Ngục tối và Khắc phục thảm họa: Bài tập trên bàn để đào tạo CNTT

Một nhóm giám đốc điều hành ngồi xung quanh một cái bàn. Trước mặt họ là một tấm bản đồ, sáu nhân vật anh hùng đang đứng trong một mô hình trung tâm dữ liệu, bao quanh tứ phía là những sinh vật nhỏ bé, đang khom người trong bộ áo hoodie. Ở một đầu bàn, DM đang nói một cách kịch tính. "Bạn đã rút lui vào phòng máy chủ khi DDoS tiếp tục. Các tin tặc đã bị đẩy lùi nhiều lần, nhưng tất cả các bạn đều bị thương và cạn kiệt tài nguyên. Điều này bắt đầu giống như một vị trí cuối cùng, và Giám đốc điều hành đang chờ đợi một bản cập nhật. Bạn làm gì?"

Những người chơi thảo luận một lúc, trước khi CISO hít một hơi thật sâu và nhìn lên DM. Rõ ràng là quyết định mà cô ấy sắp đưa ra đang đè nặng lên cô ấy, đây là phương án cuối cùng và sẽ có những thiệt hại về tài sản thế chấp. Tuy nhiên, giọng nói của cô ấy vẫn mạnh mẽ và tự tin khi cô ấy nhấn mạnh: "Tôi sử dụng tường lửa được trao quyền."

Hôm nay, chúng ta sẽ xem xét các bài tập trên bàn hoặc các tình huống và cách chúng được sử dụng để chuẩn bị cho tình huống bảo mật tồi tệ nhất.

Sử dụng bài tập trên bàn để đào tạo kỹ sư an ninh mạng

Đáng buồn thay (hoặc may mắn thay) đó không phải là cách các bài tập trên bàn thực sự được thực hiện, mặc dù có một số loại chạy rất gần đến mức sung mãn trong các trò chơi (và thực tế, một số loại không chỉ vượt qua giới hạn mà còn háo hức vượt qua nó trước tiên) . Mặc dù thực tế có thể ít tội phạm mạng triệu hồi gremlin xấu xa và các đội an ninh sử dụng phép thuật, nhưng có sự trùng lặp mạnh mẽ về mục tiêu của một kịch bản hay và một chiến dịch nhập vai hay.

Bài tập trên bàn là cách thử nghiệm các kế hoạch và sự chuẩn bị mà không cần thực hiện bước quyết liệt hơn là đốt cháy trung tâm dữ liệu của riêng bạn. Điều quan trọng là phải biết doanh nghiệp sẽ hoạt động như thế nào sau một cuộc khủng hoảng như vậy và để chuẩn bị cho nó, nhưng thực hiện bước đốt cháy trung tâm dữ liệu của bạn có thể được coi là hơi quá xa đối với một bài tập. Thay vào đó, những sự kiện khủng hoảng này được sắp xếp theo từng trò chơi, cho dù đó là để khám phá các đường liên lạc, để kiểm tra các kế hoạch ứng phó sự cố (dù là hoạt động kinh doanh liên tục hay khắc phục thảm họa) hay chỉ để đào tạo nhân viên và nâng cao nhận thức về tầm quan trọng của bảo mật.

Lịch sử ngắn

Những bài tập này cũng có một lịch sử lâu dài và cao quý bên ngoài việc sử dụng CNTT và an ninh mạng hiện đại, có từ ít nhất hai trăm năm trước "Kriefsspiel" của Reisswitz vào năm 1824, do ông và cha ông phát triển và được Tướng Karl von Mueffling mô tả là "không phải là một trò chơi nào cả! Đó là huấn luyện cho chiến tranh. Tôi sẽ nhiệt tình giới thiệu nó cho toàn quân." Đó là một cách tiếp cận được quân đội toàn cầu sử dụng để chuẩn bị lực lượng cho các cuộc giao chiến, với việc NATO đã khởi động Sáng kiến Wargaming vào năm 2022 tại Paris. Ngay cả các dịch vụ khẩn cấp, với NHS thường xuyên chạy các mô phỏng liên quan đến hàng chục diễn viên và đội trang điểm đầy đủ để mô phỏng chấn thương một cách hiệu quả.

Cho rằng có hàng thế kỷ (thậm chí chỉ có hai) bằng chứng về các cuộc tập trận trên bàn, các kịch bản được trò chơi hóa, giúp chuẩn bị cho các cuộc khủng hoảng, thảm họa, các cuộc giao tranh quân sự, v.v., cùng với chi phí cho các cuộc tập trận như vậy cực kỳ thấp so với việc không được chuẩn bị khi một kịch bản xảy ra , bạn có thể rơi vào cái bẫy khi nghĩ rằng chúng được sử dụng ở mọi nơi ngày nay. Đáng buồn thay, đó không phải là trường hợp.

Vì rất nhiều lý do, trong khi những người tận dụng tốt các bài tập trên bàn thề với giá trị mà chúng mang lại, thì nhiều tổ chức lại không sử dụng chúng. Đó có thể là hội chứng đà điểu, vì những kịch bản này có thể đặc biệt tốt trong việc rút ra đủ loại thất bại mà mọi người không muốn thừa nhận. Đó có thể là sự miễn cưỡng tham gia vào một thứ gì đó được coi là 'trò chơi' hoặc 'trẻ con'. Có thể nó đã trải qua các tình huống chạy kém bao gồm một bản trình bày PowerPoint được thiết kế quá kỹ lưỡng, không có tương tác và có nhiều FUD tiếp thị. Vì bất kỳ lý do gì, một số tổ chức không muốn tìm kiếm chúng và sử dụng công cụ có giá trị này.

May mắn thay, điều này đang thay đổi với các sự kiện như hội nghị Play Secure hàng năm quy tụ các chuyên gia về học tập, mô phỏng, trò chơi hóa và trò chơi. Hơn nữa, một số công ty cung cấp các bài tập tiêu chuẩn và riêng biệt cho danh mục sản phẩm của họ. Tiết lộ đầy đủ, như bạn có thể mong đợi công ty gia đình của riêng tôi, Bores đã điều hành những công ty này với kết quả tuyệt vời trong nhiều năm.

Ý tưởng sử dụng các kịch bản trên bàn làm nơi để kiểm tra hoặc kiểm tra căng thẳng các kế hoạch và chuẩn bị cho thảm họa, xây dựng khả năng chịu đựng căng thẳng và hoảng sợ ở những người liên quan (hãy chạy tốt, chúng là những trải nghiệm căng thẳng) và cung cấp một nơi để nhận sai một cách an toàn là truyền bá.

Các loại bài tập trên bàn khác nhau

Có rất nhiều lựa chọn khi bạn thực hiện một bài tập trên bàn, tùy thuộc vào những gì bạn muốn từ nó. Là một bài tập tiếp thị và nâng cao nhận thức cho một mối đe dọa hoặc sự kiện cụ thể, sau đó, một định dạng có cấu trúc cao liên quan đến đầu vào chi tiết, các lựa chọn hạn chế (hoặc thậm chí không có), gần như là phát lại các sự kiện thực có thể mang lại hiệu quả cao - ít hấp dẫn hơn, nhưng có thể mở rộng với nỗ lực thấp trong một cách nhiều kịch bản liên quan hơn là không. Ở đầu kia của quang phổ, chúng tôi kết thúc với các kịch bản cởi mở hơn nhiều, gần như hoàn toàn không được viết sẵn và yêu cầu người điều hành có kỹ năng chạy, phản hồi theo thời gian thực với các quyết định của người tham gia, tạo ra các nội dung mới một cách nhanh chóng.

Theo nguyên tắc chung, bài tập trên máy tính bảng càng có nhiều kịch bản thì càng dễ chạy trên quy mô lớn, càng tốn nhiều công sức cho quá trình tạo ban đầu và người điều hành càng cần ít kiến thức hơn để chạy. Một công ty có thể dễ dàng đưa ra một kịch bản nội bộ được chuẩn bị trước theo kiểu chọn cuốn sách phiêu lưu của riêng bạn với các lựa chọn hạn chế và để các nhóm tự điều hành phiên của họ.

Phiên càng ít kịch bản thì càng khó chạy trên quy mô lớn (có thể, nhưng đòi hỏi nhiều tài nguyên và nỗ lực hơn), đồng thời người điều hành càng cần nhiều kiến thức và chuyên môn hơn. Điều lý tưởng ở đây là một người có kinh nghiệm về loại sự cố được mô phỏng, cùng với kinh nghiệm chạy các phiên trò chơi (vâng, tôi đã ghi ba mươi năm chạy các phiên RPG trên máy tính bảng vào CV của mình khi tôi trình bày các bài tập này). Điều mà các buổi học không theo kịch bản mang lại là cơ hội để kiểm tra các kế hoạch cụ thể hoặc thậm chí xây dựng chúng dựa trên các hành động và lựa chọn trong quá trình thực hiện.

Bên cạnh đó, bạn cần xem xét loại sự cố mà bạn muốn kiểm tra. Bài tập về tính liên tục trong kinh doanh sẽ nhằm mục đích khám phá cách một tổ chức có thể tiếp tục hoạt động ở mức chấp nhận được khi các hệ thống quan trọng gặp sự cố.

Ứng phó sự cố sẽ xem xét các sự cố bảo mật, trong hầu hết các trường hợp, nhưng có thể bao gồm mọi thứ từ báo chí xấu cho đến một CEO bị đắm tàu.

Các kịch bản kinh doanh liên tục nhằm vào cách doanh nghiệp ứng phó với khủng hoảng hoặc thất bại nghiêm trọng và duy trì một số cấp độ chức năng xuyên suốt. Đó là một cách tuyệt vời để tìm ra điều gì thực sự quan trọng và mức độ dịch vụ cần thiết để trở thành một doanh nghiệp khả thi.

Khôi phục sau thảm họa thường diễn ra một cách tự nhiên từ tính liên tục của hoạt động kinh doanh, khám phá cách một tổ chức chuyển từ các kế hoạch đảm bảo tính liên tục của hoạt động kinh doanh trở lại hoạt động bình thường (hoặc cách khôi phục từ bản sao lưu). Quản lý khủng hoảng có thể là hầu hết mọi thứ, bao gồm tất cả những điều trên.

Làm thế nào để bạn chạy một bài tập trên bàn?

Tôi muốn nói rằng cách tốt nhất để điều hành một công ty là thuê một chuyên gia (và đúng là nếu bạn có ngân sách và có thể tìm một chuyên gia thì bạn nên làm như vậy). Tuy nhiên, nếu bạn chỉ muốn thử nghiệm ý tưởng hoặc tìm kiếm một cách mới cho đêm trò chơi dành cho gia đình, thì bạn có thể dễ dàng tự chạy một phiên trên bàn mà không tốn nhiều công sức. Bạn sẽ dựa vào kiến thức chuyên môn của chính mình, vì vậy hãy chọn một kịch bản mà bạn có một số kinh nghiệm để có kết quả tốt nhất (và một môi trường mà bạn quen thuộc - khi xây dựng các kịch bản này, tôi thường bao gồm một giai đoạn khám phá căng thẳng để hiểu đủ rõ về tổ chức ).

Cách đơn giản nhất sau khi bạn có một kịch bản là quyết định 'sự thật' là gì. Đây là những gì thực sự xảy ra đằng sau hậu trường. Ai là kẻ tấn công, hoặc điều gì đã thực sự xảy ra. Điều này không cần phải quá chi tiết, tùy thuộc vào kỹ năng ứng biến và sự tự tin của bạn, nhưng nguyên tắc vàng là không được thay đổi nó trong khi thực hiện - một chút mâu thuẫn nhỏ có thể phá hủy sự gắn kết và loại bỏ mọi tiềm năng học tập.

Một khi bạn có 'sự thật' đó, hãy dành thời gian nghĩ xem những người tham gia sẽ nhìn nhận nó như thế nào. Họ sẽ không có đầy đủ thông tin ngay từ đầu - ngay cả trong một tình huống đơn giản như một trung tâm dữ liệu bị cháy, điều đầu tiên mà tổ chức có thể thấy là các dịch vụ bị lỗi. Bất cứ điều gì bạn động não ở đây sẽ hình thành nên liều thuốc đầu tiên của bạn - có thể đơn giản như nói với nhóm 'đây là những gì bạn thấy' hoặc, để có hiệu quả mạnh mẽ hơn, thông báo trên mạng xã hội từ khách hàng, thông báo về mã độc tống tiền, tiêu đề tin tức, v.v. bạn có thể lấy một số mẫu miễn phí để tạo một vài mẫu ở đây ).

Khi bạn đã hoàn thành việc đó, điều khó khăn nhất là sắp xếp thời gian để tập hợp những người tham gia lại với nhau. Cái đó tôi không giúp được.

Cuối cùng, bạn sẽ có mọi thứ mình cần: kịch bản, mũi tiêm, người tham gia và lý tưởng nhất là ai đó ghi chép chi tiết về những gì xảy ra.

Sau đó là phần tường thuật và kể chuyện. Mở ra với các lần tiêm ban đầu, sau đó bàn giao cho những người tham gia của bạn quyết định điều gì sẽ xảy ra tiếp theo. Khi họ thực hiện một hành động, hãy phản hồi với nhiều thông tin hơn tùy thuộc vào những gì họ đã làm, có thể với nhiều lần tiêm hơn và lặp lại cho đến khi kịch bản hoàn tất.

Việc hoàn thành có thể khó xác định, vì vậy trên thực tế, bạn muốn chạy cho đến khi kịch bản ổn định - nghĩa là bất kỳ hành động nào tiếp theo sẽ không tạo ra sự khác biệt ngay lập tức (ví dụ: một khi quyết định được đưa ra để xây dựng lại một trung tâm dữ liệu, sẽ có giá trị hạn chế khi chơi qua nhiều tháng của công trình sẽ tham gia). Ghi chép, rút ra bất cứ điều gì quan trọng và bắt đầu chuẩn bị cho bài tập trên bàn tiếp theo.

Nếu bạn bị thuyết phục để thử một lần và cần một lời khuyên nhỏ hoặc nếu bạn muốn ai đó tham gia và thực hiện một loạt bài tập, bạn có thể liên hệ với tôi trên Twitter hoặc LinkedIn .