每个安全团队都应进行的 4 个安全演练

每个组织都应该进行安全演练，回答有关勒索软件和分布式拒绝服务(DDoS)攻击、第三方风险和内部威胁相关的关键问题。确保企业免受漏洞的影响是安全团队的基本职能。它也是网络安全供应商的最佳实践，同时也是为了满足合规要求。安全演练是一种受欢迎的评估测试，允许安全团队和企业管理层选择一个威胁，然后控制和补救威胁的过程。

在安全演练中，一个团队会讨论他们在不同场景下的角色和应对，通常由一名负责人担任。这不是全面演习，而是利益相关者讨论模拟危机的机会。

你应该选择哪些测试？安全演练的数量与潜在漏洞的数量一样多。专家建议每年进行安全演练，并根据公司的风险概况进行轮换。然而，有些威胁往往在每个人的风险列表上。以下是安全团队应进行的四个最常见的威胁安全演练：

1.勒索软件

没有人能免受勒索软件攻击的影响，因为它们是网络犯罪分子最有利可图的攻击方式，他们经常无差别地攻击。除了最初的赎金要求外，攻击者还可能试图勒索受害者及其业务伙伴以及最初攻击中目标公司的客户。Cybereason在2021年的一项研究指出，80%支付赎金的公司在同一批攻击者的攻击下会再次受到勒索，有时是同样的攻击，有时是后续的勒索尝试。Akamai在2023年的一项研究表明，勒索软件受害者在三个月内遭受后续攻击的可能性是正常情况的六倍。

尽管2022年勒索软件攻击有所减少，部分原因是俄罗斯和乌克兰战争以及COVID-19大流行，但根据Woodruff Sawyer国家网络安全保险经纪公司副总裁David Anderson的说法，2023年勒索软件索赔比2022年增长了50%。预计今年将发生更多勒索软件攻击。

在评估企业对网络攻击的防御时，团队将寻找识别和减轻勒索软件以及任何后续勒索攻击的方法。由于监管报告要求以及潜在的法律和财务责任，安全职能以外的利益相关者应该参与。这可能包括法律、通信、财务、合规和营销。

以下是一些应提出的问题，以进一步保护客户和业务伙伴免受最初攻击的影响。

• 是否对所有客户数据进行加密，以确保即使数据被窃取，对攻击者也没有用处？

• 客户数据是否在单独的子网中，或者与主要公司数据隔离？

• 如何保护业务伙伴的数据，以确保在发生违规时，业务伙伴的机密数据不能被用于勒索？

• 防御人工智能驱动的勒索软件攻击有哪些策略？

• 现有的勒索软件计划在演习中效果如何？

• 勒索软件计划，如演习所示，如何确保公司的系统连续性？可以改进什么？

• 你可以采取哪些方法来遏制攻击？

• 如果当前备份遭到破坏，你的应急计划是什么？你必须回溯多远才能找到未受损害的备份？

• 你多久测试一次备份，看看它们是否可以恢复且没有受到恶意软件的损害？

• 报告勒索软件攻击的流程是什么，以满足监管合规要求？

• 安全部门如何与法律、营销和通信团队协调，告知受影响的各方和媒体？

2.第三方风险

根据Verizon 2022年数据泄露调查报告，62%的数据泄露是通过第三方供应商发生的。Forrester高级研究分析师Alla Valente去年表示，调查可能低估了第三方威胁，可能有超过70%的数据泄露涉及某种第三方组成部分。第三方风险管理(TPRM)演习参与者应包括关键下游业务伙伴的代表，这些伙伴为企业提供商品和服务，以及你的网络安全提供商、执法部门和所有关键利益相关者，通常包括董事会和高级管理层。

虽然供应链攻击无处不在，但通常会被误认为勒索软件、高级持续性威胁或其他网络威胁。通常需要取证团队在违规后进行调查，以确定攻击是通过受信任的第三方进入的。

以下是推荐的一些问题。

• 你如何审查业务伙伴的通信和数据传输以发现潜在威胁？

• 你的业务伙伴是否有直接访问企业数据库的权限，或者数据首先经过潜在威胁的筛查？

• 你是否有与合作伙伴的任何操作绕过现有的安全控制或政策，这将为恶意软件从合作伙伴传递到企业提供潜在的漏洞？

• 你有哪些政策和程序来确保下游的二级和三级合作伙伴提供的最终进入你的网络或云的数据未被破坏？你是测试下游供应链合作伙伴还是只测试你的主要合作伙伴？

• 许多企业是上游公司的第三方供应商，也就是说，他们使用公司和进行安全演练的公司提供的数据和服务。你如何测试离开公司网络或云的数据，以确保没有恶意软件感染上游合作伙伴？

• 你有哪些政策和程序来确保公司网络或云中存在的任何数据在传输给业务伙伴之前都经过恶意软件分析？

• 你有哪些政策和程序来审查潜在的业务伙伴，以及谁有权力推翻审查结果？

• 如果发现第三方有漏洞，你有哪些程序来在合作伙伴被授予访问公司资产的权限之前修复问题？

• 你是否测试了所有云实例以确保它们被正确配置和受到保护？

• 你是否测试了所有公司电子邮件地址，以确保它们不属于前员工或已故员工，或者未被使用的服务账户，并确保所有电子邮件地址都得到适当保护？

• 在某些情况下，公司代码库在从被认为是可靠的代码存储库下载数据时被破坏，这些存储库被感染了恶意软件。例如，对GitHub的RepoJacking攻击导致数百万个存储库可能被破坏。以下是Aqua Security建议回答的一些关于GitHub的问题，尽管这些问题适用于任何存储库泄露：

• 你之前使用过哪些GitHub组织名称？

• 你的组织是否参与过任何合并或收购？

• 代码中是否有任何依赖导致GitHub存储库容易受到RepoJacking攻击？

• 是否有某种指导（文档、指南、Stack Overflow答案等）建议你使用容易受到RepoJacking攻击的GitHub存储库？

3.内部威胁

内部威胁主要有两种：一种是恶意内部人员故意损害公司资产以谋取个人、财务、政治或其他利益；另一种是无意中或由于缺乏知识而造成安全漏洞的内部人员，但并非出于恶意。

在安全演练场景中，以下是可能有助于确定内部威胁是否为故意的一些问题：

• 当特定请求要求转移公司资金时，无论请求是通过电子邮件、电话还是视频通话，都有哪些安全控制措施？

• 安全和管理团队多久重新评估和更新这些控制措施，以适应不断变化的技术能力？

• 有哪些物理安全控制措施，以确保只有授权用户才能访问本地计算资产？

• 远程用户访问任何资产（包括他们自己的电子邮件和数据存储）时，有哪些安全控制措施？

• 你有哪些工具来识别内部威胁？这些工具能否将潜在威胁分类为恶意或非恶意？

• 组织有哪些政策和程序来处理内部威胁？

• 内部威胁事件的法律和监管条例是什么？

• 可以采取哪些步骤来降低内部威胁的风险？

4.分布式拒绝服务攻击

分布式拒绝服务(DDoS)攻击的目标是简单地影响业务运营。2023年对谷歌的攻击达到每秒近4亿次请求的峰值，展示了当今僵尸网络DDos对企业防御能力的巨大考验。

由于DDoS攻击几乎总是来自网络外部，因此准备安全演练的企业需要提出关于应急、早期识别和网络弹性的问题。以下是一些例子：

• 多快可以识别和隔离DDoS攻击？

• 有哪些计划来减轻攻击，尤其是在网络边缘？

• 在基础设施层面有哪些防御措施来抵御同步(SYN)洪水和其他反射攻击？

• 在应用层有哪些防御措施来抵御HTTP请求洪水和类似基于应用的攻击？

• 正在做什么来减少攻击面，从而减少攻击向量？

• 网络如何扩展以响应潜在的异常攻击？

• 你的端点检测和响应如何配置以抵御DDoS攻击？你多久测试一次？

虽然每个安全演练都是独特的，并且将包括与企业目标相关的问题，但上述问题可以帮助安全团队确定他们的优先事项。一般来说，安全演练的第一步是确定目标，这将反映在最终提出的问题上。

来源：csoonline