Dungeons and Disaster Recovery: IT トレーニングのための卓上演習

幹部のグループがテーブルの周りに座っています。彼らの前には地図があり、データセンターのモデルに立っている6人の英雄的な人物が、パーカーを着た小さなしゃがむ生き物に四方を囲まれています。テーブルの一方の端では、DM が劇的に話しています。 「DDoS 攻撃が続く中、あなたはサーバー ルームに退却しました。ハッカーは何度か撃退されましたが、全員が負傷し、リソースが不足しています。これは最後の抵抗のように感じ始めており、CEO は次のことを待っています。更新します。何をしますか?」

CISO が深呼吸して DM を見上げる前に、プレーヤーはしばらく議論します。明らかに、彼女が下そうとする決定は彼女に重くのしかかっています。これは最後の手段であり、巻き添え被害が発生します。それでも、彼女の声は力強く、自信に満ちています。「強化されたファイアウォールをキャストします」。

今日は、卓上演習またはシナリオと、それらがセキュリティの最悪の事態に備えるためにどのように使用されるかを見ていきます。

机上演習でサイバーセキュリティエンジニアを育成

悲しいことに（または幸いなことに）、それは卓上エクササイズが実際に実行される方法ではありません. .現実には、悪意のあるグレムリンを召喚するサイバー犯罪者や、魔法を駆使するセキュリティ チームでいっぱいではないかもしれませんが、優れたシナリオと優れたロール プレイング キャンペーンの目標には大きな重複があります。

卓上演習は、計画と準備をテストする方法であり、データセンターを焼き尽くすというかなり抜本的な手順を実行する必要はありません。そのような危機の後にビジネスがどのように機能するかを知り、それに備えることは重要ですが、データセンターを焼き尽くすという実際の一歩を踏み出すことは、演習には少し遠すぎると思われるかもしれません.代わりに、これらの危機的出来事は、コミュニケーション ラインの発見、インシデント対応計画のテスト (ビジネス継続性または災害復旧)、または単に従業員のトレーニングとセキュリティの重要性に対する意識の向上を目的として、ゲーム化されます。

短い歴史

これらの演習には、現代の IT およびサイバー セキュリティの用途以外にも長く高貴な歴史があり、1824 年にライスヴィッツの「クリーフシュピール」までさかのぼります。これは戦争のための訓練です。全軍に熱心に勧めます。」これは、NATO が 2022 年にパリで Wargaming イニシアチブを開始したことにより、世界の軍隊が交戦に備えて部隊を準備するために使用するアプローチです。 NHS では、数十人の俳優と完全なメイクアップ チームが関与するシミュレーションを定期的に実行して、怪我を効果的にシミュレートしています。

卓上演習、ゲーム化されたシナリオ、危機、災害、軍事的関与などへの準備に役立つという証拠が何世紀にもわたって (たとえ 2 つだけであっても) あることを考えると、そのような演習のコストは、シナリオがヒットしたときに準備ができていない場合に比べて非常に低いです。 、今日どこでも使用されていると考える罠に陥るかもしれません.残念ながら、そうではありません。

さまざまな理由から、テーブルトップ エクササイズをうまく利用する人は、その価値に自信を持っていますが、多くの組織はそれらを使用していません。これらのシナリオは、人々が認めたくないあらゆる種類の失敗を引き出すのに非常に優れている可能性があるため、ダチョウ症候群である可能性があります. 「遊び」や「子供っぽい」と見なされるものに関わるのは気が進まないのかもしれません。おそらく、過剰に設計された PowerPoint プレゼンテーションでインタラクションがなく、多くのマーケティング FUD が発生するなど、うまく実行されていないシナリオを経験している可能性があります。何らかの理由で、一部の組織は、この貴重なツールを探して使用することに消極的です.

幸いなことに、学習、シミュレーション、ゲーミフィケーション、ゲームの専門家が集まる毎年恒例のPlay Secureカンファレンスなどのイベントにより、これは変化しています。さらに、多くの企業が自社の製品カタログに標準および特注の演習を提供しています。ご存じのように、私の家族会社であるボレスは、これらの会社を長年にわたって運営しており、素晴らしい結果を残しています。

テーブルトップ シナリオを計画のテストまたはストレス テストの場所として使用し、災害に備え、関係者のストレスとパニックに対する耐性を構築し (うまく実行すると激しい経験になります)、安全に問題を解決する場所を提供するという考えは、広がる。

さまざまな種類の卓上エクササイズ

卓上エクササイズを実行しているときは、目的に応じてさまざまなオプションがあります。特定の脅威またはイベントのマーケティングおよび意識向上の演習として、実際のイベントのリプレイのように、詳細な入力、限定された (またはまったくない) 選択肢を含む高度に構造化された形式は、非常に効果的である可能性があります。より複雑なシナリオはそうではありません。スペクトルの反対側では、はるかにオープンなシナリオに行き着きます。ほとんど完全にスクリプト化されておらず、熟練したモデレーターが実行する必要があり、参加者の決定にリアルタイムで応答し、その場で新しい注入を作成します.

原則として、テーブルトップ エクササイズのスクリプト化が進むほど、大規模な実行が容易になり、最初の作成により多くの労力がかかり、モデレーターが実行するために必要な知識が少なくなります。企業は、選択肢が限られている独自の冒険書を選ぶというスタイルで、事前に準備された内部シナリオを簡単に発表し、チームに独自のセッションを実行させることができます.

セッションのスクリプトが少ないほど、大規模な実行が難しくなり (可能ですが、より多くのリソースと労力が必要になります)、モデレーターにはより多くの知識と専門知識が必要になります。ここで理想的なのは、シミュレートされたような事件の経験と、ゲーム セッションの実行経験がある人です (そうです、これらの演習を売り込むとき、30 年間の卓上 RPG セッションの実行経験を履歴書に記載しています)。台本なしのセッションが提供するのは、特定の計画をテストしたり、演習中の行動や選択に基づいてそれらを構築したりする機会です。

これに加えて、テストするインシデントの種類を考慮する必要があります。ビジネス継続性の卓上演習は、重要なシステムに障害が発生した場合に、組織が許容レベルで運用を維持する方法を明らかにすることを目的としています。

インシデント対応は、ほとんどの場合、セキュリティ インシデントに注目しますが、悪い報道から難破した CEO まで、あらゆるものをカバーできます。

ビジネス継続性シナリオは、ビジネスが危機や重大な障害にどのように対応し、一定レベルの機能を維持するかを目的としています。これは、真に重要なことは何か、またビジネスを存続させるにはどのレベルのサービスが必要かを判断するための優れた方法です。

多くの場合、災害復旧はビジネス継続性から自然に発生し、組織がビジネス継続性計画から通常の運用に戻る方法 (またはバックアップから復元する方法) を明らかにします。危機管理は、上記のすべてを含め、ほとんど何でも可能です。

卓上エクササイズはどのように実行しますか?

1 つを実行する最善の方法は、専門家に依頼することです (予算があり、専門家を見つけることができるのであれば、そうすべきです)。ただし、アイデアを試してみたいだけの場合、または家族向けのゲームナイトの新しいテイクを探している場合は、限られた労力で簡単に卓上セッションを自分で実行できます.あなたは自分の専門知識に頼ることになるので、最良の結果を得るためにある程度経験のあるシナリオを選んでください (そして、あなたがよく知っている環境 - これらのシナリオを構築するとき、私は通常、組織を十分に理解するために徹底的な発見段階を伴います) ）。

シナリオを作成した後の最も簡単な方法は、何が「真実」であるかを判断することです。これは、舞台裏で実際に起こったことです。攻撃者は誰か、または実際に何が問題なのか。即興のスキルと自信に応じて、これは非常に詳細である必要はありませんが、ゴールデン ルールはエクササイズ中に変更しないことです。

その「真実」を理解したら、参加者がそれをどのように見るかを考えます。最初から完全な情報を入手できるわけではありません。たとえデータセンターが全焼するような単純なシナリオであっても、組織が最初に目にする可能性が高いのはサービスの失敗です。ここでブレインストーミングを行うと、最初の注入が形成されます。これは、グループに「これはあなたが見ているものです」と言うのと同じくらい簡単な場合もあれば、より強力な効果を得るために、顧客からのソーシャル メディア メッセージ、ランサムウェアの通知、ニュースの見出しなど (無料のテンプレートを入手して、これらのいくつかをここで作成できます )。

それが終わったら、最も難しいのは、参加者が集まる時間をスケジュールすることです。それは私が助けることができないものです。

最後に、シナリオ、注入、参加者、そして理想的には何が起こるかを詳細にメモする人など、必要なものがすべて揃っています。

その後、物語とストーリーテリングについてです。最初の注入で開き、次に何が起こるかを決定するために参加者に引き渡します。彼らが行動を起こすとき、彼らが行ったことに応じてより多くの情報で応答し、場合によってはより多くの注入を行い、シナリオが完了するまで繰り返します。

完了を定義するのは難しい場合があるため、現実的には、シナリオが安定するまで実行する必要があります。つまり、それ以上のアクションを実行しても、すぐには違いはありません (たとえば、データ センターを再構築するという決定が下された場合、数か月間プレイする価値は限られています)。関与するであろう建設の）。メモを取り、重要なものを引き出して、次の卓上演習の準備を開始します。

試してみて少しアドバイスが必要な場合、または誰かに来て一連のエクササイズを実行してもらいたい場合は、 TwitterまたはLinkedInで私に連絡してください。