Varför efterfrågan på bordsövningar växer

Organisationer som regelbundet försvarar sig mot cyberattacker kan tycka att det är användbart att då och då ta ett steg tillbaka och testa sina försvars- och reaktionsförmåga. Ett sätt att göra detta är genom cybersäkerhetsövningar, som ger organisationer en ögonblicksbild av deras förmåga att hantera ransomware, nätfiske och andra attacker.

Cybersäkerhetsövningar finns i många former, inklusive penetrationstestning, nätfiske-simuleringar och live-fire-övningar, med vissa scenarier som kostar hundratusentals dollar och löper över flera dagar eller till och med veckor.

Den minst komplexa av dessa övningar är bordsövningar, som vanligtvis pågår i två till fyra timmar och kan kosta mindre än $50,000 XNUMX (ibland mycket mindre), med mycket av kostnaderna relaterade till planering och underlättande av evenemanget.

Till skillnad från vissa andra övningar, involverar bordsövningar ofta inte attacker på live IT-system. Istället lägger en facilitator upp ett scenario för cyberattack och anställda i kundorganisationen diskuterar de steg de skulle ta som svar.

Detta vanliga tillvägagångssätt för bordsövningar är gammaldags och lågteknologiskt, men förespråkarna säger att ett välskött scenario kan avslöja hål i organisationers respons- och begränsningsplaner.

Bordsövningar efterfrågas

Efterfrågan på bordsövningar har ökat exponentiellt under de senaste två åren, drivet av efterlevnadsfrågor, styrelsedirektiv och cyberförsäkringsmandat, säger Mark Lance, vice vd för incidentrespons på GuidePoint Security, ett konsultföretag för cybersäkerhet.

I vissa fall ber anställda om bordsövningar för att utbilda chefer. "Människor vill att deras ledande ledningsteam ska förstå de verkliga effekterna av en potentiell incident", säger Lance.

Många cybersäkerhetsorganisationer främjar bordsövningar som ett sätt för organisationer att testa och förbättra sin incidentrespons och interna och externa kommunikationsplaner efter en cyberattack. Det ideella Center for Internet Security kallar bordsskivor "ett måste", och betonar att de hjälper organisationer att bättre koordinera separata affärsenheter som svar på en attack och identifiera de anställda som kommer att spela avgörande roller under och efter en attack.

Det finns inga klipp-och-klistra sätt att köra en bordsövning, även om US Cybersecurity and Infrastructure Security Agency tillhandahåller paket för att hjälpa organisationer att komma igång. Vissa organisationer kör bordsskivor med interna team, även om det vanligaste tillvägagångssättet är att anlita en extern cybersäkerhetsleverantör.

Så fungerar bordsövningar

På en typisk bordsskiva leder samtalsledaren en diskussion genom att ställa en rad frågor. Ett scenario kan till exempel börja med att en anställd ringer till en helpdesk efter att ha sett ovanlig aktivitet på företagets nätverk. Några frågor i en bordsskiva för IT-team kan vara:

En bordsskiva för chefer kan innehålla följande frågor:

Bordsskivor kan börja med hundratals olika scenarier, inklusive utbredda problem som ransomware och nätfiskeattacker. Men individuella bordsskivor måste fokusera specifikt på organisationen eller dess bransch för att vara framgångsrik, säger Lance och tillägger att framgång eller misslyckande för en bordsskiva beror till stor del på leverantörens förmåga att planera övningen och rikta den till den specifika klienten.

"Ju mer specifik det är för deras miljö, desto mer benägna är de att förbli engagerade och intresserade, eftersom det finns en nivå av äkthet och giltighet för det", säger han.

GuidePoint, till exempel, använder sitt eget team för hotintelligens för att komma på verkliga scenarier som är realistiska för klienten och är nya eller nya hot.

Ett annat sätt att säkerställa framgång är genom att köra separata bordsövningar för en organisations ledande ledning och tekniska team. Lance säger att dessa två grupper drar nytta av olika scenarier. Chefer vill ofta prata om företagsomfattande frågor och beslut på hög nivå som måste fattas. Däremot vill tekniska människor komma in i det knepiga att stoppa och mildra en attack.

"Om du gör en teknisk bordsskiva kanske dina tekniska resurser inte öppnar upp på samma sätt om du har ett seniort ledarskap som sitter med dem", säger Lance. "Åt andra hållet kanske senior ledning inte vill verka oteknisk eller dum inför sina tekniska resurser, så de kanske inte öppnar upp sig lika mycket. [Med båda grupperna inblandade] har du för hög röst i rummet.”

Lärande genom realistiska scenarier

Förutom att de misslyckas med att tillhandahålla ett realistiskt scenario, kan facilitatorer av bordsövningar också vackla genom att misslyckas med att hålla en grupp engagerad eller genom att vara mer av en observatör än en ledare, säger Curtis Fechner, cyberpraxisledare och ingenjörsstipendiat vid konsultation och integration inom cybersäkerhet leverantör Optiv. Deltagarnas engagemang är den största faktorn i framgången för en bordsskiva, tillägger han.

"Om jag är väldigt passiv", säger Fechner, "om jag inte ställer frågor eller utmanar deras svar och bara passivt låter dem prata, eller om du får en grupp människor [klagande] sinsemellan över ett problem, som dödar träningen, momentumet och energin.”

Men om du har planerat för ett relevant scenario och hållit deltagarna engagerade är det svårt att en bordsövning misslyckas, säger han. En vällättad diskussion kommer att resultera i att deltagarna lär sig om sin organisations incidentresponsplaner och identifierar områden som kan förbättras.

De flesta cybersäkerhetsövningar innehåller en inlärningskurva för alla inblandade, säger Peter Manev, medgrundare och strategichef för Stamus Networks, en leverantör av nätverksdetektering och svar. I december deltog Stamus Networks i en live-fire-övning kallad Crossed Swords, organiserad av NATO Cooperative Cyber ​​Defense Centre of Excellence (CCDCOE).

De bästa resultaten av bordsövningar är när "teamen klickar ihop, lär sig tillsammans, utbyter information och erfarenheter och, naturligtvis, gör framsteg", säger Manev. "Enligt min mening, om det händer, har du redan åstadkommit något."

I slutet av en övning tar Fechner gärna en halvtimme för att diskutera lärdomarna genomgående. Han frågar deltagarna vad de tycker att de gjorde bra och var smärtpunkterna fanns.

"Det är, för mig, en framgångsrik bordsskiva där - när du får de människorna att faktiskt göra den typen av självanalys och komma ut med den introspektionen," säger han. "När problem blir påkallade, definierar det för mig en framgångsrik bordsövning."

När de bedömer sin träning bör deltagarna fokusera på kontinuerlig förbättring av cybersäkerhetspraxis, tillägger Fechner. "Det fina med en bordsskiva är att det är ett evenemang som inte misslyckas", säger han. "Realistiskt sett handlar det om att exponera dessa möjligheter att växa och förbättras."

• SEO-drivet innehåll och PR-distribution. Bli förstärkt idag.
• PlatoData.Network Vertical Generative Ai. Styrka dig själv. Tillgång här.
• PlatoAiStream. Web3 Intelligence. Kunskap förstärkt. Tillgång här.
• Platoesg. Kol, CleanTech, Energi, Miljö, Sol, Avfallshantering. Tillgång här.
• PlatoHealth. Biotech och kliniska prövningar Intelligence. Tillgång här.
• Källa: https://www.darkreading.com/cybersecurity-operations/why-demand-for-tabletop-exercises-is-growing