉参与者一个场景后，给他们一个机会，讨论他们会建议做什么。询问他们所做的事情是否符合公司安全事件响应计划或是否属于即兴发挥。如果建议是即兴发挥的，那么询问他们是因为公司安全事件响应计划存在缺陷，应该改进吗？重要的是，在此过程中，需要有人记笔记，以免这些讨论中的想法丢失。

在完整团队合作前进行练习。最佳实践已经过深思熟虑，可以测试组织当前的响应计划和即兴建议。为此，请与每位高管在办公室或私人通话中私下进行一次简短的桌面演习。按照当前的响应计划中的说明，让他们了解他们的角色，这样可以避免高管因为害怕尴尬而不参加小组练习的情况。尽管演习能够带来非常显著的效果，但是没有提前准备好，就往往会适得其反，并导致指责、中途离场或其他情绪激动的行为。

根据进行过实战和桌面演习的公司所言，他们既为网络危机做好了充分的准备，而且在面对紧急情况时更能发挥团队凝聚力。桌面演习的成本优势可以很快实现——结果是提高了响应的敏捷性和效率，从而减少攻击对企业造成的财务影响。现在，是时候安排您的团队进行演习课程了！

原文链接：

https://hbr.org/2021/03/cyberattacks-are-inevitable-is-your-company-prepared

声明：本文来自安全内参，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。