砂轮修整器
⼩⼆郎技术 4⼩时前发布
收藏碳计算器
导语:⼀⽂了解桌⾯演练!
与全⾯模拟相⽐,桌⾯演练的强度较⼩,成本较低,是⼀个了解组织和员⼯在压⼒环境下如何做出响应的机会。 桌⾯演练定义
桌⾯演练(有时缩写为TTX或TTE)是指由应急组织的代表或关键岗位⼈员参加的,按照应急预案及其标准⼯作流程,讨论紧急情况时应该采取⾏动的演练活动,其氛围是学院式和探索性的。 不过,想要真正了解桌⾯演练,还需要综合分析它与“功能性演练”和“全⾯演练”的区别。
桌⾯演练 VS 功能性演练VS全⾯演练
所谓“功能性演练”是指针对某项应急响应功能或其中某些应急响应⾏动举⾏的演练活动,主要⽬的是针
对应急响应功能,检验应急⼈员以及应急体系的策划和响应能⼒。
功能性演练⽐桌⾯演练规模更⼤,需要动员更多的应急⼈员和机构参与,因⽽协调⼯作的难度也会随之增加。此外,演练完成后,除了采取⼝头评论形式外,还应向地⽅提交有关演练活动的书⾯汇报,提出改进建议。
所谓“全⾯演练”是指针对应急预案中全部或⼤部分应急响应功能,检验、评价应急组织应急运⾏能⼒的演练活动。全⾯演练⼀般要求持续多个⼩时,采取交互式⽅式进⾏,演练过程要求尽量真实,调⽤更多的应急⼈员和资源,并开展⼈员、设备和其他资源的实战性演练,以验证相互协调的应急响应能⼒。
与功能性演练类似,全⾯演练完成后,除了采取⼝头评论、书⾯汇报外,还应提交正式的书⾯报告。
相⽐之下,顾名思义,桌⾯演练是围绕⼀张桌⼦进⾏的,其特点是对演练场景进⾏⼝头演练,⼀般是在会议室内举⾏。
桌⾯演练⼀般仅限于有限的应急响应和内部协调活动,应急⼈员主要来⾃本地应急组织,事后⼀般采取⼝头评论形式收集参演⼈员的建议,并提交⼀份简短的书⾯报告,总结演练活动和提出有关改进应急响应⼯作的建议。
需要记住的⼀件重要事情是,桌⾯演习并不意味着测试或⽐赛,它们应该被视为协作学习环境和“⽆错”(no-fault)环境。毕竟,如果组织在演练过程中发现他们的防御弱点或流程存在问题,这应该被认为是⼀件好事——毕竟,在演练中发现漏洞要⽐⾯临真正的危机好得多。 ⽹络安全桌⾯演练
事实上,桌⾯演练并不仅限于⽹络安全领域;任何需要应对潜在危机和灾难的组织都可以从其中受益。例如,俄勒冈州就曾使⽤桌⾯演练对2020年冠状病毒⼤流⾏后可能产⽣的变化影响制定演练计划。
但不得不说,在许多⽅⾯,桌⾯演练特别适⽤于⽹络安全环境,⽽且对其格外重要。它们旨在暴露组织结构中的弱点,并确保⼈们实际上遵循了协议和最佳实践,这些协议和最佳实践在⼤多数时候似乎都处于理论层⾯。正因如此,当现实世界中的⼈类需要实施它们时,那些看似完美的计划也往往以崩溃收场。虽然有很多⽅法可以对⽹络防御的技术层⾯进⾏测试,但桌⾯练习测试的是对⽹络安全同样重要的⼈和组织因素。
桌⾯演练需要考虑的问题
开展桌⾯演练前,要问⾃⼰的第⼀个问题是桌⾯演练是否适合您的组织。如果您已经为将要经历的场
景制定了某种形式的响应计划,那么才值得开始这个过程。桌⾯演练⾮常适合测试计划可⾏性,但如果参与的每个⼈都只是即兴发挥,那就不能奢望可以从中获益太多。此外,您还需要获取组织对该过程的⽀持:如果管理层不同意让您根据结果更改计划和
就不能奢望可以从中获益太多。此外,您还需要获取组织对该过程的⽀持:如果管理层不同意让您根据结果更改计划和政策,那么进⾏整个演练也是毫⽆意义的。
同样重要的⼀个问题就是谁将参与该演练项⽬。参与的团队成员类型将决定您将进⾏什么样的演练。例如,参与者都是⽹络安全团队成员的演练可能侧重于识别和击败⾼级持续威胁;参与者跨越整个公司的演练可能会着眼于⽹络⼊侵的后果以及技术、法律和通信部门应如何应对⼊侵⾏为等。
另⼀个需要考虑的重要问题是“何时”:是应该每年开展⼀次还是更频繁地进⾏桌⾯演练,以提⾼员⼯的警觉性?然后
是“何地”:显然易见就是举⾏演练的位置问题,可以是围着会议室的桌⼦,也可以通过视频会议为分布式团队进⾏演练。最后,还有⼀个绝对关键的问题,即“如何”。虽然没有⼀种绝对正确的⽅法来进⾏桌⾯演练,但是有⼀些重要的建议可以帮助您充分利⽤桌⾯演练。
规划桌⾯演练
Nexight Group公司的Jack Eisenhauer概述了规划桌⾯演习的过程,该过程考虑了上述许多问题。他将这个过程分为三个阶段,每个阶段包括三个关键活动。这些对应于练习之前、期间和之后的时间,但您需要提前计划以确保每个步骤在练习中正确完成。
演练前:设计
◼明确⽬标和结果,确定您希望实现的⽬标以及练习结束后您将如何使⽤这些结果;
◼选择您的参与团队,包括关键决策者甚⾄⾼管,然后利⽤他们的影响⼒将事后报告付诸⾏动;
◼设计⼀个可信的且能够引发讨论的场景和演练计划。
演练中:参与
工业氯化钙
◼创建⼀个互动的、⽆错的空间,⿎励⼈们提出问题和犯错;
◼询问参与者⼀些探索性问题,遵循脚本但允许即兴发挥;
◼使⽤可视化⼯具和时间线,随时记录问题和经验教训——不要完全依赖会议记录者;
演练后:学习
◼准备⼀份⾏动后报告,其中包括演练的⽂档以及潜在改进的领域;
◼根据练习结果制定具体的近期计划;
◼提供⼯具和指南来促进学习,到满⾜演练结果所揭⽰的需求的资源。
桌⾯演练⽬标
让我们回到最开始的⼀个话题:演练的⽬标。坦⽩地说,您希望通过桌⾯演练为组织带来什么好处?学会将这些⽬标与参与者在演练中的⽬标区分开来⾄关重要。例如,桌⾯演练参与者的⽬标可能是弄清楚如何在灾难发⽣后尽快恢复组织的数据库。但进⾏该演练的总体⽬标是对组织的灾难恢复计划进⾏压⼒测试,看看团队是否知道如何在遇到意外情况时最好地协同⼯作。
美国公⽤设施监管协会(NARUC)建议开展桌⾯演练的⽬标应该遵循“SMART”原则,具体为:
◼S代表具体(Specific)——解决具体问题并指定⾏动项⽬;
◼M代表可度量(Measurable)——预先建⽴成功指标,以验证活动成果;
◼A代表可实现(Achievable)——参与者可以在分配时间内完成;
◼A代表可实现(Achievable)——参与者可以在分配时间内完成;
◼R代表相关性(Relevant)——与组织的使命相关联;
◼T代表有时限(Time-bound)——将时间限制在预先确定的合理时间范围内;
领导桌⾯演练项⽬玻璃压延机
有很多顾问很乐意在您的组织中领导桌⾯演练;然⽽,由于这些练习的⾮正式性质,它们通常由内部员⼯领导。
纽约州有⼀个很好的桌⾯练习指导员指南,提供了有关领导适⽤于任何主题领域的桌⾯演习的宝贵建议。它⾸先列出了协调⼈的⼤局职责:
◼介绍演练基本情况;
◼⿎励解决问题;
◼控制活动的节奏和流程;
◼引导讨论并从⼩组中得出答案和解决⽅案(⽽不是直接提供给他们);
该指南还提供了让所有参与者参与以及控制和维持活动的技巧。重要的关键之⼀是注意沮丧和冲突的迹象。请记住,桌⾯演练旨在协作,⽽不是对抗。特别是,初级员⼯需要有在管理层⾯前发表评论的空间,所以尽量让每个⼈都平等地参与进来。
桌⾯练习⽰例和场景
到⽬前为⽌,我们⼀直在谈论⼀些笼统的情况。那么在实际⽰例中可能会出现哪些场景?互联⽹安全中⼼(CIS)提供了六个场景,可供参考:
蝶形螺丝◼匆忙修复:⽹络管理员未经测试就部署补丁,然后出去度假,导致⽤户⽆法登录;
◼恶意软件感染:⽤户将感染恶意软件的SD卡插⼊公司笔记本电脑中;
◼计划外攻击:⿊客组织针对该组织发动攻击——他们会在企业系统中发现什么?
◼云⼊侵:您的组织⼀直在使⽤被⿊客⼊侵的云存储服务存储敏感数据,这可能会暴露客户数据;
◼财务⼊侵:审计显⽰您的⼯资系统正在向可疑⼈员发放⽀票;
◼洪⽔区(flood zone):在处理公司总部遭遇的洪⽔攻击时,您⼜遭到了软件攻击;
该⽂档还概述了在您的组织中实际运⾏这些练习所需的⼤部分内容。其中⼀些属于下述两个类别,它们可能是最常见的⽹络安全桌⾯演练类型:
◼事件响应桌⾯练习。正如我们希望提前计划和控制⼀切⼀样,⽹络安全在很⼤程度上是⼀个被动的过程。RSI有关于执⾏事件响应桌⾯演练的⽂档,其中包括确保参与者了解您的组织针对特定类型的违规⾏为的政策以及谁负责应对这些事件的⾏动。
◼⽤于业务连续性的桌⾯演练场景。桌⾯演练也受到了那些负责为⾃然或⼈为灾难做准备的⼈的喜爱,⽽业务连续性属于该⾓⾊与⽹络安全之间的重叠部分。NContracts对运⾏有效的桌⾯业务连续性规划演练有很好的指导,其中包括了解您对特定供应商的依赖关系,并可能将它们循环到任何损坏控制场景中。
桌⾯练习模板
UCN-11您想开始规划⾃⼰的桌⾯演练项⽬吗?您可以使⽤⼀些模板来帮助⼊门。SearchDisasterRecovery就是很好的选择,它会提⽰您列出运⾏演练的动机(以便您开展内部动员)、参与者的叙述以及参与者将采⽤的沟通⽅式等。⽽且Continuity Advisor有⼀个有⽤的模板,您可以使⽤它在演练完成后创建⾏动后报告。
豫公网安备41160202000603
站长QQ:729038198
关于我们
投诉建议