虹科分享 | “桌面演练”如何改善你的网络

根据最新的《IBM数据泄露成本报告》，每次事件的平均泄露成本为435万美元，比IBM 2020年报告中的386万美元攀升了12.7%。这还没有考虑到失去的商业机会和挥之不去的声誉损害。

网络安全桌面演练可以大大减少这一数额，只需有一个经过深思熟虑的事件响应计划和有效行使业务连续性计划。

什么是桌面演练？

桌面演练是非正式的、基于讨论的演练，旨在帮助组织确定其当前事件响应计划中的差距。它们模拟网络事件或事故，对组织的响应政策、计划和程序进行压力测试，以评估组织业务部门的有效性。

桌面演练的关键目标

●虽然进行桌面演练的目标各不相同，但以下是适用于许多组织的一些目标：

●评估当前的网络安全协议和程序：是否有？对于如何处理网络事件，你有什么计划吗？

●找出差距：当前流程的改进空间在哪里？

●了解角色和职责：每个工作人员都应该在事件处理时间表中有一套明确的任务和目标。

●测试内部和外部沟通和升级流程：网络事件通常需要与其他组织进行沟通，这些组织可能包括执法部门、媒体、公关、投资者、合作伙伴、客户、律师事务所和保险提供商。

●让学员了解新出现的威胁和趋势：网络安全格局正在不断演变。桌面演练可以帮助技术响应人员和高级领导了解情景如何发展以及如何影响他们的业务。

涉及的利益相关者

下列人员可参加桌面演练：

●首席执行官和高级管理人员——企业的领导层需要了解网络安全事件和数据泄露可能会如何发展，以及企业的法律责任和领导者在事件发生时应做出的决定。桌面演练提供了一种以互动和引人入胜的方式教育高级管理人员的方法。

●技术响应人员——桌面演练可以帮助技术团队快速了解他们可以用来应对事件的战术、技术和程序，并确定需要改进流程和进行技术投资的差距和领域。安全记分卡可以在短短三周内设计并促进定制桌面演练，帮助企业预测和规划新出现的威胁和趋势。

●在业务的事件响应计划中分配角色的人员——业务事件响应计划通常会将角色分配给广泛的团队和人员，包括法律、人力资源、市场营销、财务以及风险和合规。将这组利益相关者聚集在一起，使企业能够全面测试其计划和流程。

桌面演练是如何进行的？

桌面演练包括以下人员：

●主持人控制演练的流程和节奏，激发讨论，并从小组中引出答案和解决方案；

●参与者参与对话，并且必须愿意以友好的方式挑战他人；

●在必要时，可以选择有观察员参与讨论。

主持人和员工在固定的时间见面，讨论一个特定的情景。这些情景与组织的威胁情况相关，使他们能够准确地测试其安全态势，并根据现实的威胁演练事件应对方案。

演练的长度在很大程度上取决于听众、公司的规模以及演练事件的复杂性。有些讨论可以轻松地持续4个小时，但一般来说，最好每季度保持在1-2个小时，以最大限度地利用时间和成本效益。

桌面演练示例

典型的桌面演练场景可能包括：
※凭据被盗或泄露
※成功的威胁行为者网络钓鱼活动
※云配置错误
※商务电子邮件泄露
※勒索软件遏制
※内部威胁
※SaaS提供商数据泄露
※社交媒体妥协
※GDPR数据泄露
※诈骗活动

让我们来看看一个可用于桌面演练的示例场景：

你的组织被夺取和加密敏感数据的勒索者联系上了。他们要求用比特币支付100万美元赎金，以换取数据不被公开发布或删除。在这种情况下，主要的优先事项是保护你的组织的其他资产，以防止进一步的损害。演练参与者将讨论当前的政策和程序；启动公司的事件响应计划，并利用可能防止进一步升级的额外安全控制。

需要做什么来确保所有其他数据的安全？你是否已经行使了你的那部分事件计划，并准备联系你的法律公司或提供事件响应服务的合作伙伴来支持你？另一个需要考虑的因素，除此之外，就是与外部各方的沟通，如执法部门或其他政府机构。谁负责保持这种沟通？

桌面演练是否适合您的组织？

从长远来看，为网络安全事件排练是有回报的准备。通过事件响应桌面演练，真实场景可帮助安全团队和业务负责人发现其事件响应计划中的漏洞，并测试团队对勒索软件攻击等事件做出有效和高效响应的能力，从而显著提高您在发生实际攻击时的响应能力。

桌面演练最适合已经制定了事件响应计划的组织。演练将帮助他们在已有的基础上再接再厉。在演练期间即兴演练而没有预演计划可能会影响业务连续性，导致客户声誉受损，并导致金钱损失。另一个关键因素是机构买入。桌面演练应该产生一个结果，其中可能包括对当前计划和政策的改变。这需要得到整个组织内利益相关者的批准和认可，并从领导力开始。

虹科SecurityScorecard如何提供帮助呢？

我们训练有素且富有吸引力的顾问将您的桌面演练变成现实，激励您的团队在执行您的事件响应计划的同时处理真实世界的事件。我们目前提供以下演练类型：

●高管级别的演练-针对最高领导层领导人

●技术压力测试-针对技术响应人员。

●事件响应计划演练-面向技术响应人员、IT人员以及在组织的事件响应计划中具有指定角色的任何其他人员，例如法律、人力资源和公共事务。

之后，虹科SecurityScorecard顾问将分享行业最佳实践和真实事件中的故事。我们的团队将首先审查您的企业的事件响应计划和流程，并与关键人员面谈，以了解您的环境以及您正在管理的主要风险和威胁。然后，我们将为您的业务制定一个定制方案，以反映您组织的特定性质。演练的结构是为了实现您的目标，使用可能影响您公司的模拟场景。你将带着发现的差距和关于如何改善和加强你的网络准备的建议离开。