Dungeons und Disaster Recovery: Tabletop-Übungen für die IT-Schulung

Eine Gruppe von Führungskräften sitzt an einem Tisch. Vor ihnen liegt eine Karte, sechs Heldenfiguren stehen in einem Modell eines Rechenzentrums, umgeben von allen Seiten von kleinen, hockenden Kreaturen in Kapuzenpullis. An einem Ende des Tisches spricht der DM dramatisch. „Sie haben sich in den Serverraum zurückgezogen, während der DDoS-Angriff weitergeht. Die Hacker wurden mehrmals abgewehrt, aber Sie sind alle verletzt und haben nur noch wenig Ressourcen. Das fühlt sich langsam wie ein letztes Gefecht an, und der CEO wartet darauf.“ ein Update. Was machen Sie?“

Die Spieler diskutieren eine Weile, bevor der CISO tief durchatmet und zum DM aufschaut. Offensichtlich lastet die Entscheidung, die sie treffen wird, auf ihr. Dies ist der letzte Ausweg, und es wird Kollateralschäden geben. Dennoch ist ihre Stimme stark und selbstbewusst, als sie sagt: „Ich habe eine ermächtigte Firewall gewirkt.“

Heute werfen wir einen Blick auf Tabletop-Übungen oder Szenarien und wie sie zur Vorbereitung auf das Schlimmste im Sicherheitsbereich eingesetzt werden.

Verwendung von Tabletop-Übungen zur Schulung von Cyber-Sicherheitsingenieuren

Leider (oder zum Glück) werden Tabletop-Übungen nicht wirklich auf diese Weise durchgeführt, obwohl es einige Varianten gibt, die sehr nahe an der Grenze zur Vollständigkeit bei Spielen sind (und tatsächlich einige, die nicht nur an der Grenze vorbeigehen, sondern auch eifrig mit dem Kopf voran darüber springen). . Auch wenn die Realität weniger voller Cyberkrimineller ist, die böse Gremlins beschwören, und Sicherheitsteams, die Magie einsetzen, gibt es doch starke Überschneidungen bei den Zielen eines guten Szenarios und einer guten Rollenspielkampagne.

Tabletop-Übungen sind Möglichkeiten, Pläne und Vorbereitungen zu testen, ohne den etwas drastischeren Schritt zu unternehmen, das eigene Rechenzentrum niederzubrennen. Es ist wichtig zu wissen, wie das Unternehmen nach einer solchen Krise funktionieren würde, und sich darauf vorzubereiten, aber der eigentliche Schritt, Ihr Rechenzentrum niederzubrennen, könnte als eine etwas zu weitreichende Übung angesehen werden. Stattdessen werden diese Krisenereignisse durchgespielt, sei es, um Kommunikationswege zu entdecken, Pläne zur Reaktion auf Vorfälle zu testen (ob Geschäftskontinuität oder Notfallwiederherstellung) oder einfach nur, um Mitarbeiter zu schulen und ein Bewusstsein für die Bedeutung der Sicherheit zu schaffen.

Eine kurze Geschichte

Diese Übungen haben auch außerhalb moderner IT- und Cyber-Sicherheitsanwendungen eine lange und edle Geschichte, die mindestens zweihundert Jahre bis zu Reisswitz‘ „Kriefsspiel“ aus dem Jahr 1824 zurückreicht, das von ihm und seinem Vater entwickelt und von General Karl von Müffling als „nicht a“ beschrieben wurde Spiel überhaupt! Es ist ein Training für den Krieg. Ich werde es der gesamten Armee mit Begeisterung empfehlen.“ Es handelt sich um einen Ansatz, den globale Militärs nutzen, um ihre Streitkräfte auf Gefechte vorzubereiten. Die NATO hat 2022 in Paris eine Wargaming-Initiative gestartet. Sogar Rettungsdienste, wobei der NHS regelmäßig Simulationen durchführt, an denen Dutzende Schauspieler und komplette Ersatzteams beteiligt sind, um Verletzungen effektiv zu simulieren.

Angesichts der Tatsache, dass es jahrhundertelange (wenn auch nur zwei) Beweise für Tabletop-Übungen, spielerische Szenarios gibt, die bei der Vorbereitung auf Krisen, Katastrophen, militärische Einsätze und Ähnliches helfen, und dass die Kosten für solche Übungen im Vergleich zur Unvorbereitetheit, wenn ein Szenario eintritt, extrem niedrig sind , könnten Sie in die Falle tappen und denken, dass sie heute überall verwendet werden. Leider ist das nicht der Fall.

Aus einer ganzen Reihe von Gründen schwören diejenigen, die Tischübungen sinnvoll nutzen, auf den Nutzen, den sie mit sich bringen, viele Organisationen nutzen sie jedoch einfach nicht. Es könnte sich um ein Straußensyndrom handeln, da diese Szenarien außergewöhnlich gut darin sein können, alle möglichen Fehler aufzudecken, die Menschen nicht wahrhaben wollen. Es könnte sich um eine Zurückhaltung handeln, sich auf etwas einzulassen, das als „spielerisch“ oder „kindisch“ angesehen wird. Vielleicht liegt es daran, dass Sie schlecht umgesetzte Szenarien erlebt haben, die aus einer übermäßig konstruierten PowerPoint-Präsentation ohne Interaktion und viel Marketing-FUD bestanden. Aus irgendeinem Grund zögern einige Organisationen, sie aufzusuchen und dieses wertvolle Tool zu nutzen.

Dies ändert sich glücklicherweise gerade, da Veranstaltungen wie die jährliche Play Secure -Konferenz Experten aus den Bereichen Lernen, Simulationen, Gamification und Spiele zusammenbringen. Darüber hinaus bieten zahlreiche Unternehmen in ihren Produktkatalogen Standard- und maßgeschneiderte Übungen an. Vollständige Offenlegung: Wie Sie es von meinem eigenen Familienunternehmen erwarten können, führt Bores diese seit Jahren mit großartigen Ergebnissen.

Die Idee, Tabletop-Szenarien als Ort zum Testen oder Stresstesten von Plänen und zur Vorbereitung auf Katastrophen zu nutzen, bei den Beteiligten eine Toleranz gegenüber Stress und Panik aufzubauen (gut zu laufen, sind intensive Erfahrungen) und einen Ort zu bieten, an dem man sicher etwas falsch machen kann, ist Verbreitung.

Die verschiedenen Arten von Tischübungen

Wenn Sie eine Tischübung durchführen, gibt es eine ganze Reihe von Optionen, je nachdem, was Sie davon erwarten. Als Marketing- und Sensibilisierungsübung für eine bestimmte Bedrohung oder ein bestimmtes Ereignis kann ein stark strukturiertes Format mit detaillierten Eingaben, begrenzten (oder gar keinen) Auswahlmöglichkeiten, fast wie eine Wiederholung realer Ereignisse, äußerst effektiv sein – weniger ansprechend, aber mit geringem Aufwand skalierbar Viel kompliziertere Szenarien sind es nicht. Am anderen Ende des Spektrums landen wir bei den viel offeneren Szenarien, die fast völlig ohne Drehbuch auskommen und einen erfahrenen Moderator erfordern, der in Echtzeit auf die Entscheidungen der Teilnehmer reagiert und im Handumdrehen neue Injektionen erstellt.

Generell gilt: Je mehr Skripte die Tabletop-Übung enthalten, desto einfacher lässt sie sich in großem Maßstab durchführen, desto mehr Aufwand ist für die anfängliche Erstellung erforderlich und desto weniger Wissen erfordert die Durchführung von einem Moderator. Ein Unternehmen könnte problemlos ein vorgefertigtes internes Szenario im Stil eines „Wählen Sie Ihr eigenes Abenteuerbuchs“ mit begrenzten Auswahlmöglichkeiten veröffentlichen und den Teams die Durchführung ihrer eigenen Sitzungen überlassen.

Je weniger Skripte für die Sitzung erforderlich sind, desto schwieriger ist die Durchführung in großem Maßstab (möglich, erfordert aber mehr Ressourcen und Aufwand) und desto mehr Wissen und Fachwissen werden vom Moderator benötigt. Ideal ist hier jemand mit Erfahrung in der Art des simulierten Vorfalls und Erfahrung in der Durchführung von Spielsitzungen (ja, ich schreibe in meinem Lebenslauf dreißig Jahre Erfahrung in der Durchführung von Tabletop-RPG-Sitzungen, wenn ich diese Übungen vorstelle). Was unskriptbasierte Sitzungen bieten, ist die Möglichkeit, spezifische Pläne zu testen oder sie sogar auf der Grundlage von Aktionen und Entscheidungen während der Übung zu erstellen.

Darüber hinaus müssen Sie die Art des Vorfalls berücksichtigen, den Sie testen möchten. Ziel einer Tabletop-Übung zur Geschäftskontinuität ist es, herauszufinden, wie ein Unternehmen den Betrieb auf einem akzeptablen Niveau aufrechterhalten kann, wenn kritische Systeme ausfallen.

Die Reaktion auf Vorfälle konzentriert sich in den meisten Fällen auf Sicherheitsvorfälle, kann aber alles abdecken, von schlechter Presse bis hin zu einem schiffbrüchigen CEO.

Geschäftskontinuitätsszenarien zielen darauf ab, wie das Unternehmen auf eine Krise oder einen kritischen Ausfall reagiert und ein gewisses Maß an Funktionsfähigkeit aufrechterhält. Es ist eine großartige Möglichkeit, herauszufinden, was wirklich wichtig ist und welches Serviceniveau erforderlich ist, um ein rentables Unternehmen zu sein.

Die Notfallwiederherstellung ergibt sich oft ganz natürlich aus der Geschäftskontinuität und deckt auf, wie ein Unternehmen von den Geschäftskontinuitätsplänen zurück zum normalen Betrieb übergeht (oder wie es eine Wiederherstellung aus einem Backup durchführt). Krisenmanagement kann fast alles sein, einschließlich aller oben genannten.

Wie führt man eine Tischübung durch?

Ich würde gerne sagen, dass der beste Weg, ein Projekt zu leiten, darin besteht, einen Fachmann zu beauftragen (und es stimmt, wenn Sie über ein Budget verfügen und einen Fachmann finden können, sollten Sie das auch tun). Wenn Sie die Idee jedoch nur ausprobieren möchten oder nach einer neuen Variante für den Spieleabend mit der Familie suchen, können Sie mit begrenztem Aufwand problemlos selbst eine Tabletop-Sitzung durchführen. Sie verlassen sich auf Ihr eigenes Fachwissen. Wählen Sie daher ein Szenario aus, mit dem Sie über Erfahrung verfügen, um die besten Ergebnisse zu erzielen (und eine Umgebung, mit der Sie vertraut sind – bei der Erstellung dieser Szenarien werde ich normalerweise eine intensive Entdeckungsphase einbeziehen, um die Organisation gut genug zu verstehen). ).

Sobald Sie ein Szenario haben, ist es am einfachsten, zu entscheiden, was die „Wahrheit“ ist. Das ist es, was tatsächlich hinter den Kulissen passiert ist. Wer ist der Angreifer oder was ist wirklich schief gelaufen? Dies muss nicht besonders detailliert sein, abhängig von Ihren Improvisationsfähigkeiten und Ihrem Selbstvertrauen, aber eine goldene Regel ist, es während der Übung nicht zu ändern – eine kleine Inkonsistenz kann das Engagement zerstören und jegliches Lernpotenzial beseitigen.

Sobald Sie diese „Wahrheit“ kennen, denken Sie etwas darüber nach, wie die Teilnehmer sie sehen werden. Sie werden nicht von Anfang an über alle Informationen verfügen – selbst in einem so einfachen Szenario wie dem Abbrennen eines Rechenzentrums wird das Unternehmen wahrscheinlich als erstes feststellen, dass Dienste ausfallen. Was auch immer Sie sich hier vorstellen, es wird Ihre ersten Injektionen bilden – was so einfach sein kann, wie der Gruppe zu sagen: „Das ist, was Sie sehen“, oder, um eine stärkere Wirkung zu erzielen, Social-Media-Nachrichten von Kunden, Ransomware-Benachrichtigungen, Schlagzeilen und Ähnliches ( Sie können hier einige kostenlose Vorlagen herunterladen, um einige davon zu erstellen.

Sobald Sie das getan haben, ist es am schwierigsten, einen Zeitpunkt zu planen, zu dem Sie Ihre Teilnehmer zusammenbringen können. Da kann ich nicht helfen.

Endlich haben Sie alles, was Sie brauchen: das Szenario, die Injektionen, Ihre Teilnehmer und idealerweise jemanden, der detaillierte Notizen über das Geschehen macht.

Danach geht es um Erzählung und Storytelling. Öffnen Sie sich mit den ersten Injektionen und überlassen Sie es dann Ihren Teilnehmern, zu entscheiden, was als nächstes passiert. Wenn sie eine Aktion ausführen, antworten Sie mit mehr Informationen, je nachdem, was sie getan haben, möglicherweise mit mehr Injektionen, und wiederholen Sie den Vorgang, bis das Szenario abgeschlossen ist.

Die Fertigstellung kann schwer zu definieren sein, daher möchten Sie realistischerweise so lange weitermachen, bis das Szenario stabil ist – das bedeutet, dass alle weiteren Maßnahmen keinen unmittelbaren Unterschied machen werden (sobald die Entscheidung getroffen wurde, beispielsweise ein Rechenzentrum wieder aufzubauen, ist es nur begrenzt sinnvoll, die Monate durchzuspielen der Bauaufwand, der damit verbunden wäre). Machen Sie sich Notizen, holen Sie alles Wichtige heraus und bereiten Sie sich auf die nächste Tischübung vor.

Wenn Sie davon überzeugt sind, es einmal auszuprobieren, und einen kleinen Rat brauchen, oder wenn Sie möchten, dass jemand vorbeikommt und eine Reihe von Übungen durchführt, können Sie mich auf Twitter oder LinkedIn erreichen.