與全面模擬相比,桌面演練的強度較小,成本較低,是一個了解組織和員工在壓力環境下如何做出響應的機會。
桌面演練定義
桌面演練(有時縮寫為TTX或TTE)是指由應急組織的代表或關鍵崗位人員參加的,按照應急預案及其標準工作流程,討論緊急情況時應該采取行動的演練活動,其氛圍是學院式和探索性的。
不過,想要真正了解桌面演練,還需要綜合分析它與“功能性演練”和“全面演練”的區別。
桌面演練 VS 功能性演練VS全面演練
所謂“功能性演練”是指針對某項應急響應功能或其中某些應急響應行動舉行的演練活動,主要目的是針對應急響應功能,檢驗應急人員以及應急體系的策劃和響應能力。
功能性演練比桌面演練規模更大,需要動員更多的應急人員和機構參與,因而協調工作的難度也會隨之增加。此外,演練完成后,除了采取口頭評論形式外,還應向地方提交有關演練活動的書面匯報,提出改進建議。
所謂“全面演練”是指針對應急預案中全部或大部分應急響應功能,檢驗、評價應急組織應急運行能力的演練活動。全面演練一般要求持續多個小時,采取交互式方式進行,演練過程要求盡量真實,調用更多的應急人員和資源,并開展人員、設備和其他資源的實戰性演練,以驗證相互協調的應急響應能力。
與功能性演練類似,全面演練完成后,除了采取口頭評論、書面匯報外,還應提交正式的書面報告。
相比之下,顧名思義,桌面演練是圍繞一張桌子進行的,其特點是對演練場景進行口頭演練,一般是在會議室內舉行。
桌面演練一般僅限于有限的應急響應和內部協調活動,應急人員主要來自本地應急組織,事后一般采取口頭評論形式收集參演人員的建議,并提交一份簡短的書面報告,總結演練活動和提出有關改進應急響應工作的建議。
需要記住的一件重要事情是,桌面演習并不意味著測試或比賽,它們應該被視為協作學習環境和“無錯”(no-fault)環境。畢竟,如果組織在演練過程中發現他們的防御弱點或流程存在問題,這應該被認為是一件好事——畢竟,在演練中發現漏洞要比面臨真正的危機好得多。
網絡安全桌面演練
事實上,桌面演練并不僅限于網絡安全領域;任何需要應對潛在危機和災難的組織都可以從其中受益。例如,俄勒岡州就曾使用桌面演練對2020年冠狀病毒大流行后可能產生的變化影響制定演練計劃。
但不得不說,在許多方面,桌面演練特別適用于網絡安全環境,而且對其格外重要。它們旨在暴露組織結構中的弱點,并確保人們實際上遵循了協議和最佳實踐,這些協議和最佳實踐在大多數時候似乎都處于理論層面。正因如此,當現實世界中的人類需要實施它們時,那些看似完美的計劃也往往以崩潰收場。雖然有很多方法可以對網絡防御的技術層面進行測試,但桌面練習測試的是對網絡安全同樣重要的人和組織因素。
桌面演練需要考慮的問題
開展桌面演練前,要問自己的第一個問題是桌面演練是否適合您的組織。如果您已經為將要經歷的場景制定了某種形式的響應計劃,那么才值得開始這個過程。桌面演練非常適合測試計劃可行性,但如果參與的每個人都只是即興發揮,那就不能奢望可以從中獲益太多。此外,您還需要獲取組織對該過程的支持:如果管理層不同意讓您根據結果更改計劃和政策,那么進行整個演練也是毫無意義的。
同樣重要的一個問題就是誰將參與該演練項目。參與的團隊成員類型將決定您將進行什么樣的演練。例如,參與者都是網絡安全團隊成員的演練可能側重于識別和擊敗高級持續威脅;參與者跨越整個公司的演練可能會著眼于網絡入侵的后果以及技術、法律和通信部門應如何應對入侵行為等。
另一個需要考慮的重要問題是“何時”:是應該每年開展一次還是更頻繁地進行桌面演練,以提高員工的警覺性?然后是“何地”:顯然易見就是舉行演練的位置問題,可以是圍著會議室的桌子,也可以通過視頻會議為分布式團隊進行演練。最后,還有一個絕對關鍵的問題,即“如何”。雖然沒有一種絕對正確的方法來進行桌面演練,但是有一些重要的建議可以幫助您充分利用桌面演練。
規劃桌面演練
Nexight Group公司的Jack Eisenhauer概述了規劃桌面演習的過程,該過程考慮了上述許多問題。他將這個過程分為三個階段,每個階段包括三個關鍵活動。這些對應于練習之前、期間和之后的時間,但您需要提前計劃以確保每個步驟在練習中正確完成。
演練前:設計
明確目標和結果,確定您希望實現的目標以及練習結束后您將如何使用這些結果;
選擇您的參與團隊,包括關鍵決策者甚至高管,然后利用他們的影響力將事后報告付諸行動;
設計一個可信的且能夠引發討論的場景和演練計劃。
演練中:參與
創建一個互動的、無錯的空間,鼓勵人們提出問題和犯錯;
詢問參與者一些探索性問題,遵循腳本但允許即興發揮;
使用可視化工具和時間線,隨時記錄問題和經驗教訓——不要完全依賴會議記錄者;
演練后:學習
準備一份行動后報告,其中包括演練的文檔以及潛在改進的領域;
根據練習結果制定具體的近期計劃;
提供工具和指南來促進學習,找到滿足演練結果所揭示的需求的資源。
桌面演練目標
讓我們回到最開始的一個話題:演練的目標。坦白地說,您希望通過桌面演練為組織帶來什么好處?學會將這些目標與參與者在演練中的目標區分開來至關重要。例如,桌面演練參與者的目標可能是弄清楚如何在災難發生后盡快恢復組織的數據庫。但進行該演練的總體目標是對組織的災難恢復計劃進行壓力測試,看看團隊是否知道如何在遇到意外情況時最好地協同工作。
美國公用設施監管協會(NARUC)建議開展桌面演練的目標應該遵循“SMART”原則,具體為:
S代表具體(Specific)——解決具體問題并指定行動項目;
M代表可度量(Measurable)——預先建立成功指標,以驗證活動成果;
A代表可實現(Achievable)——參與者可以在分配時間內完成;
R代表相關性(Relevant)——與組織的使命相關聯;
T代表有時限(Time-bound)——將時間限制在預先確定的合理時間范圍內;
領導桌面演練項目
有很多顧問很樂意在您的組織中領導桌面演練;然而,由于這些練習的非正式性質,它們通常由內部員工領導。
紐約州有一個很好的桌面練習指導員指南,提供了有關領導適用于任何主題領域的桌面演習的寶貴建議。它首先列出了協調人的大局職責:
介紹演練基本情況;
鼓勵解決問題;
控制活動的節奏和流程;
引導討論并從小組中得出答案和解決方案(而不是直接提供給他們);
該指南還提供了讓所有參與者參與以及控制和維持活動的技巧。重要的關鍵之一是注意沮喪和沖突的跡象。請記住,桌面演練旨在協作,而不是對抗。特別是,初級員工需要有在管理層面前發表評論的空間,所以盡量讓每個人都平等地參與進來。
桌面練習示例和場景
到目前為止,我們一直在談論一些籠統的情況。那么在實際示例中可能會出現哪些場景?互聯網安全中心(CIS)提供了六個場景,可供參考:
匆忙修復:網絡管理員未經測試就部署補丁,然后出去度假,導致用戶無法登錄;
惡意軟件感染:用戶將感染惡意軟件的SD卡插入公司筆記本電腦中;
計劃外攻擊:黑客組織針對該組織發動攻擊——他們會在企業系統中發現什么?
云入侵:您的組織一直在使用被黑客入侵的云存儲服務存儲敏感數據,這可能會暴露客戶數據;
財務入侵:審計顯示您的工資系統正在向可疑人員發放支票;
洪水區(flood zone):在處理公司總部遭遇的洪水攻擊時,您又遭到了勒索軟件攻擊;
該文檔還概述了在您的組織中實際運行這些練習所需的大部分內容。其中一些屬于下述兩個類別,它們可能是最常見的網絡安全桌面演練類型:
事件響應桌面練習。正如我們希望提前計劃和控制一切一樣,網絡安全在很大程度上是一個被動的過程。RSI有關于執行事件響應桌面演練的文檔,其中包括確保參與者了解您的組織針對特定類型的違規行為的政策以及誰負責應對這些事件的行動。
用于業務連續性的桌面演練場景。桌面演練也受到了那些負責為自然或人為災難做準備的人的喜愛,而業務連續性屬于該角色與網絡安全之間的重疊部分。NContracts對運行有效的桌面業務連續性規劃演練有很好的指導,其中包括了解您對特定供應商的依賴關系,并可能將它們循環到任何損壞控制場景中。
桌面練習模板
您想開始規劃自己的桌面演練項目嗎?您可以使用一些模板來幫助入門。SearchDisasterRecovery就是很好的選擇,它會提示您列出運行演練的動機(以便您開展內部動員)、參與者的敘述以及參與者將采用的溝通方式等。而且Continuity Advisor有一個有用的模板,您可以使用它在演練完成后創建行動后報告。
