從AI到模擬對抗，網絡安全桌面演練今年有了新變化

這是一年中最美妙的時刻——對于企業安全負責人來說，是時候開展桌面演練了。他們會模擬假想的網絡攻擊或其他緊急情況，梳理事件處理流程，練習應對措施，確保在數字災難發生時做好準備。

"我們最終要測試的是組織的韌性如何，"帕洛阿爾托網絡公司首席安全情報官溫迪·惠特莫爾在接受The Register采訪時表示。"問題不在于我們是否會受到攻擊，而在于：我們能多快響應并遏制這些攻擊。"

今年，組織需要考慮AI的速度，既要考慮攻擊者如何使用這些工具發現和利用漏洞，也要考慮防御者如何在響應中使用AI。

"威脅行為者正在利用AI以更快的速度利用CVE漏洞，"谷歌云CISO辦公室公共部門顧問恩里克·阿爾瓦雷斯告訴The Register。"桌面演練應該考慮這樣的場景：發布了影響公司使用軟件系統的CVE漏洞，網絡對手立即利用該漏洞進行攻擊。"

惠特莫爾說，她的威脅分析師看到，漏洞發布后五分鐘內就會有人嘗試利用。

"在防御方面，就像我們自己的SOC一樣：我們每天要處理900億次攻擊事件，可以將其綜合分析為26000個相關事件，然后每天有一個需要三級分析師進行人工干預，深入研究并運行額外的查詢和分析，"她補充說。

確實，如果2025年教會了我們什么，那就是犯罪分子和國家支持的威脅行為者越來越多地將AI添加到他們的武器庫中，而企業對AI的使用大大擴展了他們的攻擊面。

從攻擊者的角度來看，這意味著更有針對性、更具說服力的釣魚郵件，更快的偵察和漏洞掃描，以及可以快速掃描和竊取的大量敏感數據。與此同時，防御者需要確保他們的大語言模型不會泄露信息，AI智能體不會訪問他們不應該訪問的數據。

The Register詢問了幾位事件響應者，希望了解在面對更多AI生成或輔助攻擊，以及采取措施保護內部AI系統和模型時，年末桌面演練的最佳實踐。

現在桌面演練需要反映兩個現實情況：攻擊者使用AI更快、更安靜、大規模地移動，以及攻擊者瞄準我們部署的AI系統

"桌面演練現在需要反映兩個現實情況：攻擊者使用AI更快、更安靜、大規模地移動，以及攻擊者瞄準我們部署的AI系統，"微軟威脅防護研究副總裁坦邁·加納恰里亞告訴The Register。

"最好的演練模擬自適應、AI驅動的釣魚和快速移動的攻擊鏈，同時為團隊準備針對AI系統的場景，如提示注入、配置錯誤和AI驅動的數據滲透，"加納恰里亞說。"目標是演練更快的決策，在低信任環境中驗證信息，并確保團隊了解AI如何改變殺傷鏈的每個階段。"

最終，這些演練的目標是教育高級管理層和技術響應者可能發生的情況，讓他們練習對各種安全場景的響應，同時識別改進領域。

"這既是為了建立肌肉記憶，確保你有一個好的流程并能執行該流程，同時也是為了教育，"GuidePoint安全公司數字取證和事件響應以及威脅情報副總裁馬克·蘭斯告訴The Register。"例如，高級領導團隊了解勒索軟件通常會說，'我對此以及與之相關的潛在風險和威脅了解更多。'"

使用AI對抗AI

組織可以通過使用AI開發場景來應對AI相關威脅的涌入，谷歌云CISO辦公室的醫療保健和生命科學組織安全顧問比爾·里德說。"想要測試AI偽造？制作一個并在桌面演練中使用它，"他告訴The Register。

除了使用AI開發演練外，公司還應該使用它來"衡量和促進演練及其結果，"谷歌云CISO辦公室醫療保健和生命科學部門總監泰勒·雷曼說。

"向AI系統公開有關你環境的信息——如威脅、控制、漏洞、各種類型的資產、關鍵風險、利益相關者、客戶角色等——然后AI系統可以幫助制定非常有意義、非常具體、現實的場景，這將幫助你完善場景并提供你想要作為演練一部分的特定類型結果，"雷曼告訴The Register。

其他新興AI威脅包括深度偽造，這特別影響谷歌云的金融服務客戶，阿爾瓦雷斯說。因此，金融部門的許多組織已經——或應該——將音頻和視頻深度偽造添加到他們的場景中。

"然而，AI生成攻擊的使用不僅限于深度偽造，"Mandiant咨詢總監戴維·王說。"AI也用于攻擊生命周期的每個階段，增加了攻擊的數量和速度。桌面演練的設計者必須在其場景中適應速度和數量。"

當深度偽造的CEO要求轉賬時，演練的重點不應該是檢測軟件，而是嚴格測試通過標準電話進行的強制性帶外驗證

阿爾瓦雷斯還建議聯系當地FBI外勤辦公室，詢問網絡助理特別探員負責人（ASAC）是否可以提供探員參與。"這是在外勤辦公室建立聯系點以供未來參考和溝通的好方法，"他說，并補充說對于包括高級管理層、董事會成員和其他內部利益相關者的全面演練，考慮聯系CISA參與。

CISA，即美國網絡安全和基礎設施安全局，還提供多種免費資源，旨在幫助公司進行自己的演練，涵蓋各種威脅場景。

谷歌云CISO辦公室高級顧問安東·楚瓦金倡導在"用更多AI對抗AI"時采用模擬和謹慎的方法。相反，將桌面演練重點放在引入模擬摩擦以打破對手的速度上，"他告訴The Register。"當深度偽造的CEO要求轉賬時，演練的重點不應該是檢測軟件，而是嚴格測試通過標準電話進行的強制性帶外驗證。"

此外，不要僅依賴在線文件，他補充說。"演練必須練習回到最低可行的業務運營，利用離線黃金數據副本和算法無法欺騙的強大審批流程，"楚瓦金說。"如果你不能相信屏幕上看到的東西，你最強的防御實際上是流程，而不是技術。"

誰應該參與？

與The Register交談的所有專家都建議每年至少進行一到兩次桌面演練，并為特定受眾量身定制這些演練，例如分離高級管理層和技術響應者。

"根據我之前在FBI的經驗，絕大多數公司從未進行過桌面演練，"阿爾瓦雷斯說。"一個好的起點或目標應該是每年至少兩次，第二次桌面演練應該融入從第一次學到的經驗教訓。"

根據加納恰里亞的說法，參與應該根據場景而變化，高級管理層應該"至少每半年參與一次，因為AI驅動的攻擊需要高管級別的決策。"

技術演練，如試驗新的勒索軟件程序，可能只需要安全運營中心（SOC）和事件響應團隊，而內部泄露和聲譽風險等高影響場景還應該包括法律、公關、人力資源和高級領導。

其他運營領導者可能需要更頻繁的針對性場景演練，加納恰里亞說。這包括副手、總監和SOC領導者——高管依賴他們執行日常運營的人員。

而且，一如既往，記住墨菲定律。正如加納恰里亞所說："每次演練都應該包括替補人員，因為真正的事件很少在你的首選響應者可用時發生。"

Q&A

Q1：為什么2025年的網絡安全桌面演練需要特別關注AI威脅？

A：因為犯罪分子和國家支持的威脅行為者越來越多地將AI添加到武器庫中，企業AI使用也大大擴展了攻擊面。攻擊者使用AI進行更有針對性的釣魚郵件、更快的漏洞掃描，而防御者需要確保大語言模型不泄露信息，AI智能體不訪問不當數據。

Q2：桌面演練中如何應對深度偽造威脅？

A：專家建議不要僅依賴檢測軟件，而是嚴格測試強制性帶外驗證，比如通過標準電話確認。當深度偽造的CEO要求轉賬時，演練重點應該是測試通過電話等模擬方式進行的驗證流程，而不是技術檢測。

Q3：企業應該多久進行一次網絡安全桌面演練？誰應該參與？

A：專家建議每年至少進行一到兩次桌面演練。參與人員應根據場景變化：高級管理層至少每半年參與一次，技術演練可能只需SOC和事件響應團隊，高影響場景還應包括法律、公關、人力資源和高級領導。每次演練都應該包括替補人員。