组织网络弹性之旅第6部分：培训和测试

我们距离一个没有漏洞的世界还很遥远。毕竟，即使是网络犯罪分子也表现出了自己的韧性。例如，在短暂中断后，勒索软件组织 REvil于 2021 年 9 月卷土重来。在我们可以解锁“网络前门”之前，您采用的任何组织弹性框架都需要包括适量的培训和测试。

培训和测试可能会得到“很好，但没有时间”的待遇，或者更糟糕的是，“这是绒毛”的白眼，但这两者对你的恢复能力都至关重要。如果您想知道如何确定这些任务的优先级怎么办？德怀特·D·艾森豪威尔决策矩阵（也称为紧急/重要矩阵）对此很有用。

在矩阵中，培训和测试属于“重要，不紧急”（或右上角）象限。当任务落入该象限时，您的工作就是开始安排。坚持定期的培训和测试计划是成功的关键。

冠军无需训练就能获胜吗？

无论您最终使用哪种网络安全框架，严格的网络安全框架都包括培训和测试。训练和测试可以建立肌肉记忆、找出差距并帮助人们学习。再次引用艾森豪威尔总统，作为一名将军，他说：“在准备战斗时，我一直发现计划是没有用的，但计划是必不可少的。”

培训是事件响应战准备的一部分。说实话：你见过哪个职业运动员未经认真训练就赢得了冠军吗？出庭律师是否会在没有做好准备的情况下就走进法庭并即兴发挥？成功的企业家有过失败的经历吗？有一些人，异类，拥有令人难以置信的天赋。即使他们，就像我们其他凡人一样，也必须练习才能成功。

对于所有首席信息安全官来说，您的技术技能可能会让您获得这份工作，但这些相同的技能并不总是能帮助您保住这份工作。您的成功取决于您的团队的成功，实际上取决于整个组织的成功。这意味着您或您的代表需要推动注重安全的企业文化变革。这只能通过意识和培训来实现。

读完之后可能还会翻白眼。我可能会想到“更多废话”。是的，就像治理一样，培训和测试可能更多地属于组织弹性问题的“软方面”。但它们可能也是最难解决的问题。如今更是如此，专业设备和个人使用设备之间的界限几乎不存在。

“人们不在乎”的借口只能让你走这么远。从管理的角度来看，如果训练没有产生那些肌肉记忆的结果，你的课程计划就需要检查。除了他们是个糟糕的老师之外，你从一个糟糕的老师那里学到了多少东西并保留了多少东西？

无论您的基础设施配置或编排得如何，成功的弹性计划和事件响应的唯一希望完全取决于人们知道在繁荣之前、期间和之后该做什么。这意味着需要一些认真的组织弹性课程计划。

为您带来四点收获：

时机。定期安排训练以建立肌肉记忆。
正念。注意人们的时间。我们在这里寻找基本的生存技能，而不是关于网络连接的论文。
识字。确保课程计划符合 4 年级的读写能力。这绝对不是对你正在训练的人的批评。很简单，网络安全弹性可能不是他们的主要工作。任何不清楚的地方都可能在课后不久就被忘记。你正在追求肌肉记忆。
上诉。训练可能会很无聊。让它变得有趣并尝试不同的技术，例如游戏化。

这一切听起来都很明显，对吧？那么为什么违规行为仍然发生呢？为什么威胁行为者使用老伎俩并取得巨大成功？

这是因为人们没有执行基本操作，并且不存在注重安全的文化。知道您应该转移到哪个数据中心或区域，或者知道这一切是如何发生的技术细节，这是很棒且必要的！但是，如果您不知道应用程序和数据所有者是谁，或者没有沉浸在危机通信消息中，或者您不知道您的合同义务是什么，那么您最好的计划就会失败。

一旦您确信员工接受了足够的培训，就可以对一切进行测试了。您可以进行几种类型的测试。组织弹性的测试类型和频率应基于每个业务流程和资产的重要性。以下是一些非常标准的选项：

通知/验证。在进行任何广泛的测试之前，请确保您正在与正确的人员交谈并标记正确的资产。您不希望执行业务流程转移后才发现该流程的所有者三个月前离开了公司。此测试只是为了确保您拥有正确的信息。
演练。将此视为“脚本测试”，甚至是训练和建立肌肉记忆的好方法。这可能很无聊，但在出发之前您需要知道自己要跑哪些路线。
桌面式。一个让你思考的受控环境。你还没有完全故意撞倒东西，但你正在思考挑战。并且，在可能的情况下，使用代表世界上正在发生的事情的事件。如果每个人都受到恶意软件的攻击，那么流星袭击的场景可能是正确的。
功能性的。好吧，让我们把它打翻，看看会发生什么。我们真的达到了恢复时间/点目标还是只是幻想？