던전 및 재해 복구: IT 교육을 위한 모의 훈련

한 무리의 경영진이 테이블 주위에 앉아 있습니다. 그들 앞에는 지도가 있는데, 여섯 명의 영웅적인 인물이 데이터 센터 모형에 서 있고 사방이 후드티를 입고 웅크리고 있는 작은 생물들로 둘러싸여 있습니다. 테이블 한쪽 끝에서 DM이 극적으로 말하고 있습니다. "DDoS가 계속되면서 서버실로 퇴각하셨습니다. 해커들은 여러 차례 격퇴했지만 모두 부상을 입고 자원이 부족합니다. 이제 최후의 저항처럼 느껴지기 시작했고 CEO는 기다리고 있습니다. 업데이트요. 뭐하세요?"

플레이어들은 잠시 논의한 후 CISO가 심호흡을 하고 DM을 올려다봅니다. 분명히 그녀가 내리려는 결정은 그녀를 짓누르는 것입니다. 이것은 최후의 수단이며 부수적인 피해가 있을 것입니다. 그럼에도 불구하고 그녀의 목소리는 강하고 자신감이 넘치며 다음과 같이 말합니다. "나는 강화된 방화벽을 시전했습니다."

오늘 우리는 모의 훈련 또는 시나리오를 살펴보고 최악의 보안 상황에 대비하는 데 어떻게 사용되는지 살펴보겠습니다.

사이버 보안 엔지니어 교육을 위한 모의 훈련 활용

슬프게도(또는 다행스럽게도) 테이블 위에서 연습이 실제로 실행되는 방식은 아니지만, 게임에 전념할 수 있는 가장자리에 매우 가까이 다가가는 일부 종류가 있지만 실제로 일부는 가장자리를 피할 뿐만 아니라 머리부터 열성적으로 뛰어넘는 경우도 있습니다. . 현실은 사악한 그렘린을 소환하는 사이버 범죄자와 마법을 휘두르는 보안 팀으로 가득 차 있지 않을 수도 있지만 좋은 시나리오와 좋은 롤플레잉 캠페인의 목표에는 상당한 중복이 있습니다.

모의 연습은 자신의 데이터 센터를 불태우는 다소 과감한 조치를 취하지 않고 계획과 준비를 테스트하는 방법입니다. 그러한 위기 이후에 비즈니스가 어떻게 작동할지 파악하고 이에 대비하는 것이 중요하지만 데이터 센터를 불태우는 실제 조치를 취하는 것은 연습하기에는 다소 너무 먼 것처럼 보일 수 있습니다. 대신 이러한 위기 상황은 의사소통 경로를 찾거나, 사고 대응 계획(비즈니스 연속성 또는 재해 복구 등)을 테스트하거나, 직원을 교육하고 보안의 중요성에 대한 인식을 구축하기 위한 목적으로 진행됩니다.

짧은 역사

이러한 훈련은 또한 현대 IT 및 사이버 보안 용도를 제외하고 길고 고귀한 역사를 가지고 있으며, 1824년 Reisswitz의 "Kriefsspiel"로 최소 200년 전으로 거슬러 올라갑니다. Reisswitz와 그의 아버지가 개발했으며 Karl von Mueffling 장군이 "아닙니다. 그야말로 게임! 전쟁을 위한 훈련입니다. 전군에게 열성적으로 추천하겠습니다." 이는 NATO가 2022년 파리에서 워게이밍 이니셔티브를 시작한 등 전 세계 군대가 교전을 위해 군대를 준비하기 위해 사용하는 접근 방식입니다. NHS는 부상을 효과적으로 시뮬레이션하기 위해 수십 명의 배우와 전체 메이크업 팀이 참여하는 시뮬레이션을 정기적으로 실행하는 응급 서비스도 제공합니다.

위기, 재난, 군사 교전 등에 대비하는 데 도움이 되는 모의 훈련, 게임화된 시나리오에 대한 증거가 수 세기에 걸쳐(단 2개라도) 있다는 점과 시나리오가 닥쳤을 때 준비되지 않은 상태에 비해 그러한 훈련 비용이 극도로 낮다는 점을 고려하면 , 오늘날 모든 곳에서 사용되고 있다고 생각하는 함정에 빠질 수도 있습니다. 안타깝게도 그렇지 않습니다.

여러 가지 이유로 탁상 운동을 잘 활용하는 사람들은 그것이 가져오는 가치를 확신하지만 많은 조직에서는 이를 사용하지 않습니다. 타조 증후군일 수도 있습니다. 이러한 시나리오는 사람들이 인정하고 싶지 않은 모든 종류의 실패를 끌어내는 데 매우 유용할 수 있습니다. '놀이' 또는 '유치한' 것으로 보이는 것에 참여하기를 꺼리는 것일 수 있습니다. 어쩌면 상호 작용이 없고 마케팅 FUD가 너무 많은 지나치게 엔지니어링된 PowerPoint 프레젠테이션으로 구성된 제대로 실행되지 않은 시나리오를 경험했을 수도 있습니다. 어떤 이유로든 일부 조직에서는 이 귀중한 도구를 찾아 사용하는 것을 꺼립니다.

다행스럽게도 학습, 시뮬레이션, 게임화, 게임 분야의 전문가들이 한자리에 모이는 연례 Play Secure 컨퍼런스와 같은 이벤트를 통해 상황이 바뀌고 있습니다. 또한 많은 회사에서는 제품 카탈로그에 표준 및 맞춤형 연습을 제공합니다. 전체 공개합니다. 제 가족 회사인 Bores는 수년 동안 이러한 회사를 운영하여 훌륭한 결과를 얻었습니다.

계획을 테스트하거나 스트레스 테스트하고 재난에 대비하고, 관련된 사람들의 스트레스와 공황에 대한 내성을 구축하고(잘 실행하는 것은 강렬한 경험입니다) 일을 안전하게 잘못할 수 있는 장소를 제공하는 장소로 테이블 시나리오를 사용한다는 아이디어는 다음과 같습니다. 확산.

다양한 유형의 탁상 운동

탁상 운동을 할 때 원하는 것에 따라 다양한 옵션이 있습니다. 특정 위협이나 이벤트에 대한 마케팅 및 인식 운동으로서 실제 이벤트를 재현하는 것과 같은 세부적인 입력, 제한된(또는 전혀 없는) 선택을 포함하는 고도로 구조화된 형식은 매우 효과적일 수 있습니다. 더 복잡한 시나리오는 그렇지 않습니다. 스펙트럼의 반대쪽 끝에서 우리는 훨씬 더 개방적인 시나리오로 끝납니다. 거의 완전히 대본이 없고 실행하려면 숙련된 조정자가 필요하며 참가자의 결정에 실시간으로 응답하고 즉석에서 새로운 주입을 생성합니다.

일반적으로 테이블톱 연습의 스크립트가 많을수록 규모에 맞게 실행하기가 더 쉬워지고, 초기 생성에 더 많은 노력이 필요하며, 실행하는 데 중재자에게 필요한 지식이 줄어듭니다. 회사는 제한된 선택 사항으로 자신만의 모험 책을 선택하는 스타일로 미리 준비된 내부 시나리오를 쉽게 내놓고 팀이 자체 세션을 진행하도록 할 수 있습니다.

스크립트가 덜 작성된 세션일수록 규모에 맞게 실행하기가 더 어렵고(가능하지만 더 많은 리소스와 노력이 필요함) 중재자에게 더 많은 지식과 전문 지식이 필요합니다. 여기서 이상적인 사람은 게임 세션을 실행한 경험과 함께 시뮬레이션되는 사건 유형의 경험이 있는 사람입니다. (예, 저는 이 연습을 할 때 내 이력서에 30년 동안의 테이블탑 RPG 세션 실행 경험을 기재합니다.) 대본이 없는 세션이 제공하는 것은 특정 계획을 테스트하거나 연습 중 행동과 선택을 기반으로 계획을 수립할 수 있는 기회입니다.

이와 함께 테스트하려는 사건 유형을 고려해야 합니다. 비즈니스 연속성 모의 훈련은 중요한 시스템에 장애가 발생했을 때 조직이 허용 가능한 수준에서 계속 운영할 수 있는 방법을 찾는 것을 목표로 합니다.

사고 대응은 대부분의 경우 보안 사고를 고려하지만 나쁜 언론부터 난파된 CEO까지 모든 것을 다룰 수 있습니다.

비즈니스 연속성 시나리오는 비즈니스가 위기나 중대한 실패에 어떻게 대응하고 일정 수준의 기능을 계속 유지하는지를 목표로 합니다. 이는 진정으로 중요한 것이 무엇인지, 그리고 실행 가능한 비즈니스가 되기 위해 필요한 서비스 수준을 파악하는 좋은 방법입니다.

재해 복구는 비즈니스 연속성에서 자연스럽게 흘러나오는 경우가 많으며, 조직이 비즈니스 연속성 계획에서 다시 정상 운영으로 전환하는 방법(또는 백업에서 복원하는 방법)을 파악합니다. 위기 관리는 위의 모든 것을 포함하여 거의 모든 것이 될 수 있습니다.

탁상 운동을 어떻게 실행합니까?

나는 하나를 운영하는 가장 좋은 방법은 전문가를 고용하는 것이라고 말하고 싶습니다. 예산이 있고 전문가를 찾을 수 있다면 그렇게 해야 합니다. 그러나 단지 아이디어를 테스트하거나 가족 게임의 밤을 위한 새로운 방법을 찾고 있다면 적은 노력으로 쉽게 테이블톱 세션을 직접 실행할 수 있습니다. 자신의 전문 지식에 의존하게 되므로 최상의 결과를 얻기 위해 경험이 있는 시나리오(그리고 익숙한 환경)를 선택하십시오. 이러한 시나리오를 구축할 때 일반적으로 조직을 충분히 이해하기 위한 집중적인 검색 단계가 포함됩니다. ).

일단 시나리오를 갖고 나면 가장 간단한 방법은 '진실'이 무엇인지 결정하는 것입니다. 이것이 실제로 뒤에서 일어난 일입니다. 공격자가 누구인지, 아니면 실제로 무엇이 잘못되었는지. 즉흥적인 기술과 자신감에 따라 엄청나게 상세할 필요는 없지만 연습 중에 이를 변경하지 않는 것이 황금률입니다. 약간의 불일치로 인해 참여가 중단되고 학습 잠재력이 사라질 수 있습니다.

일단 그 '진실'을 갖게 되면, 참가자들이 그것을 어떻게 볼 것인지 생각해 보는 시간을 가지십시오. 그들은 처음부터 전체 정보를 얻지 못할 것입니다. 데이터 센터가 불타오르는 것처럼 단순한 시나리오에서도 조직이 가장 먼저 보게 될 것은 서비스 실패입니다. 여기에서 무엇을 브레인스토밍하든 첫 번째 주입이 될 것입니다. 이는 그룹에 '이것이 바로 당신이 보고 있는 것입니다'라고 말하는 것만큼 간단할 수도 있고, 더 강력한 효과를 위해 고객의 소셜 미디어 메시지, 랜섬웨어 알림, 뉴스 헤드라인 등이 될 수도 있습니다( 여기에서 무료 템플릿을 다운로드하여 몇 가지를 만들 수 있습니다.

일단 그렇게 하고 나면 가장 어려운 일은 참가자들을 한자리에 모을 시간을 계획하는 것입니다. 그건 제가 도와드릴 수 없습니다.

마지막으로 시나리오, 주입, 참가자, 이상적으로는 무슨 일이 일어나는지 자세히 기록할 사람 등 필요한 모든 것을 갖게 됩니다.

그 다음은 내러티브와 스토리텔링이다. 초기 주입을 시작하고 참가자들에게 넘겨서 다음에 무슨 일이 일어날지 결정하십시오. 조치를 취할 때 수행한 작업에 따라 더 많은 정보(아마도 더 많은 주입)로 응답하고 시나리오가 완료될 때까지 반복합니다.

완료는 정의하기 어려울 수 있으므로 현실적으로 시나리오가 안정될 때까지 실행해야 합니다. 즉, 추가 조치가 즉각적인 차이를 가져오지 않는다는 의미입니다. 예를 들어 데이터 센터를 재구축하기로 결정하면 몇 달 동안 플레이하는 데는 가치가 제한됩니다. 관련되는 건설의 내용). 메모를 하고, 중요한 내용을 꺼내고, 다음 탁상 연습 준비를 시작하세요.

한 번 시도해 보겠다고 확신하고 약간의 조언이 필요하거나 누군가가 와서 일련의 운동을 실행하기를 원한다면 Twitter 나 LinkedIn 을 통해 저에게 연락할 수 있습니다.