安全桌面演练

安全桌面演练的类型

速射场景

根据 ISACA，速射场景是“高度概括、旨在让人容易且迅速地理解和討論”。此类演练几乎不需要准备，通常为时 10 至 30 分钟。

速射场景可以包括来自不同层级和背景的团队成员，无论是初级、中级还是高级员工都可以参与。这些团队成员可以审查多个安全场景，每个人都能担任事件响应者。

纯技术场景

纯技术场景通常为时一到两个小时。这类场景旨在促进深入的技术讨论，并需要精心规划。通过这些场景，团队成员可以评估安全事件的技术细节。

纯技术场景通常从一个“种子”事件开始。随着事件的发展，组织可以逐步添加更多细节。这有助于团队成员为应对复杂的网络攻击做好准备。

全利益相关者场景

全利益相关者场景是纯技术场景的延申，不仅涵盖技术问题，还包括非技术问题及后勤安排。

通常持续两到四个小时。参与者可以包括技术团队成员、法律顾问、市场营销和人力资源等专业人员。

这种场景非常适合那些希望改善团队或部门之间沟通的组织。让技术人员与非技术人员共同参与全利益相关者桌面演练大有裨益。这制造跨部门合作来解决安全问题的机会。

一些组织会要求团队或部门在场景中的不同时间点加入，这让他们在如现实安全事件中的类同方式参与其中。

谁负责开展安全桌面演练？

第三方

第三方安全桌面服务提供商负责协调、管理场景并引导讨论。他们不需太多功夫来设置和执行。

第三方可以根据您的组织或环境定制桌面演练。他们先会了解您的组织及安全挑战，随后，其将为您的组织、团队或部门量身定制安全桌面演练。

自助服务

您组织可以设计自己的安全演练，而开发和实施安全演练可能既昂贵又耗时。不过，您可以根据自家组织和环境定制网络安全演练。

通过定制的网络安全桌面演练，参与者可以了解您组织的安全挑战。例如，这些挑战可能涉及参与者日常使用的系统。这有助于让挑战变得更加“真实”，并推动大家参与其中。这种安全演练还能确保参与者协同合作，找出和解决直接影响组织、员工和客户的具体安全问题。

Sophos 如何开展安全桌面演练？

在 Sophos，我们为特定团队或部门量身定制网络安全桌面演练。在演练中，我们通常从一个较小的安全问题入手，并鼓励参与者彼此分享他们的应对方法和想法。接着，我们通过“调查结果”来强调问题的严重性。

我们提供多种网络安全场景主题，以便组织用来开发和开展自己的桌面演练。除此之外，我们还提供以下提示，帮助您开始安全桌面演练：

确定目标受众

先确定演练的目标受众，然后开发网络安全场景。例如，如果要测试的是网络安全团队，复杂的安全场景是理想选择。

相较之下，若您要测试 IT或 DevOps 团队，应选择参与者易于理解，而会得到他们充分的时间和精力投入，以及关注的问题。

选择合适的参与者

在安全场景中包含一个团队或部门，或多个团队或部门。单团队场景可以让您观察特定参与者如何应对网络攻击。而多团队或部门的参与则能够鼓励多个利益相关者合作，共同解决安全事件。

确定参与者的介入时机

考虑不同团队或部门在网络安全场景中的参与时机。例如，如果组织的个人身份信息 (PII) 被入侵，可能需要及时让法务团队参与，以确保遵守 GDPR 和其他数据安全法规。

在安全场景中包含组织中的每个团队或部门至少有一位成员参与，通常是有益的，这样做可以促进组织内部团队和部门之间的跨部门沟通和协作。

决定参与人数

确保您的演练场景中包含能彼此互动并共同努力实现目标的参与者。在我们的演练场景中，通常会有多达 25 名来自不同层级的参与者，涵盖单个或多个团队和部门。决定安全桌面演练的参与人数时，应考虑组织的规模以及团队和部门的结构。

管理演练时间

给参与者足够的时间完成桌面演练。在 Sophos，我们通常避免安排冗长的演练，因为参与者往往难以协调时间来参加持续几个小时的会议。

准备演练材料

使用 PowerPoint 或其他演示材料来展示您的演练场景。Sophos 团队通常在桌面演练中使用 PowerPoint，每张幻灯片展示事件的进展以及供参与者思考的问题。我们一般将演练的幻灯片数量控制在 20 页以内。

构建桌面演练故事

编写一个假设的故事，并根据需要调整其中的信息。近期的新闻事件可吸引参与者的注意力。对于较为复杂的故事情节，您可以在系统和日志中设置线索，供参与者发现并跟踪。

将桌面演练迎合您的参与者

根据参与者的安全意识和技能水平设计网络安全桌面演练。例如，详细的故事情节对于拥有丰富的网络安全技能和专业知识的参与者较为有益。而对于其他情况，更为简单的高度概括场景可能更合适。

如要创建详细的场景，确保当中情节贴近现实。例如，若您要创建针对组织或网络的某个特定部分的场景，向熟悉该领域的人士获取意见，这样能设计出让目标受众有共鸣的场景。

获取参与者的反馈

询问参与者是否有可融入演练中的想法。大多数参与者可以分享他们日常遇到的安全痛点的见解，您可以利用这些痛点建立场景，帮助参与者找出应对这些挑战的方法。

绘制场景

设计一个流程图，展示模拟攻击的整个过程。这有助于发现场景中的不足之处。

同时，您可以征求了解故事情节中相关问题的团队和部门成员的反馈，他们可以帮助您解决潜在问题，并确保演练场景的现实性。

创建讨论问题

记录在故事发展过程中出现的所有问题，这些问题可以促使场景的参与者展开讨论。

检讨故事情节

在向参与者展示之前，多次评估您的场景。断定参与者完成场景所需的时间可能不易，当拿捏不准所需时间时，最好采取谨慎态度。如果发现演示时间接近或超出参与者可用时间，及时进行必要调整。

为演练定下基调

当参与者到达演练地点时，请鼓励每个人都参与演练。演练为每位参与者给予分享意见的机会，并有助于提升组织的安全防护状态。如果参与者相互沟通和协作，则每个人都可以从中获得最大价值。

主持演练

如果您负责主持演练，请克制想要参与的冲动。作为主持人，您可以为参与者提供场景并引导他们走过演练。同时，您还可以留出时间让参与者讨论不同课题，并分享讨论问题和引导问题。

跟踪问题

确保有专人记录演练过程中出现的所有问题。这将有助于发现那些影响故事有效性的潜在问题。

掌握时间

为演练计时并严格遵守。确保参与者按计划进行，并及时提醒他们在故事推进过程中保持投入和专注。

检讨结果

桌面演练结束后，分析结果并思考如何将其应用于组织的日常运作中。例如，如果您完成基于合规要求的测试，您可以生成一份包含审计员所需信息的 PDF。

同时，给予参与者检讨您的发现的机会，并在日后重复相同演练。这可确认修复或变更是否有效解决了首次演练中发现的问题。

安全桌面演练示例

以下是我们之前在 Sophos 编写并开展的桌面演练故事情节。

了解更多