與全面模擬相比,桌面演練的強(qiáng)度較小,成本較低,是一個了解組織和員工在壓力環(huán)境下如何做出響應(yīng)的機(jī)會。
桌面演練定義
桌面演練(有時縮寫為TTX或TTE)是指由應(yīng)急組織的代表或關(guān)鍵崗位人員參加的,按照應(yīng)急預(yù)案及其標(biāo)準(zhǔn)工作流程,討論緊急情況時應(yīng)該采取行動的演練活動,其氛圍是學(xué)院式和探索性的。
不過,想要真正了解桌面演練,還需要綜合分析它與“功能性演練”和“全面演練”的區(qū)別。
桌面演練 VS 功能性演練VS全面演練
所謂“功能性演練”是指針對某項應(yīng)急響應(yīng)功能或其中某些應(yīng)急響應(yīng)行動舉行的演練活動,主要目的是針對應(yīng)急響應(yīng)功能,檢驗應(yīng)急人員以及應(yīng)急體系的策劃和響應(yīng)能力。
功能性演練比桌面演練規(guī)模更大,需要動員更多的應(yīng)急人員和機(jī)構(gòu)參與,因而協(xié)調(diào)工作的難度也會隨之增加。此外,演練完成后,除了采取口頭評論形式外,還應(yīng)向地方提交有關(guān)演練活動的書面匯報,提出改進(jìn)建議。
所謂“全面演練”是指針對應(yīng)急預(yù)案中全部或大部分應(yīng)急響應(yīng)功能,檢驗、評價應(yīng)急組織應(yīng)急運行能力的演練活動。全面演練一般要求持續(xù)多個小時,采取交互式方式進(jìn)行,演練過程要求盡量真實,調(diào)用更多的應(yīng)急人員和資源,并開展人員、設(shè)備和其他資源的實戰(zhàn)性演練,以驗證相互協(xié)調(diào)的應(yīng)急響應(yīng)能力。
與功能性演練類似,全面演練完成后,除了采取口頭評論、書面匯報外,還應(yīng)提交正式的書面報告。
相比之下,顧名思義,桌面演練是圍繞一張桌子進(jìn)行的,其特點是對演練場景進(jìn)行口頭演練,一般是在會議室內(nèi)舉行。
桌面演練一般僅限于有限的應(yīng)急響應(yīng)和內(nèi)部協(xié)調(diào)活動,應(yīng)急人員主要來自本地應(yīng)急組織,事后一般采取口頭評論形式收集參演人員的建議,并提交一份簡短的書面報告,總結(jié)演練活動和提出有關(guān)改進(jìn)應(yīng)急響應(yīng)工作的建議。
需要記住的一件重要事情是,桌面演習(xí)并不意味著測試或比賽,它們應(yīng)該被視為協(xié)作學(xué)習(xí)環(huán)境和“無錯”(no-fault)環(huán)境。畢竟,如果組織在演練過程中發(fā)現(xiàn)他們的防御弱點或流程存在問題,這應(yīng)該被認(rèn)為是一件好事——畢竟,在演練中發(fā)現(xiàn)漏洞要比面臨真正的危機(jī)好得多。
網(wǎng)絡(luò)安全桌面演練
事實上,桌面演練并不僅限于網(wǎng)絡(luò)安全領(lǐng)域;任何需要應(yīng)對潛在危機(jī)和災(zāi)難的組織都可以從其中受益。例如,俄勒岡州就曾使用桌面演練對2020年冠狀病毒大流行后可能產(chǎn)生的變化影響制定演練計劃。
但不得不說,在許多方面,桌面演練特別適用于網(wǎng)絡(luò)安全環(huán)境,而且對其格外重要。它們旨在暴露組織結(jié)構(gòu)中的弱點,并確保人們實際上遵循了協(xié)議和最佳實踐,這些協(xié)議和最佳實踐在大多數(shù)時候似乎都處于理論層面。正因如此,當(dāng)現(xiàn)實世界中的人類需要實施它們時,那些看似完美的計劃也往往以崩潰收場。雖然有很多方法可以對網(wǎng)絡(luò)防御的技術(shù)層面進(jìn)行測試,但桌面練習(xí)測試的是對網(wǎng)絡(luò)安全同樣重要的人和組織因素。
桌面演練需要考慮的問題
開展桌面演練前,要問自己的第一個問題是桌面演練是否適合您的組織。如果您已經(jīng)為將要經(jīng)歷的場景制定了某種形式的響應(yīng)計劃,那么才值得開始這個過程。桌面演練非常適合測試計劃可行性,但如果參與的每個人都只是即興發(fā)揮,那就不能奢望可以從中獲益太多。此外,您還需要獲取組織對該過程的支持:如果管理層不同意讓您根據(jù)結(jié)果更改計劃和政策,那么進(jìn)行整個演練也是毫無意義的。
同樣重要的一個問題就是誰將參與該演練項目。參與的團(tuán)隊成員類型將決定您將進(jìn)行什么樣的演練。例如,參與者都是網(wǎng)絡(luò)安全團(tuán)隊成員的演練可能側(cè)重于識別和擊敗高級持續(xù)威脅;參與者跨越整個公司的演練可能會著眼于網(wǎng)絡(luò)入侵的后果以及技術(shù)、法律和通信部門應(yīng)如何應(yīng)對入侵行為等。
另一個需要考慮的重要問題是“何時”:是應(yīng)該每年開展一次還是更頻繁地進(jìn)行桌面演練,以提高員工的警覺性?然后是“何地”:顯然易見就是舉行演練的位置問題,可以是圍著會議室的桌子,也可以通過視頻會議為分布式團(tuán)隊進(jìn)行演練。最后,還有一個絕對關(guān)鍵的問題,即“如何”。雖然沒有一種絕對正確的方法來進(jìn)行桌面演練,但是有一些重要的建議可以幫助您充分利用桌面演練。
規(guī)劃桌面演練
Nexight Group公司的Jack Eisenhauer概述了規(guī)劃桌面演習(xí)的過程,該過程考慮了上述許多問題。他將這個過程分為三個階段,每個階段包括三個關(guān)鍵活動。這些對應(yīng)于練習(xí)之前、期間和之后的時間,但您需要提前計劃以確保每個步驟在練習(xí)中正確完成。
演練前:設(shè)計
明確目標(biāo)和結(jié)果,確定您希望實現(xiàn)的目標(biāo)以及練習(xí)結(jié)束后您將如何使用這些結(jié)果;
選擇您的參與團(tuán)隊,包括關(guān)鍵決策者甚至高管,然后利用他們的影響力將事后報告付諸行動;
設(shè)計一個可信的且能夠引發(fā)討論的場景和演練計劃。
演練中:參與
創(chuàng)建一個互動的、無錯的空間,鼓勵人們提出問題和犯錯;
詢問參與者一些探索性問題,遵循腳本但允許即興發(fā)揮;
使用可視化工具和時間線,隨時記錄問題和經(jīng)驗教訓(xùn)——不要完全依賴會議記錄者;
演練后:學(xué)習(xí)
準(zhǔn)備一份行動后報告,其中包括演練的文檔以及潛在改進(jìn)的領(lǐng)域;
根據(jù)練習(xí)結(jié)果制定具體的近期計劃;
提供工具和指南來促進(jìn)學(xué)習(xí),找到滿足演練結(jié)果所揭示的需求的資源。
桌面演練目標(biāo)
讓我們回到最開始的一個話題:演練的目標(biāo)。坦白地說,您希望通過桌面演練為組織帶來什么好處?學(xué)會將這些目標(biāo)與參與者在演練中的目標(biāo)區(qū)分開來至關(guān)重要。例如,桌面演練參與者的目標(biāo)可能是弄清楚如何在災(zāi)難發(fā)生后盡快恢復(fù)組織的數(shù)據(jù)庫。但進(jìn)行該演練的總體目標(biāo)是對組織的災(zāi)難恢復(fù)計劃進(jìn)行壓力測試,看看團(tuán)隊是否知道如何在遇到意外情況時最好地協(xié)同工作。
美國公用設(shè)施監(jiān)管協(xié)會(NARUC)建議開展桌面演練的目標(biāo)應(yīng)該遵循“SMART”原則,具體為:
S代表具體(Specific)——解決具體問題并指定行動項目;
M代表可度量(Measurable)——預(yù)先建立成功指標(biāo),以驗證活動成果;
A代表可實現(xiàn)(Achievable)——參與者可以在分配時間內(nèi)完成;
R代表相關(guān)性(Relevant)——與組織的使命相關(guān)聯(lián);
T代表有時限(Time-bound)——將時間限制在預(yù)先確定的合理時間范圍內(nèi);
領(lǐng)導(dǎo)桌面演練項目
有很多顧問很樂意在您的組織中領(lǐng)導(dǎo)桌面演練;然而,由于這些練習(xí)的非正式性質(zhì),它們通常由內(nèi)部員工領(lǐng)導(dǎo)。
紐約州有一個很好的桌面練習(xí)指導(dǎo)員指南,提供了有關(guān)領(lǐng)導(dǎo)適用于任何主題領(lǐng)域的桌面演習(xí)的寶貴建議。它首先列出了協(xié)調(diào)人的大局職責(zé):
介紹演練基本情況;
鼓勵解決問題;
控制活動的節(jié)奏和流程;
引導(dǎo)討論并從小組中得出答案和解決方案(而不是直接提供給他們);
該指南還提供了讓所有參與者參與以及控制和維持活動的技巧。重要的關(guān)鍵之一是注意沮喪和沖突的跡象。請記住,桌面演練旨在協(xié)作,而不是對抗。特別是,初級員工需要有在管理層面前發(fā)表評論的空間,所以盡量讓每個人都平等地參與進(jìn)來。
桌面練習(xí)示例和場景
到目前為止,我們一直在談?wù)撘恍┗\統(tǒng)的情況。那么在實際示例中可能會出現(xiàn)哪些場景?互聯(lián)網(wǎng)安全中心(CIS)提供了六個場景,可供參考:
匆忙修復(fù):網(wǎng)絡(luò)管理員未經(jīng)測試就部署補(bǔ)丁,然后出去度假,導(dǎo)致用戶無法登錄;
惡意軟件感染:用戶將感染惡意軟件的SD卡插入公司筆記本電腦中;
計劃外攻擊:黑客組織針對該組織發(fā)動攻擊——他們會在企業(yè)系統(tǒng)中發(fā)現(xiàn)什么?
云入侵:您的組織一直在使用被黑客入侵的云存儲服務(wù)存儲敏感數(shù)據(jù),這可能會暴露客戶數(shù)據(jù);
財務(wù)入侵:審計顯示您的工資系統(tǒng)正在向可疑人員發(fā)放支票;
洪水區(qū)(flood zone):在處理公司總部遭遇的洪水攻擊時,您又遭到了勒索軟件攻擊;
該文檔還概述了在您的組織中實際運行這些練習(xí)所需的大部分內(nèi)容。其中一些屬于下述兩個類別,它們可能是最常見的網(wǎng)絡(luò)安全桌面演練類型:
事件響應(yīng)桌面練習(xí)。正如我們希望提前計劃和控制一切一樣,網(wǎng)絡(luò)安全在很大程度上是一個被動的過程。RSI有關(guān)于執(zhí)行事件響應(yīng)桌面演練的文檔,其中包括確保參與者了解您的組織針對特定類型的違規(guī)行為的政策以及誰負(fù)責(zé)應(yīng)對這些事件的行動。
用于業(yè)務(wù)連續(xù)性的桌面演練場景。桌面演練也受到了那些負(fù)責(zé)為自然或人為災(zāi)難做準(zhǔn)備的人的喜愛,而業(yè)務(wù)連續(xù)性屬于該角色與網(wǎng)絡(luò)安全之間的重疊部分。NContracts對運行有效的桌面業(yè)務(wù)連續(xù)性規(guī)劃演練有很好的指導(dǎo),其中包括了解您對特定供應(yīng)商的依賴關(guān)系,并可能將它們循環(huán)到任何損壞控制場景中。
桌面練習(xí)模板
您想開始規(guī)劃自己的桌面演練項目嗎?您可以使用一些模板來幫助入門。SearchDisasterRecovery就是很好的選擇,它會提示您列出運行演練的動機(jī)(以便您開展內(nèi)部動員)、參與者的敘述以及參與者將采用的溝通方式等。而且Continuity Advisor有一個有用的模板,您可以使用它在演練完成后創(chuàng)建行動后報告。