Zindanlar ve Felaket Kurtarma: BT Eğitimi için Masaüstü Egzersizleri

Bir grup yönetici bir masanın etrafında oturuyor. Önlerinde bir harita var, bir veri merkezi modelinde duran altı kahraman figür, her tarafı kapüşonlu küçük, çömelmiş yaratıklarla çevrili. Masanın bir ucunda DM dramatik bir şekilde konuşuyor. "DDoS devam ederken sunucu odasına çekildiniz. Bilgisayar korsanları birkaç kez püskürtüldü, ancak hepiniz yaralandınız ve kaynaklarınız azaldı. Bu, son bir direniş gibi hissetmeye başlıyor ve CEO sizi bekliyor. bir güncelleme. Ne yaparsın?"

CISO derin bir nefes alıp DM'ye bakmadan önce oyuncular bir süre tartışırlar. Almak üzere olduğu kararın ağırlığını taşıdığı açıktır, bu son çaredir ve ikincil hasar meydana gelecektir. Yine de, şunu söylerken sesi güçlü ve kendinden emin: "Güçlendirilmiş bir güvenlik duvarı oluşturdum."

Bugün masa üstü tatbikatlara veya senaryolara ve bunların güvenlikteki en kötü duruma hazırlanmak için nasıl kullanıldığına bakacağız.

Siber Güvenlik Mühendislerini Eğitmek İçin Masaüstü Egzersizleri Kullanmak

Ne yazık ki (ya da neyse ki), masa üstü egzersizler gerçekte bu şekilde yürütülmüyor, ancak oyunlarla dolu olmanın eşiğine çok yaklaşan bazı çeşitler olmasına rağmen (ve aslında bazıları sadece kenardan geçmekle kalmıyor, aynı zamanda hevesle baştan atlayanlar da var) . Gerçek, şeytani gremlin çağıran siber suçlular ve sihir kullanan güvenlik ekipleriyle daha az dolu olsa da, iyi bir senaryo ile iyi bir rol yapma kampanyasının hedefleri arasında güçlü bir örtüşme vardır.

Masaüstü alıştırmaları, kendi veri merkezinizi yakmak gibi daha sert bir adım atmadan planları ve hazırlıkları test etmenin yollarıdır. Böyle bir krizden sonra işletmenin nasıl işleyeceğini bilmek ve buna hazırlanmak önemlidir, ancak veri merkezinizi yakmak gibi gerçek adımı atmak, bir egzersiz için biraz fazla uzak görünebilir. Bunun yerine, ister iletişim hatlarını keşfetmek, olay müdahale planlarını (iş sürekliliği veya felaket kurtarma) test etmek, ister sadece çalışanları eğitmek ve güvenliğin önemi konusunda farkındalık oluşturmak olsun, bu kriz olayları planlanıyor.

Kısa Bir Tarih

Bu tatbikatların modern BT ve siber güvenlik kullanımları dışında da uzun ve asil bir geçmişi vardır; Reisswitz'in 1824'teki "Kriefsspiel"ine kadar uzanan, kendisi ve babası tarafından geliştirilen ve General Karl von Mueffling tarafından "bir şey değil" olarak tanımlanan, en az iki yüz yıl öncesine kadar uzanır. kesinlikle oyun! Bu savaş eğitimi. Bunu tüm orduya coşkuyla tavsiye edeceğim." Bu, NATO'nun 2022'de Paris'te bir Savaş Oyunları Girişimi başlatmasıyla küresel orduların kuvvetlerini çatışmalara hazırlamak için kullandığı bir yaklaşım. Hatta NHS'nin, yaralanmaları etkili bir şekilde simüle etmek için düzinelerce aktör ve tam makyaj ekibini içeren simülasyonları düzenli olarak çalıştırdığı acil servisler bile.

Masa üstü tatbikatların, oyunlaştırılmış senaryoların, krizlere, felaketlere, askeri angajmanlara ve benzerlerine hazırlanmaya yardımcı olduğuna dair yüzyıllardır (sadece iki tane de olsa) kanıt olduğu ve bu tür tatbikatların maliyetinin, bir senaryo gerçekleştiğinde hazırlıksız olmaya kıyasla son derece düşük olduğu göz önüne alındığında , günümüzde her yerde kullanıldığını düşünme tuzağına düşebilirsiniz. Ne yazık ki durum böyle değil.

Pek çok nedenden ötürü, masa üstü egzersizleri iyi şekilde kullananlar, getirdikleri değere yemin ederken, birçok kuruluş bunları kullanmıyor. Devekuşu sendromu olabilir, çünkü bu senaryolar insanların kabul etmek istemediği her türlü başarısızlığı ortaya çıkarma konusunda son derece iyi olabilir. 'Oyun' veya 'çocukça' olarak görülen bir şeye karışmak konusundaki isteksizlik olabilir. Belki de etkileşimin olmadığı ve çok fazla pazarlama FUD'unun olduğu, aşırı derecede tasarlanmış bir PowerPoint sunumundan oluşan, kötü yürütülen senaryolarla karşılaşılmıştır. Sebep ne olursa olsun, bazı kuruluşlar bunları arayıp bu değerli aracı kullanmak konusunda isteksizdir.

Neyse ki öğrenme, simülasyon, oyunlaştırma ve oyun uzmanlarını bir araya getiren yıllık Play Secure konferansı gibi etkinliklerle bu durum değişiyor. Ayrıca birçok şirket, ürün kataloglarında standart ve özel alıştırmalar sunmaktadır. Tam açıklama, kendi aile şirketimden beklediğiniz gibi Bores , bunları yıllardır harika sonuçlarla yürütüyor.

Masa üstü senaryoları, planları test etmek veya stres testi yapmak ve felaketlere hazırlanmak için bir yer olarak kullanma, olaya dahil olanlarda stres ve paniğe karşı tolerans geliştirme (iyi yönetin, bunlar yoğun deneyimlerdir) ve işleri güvenli bir şekilde yanlış anlayacak bir yer sağlama fikri, yayma.

Farklı Masa Üstü Egzersiz Türleri

Masaüstü egzersizi yaparken, ne istediğinize bağlı olarak çok sayıda seçenek vardır. Belirli bir tehdit veya olaya yönelik bir pazarlama ve farkındalık çalışması olarak, ayrıntılı girdiler, sınırlı (veya hatta hiç) seçenek içermeyen, neredeyse gerçek olayların tekrarı gibi yüksek düzeyde yapılandırılmış bir format oldukça etkili olabilir - daha az ilgi çekici, ancak düşük çabayla ölçeklenebilir çok daha karmaşık senaryolar yoktur. Yelpazenin diğer ucunda, neredeyse tamamen senaryosuz olan ve çalıştırmak için yetenekli bir moderatörün gerekli olduğu, katılımcının kararlarına gerçek zamanlı olarak yanıt veren, anında yeni enjeksiyonlar oluşturan çok daha açık senaryolarla sonuçlanırız.

Genel bir kural olarak, masaüstü alıştırması ne kadar çok komut dosyasıyla yazılmışsa, ölçekte çalıştırılması da o kadar kolay olur, ilk oluşturma için o kadar fazla çaba gerekir ve bir moderatörün çalıştırılması için o kadar az bilgi gerekir. Bir şirket, sınırlı seçeneklerle kendi macera kitabınızı seçin tarzında önceden hazırlanmış bir iç senaryoyu kolaylıkla ortaya koyabilir ve ekiplerin kendi oturumlarını yürütmesine izin verebilir.

Oturumun senaryosu ne kadar azsa, geniş ölçekte yürütülmesi o kadar zor olur (mümkün, ancak daha fazla kaynak ve çaba gerektirir) ve moderatörün daha fazla bilgi ve uzmanlığa ihtiyacı olur. Buradaki ideal kişi, simüle edilen olay türü deneyiminin yanı sıra oyun oturumları yürütme deneyimi olan biridir (evet, bu alıştırmaları sunarken otuz yıllık masa üstü RPG oturumlarını CV'me koyuyorum). Senaryosuz oturumların sağladığı şey, belirli planları test etme, hatta bunları egzersiz sırasındaki eylemlere ve seçimlere dayalı olarak oluşturma şansıdır.

Bunun yanı sıra, test etmek istediğiniz olayın türünü de dikkate almanız gerekir. İş sürekliliği masa üstü tatbikatı, kritik sistemler arızalandığında bir kuruluşun nasıl kabul edilebilir bir seviyede çalışmaya devam edebileceğini ortaya çıkarmayı amaçlayacaktır.

Olay müdahalesi çoğu durumda güvenlik olaylarını ele alacaktır, ancak kötü basından gemi kazası geçiren bir CEO'ya kadar her şeyi kapsayabilir.

İş sürekliliği senaryoları, işletmenin bir krize veya kritik bir arızaya nasıl tepki vereceğini ve sürecin belirli bir düzeyde işleyişini nasıl sürdüreceğini hedefler. Bu, neyin gerçekten kritik olduğunu ve yaşayabilir bir işletme olmak için hangi düzeyde hizmetin gerekli olduğunu anlamanın harika bir yoludur.

Felaket kurtarma genellikle doğal olarak iş sürekliliğinden kaynaklanır ve bir kuruluşun iş sürekliliği planlarından normal operasyonlara nasıl döndüğünü (veya yedeklemeden nasıl geri yükleneceğini) ortaya çıkarır. Kriz yönetimi, yukarıdakilerin tümü de dahil olmak üzere hemen hemen her şey olabilir.

Masaüstü Egzersizini Nasıl Yaparsınız?

Birini yürütmenin en iyi yolunun bir profesyonelle çalışmak olduğunu söylemek isterim (ve bu doğrudur, eğer bütçeniz varsa ve bir profesyonel bulabilirseniz o zaman bulmalısınız). Bununla birlikte, yalnızca fikri denemek istiyorsanız veya aile oyun gecesine yeni bir bakış açısı arıyorsanız, o zaman sınırlı bir çabayla kendi başınıza kolayca bir masa üstü oturumu gerçekleştirebilirsiniz. Kendi uzmanlığınıza güveneceksiniz, bu nedenle en iyi sonuçları elde etmek için biraz deneyiminiz olan bir senaryoyu (ve aşina olduğunuz bir ortamı) seçin; bu senaryoları oluştururken genellikle organizasyonu yeterince iyi anlayabilmek için yoğun bir keşif aşamasına dahil olurum. ).

Bir senaryonuz olduğunda en basit yol, 'gerçeğin' ne olduğuna karar vermektir. Aslında perde arkasında yaşananlar bunlar. Saldırganın kim olduğu veya gerçekte neyin yanlış gittiği. Doğaçlama becerilerinize ve kendinize olan güveninize bağlı olarak bunun inanılmaz derecede ayrıntılı olmasına gerek yoktur, ancak altın kural, bunu egzersiz sırasında değiştirmemektir; küçük bir tutarsızlık, katılımı yok edebilir ve her türlü öğrenme potansiyelini ortadan kaldırabilir.

Bu 'gerçeği' öğrendikten sonra, katılımcıların bunu nasıl göreceklerini düşünmek için biraz zaman ayırın. Veri merkezinin yanması gibi basit bir senaryoda bile, başlangıçtan itibaren tüm bilgiye sahip olamayacaklar. Kuruluşun muhtemelen göreceği ilk şey, hizmetlerin başarısız olmasıdır. Burada beyin fırtınası yaptığınız her şey, ilk enjeksiyonlarınızı oluşturacaktır; bu, gruba 'gördüğünüz şey budur' demek kadar basit olabilir veya daha güçlü bir etki için müşterilerden gelen sosyal medya mesajları, fidye yazılımı bildirimleri, haber başlıkları ve benzerleri olabilir ( Bunlardan birkaçını oluşturmak için buradan bazı ücretsiz şablonlar alabilirsiniz).

Bunu yaptıktan sonra en zor şey katılımcılarınızı bir araya getirmek için bir zaman planlamaktır. Yardımcı olamayacağım şey.

Sonunda ihtiyacınız olan her şeye sahip olacaksınız: senaryo, enjekte edilenler, katılımcılarınız ve ideal olarak ne olduğuna dair ayrıntılı notlar alacak biri.

Bundan sonrası anlatıya ve hikaye anlatıcılığına geliyor. İlk enjeksiyonlarla başlayın ve daha sonra ne olacağına karar vermeleri için katılımcılarınıza teslim edin. Bir eyleme geçtiklerinde, yaptıkları şeye bağlı olarak daha fazla bilgiyle, belki daha fazla enjeksiyonla yanıt verin ve senaryo tamamlanana kadar yineleyin.

Tamamlanmayı tanımlamak zor olabilir, bu nedenle gerçekçi olmak gerekirse, senaryo stabil hale gelene kadar koşmak istersiniz; bu, daha sonraki eylemlerin hemen bir fark yaratmayacağı anlamına gelir (örneğin, bir veri merkezini yeniden inşa etme kararı verildiğinde, aylar boyunca oynamanın sınırlı değeri vardır) dahil olacak inşaat). Notları alın, önemli olan şeyleri çıkarın ve bir sonraki masa üstü alıştırmasına hazırlanmaya başlayın.

Birini denemeye ikna olduysanız ve küçük bir tavsiyeye ihtiyacınız varsa veya birisinin gelip bir dizi egzersiz yapmasını istiyorsanız bana Twitter veya LinkedIn'den ulaşabilirsiniz.