कालकोठरी और आपदा रिकवरी: आईटी प्रशिक्षण के लिए टेबलटॉप अभ्यास

अधिकारियों का एक समूह एक टेबल के चारों ओर बैठता है। उनके सामने एक नक्शा है, डेटा सेंटर के एक मॉडल में छह वीर आकृतियाँ खड़ी हैं, जो हुडी में छोटे, दुबके हुए जीवों से घिरी हुई हैं। मेज के एक छोर पर डीएम नाटकीय ढंग से बोल रहे हैं। "आप सर्वर रूम में वापस चले गए हैं क्योंकि DDoS जारी है। हैकर्स को कई बार खदेड़ दिया गया है, लेकिन आप सभी घायल हैं और संसाधनों पर कम हैं। यह बहुत हद तक एक आखिरी स्टैंड की तरह लगने लगा है, और सीईओ इंतजार कर रहा है एक अपडेट। आप क्या करते हैं?"

खिलाड़ी थोड़ी देर के लिए चर्चा करते हैं, इससे पहले कि सीआईएसओ गहरी सांस लेता है और डीएम को देखता है। जाहिर है कि वह जो निर्णय लेने जा रही है, वह उस पर भारी पड़ रहा है, यह एक अंतिम उपाय है, और संपार्श्विक क्षति होगी। फिर भी, उसकी आवाज़ मजबूत और आत्मविश्वासी है क्योंकि वह कहती है: "मैंने फ़ायरवॉल को सशक्त बनाया है।"

आज, हम टेबलटॉप अभ्यासों, या परिदृश्यों को देखने जा रहे हैं, और कैसे वे सबसे खराब सुरक्षा की तैयारी के लिए उपयोग किए जाते हैं।

साइबर सुरक्षा इंजीनियरों को प्रशिक्षित करने के लिए टेबलटॉप अभ्यासों का उपयोग करना

अफसोस की बात है (या सौभाग्य से) यह नहीं है कि टेबलटॉप अभ्यास वास्तव में कैसे चलाए जाते हैं, हालांकि कुछ किस्में हैं जो खेलों में पूर्ण होने के किनारे के बहुत करीब हैं (और वास्तव में, कुछ जो न केवल किनारे को स्कर्ट करते हैं बल्कि पहले सिर पर उत्सुकता से छलांग लगाते हैं) . जबकि वास्तविकता दुष्ट ग्रेमलिन-बुलाने वाले साइबर अपराधियों और जादू चलाने वाली सुरक्षा टीमों से कम भरी हो सकती है, एक अच्छे परिदृश्य और एक अच्छी भूमिका निभाने वाले अभियान के लक्ष्यों में एक मजबूत ओवरलैप है।

टेबलटॉप अभ्यास आपके स्वयं के डेटा केंद्र को जलाने के बजाय अधिक कठोर कदम उठाए बिना योजनाओं और तैयारियों का परीक्षण करने के तरीके हैं। यह जानना महत्वपूर्ण है कि इस तरह के संकट के बाद व्यवसाय कैसे कार्य करेगा, और इसके लिए तैयारी करनी होगी, लेकिन अपने डेटा केंद्र को नष्ट करने का वास्तविक कदम उठाने को अभ्यास के लिए बहुत दूर की तरह देखा जा सकता है। इसके बजाय, इन संकट की घटनाओं को बाहर निकाल दिया जाता है, चाहे वह संचार की लाइनों की खोज करना हो, घटना प्रतिक्रिया योजनाओं (चाहे व्यापार निरंतरता या आपदा वसूली) का परीक्षण करना हो, या केवल कर्मचारियों को प्रशिक्षित करना और सुरक्षा के महत्व के बारे में जागरूकता पैदा करना हो।

एक संक्षिप्त इतिहास

इन अभ्यासों का आधुनिक आईटी और साइबर सुरक्षा उपयोगों के बाहर एक लंबा और महान इतिहास भी है, जो 1824 में रिस्वित्ज़ के "क्रिफ़्सस्पिल" में कम से कम दो सौ साल पीछे जा रहा है, जिसे उनके और उनके पिता द्वारा विकसित किया गया था और जनरल कार्ल वॉन मुफलिंग द्वारा "नहीं" के रूप में वर्णित किया गया था। खेल बिल्कुल! यह युद्ध के लिए प्रशिक्षण है। मैं पूरी सेना को उत्साहपूर्वक इसकी सिफारिश करूंगा। नाटो ने पेरिस में 2022 में एक वॉरगेमिंग पहल शुरू करने के साथ, वैश्विक सेनाओं द्वारा अपने बलों को सगाई के लिए तैयार करने के लिए इस्तेमाल किया जाने वाला एक दृष्टिकोण है। यहां तक कि आपातकालीन सेवाएं, एनएचएस के साथ नियमित रूप से चलने वाले सिमुलेशन में दर्जनों अभिनेताओं और पूर्ण मेकअप टीमों को प्रभावी ढंग से चोटों का अनुकरण करने के लिए शामिल किया गया है।

यह देखते हुए कि टेबलटॉप अभ्यासों के साक्ष्य के सदियों (भले ही केवल दो) हैं, गेमिफाइड परिदृश्य, संकटों, आपदाओं, सैन्य व्यस्तताओं और इसी तरह की तैयारी में मदद करने के साथ-साथ इस तरह के अभ्यासों की लागत एक परिदृश्य हिट होने पर तैयार होने की तुलना में बेहद कम है। , तो आप इस सोच के जाल में पड़ सकते हैं कि आज उनका हर जगह उपयोग किया जाता है। अफसोस की बात है कि ऐसा नहीं है।

कई कारणों से, जबकि जो लोग टेबलटॉप अभ्यासों का अच्छा उपयोग करते हैं, वे उनके द्वारा लाए जाने वाले मूल्य की कसम खाते हैं, कई संगठन उनका उपयोग नहीं करते हैं। यह शुतुरमुर्ग सिंड्रोम हो सकता है, क्योंकि ये परिदृश्य सभी प्रकार की विफलताओं को बाहर निकालने में असाधारण रूप से अच्छे हो सकते हैं जिन्हें लोग स्वीकार नहीं करना चाहते हैं। यह 'खेल' या 'बचकाना' जैसी किसी चीज़ में शामिल होने की अनिच्छा हो सकती है। हो सकता है कि यह खराब तरीके से चलने वाले परिदृश्यों का अनुभव कर रहा हो, जिसमें बिना किसी इंटरेक्शन और बहुत सारे मार्केटिंग FUD के साथ एक अति-इंजीनियर्ड पॉवरपॉइंट प्रेजेंटेशन शामिल है। जो भी कारण हो, कुछ संगठन उन्हें खोजने और इस मूल्यवान उपकरण का उपयोग करने में अनिच्छुक हैं।

यह, सौभाग्य से, बदल रहा है, वार्षिक प्ले सिक्योर सम्मेलन जैसी घटनाओं के साथ सीखने, सिमुलेशन, गेमिफिकेशन और गेम में विशेषज्ञों को एक साथ लाता है। इसके अलावा, कई कंपनियां अपने उत्पाद कैटलॉग के लिए मानक और बेस्पोक अभ्यास प्रदान करती हैं। पूर्ण प्रकटीकरण, जैसा कि आप मेरी अपनी पारिवारिक कंपनी की अपेक्षा कर सकते हैं, बोर वर्षों से अच्छे परिणामों के साथ इन्हें चला रहे हैं।

टेबलटॉप परिदृश्यों को परीक्षण या तनाव-परीक्षण योजनाओं के स्थान के रूप में उपयोग करने और आपदाओं के लिए तैयार करने, इसमें शामिल लोगों में तनाव और घबराहट के लिए सहनशीलता का निर्माण करने का विचार है (अच्छी तरह से चलाएं वे तीव्र अनुभव हैं), और चीजों को सुरक्षित रूप से गलत करने के लिए एक जगह प्रदान करना है फैल रहा है।

विभिन्न प्रकार के टेबलटॉप व्यायाम

जब आप टेबलटॉप व्यायाम कर रहे हों तो विकल्पों की एक पूरी श्रृंखला होती है, यह इस बात पर निर्भर करता है कि आप इससे क्या चाहते हैं। एक विशेष खतरे या घटना के लिए एक विपणन और जागरूकता अभ्यास के रूप में विस्तृत इनपुट, सीमित (या यहां तक कि नहीं) विकल्पों से युक्त एक अत्यधिक संरचित प्रारूप, लगभग वास्तविक घटनाओं की पुनरावृत्ति के रूप में अत्यधिक प्रभावी हो सकता है - कम आकर्षक, लेकिन कम प्रयास में स्केलेबल एक तरह से अधिक शामिल परिदृश्य नहीं हैं। स्पेक्ट्रम के दूसरे छोर पर हम बहुत अधिक खुले परिदृश्यों के साथ समाप्त होते हैं, लगभग पूरी तरह से अनस्क्रिप्टेड और चलाने के लिए एक कुशल मॉडरेटर की आवश्यकता होती है, प्रतिभागी के निर्णयों पर वास्तविक समय में प्रतिक्रिया करते हुए, मक्खी पर नए इंजेक्शन बनाते हैं।

एक सामान्य नियम के रूप में टेबलटॉप व्यायाम जितना अधिक स्क्रिप्टेड होता है, उतना ही आसान होता है कि इसे बड़े पैमाने पर चलाया जा सके, प्रारंभिक निर्माण के लिए जितना अधिक प्रयास किया जाता है, और इसे चलाने के लिए मॉडरेटर से कम ज्ञान की आवश्यकता होती है। एक कंपनी सीमित विकल्पों के साथ अपनी स्वयं की साहसिक पुस्तक चुनने की शैली में एक पूर्व-तैयार आंतरिक परिदृश्य को आसानी से प्रस्तुत कर सकती है, और अपने स्वयं के सत्र चलाने के लिए टीमों को छोड़ सकती है।

कम स्क्रिप्टेड सत्र, बड़े पैमाने पर चलाना कठिन (संभव है, लेकिन अधिक संसाधनों और प्रयास की आवश्यकता होती है), और मॉडरेटर के लिए अधिक ज्ञान और विशेषज्ञता की आवश्यकता होती है। यहां आदर्श कोई ऐसा व्यक्ति है जिसके पास इस तरह की घटना का अनुकरण किया जा रहा है, साथ ही खेल सत्र चलाने का अनुभव है (हां, जब मैं इन अभ्यासों को पिच कर रहा हूं तो मैं अपने सीवी पर तीस साल के टेबलटॉप आरपीजी सत्र चला रहा हूं)। अलिखित सत्र जो प्रदान करते हैं वह विशिष्ट योजनाओं का परीक्षण करने का मौका है, या अभ्यास के दौरान क्रियाओं और विकल्पों के आधार पर उनका निर्माण भी करता है।

इसके साथ ही, आपको उस प्रकार की घटना पर विचार करने की आवश्यकता है जिसका आप परीक्षण करना चाहते हैं। एक व्यापार निरंतरता टेबलटॉप अभ्यास का उद्देश्य यह उजागर करना होगा कि महत्वपूर्ण सिस्टम विफल होने पर एक संगठन स्वीकार्य स्तर पर कैसे काम कर सकता है।

घटना की प्रतिक्रिया ज्यादातर मामलों में सुरक्षा घटनाओं पर ध्यान देगी, लेकिन खराब प्रेस से लेकर जलपोत सीईओ तक कुछ भी कवर कर सकती है।

व्यापार निरंतरता परिदृश्यों का उद्देश्य यह है कि व्यवसाय किसी संकट या गंभीर विफलता पर कैसे प्रतिक्रिया करता है, और कार्य के कुछ स्तर को बनाए रखता है। वास्तव में क्या महत्वपूर्ण है, और व्यवहार्य व्यवसाय होने के लिए किस स्तर की सेवा की आवश्यकता है, यह पता लगाने का यह एक शानदार तरीका है।

डिजास्टर रिकवरी अक्सर व्यापार निरंतरता से स्वाभाविक रूप से बहती है, यह उजागर करती है कि कैसे एक संगठन व्यापार निरंतरता से वापस सामान्य संचालन (या बैकअप से कैसे पुनर्स्थापित करें) की योजना बनाता है। उपरोक्त सभी सहित संकट प्रबंधन लगभग कुछ भी हो सकता है।

आप टेबलटॉप व्यायाम कैसे चलाते हैं?

मुझे यह कहना अच्छा लगेगा कि किसी को चलाने का सबसे अच्छा तरीका एक पेशेवर को शामिल करना है (और यह सच है, यदि आपके पास बजट है और आप एक पेशेवर ढूंढ सकते हैं तो आपको चाहिए)। हालाँकि, यदि आप केवल इस विचार का परीक्षण करना चाहते हैं, या फैमिली गेम नाईट के लिए एक नए टेक की तलाश कर रहे हैं, तो आप सीमित प्रयास के साथ आसानी से टेबलटॉप सत्र चला सकते हैं। आप अपनी खुद की विशेषज्ञता पर भरोसा करेंगे, इसलिए सर्वोत्तम परिणामों के लिए आपके पास कुछ अनुभव है (और ऐसा वातावरण जिससे आप परिचित हैं - इन परिदृश्यों का निर्माण करते समय मैं आमतौर पर संगठन को अच्छी तरह से समझने के लिए एक गहन खोज चरण शामिल करूँगा) ).

एक बार आपके पास एक परिदृश्य होने का सबसे आसान तरीका यह तय करना है कि 'सत्य' क्या है। पर्दे के पीछे वास्तव में यही हुआ है। हमलावर कौन है, या वास्तव में क्या गलत हुआ है। यह आपके कामचलाऊ कौशल और आत्मविश्वास के आधार पर अविश्वसनीय रूप से विस्तृत होने की आवश्यकता नहीं है, लेकिन अभ्यास के दौरान इसे बदलने के लिए एक सुनहरा नियम नहीं है - थोड़ी सी असंगति सगाई को नष्ट कर सकती है और किसी भी सीखने की क्षमता को दूर कर सकती है।

एक बार जब आपके पास वह 'सच्चाई' आ जाए, तो यह सोचने में कुछ समय व्यतीत करें कि प्रतिभागी इसे कैसे देखेंगे। उनके पास शुरू से ही पूरी जानकारी नहीं होगी - यहां तक कि एक सरल परिदृश्य में भी एक डेटा सेंटर के जलने जैसी पहली चीज जो संगठन को देखने की संभावना है, वह है सेवाओं की विफलता। यहां आप जो भी विचार-मंथन करते हैं, वह आपका पहला इंजेक्शन बनेगा - जो समूह को 'यह वही है जो आप देखते हैं' कहने जितना आसान हो सकता है या, अधिक शक्तिशाली प्रभाव के लिए, ग्राहकों से सोशल मीडिया संदेश, रैंसमवेयर नोटिस, समाचार सुर्खियां, और इसी तरह के ( आप इनमें से कुछ को यहां बनाने के लिए कुछ मुफ्त टेम्प्लेट ले सकते हैं)।

एक बार जब आप ऐसा कर लेते हैं, तो सबसे कठिन काम अपने प्रतिभागियों को एक साथ लाने के लिए समय निर्धारित करना होता है। जिसकी मैं मदद नहीं कर सकता।

अंत में आपके पास वह सब कुछ होगा जो आपको चाहिए: परिदृश्य, इंजेक्शन, आपके प्रतिभागी, और आदर्श रूप से कोई व्यक्ति जो होता है उसके बारे में विस्तृत नोट्स लेने के लिए।

उसके बाद, यह कथा और कहानी कहने के बारे में है। प्रारंभिक इंजेक्शन के साथ खोलें, और फिर अपने प्रतिभागियों को यह तय करने के लिए सौंप दें कि आगे क्या होता है। जब वे कोई कार्रवाई करते हैं, तो उन्होंने जो किया है उसके आधार पर अधिक जानकारी के साथ प्रतिक्रिया दें, शायद अधिक इंजेक्शन के साथ, और परिदृश्य पूरा होने तक पुनरावृति करें।

समापन को परिभाषित करना कठिन हो सकता है, इसलिए वास्तविक रूप से आप तब तक चलना चाहते हैं जब तक कि परिदृश्य स्थिर न हो जाए - जिसका अर्थ है कि आगे की कार्रवाई से कोई तत्काल अंतर नहीं आएगा (उदाहरण के लिए डेटा सेंटर के पुनर्निर्माण के लिए एक बार निर्णय लेने के बाद, महीनों तक खेलने में सीमित मूल्य है निर्माण का जो शामिल होगा)। नोट्स लें, कुछ भी महत्वपूर्ण निकालें, और अगले टेबलटॉप अभ्यास की तैयारी शुरू करें।

यदि आप इसे आजमाने के लिए आश्वस्त हैं और आपको थोड़ी सी सलाह की आवश्यकता है, या यदि आप चाहते हैं कि कोई आए और अभ्यासों की एक श्रृंखला चलाए, तो आप मुझसे ट्विटर या लिंक्डइन पर संपर्क कर सकते हैं।