地下城与灾难恢复：IT 培训桌面练习

一群高管围坐在一张桌子旁。在他们面前是一张地图，六个英勇的人物站在一个数据中心的模型中，四面八方被穿着连帽衫的蹲伏的小生物包围着。在桌子的一端，DM 正在夸张地讲话。 “随着 DDoS 的继续，你已经撤退到服务器机房。黑客已经被击退了几次，但你们都受伤了，资源也很匮乏。这开始感觉非常像最后一战，首席执行官正在等待更新。你是做什么的？

在 CISO 深吸一口气并抬头看着 DM 之前，玩家们讨论了一会儿。显然，她即将做出的决定是在给她带来压力，这是最后的手段，而且会有附带损害。尽管如此，她的声音依然坚定而自信：“我施放了强化防火墙。”

今天，我们将研究桌面练习或场景，以及如何使用它们来为最坏的安全情况做准备。

使用桌面练习来培训网络安全工程师

遗憾的是（或幸运的是）这并不是桌面练习的真正运行方式，尽管有一些品种非常接近于玩游戏的边缘（事实上，有些不仅绕过边缘而且急切地首先跳过它） .虽然现实中可能并没有充满邪恶的 gremlin 召唤网络犯罪分子和使用魔法的安全团队，但在良好场景和良好角色扮演活动的目标方面存在很强的重叠。

桌面演练是测试计划和准备工作的方法，无需采取更激烈的步骤来烧毁您自己的数据中心。重要的是要知道在这样的危机之后企业将如何运作，并为此做好准备，但采取实际步骤烧毁数据中心可能被认为有点过头了。相反，这些危机事件是通过博弈来解决的，无论是为了发现通信线路、测试事件响应计划（无论是业务连续性还是灾难恢复），或者只是为了培训员工和建立对安全重要性的认识。

简史

这些演习在现代 IT 和网络安全用途之外也有着悠久而崇高的历史，至少可以追溯到 200 年前 Reisswitz 于 1824 年创作的“Kriefsspiel”，由他和他的父亲开发，并被 Karl von Mueffling 将军描述为“不是完全没有游戏！这是战争训练。我会热情地向全军推荐它。”这是全球军队用来为交战做好准备的一种方法，北约于 2022 年在巴黎启动了兵棋推演计划。即使是紧急服务，NHS 也会定期运行涉及数十名演员和完整化妆团队的模拟，以有效模拟受伤情况。

鉴于有几个世纪（即使只有两个）的证据表明桌面演习、游戏化情景有助于为危机、灾难、军事交战等做准备，而且与情景发生时毫无准备相比，此类演习的成本极低，您可能会误以为它们如今无处不在。可悲的是，事实并非如此。

出于一系列原因，虽然那些充分利用桌面练习的人对其带来的价值深信不疑，但许多组织就是不使用它们。这可能是鸵鸟综合症，因为这些场景可以非常有效地找出人们不想承认的各种失败。可能不愿意参与被视为“游戏”或“幼稚”的事情。也许它遇到了运行不佳的场景，包括过度设计的 PowerPoint 演示文稿，没有交互和大量的营销 FUD。无论出于何种原因，一些组织都不愿意找到他们并使用这个有价值的工具。

幸运的是，这种情况正在发生变化，年度Play Secure会议等活动汇集了学习、模拟、游戏化和游戏方面的专家。此外，许多公司为其产品目录提供标准和定制练习。完全披露，正如您所期望的那样，我自己的家族企业Bores多年来一直在运行这些并取得了很好的成绩。

使用桌面场景作为测试或压力测试计划和为灾难做准备的地方，建立相关人员对压力和恐慌的容忍度（运行良好，他们是强烈的体验），并提供一个安全出错的地方的想法是蔓延。

不同类型的桌面练习

当您进行桌面练习时，有很多选择，具体取决于您希望从中得到什么。作为针对特定威胁或事件的营销和意识练习，高度结构化的格式涉及详细的输入、有限的（甚至没有）选择，几乎作为真实事件的重播可以非常有效 - 不那么吸引人，但可以在低努力下扩展一种更复杂的场景没有的方式。在频谱的另一端，我们最终得到了更加开放的场景，几乎完全没有脚本，需要熟练的主持人来运行，实时响应参与者的决定，即时创建新的注入。

作为一般规则，桌面练习的脚本越多，它就越容易大规模运行，初始创建所需的工作量越大，运行所需的主持人知识就越少。一家公司可以很容易地推出一个预先准备好的内部场景，就像选择你自己的冒险书一样，选择有限，然后让团队进行他们自己的会议。

会议脚本越少，规模化运行就越困难（可能，但需要更多的资源和努力），主持人所需的知识和专业知识也就越多。这里的理想人选是具有模拟事件的经验，以及运行游戏会话的经验（是的，当我推销这些练习时，我确实在我的简历上写了三十年运行桌面 RPG 会话）。无脚本会议确实提供了测试特定计划的机会，甚至可以根据练习期间的行动和选择来制定计划。

除此之外，您还需要考虑要测试的事件类型。业务连续性桌面练习旨在揭示组织如何在关键系统出现故障时保持在可接受的水平上运行。

在大多数情况下，事件响应将着眼于安全事件，但可以涵盖从负面新闻到遭遇海难的 CEO 的任何事情。

业务连续性场景旨在了解业务如何应对危机或严重故障，并始终保持一定程度的功能。这是一个很好的方法来确定什么是真正的关键，以及需要什么样的服务水平才能成为一个可行的企业。

灾难恢复通常自然地源于业务连续性，揭示组织如何从业务连续性计划恢复到正常操作（或如何从备份中恢复）。危机管理几乎可以是任何事情，包括上述所有内容。

你如何进行桌面练习？

我想说的是最好的运行方法是聘请专业人士（这是真的，如果你有预算并且可以找到专业人士那么你应该）。但是，如果您只是想测试一下这个想法，或者想为家庭游戏之夜寻找新的方式，那么您可以轻松地自己进行桌面会议，而无需付出太多努力。您将依靠自己的专业知识，因此选择一个您有一些经验的场景以获得最佳结果（以及您熟悉的环境 - 在构建这些场景时，我通常会涉及一个密集的发现阶段以充分了解组织).

一旦有了场景，最简单的方法就是确定“真相”是什么。这就是幕后实际发生的事情。谁是攻击者，或者真正出了什么问题。这不需要非常详细，具体取决于您的即兴技巧和信心，但黄金法则是不要在练习过程中改变它——一点不一致会破坏参与度并消除任何学习潜力。

一旦你有了那个“真相”，花点时间想想参与者会如何看待它。他们不会从一开始就获得完整的信息——即使是在像数据中心烧毁这样简单的情况下，组织可能首先看到的是服务失败。无论你在这里集思广益，都会形成你的第一次注入——这可能就像对小组说“这就是你所看到的”一样简单，或者，为了获得更强大的效果，来自客户的社交媒体消息、勒索软件通知、新闻标题等（您可以在这里获取一些免费模板来创建其中的一些模板）。

完成后，最困难的事情就是安排时间让参与者聚在一起。那个我帮不上忙。

最后，您将拥有您需要的一切：场景、注入、您的参与者，最好是有人详细记录发生的事情。

在那之后，它是关于叙事和讲故事的。打开初始注入，然后交给您的参与者来决定接下来会发生什么。当他们采取行动时，根据他们所做的事情提供更多信息作为回应，可能会注入更多信息，然后迭代直到场景完成。

完成可能很难定义，所以实际上你想运行直到场景稳定 - 这意味着任何进一步的行动都不会立即产生影响（例如，一旦决定重建数据中心，玩几个月的价值有限将涉及的建设）。做笔记，拿出任何重要的东西，然后开始为下一个桌面练习做准备。

如果您确信要尝试一下并需要一些建议，或者如果您希望有人进来进行一系列练习，您可以在Twitter或LinkedIn上联系我。