桌面演練（推演）是一種重要的安全演習形式，參演人員利用演練方案、流程圖、計算機模擬、視頻會議等輔助手段，針對事先假定的演練情景，討論和推演應急決策及現場處置，從而促使相關人員掌握應急預案所規定的職責和程序，提高指揮決策和協同配合能力。

企業往往需要基于風險態勢全年進行桌面演練并輪換主題，但是面對日益增長的漏洞和威脅，企業安全團隊應該優先選擇哪些威脅進行測試？

以下是2024年安全團隊需要重點桌面演練的四個最常見威脅：

一、勒索軟件攻擊

勒索軟件攻擊依然是企業面臨的最大威脅之一。除了最初的贖金要求之外，攻擊者還可能會進一步勒索受害者及其商業伙伴和客戶。據2021年的一項研究，80%支付贖金的公司在之后會再次遭到同一攻擊者的攻擊。2023年的一項研究表明，勒索軟件受害者在三個月內再次遭受攻擊的可能性是未受害者的六倍。

盡管2022年勒索軟件攻擊有所減少，但德銳索爾網絡保險經紀公司網絡風險責任副總裁DavidAnderson指出，2023年的勒索軟件索賠金額比2022年增長了50%。預計今年的勒索軟件攻擊將比2023年更多。

企業可通過桌面演練尋找識別和緩解勒索軟件攻擊的方法。由于監管要求和潛在的法律和財務責任，安全部門以外的利益相關者也應該參與其中，例如法律、公關、財務、合規和營銷部門的人員。

以下是進行勒索軟件攻擊桌面演練時安全團隊需要重點關注的問題：

• 是否所有客戶數據都經過加密，以確保即使數據被盜，對攻擊者來說也毫無用處？
• 客戶數據是否位于單獨的子網上或以其他方式與主要公司數據隔離？
• 如何保護業務合作伙伴的數據，以確保在發生違規行為時，業務合作伙伴的機密數據不會被用于勒索目的？
• 有哪些策略可以防御人工智能(AI)驅動的勒索軟件攻擊？
• 現有勒索軟件防御計劃在演習期間的效果如何？
• 實施后的勒索軟件計劃如何確保公司系統的連續性？有什么可以改進的地方？
• 您可以使用什么方法來遏制攻擊？
• 如果您當前的備份受到損害，您的應急計劃是什么？您必須追溯到多久之前才能找到未受損的備份？
• 您多久測試一次備份，看看它們是否可恢復且未被惡意軟件破壞？
• 報告勒索軟件攻擊以滿足監管合規性的流程是什么？
• 安全部門如何與法律、營銷和溝通團隊協調以通知受影響方和媒體？

二、第三方風險

根據Verizon 2022年數據泄露調查報告，62%的數據泄露都與第三方供應商有關。Forrester高級研究分析師AllaValente去年表示，這項調查可能低估了第三方威脅，或許超過70%的數據泄露都涉及第三方因素。

在第三方風險管理(TPRM)演練中，參與者應包括來自關鍵下游業務合作伙伴（為企業提供商品和服務的合作伙伴）、網絡安全保險供應商、執法部門以及所有主要利益相關者（通常包括董事會和高級管理層）的代表。

供應鏈攻擊無處不在，但通常會被誤判，例如將攻擊錯誤識別為勒索軟件、高級持續性威脅或其他網絡威脅。通常需要取證團隊在事后調查中才能確定攻擊來自受信賴的第三方。

以下是第三方風險演練中應該涉及的重點問題：

• 對業務合作伙伴的通信和數據傳輸是否存在潛在威脅的審查情況如何？
• 業務合作伙伴是否可以直接訪問企業的數據庫，或者數據是否首先經過潛在威脅的篩選？
• 是否與合作伙伴開展了任何繞過現有安全控制或策略的操作，從而為惡意軟件從合作伙伴傳遞到企業造成潛在漏洞？
• 制定了哪些政策和程序來確保下游的二級和三級合作伙伴提供最終進入您的網絡或云的不受影響的數據？您測試下游供應鏈合作伙伴還是僅測試主要合作伙伴？
• 許多企業是上游公司的第三方供應商，因為他們使用進行桌面練習的公司提供的數據和服務。如何測試離開公司網絡或云的數據以確保沒有惡意軟件感染上游合作伙伴？
• 制定了哪些政策和程序來確保公司網絡或云中存在的任何數據在傳輸給業務合作伙伴之前都經過惡意軟件分析？
• 有哪些政策和程序來審查潛在的業務合作伙伴以及誰有權否決審查過程的結果？
• 如果發現第三方存在漏洞，在合作伙伴有權訪問公司資產之前，需要采取哪些程序來修復該問題？
• 是否測試了所有云實例以確保它們得到正確配置和保護？
• 是否測試了所有公司電子郵件地址，以確保沒有一個地址屬于前任或已故員工或未使用的服務帳戶，并且所有電子郵件地址都得到適當的保護？

三、內部威脅

內部威脅主要分為兩種類型：惡意內部人員出于個人、財務、政治或其他利益故意損害公司資產的人員，以及無意中或因缺乏知識而造成安全漏洞的人員（并非惡意）。

以下是一些可以在桌面演練中提出的問題，幫助識別內部威脅是惡意還是疏忽：

• 當提出轉移公司資金的特定請求時，無論請求是通過電子郵件、電話還是視頻通話提出，都會采取哪些安全控制措施？
• 由于技術能力的變化，安全和管理團隊多久重新評估和更新這些控制措施？
• 采取了哪些物理安全控制措施來確保只有授權用戶才能訪問本地計算資產？
• 遠程用戶訪問任何資產（包括他們自己的電子郵件和數據存儲）時采取了哪些安全控制措施？
• 您有哪些工具來識別內部威脅？這些工具是否能夠將潛在威脅分類為惡意或非惡意？
• 組織處理內部威脅的政策和程序是什么？
• 內部威脅事件的法律和監管影響是什么？
• 可以采取哪些步驟來減輕內部威脅的風險？

四、分布式拒絕服務攻擊(DDoS)

分布式拒絕服務(DDoS)攻擊的唯一目的就是癱瘓運營。2023年針對谷歌的攻擊峰值接近每秒4億個請求，展示了企業在防御當今僵尸網絡大軍時面臨的巨大挑戰。

由于DDoS攻擊幾乎都是來自網絡外部，因此準備針對DDoS防護的桌面演練的企業需要詢問有關應急措施、早期識別和網絡彈性方面的問題，例如：

• 識別和隔離DDoS攻擊的時間周期？
• 制定了哪些計劃來減輕攻擊，特別是在網絡邊緣？
• 基礎設施層采取了哪些防御措施來防御同步(SYN)洪水和其他反射攻擊？
• 應用程序層針對HTTP請求洪水和類似的基于應用程序的攻擊采取了哪些防御措施？
• 正在采取哪些措施來減少攻擊面和攻擊媒介的數量？
• 如何擴展網絡以應對潛在的異常攻擊？
• 端點檢測和響應如何配置以防御DDoS攻擊？多久測試一次？