重要 | 通过实践型安全培训打造具备网络弹性的公共部门

2018 年 3 月，亚特兰大市政府陷入瘫痪，因为勒索软件使他们的系统陷入了瘫痪状态。连续数日，紧急调度员只能依靠纸笔来工作。该市的安全团队日夜不停地工作，但他们缺乏实践经验，无法迅速控制住这次安全漏洞。最终的代价是什么呢？超过 1700 万美元的恢复成本 —— 这一切都是因为他们的安全人员只是从书本和讲座中学习知识，却从未实际演练过如何对抗真正的攻击者。

这并非个例。2021 年 2 月，一名攻击者侵入了佛罗里达州奥兹马市的一家水处理厂，并试图通过将氢氧化钠的含量提升到危险水平来污染供水。幸亏一名警惕的操作人员迅速采取行动，才避免了灾难的发生。2019 年 5 月，巴尔的摩市的安全团队眼睁睁地看着他们的应急响应预案失效，因为 “罗宾汉”（RobbinHood）勒索软件在他们的系统中肆虐，造成了 1800 万美元的损失，从房产税系统到房地产交易等一切事务都陷入了瘫痪。

大多数公共部门的安全团队都能逐字逐句地背诵合规要求。他们能够绘制网络架构图，并列出安全控制措施。但是，要在自己的网络中发现真正的攻击者呢？这就好比只通过阅读穆罕默德・阿里的步法来学习拳击一样。你需要亲自进入拳击场。

某州政府机构的安全工程师詹姆斯直截了当地说：“我拥有所有的认证。我了解理论知识。然后我们遭到了攻击，我才意识到我从未真正实践过如何发现和阻止一次攻击。当面对真实情况时，一切完全不同。”

你不会信任一个只读过医学教科书的外科医生。然而，我们却让安全人员负责关键基础设施的安全，却不让他们在真实的环境中实践自己的技能。

以下是公共部门安全团队所面临的情况：

• 攻击者瞄准的是他们从未有过实际防御经验的工业控制系统。

• 高级持续性威胁使用的是他们仅在书本上读到过的技术手段。

• 对关键基础设施的攻击并不遵循教科书中的范例。

这些并非假设的情景。它们是真实存在的挑战，需要实践经验才能有效地应对。

特警队不会通过观看关于人质解救情况的幻灯片来进行训练。他们会进行全面的模拟演练。安全人员也需要同样的实践经验。

真正能让团队为应对真实攻击做好准备的培训项目具有以下特点：

• 将学员置于真实的环境中
  他们不是仅仅阅读关于 SQL 注入的知识，而是实际练习发现和利用真实的漏洞，然后利用从 OffSec 学习库中获得的知识，通过 OffSec 网络靶场学习如何正确地防范这些漏洞。

• 通过实践传授高级战术
  团队通过练习高级持续性威胁技术，来了解真正的攻击者是如何思考以及如何在系统中活动的。他们还可以通过 OffSec 网络靶场的 “对战” 功能相互切磋。

• 通过重复训练形成肌肉记忆就像特种部队进行演习一样，安全团队反复练习应急响应场景，直到正确的应对措施成为本能反应。

2019 年 8 月，当攻击者对得克萨斯州的 23 个地方政府发动了一场协同的勒索软件攻击，并索要 250 万美元赎金时，这凸显了实践型应急响应经验的重要性。一些安全团队应对艰难，而另一些则迅速控制住了威胁 —— 其中的差异往往就在于在培训环境中处理类似场景的实践经验。

这次事件中的成功案例影响了其他州和地方政府开展安全培训的方式。如今，越来越多的机构不再局限于理论知识，而是确保他们的团队能够在真实的攻击场景中进行实践操作。他们正在创建与实际基础设施相似的环境，让安全团队能够追踪威胁、应对模拟事件，并从每次的演练中学习经验。

我们并非试图取代认证和理论知识。我们通过 OffSec 学习库进行理论培训，并通过诸如 OffSec 认证渗透测试员（OSCP）等认证，确保 OffSec 的学员能够应对他们在现实世界中将会遇到的问题。我们还通过实践型实验室将这些知识付诸实践。这就如同知道如何出拳和拥有赢得一场战斗的经验之间的区别。

一些机构已经开始行动起来。在得克萨斯州，当黑客攻击地方政府时，一个安全团队的实践经验发挥了作用。他们在培训中练习过应对这些确切的攻击手段。当真正的攻击到来时，他们无需思考，直接采取了行动。

说实在的，公共部门的安全人员保护着我们最为关键的系统。他们守护着我们的应急服务、供水系统和电网。但是，如果没有针对现实世界威胁的实践练习，他们就如同被缚住了一只手在战斗。

这些团队处于攻击者和我们的关键基础设施之间。我们至少应该为他们提供赢得这场战斗所需的实践培训。因为一旦安全团队失败，人们的生命就会受到威胁。

原文链接：http://offsec.com/blog/building-a-cyber-resilient-public-sector-team/