网络安全练习-全-

网络安全练习（全）

原文：zh.annas-archive.org/md5/5c0d870e8f53c6734a657dfe23971237

译者：飞龙

协议：CC BY-NC-SA 4.0

前言

几乎每天，我们都会接到客户的电话，客户告诉我们类似于“董事会要求我们在年底前进行一次桌面演习”或“我们的审计员希望我们测试我们的事件响应流程，但我们不知道该怎么做。”

如果您拿起这本书，您可能也被指派帮助您的组织为未来的网络安全事件做好准备，可能是通过使用桌面演习。在桌面演习中，组织成员聚集在一起讨论他们如何应对潜在的未来事件或紧急情况。我们将在第一章中详细介绍网络安全桌面演习的具体特点，但简而言之，大多数演习包含以下特点：

• 它们通常是纯粹基于讨论的演习。这使得它们与红队演习或其他基于操作的演习有所区别，后者需要实际操作活动。

• 它们侧重于探讨特定的情景，例如过去的事件或受组织潜在风险启发的假设事件。

• 他们在低压环境中集合参与者，强调协作与识别缺陷。为此，它们设计用来鼓励参与和征求反馈。

• 它们使参与者能够评估组织的决策过程，以及现有的程序和文档。它们还让参与者讨论他们在潜在事件中的个人角色和各自的职能利益。

尽管这样的演习看起来简单直接，但每个组织都是独特的，拥有自己独特的文化、监管环境、行业领域和风险格局。为了最大化价值，演习必须考虑并适应组织的独特需求。

我们写这本书是基于我们作为顾问为多个类型的组织提供数百次桌面演习的经验，包括非营利组织、制造公司、地区银行、公用事业公司、教育机构以及不同层级的政府。在这本书中，您将找到适用于不同目的的桌面演习示例，以及如何规划、引导和从中学习的详细指南。我们在本书中讨论的事项应能帮助您使桌面演习过程更加顺畅，并为您的组织带来最大的收益。

谁应该阅读本书以及为什么

本书有多个目标读者。首先是信息安全专业人士及其相关角色人员，他们的任务是为雇主创建和主持桌面演练。这些人可能需要帮助执行组织的首次桌面演练，或者他们希望提高在一系列演练中的表现。此外，负责开发这些演练的人员往往还有其他工作职责，因此在许多组织中，很难每年进行多次桌面演练，负责监督的人也可能很少有机会成为该领域的专家。

我们的目标读者还包括为其他组织提供外部资源的信息安全顾问，这些组织希望进行桌面演练。提供信息安全服务的公司常常会收到创建和主持桌面演练的请求。鉴于我们在信息安全咨询方面的广泛经验，如果不将我们从咨询方面学到的经验教训纳入其中，我们将感到遗憾。

最后，虽然我们在编写本书时考虑了信息安全，但你可以将我们讨论的许多过程适应到组织的其他方面。例如，非信息安全类的演练可能评估组织应对业务连续性问题的准备情况（例如，长期停电对辅助护理设施的影响）或物理安全事件。

本书内容

本书分为两部分。第一部分提供了如何规划和执行桌面演练的指导，而第二部分则包含了你可以用于自己活动的样本演练场景，以及如何调整它们的建议。

第一部分按线性方式组织。它首先讨论了为何你可能想要进行桌面演练，然后介绍了规划和场景开发步骤、成功主持演练的技巧，以及如何评估活动的成功。

第一章，为何要进行桌面演练？ 在一些组织中，你需要为进行桌面演练创建商业案例，本章将帮助你增强这一论点。我们将探讨桌面演练如何帮助组织与标准对齐，如何为不可避免的糟糕时刻做好准备，如何评估网络安全事件的政策影响，如何检查技术控制措施，以及如何识别流程缺陷。

第二章，桌面演练的规划 本章包含了许多在桌面演练开始之前需要进行的基础性活动。这些活动涉及定义目标和宗旨、确定邀请对象、解决后勤问题，以及制定一份强大且多面的沟通计划，以确保所有利益相关者的参与。

第三章，开发过程：落实到实际 在完成关键的规划任务后，您现在可以开始开发桌面演练。本章概述了构建桌面演练的步骤，包括选择一个场景并将其拆解成逻辑注入——一组关于场景的新事实或澄清事实——迫使参与者在信息有限的情况下做出响应。本章还讨论了如何创建演示文稿。

第四章，主持一次成功的桌面演练 对于某些人来说，主持桌面演练可能会显得令人畏惧。你可能会觉得在同事面前发言很有压力（有些同事你可能是第一次见面），讨论他们在危机中采取的行动。本章将提供成功主持桌面演练的技巧，鼓励小组参与，并使讨论尽可能有价值。

第五章，将所学付诸实践：评估与下一步 完成桌面演练后，是时候评估您的成功并识别改进机会了。本章讲解了如何回顾演练中学到的经验教训，并制定行动计划以改进不足。我们还将讨论如何保持势头，确保桌面演练不会成为一次性、走过场的活动。

第二部分包含了为技术受众、高层管理者以及组织内其他角色设计的桌面演练示例。这些示例可以为那些希望进行自己桌面演练的人提供灵感。对于每个演练示例，我们提供了可能的修改建议，帮助您根据组织的具体需求调整场景。

第六章，与技术受众互动 这些桌面演练是向技术受众展示的绝佳选择，因为它们涵盖了在事件响应过程中常见的技术问题。场景包括钓鱼攻击、勒索软件、零日漏洞和供应链攻击。

第七章，与高层受众互动 本章中的场景涉及了高层管理者需要考虑的许多重要问题。我们讨论了勒索软件响应的管理方面、在暗网发现敏感数据以及分布式拒绝服务攻击。

第八章，与业务部门互动 桌面演练通常需要包括组织内的其他团队，如人力资源和物理安全。本章的场景涵盖了物理安全漏洞、社交媒体泄露和内部威胁。

附录包含有用的报告模板，可以用来向内部和外部利益相关者展示桌面演习的执行情况，并提供演习场景的详细信息以及揭示的发现或观察。在本书中，你会看到讨论按计划进行的桌面演练案例——偶尔也包括那些偏离计划的案例。我们包括这些例子是希望你能从他人的努力中吸取经验。虽然我们虚构了这些故事和涉及的组织名称，但事件基于我们职业生涯中的实际参与。

本书的范围

安全社区普遍认为桌面演练是减少组织面临风险的必要手段。因此，许多权威机构——包括美国国土安全部、国际标准化组织、法国信息系统安全国家局和国家标准与技术研究所——已发布了关于通过桌面演练准备灾难的指南。

这些机构对于进行安全演练有类似的定义和流程。然而，为了保持一致性，本书使用了美国国土安全部演习与评估计划（HSEEP）制定的定义，HSEEP 将演习定义为“通过讨论或行动进行的事件或活动，用于开发、评估或验证计划、政策、程序和能力，以帮助管辖区/组织实现预定的结果。”

先前定义的练习的一个子集包括基于讨论的练习，这些练习包括桌面演练、研讨会、工作坊和游戏。根据 HSEEP，基于讨论的练习通常包括一些对事件响应不熟悉的团队，或者是那些希望熟悉新计划、程序或其他团队成员的团队。然而，成熟的团队不应忽视基于讨论的练习的价值。这些练习通常由主持人领导，并且受到较短执行时间窗口的限制（例如，两个小时）。尽管 HSEEP 指出，基于讨论的练习往往侧重于“战略性、政策导向”的问题，但它们同样可以包括技术性的讨论。

关于本书范围的最后一点说明：我们大部分职业生涯都在北美和欧洲工作。因此，我们讨论的标准和实践来自这些地区的机构。如果你在其他地方进行桌面演练，建议参考你所在地区行业权威的意见，以补充本书中的讨论内容。

第一部分 桌面演练过程

在第一章到第五章中，我们将引导你了解桌面演练的开发过程。这包括探索桌面演练的重要性、规划和开发过程、引导策略、评估技术，以及在成功完成桌面演练后需要执行的步骤。虽然我们尽力提供普遍适用的指导，但你可能需要进行少量修改，以便与你所在组织的流程和文化规范保持一致。

第一章：1 为什么要进行桌面演练？

在计算机发明之前，组织和个人就已经进行了桌面演练。我们不难想象，过去的军事将领也曾通过演练讨论假设的攻击、部队调动和防御措施。近年来，桌面演练帮助人们为应对大流行、自然灾害、核事故、石油泄漏等需要重大响应并协调各种资源的事件做准备。

直到最近，桌面演练才开始扩展到包括网络安全事件。广义上来说，网络安全桌面演练是负责在网络安全事件中履行各种角色的人员之间的对话。在演练中，参与者代表不同的组织利益，通过假设情景进行演练并讨论他们将如何应对。通过适当的规划，网络安全桌面演练可以成为一种有效、互动且相对低成本的方式，帮助组织的资讯保障计划为不可避免的网络安全事件做好准备。在本章中，我们将探讨为什么组织可能会选择进行桌面演练，如何从中受益，以及这些演练相较于其他方法的优势。

进行桌面演练的理由

桌面演练对组织的安全文化和业务的好处，取决于组织的成熟度。本节概述了可能的好处，范围从小到大不等。

提高应急响应团队协作

所有应急响应团队都需要从某个地方开始。一些组织进行桌面演练，纯粹是为了将团队成员集中在一个房间里，让他们相互了解，讨论各自的兴趣，并建立关系。以下是几种可能需要这样做的基本情景：

• 由于最近的员工流动，员工彼此之间不熟悉，也不了解各自的角色。

• 由于最近实施的监管标准，几位员工被新分配到了应急响应流程中。

• 该组织最近已正式成立了应急响应团队，其中一些成员从未参与过应急响应事件。

• 在并购后，拥有不同系统和流程的员工团队必须聚集在一起应对网络安全事件。

• 事件的复杂性不断增加，要求非技术员工（如法律、合规和人力资源领域的员工）考虑他们将如何应对网络安全事件。

• 该组织引入了新技术或业务流程，这可能会影响团队对网络安全事件的响应方式。

当利益相关者聚集讨论事件响应过程时，他们可以了解各自的优先事项，分享计划，并为未来的举措建立动力。在一些工作场所，参与者可能已经有了很强的联系；然而，许多人在桌面演练中可能是第一次见面。

明确团队角色和责任

网络安全事件不再是单人作战的时代。如今，事件响应需要来自技术和战略背景的各方参与。以 HR 员工点击钓鱼邮件附件并下载恶意软件为例，考虑一下可能涉及的各方：

信息安全经理  领导调查工作，并在必要时向管理层报告

信息安全分析师  进行基本的取证和恶意软件分析，以确定哪些文件在 HR 系统中受到了影响

网络管理员  检查网络入口和出口点的相关日志，以识别可疑活动

人力资源经理  对危害环境并可能违反政策的员工启动潜在的纪律处分程序

法律部门  根据恶意软件访问的文件，确定是否需要向政府当局或第三方实体发出外部通知

风险管理  评估组织是否需要采取纠正措施，以防止未来类似事件的发生

首席信息安全官 (CISO)  通知公司高层，提供状态报告，并给出最终处理结果；传达事件对组织优先事项的影响

在应急响应中，涉及的人员众多，因此从事件的第一时刻起，每个人都需要了解自己具体的角色和责任，以避免浪费宝贵的时间来确定谁应该做什么。这需要遵循指挥链和既定的沟通协议。桌面演练提供了一个可以帮助团队明确谁是响应过程的一部分以及他们的责任的环境。

评估流程变更的影响

所有组织，无论是非营利组织还是科技公司，都因多种原因不断发展：法律和法规的引入或修订；新竞争者的出现；工具和技术的开发。考虑这些变化对组织整体风险的影响是非常重要的。

桌面演练是探索流程变更及其对事故响应可能影响的绝佳机会。部分流程变更可能很普通；例如，在实施新工单系统后，事故响应团队应验证帮助台是否能够识别网络安全事件，并及时将事件工单升级到正确的人员。其他流程变更可能规模较大，如收购新业务单元，此时事故响应团队应确保其响应流程与新业务单元的工作方式相匹配。

在流程变更后，组织可以通过桌面演练来探索变更对事故响应团队执行其职责的影响，或确认变更不会影响事故响应流程。

最后，对于有远见的组织，桌面演练可以在实施前探讨提议的流程变更的影响。及早发现潜在的负面影响，可以让组织在实施新流程前做出调整，此时调整成本较低。

降低数据泄露成本

获得管理层对信息安全计划的支持，通常需要将该计划与业务考量联系起来。幸运的是，进行桌面演练具有可量化的财务价值；在其《数据泄露成本》报告中，Ponemon 研究所和 IBM 安全一贯证明，事故响应演练在数据泄露情况下能带来显著的成本节省，如表 1-1 所示。

表 1-1：数据泄露的平均成本（以百万美元计）

安全准备类型	高准备水平的泄露成本	低准备水平的泄露成本
DevSecOps	$3.54 | $5.22
事故响应计划和测试	$3.62 | $5.11
员工培训	$3.68 | $5.18
来源：Ponemon 研究所和 IBM 安全，《2023 年数据泄露成本报告》（纽约阿蒙克：IBM 公司，2023 年）。

2023 年的报告发现，拥有事故响应计划并定期进行测试，是 28 个研究因素中第二大成本缓解因素。差异可能惊人：有高水平事故响应计划和测试的组织，数据泄露的平均成本为$3.62 百万，而几乎没有此类计划的组织则为$5.11 百万。

此外，进行事故响应计划测试的组织，能够比没有进行测试的组织更快地识别和遏制事故，从而能更快恢复业务（见表 1-2）。

表 1-2：识别和遏制数据泄露所需的时间

成熟度水平	平均识别时间	平均遏制时间	总时间
组织没有事故响应团队，且未进行事故响应计划测试	216 天	90 天	306 天
组织拥有事件响应团队	208 天	80 天	288 天
组织已进行事件响应计划测试	196 天	62 天	258 天
组织拥有事件响应团队并已进行事件响应计划测试	194 天	58 天	252 天
来源：Ponemon Institute 和 IBM Security，2023 年数据泄露成本报告（阿蒙克，纽约：IBM 公司，2023 年）。

进行事件响应计划测试的组织，平均识别时间为 196 天，平均遏制时间为 62 天，这比仅有事件响应团队的组织更为迅速。

请注意，2023 年的报告侧重于数据丢失或被盗的事件，而这些仅仅是网络安全事件的一部分。此外，数据结合了事件响应计划和测试，组织可能使用了不同的测试方法；例如，可能利用了实际对抗测试团队（即红队）或进行过不那么密集的桌面演练。尽管如此，结果表明，桌面演练（一种测试方式）可以作为一种缓解控制，减少数据泄露对组织的总体财务影响。

提升安全意识

所有员工都应该能够识别威胁并将其上报至适当的渠道。提升全员安全意识的方式有很多，从平凡到创意都有。一位客户曾告诉我们：“我在信息安全方面的最佳投资？绝对不是昂贵的工具。我在预算中有一项条目，每年我都需要为它争取：$10,000 用于购买大厅咖啡店的礼品卡。”每当团队成员做对了某件事，不论是晚上保持桌面整洁、让门口尾随的人扫描他们的证件，还是正确地应对钓鱼邮件，客户都会在团队成员的桌子上放一张$10 的礼品卡，并附上一张感谢他们行为的便条。团队成员通常会高兴地告诉同事们关于礼品卡的事，从而放大这一举措的效果。

桌面演练是提升组织安全意识的另一种方法。与会者可以学习如何识别威胁并采取期望的行动（例如通知信息安全经理）。他们还可以了解不采取正确行动的后果，这对来自非网络安全领域的参与者尤其有价值。

桌面演练通常比预录视频更具吸引力（虽然可能没有免费的咖啡那么激动人心！），而且可以根据特定的受众量身定制，比如公司中的重要职位人员或那些安全意识差的员工。

探讨关键问题

在网络安全事件中，组织不可避免地会在整个事件响应过程中面临关键问题。这些问题中有些很琐碎，而另一些则可能对组织的响应能力产生重大影响。桌面演练使团队能够在非紧急情况下讨论并解决以下类似问题：

• 谁需要参与此过程？

• 谁需要被通知，内部和外部的人员？

• 我们需要在事件响应计划或行动手册中增加或更改什么？

• 我们最薄弱的环节是什么？

• 何时需要通知监管机构或网络保险公司？

• 合同义务是否要求我们通知其他商业实体？

• 我们何时需要升级事件？

• 关键数据和系统在哪里？

为高级领导层准备应对事件

如今，高级领导层和董事会常常在询问组织是否已为网络安全事件做好准备。其原因之一是监管机构对这一问题的关注度不断增加，特别是那些监管上市公司的机构。美国证券交易委员会（SEC）针对上市公司的指导意见，鼓励公开披露有关网络安全事件风险的详细信息。

向投资者通报网络安全风险如今已成为 10-K 表格中的标准披露数据项。10-K 表格是美国证券交易委员会要求上市公司提供的年度报告，用于提供有关组织财务状况的洞察。大多数董事会成员必须签署 10-K 报告，而高级领导层在准备这些文件时发挥着重要作用。在 2018 年的一项名为“审查美国 SEC 10-K 表格中的网络安全风险报告”（https://www.isaca.org/resources/isaca-journal/issues/2018/volume-5/examining-cybersecurity-risk-reporting-on-us-sec-form-10-k)的研究中，注册会计师 Grace Johnson 发现，所有参与研究的公司在其 10-K 报告中都列出了网络安全风险，越来越多的公司开始提供网络安全风险信息，且 40%的风险披露内容是“详细且具体的”。

桌面演练是确保董事会和高级领导层为网络安全事件做好充分准备的一种途径。

与行业标准保持一致

许多组织必须遵循行业标准和最佳实践，其中一些特别要求测试事件响应计划。对于一些企业来说，遵守框架是法律要求，而其他企业则选择遵循这些标准以展示其对网络安全的承诺。对于较新的组织，它们可能希望随着发展和成熟而实现这些标准。在每种情况下，将组织的信息安全举措与标准对齐，确保它们建立在坚实的基础上。

国际标准化组织（ISO）、美国国家标准与技术研究院（NIST）、互联网安全中心（CIS）以及国防联邦采购条例补充（DFARS）都建议进行准备活动，例如桌面演练：

ISO/IEC 27001: 信息安全、网络安全与隐私保护——信息安全管理体系——要求

ISO/IEC 27001 是一个广为人知的国际标准，专注于信息安全管理。该标准建议组织拥有一个经过良好维护和测试的事件响应计划；在 A.16 节中，规定组织应当一致处理事件，并且有一个可以从事件中学习的过程。组织可以通过桌面演练来排练其计划，从而符合 ISO/IEC 27001 的要求。

NIST 特别出版物 800-84: IT 计划与能力的测试、培训和演练程序指南

对于那些向 NIST 寻求指导的组织，可以参考 NIST 特别出版物（SP）800-84。这本卓越的出版物推荐开发测试、培训和演练程序，并有具体章节专门讲述桌面演练、功能演练和测试，所有这些都能提升组织的事件响应能力。虽然本书的其余章节将涉及事件响应过程的关键概念，但我们建议读者在https://csrc.nist.gov/pubs/sp/800/84/final上查阅此出版物。

互联网安全中心

CIS 发布了一份关键安全控制措施清单，组织可以根据该清单采取措施以防范网络攻击。许多组织遵循 CIS 以提升其安全态势。如果您的组织也这么做了，建议您仔细审查控制措施 17，特别是 17.7 节，建议组织“每年进行常规的事件响应演练”。虽然这些控制措施没有明确指出事件响应演练必须是桌面演练，但 CIS 发布了许多桌面演练模板；请在https://www.cisecurity.org上搜索“桌面演练”。

国防联邦采购条例补充

2015 年，美国国防部（DoD）发布了 DFARS，以保护受控但未分类的信息。DFARS 更像是一个合同要求而非标准，对于任何与 DoD 开展业务的组织都是必需的。必要的控制措施可以在 NIST SP 800-171 中找到：保护非联邦系统和组织中的受控未分类信息。值得注意的是，第 3.6.3 节列出了桌面演练作为测试组织事件响应有效性的一种方式。

履行合同要求

越来越多的组织在与其他组织开展业务时，必须审视这些业务互动如何影响其整体的网络安全风险。通常，一个组织会授予另一个组织有限的系统访问权限，以便其执行某项服务。例如，一个制造企业可能会授予供应商对关键制造系统的远程访问权限，以便供应商能够对其进行软件更新。因此，如果一个威胁行为者攻破了关系中的一方，另一方也可能会受到影响，因为双方共享系统访问权限。

由于这种风险，组织可能会在合同中加入条款，定义最低的信息安全标准以及在发生安全事件时双方的要求。合同可能要求组织定期测试事件响应流程，包括桌面演练。如前一节所提到的 DFARS，是一个组织在为美国国防部（DoD）提供服务时必须遵守的合同要求示例。

另一个例子是支付卡行业数据安全标准（PCI-DSS），这是各种信用卡品牌要求的一个信息安全标准。PCI-DSS 要求处理信用卡的商户遵守一套旨在最小化信用卡品牌风险的信息安全控制措施。该标准要求组织至少每年测试一次其事件响应计划。

然而，桌面演练不应成为为了履行合同义务或监管要求而“走过场”的形式。所有与会人员应清楚，桌面演练是一个学习、成长和为网络安全紧急事件做好准备的机会。

检查近期的网络安全事件

基于近期网络安全事件的桌面演练可能是事件响应流程中经验教训阶段的延伸。这个阶段可以从举办非正式讨论到制作正式报告并向高层领导汇报。桌面演练可以补充已有的经验教训活动，即使是在事件发生几个月后进行，也能提供价值。

“近期的网络安全事件”不一定意味着一个让组织陷入混乱的灾难性事件。相反，这些检查可以探讨一个较简单的事件，例如用户点击了一封巧妙伪装的垃圾邮件，或者员工安装并使用了未经批准的云存储软件来保存敏感信息，从而违反了组织的数据管理规定。这些基本事件可能与涉及国家级攻击者、静默侦察或高度复杂的零日恶意软件事件同样值得审查。

由于组织对事件发生的背景有更多了解，演练主持人可以讨论促使用户首次安装该软件的原因（例如缺乏安全意识），或当前的安全控制是否足够有效，能够检测并防止类似事件的发生。跨职能问题，如人力资源或法律团队的角色，也是值得探索的另一个重要方向。

最后，当桌面演练场景基于实际发生的事件与可能发生的事件时，参与者之间通常会有更高程度的合作。他们有时会犹豫是否完全接受桌面场景，心想，这真可能发生在我们身上吗？，但真实发生的网络安全事件无需怀疑。

识别并优先排序风险

组织也可能希望进行桌面演练，以排练可能影响它们的各种风险场景。当然，为此，它们首先必须了解最重要的风险是什么。拥有一个风险登记册是有帮助的，这是一种工具，用于识别和分类组织面临的每一个风险，并包括风险类型、描述、可能性、优先级和应对措施等信息。

风险登记册中应包括可能影响组织数据机密性、可用性或完整性的风险。这些可能包括勒索软件、恶意软件、拒绝服务攻击、丢失或被盗的笔记本电脑、商业邮件诈骗、凭证盗窃等。如果你不确定哪些风险影响了你的组织，可以考虑与同行业的业内专家建立联系，并审查当前对你所在行业的威胁。影响医疗系统的风险与影响制造厂的风险将是截然不同的。

确定风险后，你可以选择一个（或多个）风险进行桌面演练。选择风险的方法可能有所不同；一些团队会优先考虑对组织影响最大的风险，而另一些团队则会花时间探索不熟悉的威胁或代表技术团队最大弱点的风险。接下来，邀请相关团队成员参与演练；我们将在第二章中提供有关此步骤的指导。

桌面演练还可以揭示组织面临的新风险。任何新风险都应在演练评估阶段得到适当的记录、审查和优先排序（具体讨论见第五章）。

桌面演练相较于其他安全演练的优势

桌面演练只是训练员工、评估事件后残留风险和完善流程的一种方式。组织还可以聘请红队主动探测系统漏洞，或进行面向课堂的安全意识培训等。但桌面演练确实在一些方面相较于其他培训和测试形式有其独特优势。

低成本和高投资回报

桌面演练是探索组织计划、政策和程序的一种极具成本效益的方法。此外，它们确保员工理解在发生网络安全事件时必须遵循的流程。与一些安全演练（例如红队演练）不同，桌面演练不需要超出标准办公工具套件、会议室和投影仪之外的额外设备。你不需要像实践演练中那样的技术资源，仅需员工的时间。

即使是低成本的桌面演练，其投资回报也可能是相当可观的。考虑从桌面演练中学到的这些宝贵经验教训的价值：

• 在讨论一个涉及社交媒体账户被攻击的情景时，你发现数千名客户关注的社交媒体账户使用了多个员工共享的密码，并且缺乏多因素身份验证：这是两个相互叠加的安全漏洞。

• 在一次以勒索软件为主题的桌面演练中，组织决定支付赎金，你发现组织缺乏快速获取和转移加密货币的方法。仅仅这一环节就可能会为整个过程增加数小时甚至数天，延长事件的处理时间。

• 在讨论信息安全团队如何分析一名涉嫌不当行为的员工的笔记本电脑时，员工们发现他们缺乏保存该员工硬盘所需的常用计算机取证工具。

如果在低成本的桌面演练中发现并纠正，每一个这些流程上的缺陷都可能减少一次代价高昂的网络安全事件，或导致事件更迅速的解决。

最后，越来越多的高质量桌面演练模板可以从各种可信赖的来源免费获得。美国的 CISA（网络安全和基础设施安全局）就是提供免费桌面演练模板的众多来源之一，供希望开展内部桌面演练的组织使用（https://www.cisa.gov/cisa-tabletop-exercise-packages）。我们将在第三章讨论其他来源。

效率

桌面演习还提供了一个额外的好处：它们让你能够在几小时内讨论一个事件，从识别到修复。相比之下，基于操作的演习要求员工实时响应活动，例如执行遏制措施（如切断网络连接）和进行分析（如调查日志和证据）。

根据欧盟网络安全局（ENISA）的报告，发现数据泄露大约需要 206 天。（你可以在https://www.enisa.europa.eu/publications/enisa-threat-landscape-2020-data-breach找到其名为《ENISA 2020 年威胁态势报告——数据泄露》的报告。）这与 Ponemon 研究所和 IBM 安全部门的研究结果一致：在 2023 年，识别数据泄露平均需要 204 天，遏制它则需要额外的 73 天。桌面演习将一个通常需要大量时间才能识别——甚至更长时间才能解决的事件——压缩到几个小时的讨论中。当讨论到一个可能需要几小时或几天工作才能解决的问题时，演习主持人可以人为地“提前计时”，并提供下一部分需要考虑的信息，填补任何信息空白。我们将在第三章进一步讨论这些策略。

桌面演习是一种折衷，旨在平衡员工为事件准备和执行主要工作所花费的时间。要求关键人员规划基于操作的演习，然后投入一个或多个工作日来模拟响应，可能对于许多组织来说是不可行的。

无操作中断

每个企业都有对其运营至关重要的信息系统，例如，监测患者健康的医疗设备、停机会导致重大财务损失的制造设备，以及控制高层建筑电梯群的操作技术。

桌面演习的一个显而易见的好处是，它们不需要与关键系统互动，从而可能影响到人员安全或对组织造成严重财务损失。另一方面，即使是非常基础的基于操作的演习，也需要与关键的信息系统互动。在某些情况下，这可能太过冒险或干脆不负责任。

桌面演习使关键系统的专家能够讨论假设的网络安全事件，而无需实际与这些系统互动。通过这种讨论，他们能够更好地识别可能导致网络安全事件的弱点、潜在的遏制和分析策略以及事件的影响。

桌面演习可以测试的内容

因为桌面演练需要的基础设施最小化，所以它们可以测试的内容几乎没有限制。在基于讨论的演练中，你可能会开始专注于技术控制，但随着讨论的深入，其他问题（如供应商合同问题）可能会成为焦点。尽管如此，组织通常会发现，深入探讨一个主题或专注于组织目标（如减少对关键系统的风险）是有益的。本节将回顾一些常见的重点领域。

当前威胁的潜在影响

你可以使用桌面演练不断探索网络安全威胁态势以及它如何适用于你的组织。网络安全威胁态势不断演变这一事实并不是什么秘密——只需回顾过去几十年的几个事件：

莫里斯蠕虫（1988 年）

由罗伯特·莫里斯创建的这个自我复制的代码导致早期的互联网崩溃，突显了信息系统的脆弱性。

分布式拒绝服务攻击（DDoS 攻击）（2000 年）

15 岁的迈克尔·卡尔塞设法让多个网站瘫痪，包括雅虎、亚马逊和 eBay，这使得网络攻击进入了大众话题。

斯塔克斯奈特（2010 年）

这一蠕虫病毒针对伊朗离心机，这些离心机负责浓缩铀，据信它是可能用于核攻击的网络武器。

沙门病毒（2012 年）

该病毒旨在通过删除操作系统来破坏受害者网络，它对沙特阿拉伯国家石油公司沙特阿美造成了重大影响。

索尼影业的电影 《采访》 （2014 年）

由于这部电影对朝鲜领导人金正恩的描绘激怒了北朝鲜的黑客组织“和平守卫者”，他们攻击了索尼，窃取并泄露了大量个人信息和知识产权，试图伤害这家公司。

哥伦比亚管道勒索攻击（2021 年）

这一事件使得哥伦比亚管道停运，该管道输送美国东海岸近一半的燃料，导致了广泛的燃料短缺。勒索软件是 ENISA 在该报告期内识别的最大威胁，并且已经成为过去十年间的主要关注点。

赌场黑客攻击（2023 年）

这一系列的网络攻击利用了社会工程学和其他技术，对凯撒和 MGM 赌场造成了严重破坏。根据 MGM 度假村国际公司的监管文件，该事件导致了约 1 亿美元的损失，原因包括收入中断、修复工作和其他因素。

正如这些例子所强调的那样，威胁形势已经从影响可用性的相对简单攻击，演变为更有目的的攻击，旨在窃取知识产权或获取经济利益。威胁形势的变化是因为威胁行为者——无论是个人、团体还是国家——都有独特的动机，而这些动机也在不断发展。与传统网络安全完全无关的因素，如新攻击向量的出现或地缘政治问题，也可能改变威胁形势，正如在 COVID-19 大流行期间，许多工作团队适应远程办公时所发生的情况。

通过进行考虑当前威胁形势或合理假设场景的演练，组织可以评估其是否正确优先考虑了安全投资。例如，一个涉及关键基础设施（如水电分配）的组织会特别关注哥伦比亚管道攻击，因为攻击者最近针对关键基础设施发起了攻击。此外，由于组织可以在最小规划下随时进行简化的桌面演练，因此它们可以相对轻松地根据最近的新闻事件定制演练主题，以评估该事件对组织的影响。

信息安全预算的充足性

当信息安全团队希望实施某项技术、开发某个产品或增加团队人员时，他们通常需要为新增的成本提供商业案例。使用桌面演练的一种方式是探讨已知风险，以提高对该风险的意识并形成支持将资源投入到缓解该风险的联盟。

例如，如果信息安全经理意识到当前用于维护和存储日志的预算不足，桌面演练可以加入一个突出日志不足及其对网络安全事件潜在影响的环节。如果演练采用外部主持人来指出不足之处，这种策略可能效果最好，因为信息安全经理可能会被认为有偏见。

桌面演练是突出当前环境中漏洞的一个极好方式，因为它们灵活并且可以围绕已知的不足之处展开。演练为信息安全团队提供了一个展示为什么需要投资以及不采取行动的后果的论坛。

信息共享协议（IoC）

在响应事件时，团队可能希望或感到有义务与其他实体共享妥协指示（IoCs）。IoCs 是与网络安全事件相关的独特线索，这些线索在组织网络中的设备上被识别，如果在其他地方（无论是内部还是在其他组织中）被发现，可能表明网络安全事件进一步蔓延。IoCs 可能包括显示系统与可疑网络地址连接的防火墙日志、操作系统中的唯一注册表更改，或可能的恶意文件特征。

IoCs 极为宝贵，因为它们可能是识别事件传播范围的首批数字痕迹。某些组织有合同义务共享这些细节，或者它们可能出于利他原因共享这些信息，以帮助潜在受影响的实体增强其自身对共同网络对手的防御。

桌面演练是讨论如何与外部方共享信息的绝佳方式。在进行演练时，考虑从微软发布的《网络安全信息共享与风险减少框架》(https://www.microsoft.com/en-us/download/details.aspx?id=45516)中探索以下问题，尤其是在面对信息共享这一话题时：

• 谁应该共享信息？

• 应该共享什么？

• 什么时候应该共享？

• 共享内容的质量和实用性如何？

• 应该如何共享？

• 为什么要共享？

• 信息可以做些什么？

组织应提前充分考虑共享信息的细节，例如保持机密性，同时平衡其他内部利益相关者，特别是法律团队的利益。

事件响应计划中的空白

有效的事件响应中最关键的部分之一是事件响应计划。计算机安全事件处理指南（NIST SP 800-61r2）提供了有关此计划应包括内容的极佳指导。一个关键组件是章程，它定义了什么是事件，并包括任务声明、目标和目的，以及团队的权限。计划还应定义事件响应团队的成员、他们的角色和责任，以及组织设定的事件严重性等级。它应详细说明组织化的事件响应方法和沟通协议。

此外，计划应指定专门的人员来监督测试（以避免责任的扩散）并定义测试频率；至少，计划应每年测试一次，理想情况下每年测试两次。通过演练测试计划，使团队能够以有组织的方式合作解决事件，彼此学习，并可能发现计划本身的漏洞。

即使是在编写得最好的事件响应计划中，桌面演练也常常暴露出改进的空间。在桌面演练过程中花时间记录这些缺口，以便计划能够相应更新。你希望在这些演练中发现弱点，而不是在真实事件的紧急情况下才发现。

流程和程序的有效性

一些组织为应对特定类型的网络安全事件预设了计划。除了事件响应计划外，你可能还需要验证以下内容：

• 针对特定类型网络安全事件或事件的应急响应手册，例如勒索软件；这些手册提供深入的指导，因此需要投入资金以保持其更新。

• 事件升级路径，确保在适当的时间通过预定的通信渠道通知技术和战略团队的相关成员。

• 事件识别和通知程序，帮助组织在各个层级识别事件并通知相关方。

• 控制程序，规定如何与业务连续性计划协同执行控制工作。

• 外部方通知，例如向政府实体的必要沟通

桌面演练不一定需要验证所有流程和程序。相反，它可以集中在一个特定的关注点上，例如最近更新的流程或对组织可能产生影响的变更，这些变更可能会影响事件响应工作。

遵守通知要求

特别重要的是，桌面演练提供了一个低压力的环境来评估与通知外部方相关的要求。你可能曾经不愉快地收到过来自金融机构、医疗提供者或其他企业的数据泄露通知信。这些组织可能是为了遵守数据泄露通知义务而发送了这封信。

自 2000 年代初以来，法律已对消费者数据丧失的通知要求作出具体规定。在美国，加利福尼亚州于 2002 年率先推出了数据泄露通知法，现如今全美 50 个州都有各自的变种。在欧盟，GDPR 法规明确规定了数据泄露通知的相关规定。其他国家也纷纷效仿，包括澳大利亚、中国，甚至巴巴多斯（如本章前文所述）。

然而，每个数据泄露法定义的敏感数据集各不相同，并且规定了不同的通知流程。或许最重要的是，有些法律定义了略有不同的时间要求和通知阈值。例如，一项数据泄露法可能要求在数据集疑似泄露后的 72 小时内通知相关部门，而另一项法律可能允许在确认泄露后的七个工作日内通知。

即便是一个简单的网络安全事件，这些数据泄露法律也可能迅速变得繁琐。以虚构的“执行旅行体验公司”（ETE）为例，这是一家公开上市的旅行社，其客户名单涵盖了几乎所有美国州、大部分加拿大省份、若干欧洲国家以及少数中东和东南亚国家。假设 ETE 的信息安全团队认为威胁行为者可能已经获取了客户数据以及员工数据，包括健康计划信息。ETE 的员工大多位于芝加哥，但在全球有战略客户经理。

处理这一相对常见场景的法律因素本身可能会变得异常复杂。ETE 的法律团队至少需要考虑以下几点：

• 涉及几乎所有美国州、加拿大省份以及其他受影响国家的数据泄露法律的细节

• 每个客户数据被盗后的通知要求

• 如果涉及的数据由供应商拥有，并且 ETE 有合同要求保障这些数据，是否需要 ETE 通知供应商

• 由于 ETE 的健康计划信息可能已被访问，是否需要 ETE 通知美国卫生与公共服务部，该部门负责管理《健康保险流通与责任法案》（HIPAA）

• 该事件是否符合重大性要求，从而需要 ETE——作为一家公开交易的美国公司——向美国证券交易委员会提交 8-K 表格通知投资者

此外，对于这些问题中的每一项，ETE 必须考虑执行通知的时间要求。如你所见，一次网络安全事件可能很容易变成无数下游任务。桌面演练让你能够在低压力的环境中识别和探讨这些任务。

与其他组织的商业合同可能也会规定通知要求。例如，合同可能会规定如果丢失了特定的数据集，你必须发出通知。最后，考虑是否有道德或伦理责任通知受影响的个人或组织，即使该事件不符合立法或合同条款的要求。尽管这些伦理指南不像法律要求那样黑白分明，组织仍应在确定在桌面演练中通知谁时加以评估。

改正措施后的剩余风险

在大多数网络安全事件之后，组织会检查导致或促成事件的因素，比如技术控制失败、政策不足或终端用户教育问题。一旦识别出这些因素，组织可能会进行变更或技术投资，以减少再次发生的风险。在这一阶段，进行桌面演练可以让相关方模拟类似的网络安全事件，并讨论相应的改进措施。这个步骤充当了额外的检查，帮助识别剩余风险，并为全面评估任何变更的下游影响提供了另一个机会。

总结

在本章中，我们讨论了组织选择进行桌面演练的许多常见原因。桌面演练有量化的好处，比如在数据泄露期间节省资金，还有更多定性的好处，比如改善应急响应团队成员之间的关系。你的组织可能有其他未在本章中列出的原因，想要进行桌面演练，但最重要的是，在开始桌面演练的旅程时，你要理解并与其目标保持一致。

问题

在开始规划即将进行的桌面演练时，花些时间思考以下问题（有些问题可能有明显的答案，而其他问题可能需要进一步调查）：

1. 在进行桌面演练时，是否有必须满足的特定条件（如合同或监管要求）？

2. 在你们的组织中，进行桌面演练的主要和附带的预期好处是什么？

3. 通过进行桌面演练，你希望学到哪些教训？

4. 你希望桌面演练测试哪些人员、流程或技术因素？

第二章：2 桌面演练的规划

在你可以制定桌面演练之前，你需要为其打下基础。本章将带你了解这一过程，概述你在准备和规划阶段应考虑的因素。本章的建议来源于与我们的客户进行的数百次对话，他们经常提出相同的几个问题，而这些问题正是你在制定桌面演练之前需要回答的。

这些基础性问题包括以下内容：谁来自高层提供支持？组织的目标和任务是什么？演练的基调如何？应该邀请谁？涉及哪些后勤工作，谁来处理？那些负责开发桌面演练的人，以及希望了解自己在过程中角色的高管，通常都很关注这些规划问题的答案。毕竟，演练将在他们的同行、领导和供应商面前进行，处于这种情形下，没有人希望自己措手不及。

获得高层赞助人的支持

准备桌面演练的最重要步骤之一是获得高层赞助人的支持。赞助人的具体角色和身份将根据你进行的演练类型、组织的成熟度以及参与者的不同而有所不同，但赞助人通常会比参与者中最高职级的人高出两级或更多。

选择合适的高层赞助人

考虑在以下几种桌面演练情景中，你如何选择高层赞助人：

• 测试组织的 IT 帮助台是否能够识别网络安全事件并将问题上报到适当的联系人

• 测试组织在大型、面向公众的事件中执行内部和外部通讯的能力

在第一种情景下，参与桌面演练的最高管理层很可能是 IT 帮助台经理。在这种情况下，信息安全官、安全主管或类似职位的人担任高层赞助人是合适的。

第二种情景可能涉及来自营销、法律、公关、信息技术和信息安全等部门的代表，此外还包括其他跨职能的职位。由于其可见性、涉及的职能范围以及可能包括多位高级管理人员，选择首席信息官、首席运营官或类似高层管理人员作为赞助人是合理的。

执行赞助人应了解正在测试的流程，但不一定需要对该主题有深入的掌握。他们的主要价值在于对组织文化规范的了解、与多位员工的长期关系以及在所支持人员中的影响力。正如我们在后续讨论执行赞助人期望时所见，来自他们的偶尔电子邮件可能是推动停滞的桌面演练前进或让参与者集中注意力的关键。

选择一位对桌面场景的目标和目的感兴趣的执行赞助人可能也会有所帮助。（我们将在第 26 页的《定义演练的目标和目的》中讨论这些内容。）例如，如果一个组织希望让利益相关者了解近期的隐私立法，您可能会选择法律部门的一位高级主管。或者，如果组织希望演练应对事件的公共外部因素，比如如何与公众沟通，您可能会选择一位首席沟通官作为执行赞助人。

概述执行赞助人的职责

一旦确定了执行赞助人，您应期待该角色承担什么样的职责呢？执行赞助人不会负责制作 PowerPoint 演示文稿，也不会为桌面演练的参与者编写会议议程。然而，他们的参与将激发整个桌面演练中有意义的互动。

公告

任何涉及多方参与者的新项目都需要一些正式的公告。执行赞助人应参与这一公告，以明确这一活动对组织的重要性，并表明他们将跟踪其进展并参与其中。公告应明确告知所有参与者，执行赞助人已为该倡议提供组织支持。

规划会议

即便是最简单的桌面演练也需要规划。执行赞助人不必参加每次规划会议；然而，他们应至少参加其中一次——理想情况下是第一次会议，因为这为未来的规划奠定了基础，并加强了他们的支持。此外，如果执行赞助人对桌面演练的方向有疑虑，他们应尽早表达。这些会议有助于他们更好地了解演练的状态，确保计划与组织的利益一致，并帮助解决潜在的障碍。也许最重要的是，他们的参与强化了他们对演练的持续承诺。

沟通

每当有机会时，执行赞助人应该重申这次演练的重要性。在某些情况下，他们可能需要向同行推销这个演练。来自组织各个层级的个体，包括高层管理人员，可能会反对，认为这个演练对他们的角色或团队不重要。你会惊讶于执行赞助人发出的一封简单电子邮件，竟能神奇地清理日程并重新安排优先事项。

此外，执行赞助人可能还负责组织中的定期会议。通过在会议开始时做出一些评论，表示他们对演练规划的满意，并感谢团队迄今为止投入的时间，他们可以传达演练的重要性。

法律问题

桌面演练的材料和讨论可能需要组织的法律顾问提供指导，以便在规划过程中处理可能出现的问题。这对于那些在高度监管行业运营或与其他实体进行业务合作的组织尤其重要。一些组织可能还会选择由法律团队来主导演练。在这种情况下，执行赞助人可能是法律团队的成员，或者法律代表可能作为联合赞助人参与。在所有情况下，执行赞助人应该意识到任何潜在的法律问题。

出席

执行赞助人最重要的责任之一是参加桌面演练。赞助人名字出现在日程邀请上，能够促使与会者优先参加会议并积极参与，而不是消极地听讲，心思放在电子邮件收件箱里。然而，如果赞助人的在场让气氛变得压抑，你应该努力确保所有参与者都感到舒适并敢于发言——例如，可以让赞助人发出一条友好的声明，强调参与的价值。

参与

请记住，执行赞助人在桌面演练中的出席和评论可能会对讨论产生压制作用。因此，他们的参与通常会非常有限，仅限于在必要时提供简短的评论。

然而，这并不是一条普遍适用的规则，他们的意见可能取决于桌面演练的具体情况以及组织的文化。最重要的是，他们的参与应该有明确的目的，并与演练的目标和宗旨保持一致。

确定演练的目标和宗旨

在商业世界中，目标被理解为组织希望实现的广泛、长期的结果。任务，即实现目标过程中的中介步骤，是短期的，且定义更为具体。例如，一名在四年制大学学习信息技术的大学四年级学生，可能有一个目标是进入信息安全团队工作。她的任务可能是完成学业、获得 Security+认证并找到实习机会。任务是具体的，并且有助于实现整体目标。

你可以把桌面演练看作一个目标或一个任务。假设一个组织的目标是让所有关键员工熟悉事故响应计划。桌面演练可能只是让他们熟悉计划的几步之一，从而使演练成为一个任务。另一方面，成功完成桌面演练本身可能就是目标，在这种情况下，任务可能是教育员工了解事故响应计划、探讨勒索病毒事件对运营的影响，或是测试事故管理流程。

大多数组织将桌面演练视为与目标一致的一个顶点事件，并将其视为一系列准备任务的高潮。按照这种方法，我们来看看演练中的几个常见任务。

注意

你的组织可能有多个相关的任务；为了最大化价值，应该在制定桌面演练之前尽量定义多个任务。

演练事故响应计划

当组织制定事故响应程序时，他们通常首先制定事故响应计划和应急手册，并配备相应的事故响应团队，然后通过桌面演练来演练该计划。这个过程不仅能帮助组织判断事故响应计划是否符合需求，还能发现计划中的任何漏洞。

另外，已经有计划的组织也可能希望通过演练来增强对计划流程和程序的信心。

理解组织中的事故响应角色

桌面演练的一个常见任务是帮助参与者理解网络安全事件如何迅速超出信息安全的范畴，并涉及到各种非技术性员工。为了展示这一点，你可以设计一个情景，吸引广泛的参与者。

然而，要慎重考虑你邀请的人选。否则，参与者可能会感到不明白自己为何在场。网络安全事件很少只需要一个小团队，精心设计的场景可以帮助参与者——无论他们来自营销、法务还是财务——更好地理解自己在响应中的角色。

组织可能还希望在组织内部人员流动、团队结构变化或收购和剥离导致团队扩张或缩小时进行桌面演练。这些情况可能会影响谁参与事件响应，桌面演练可以帮助参与者重新定位自己。

评估供应商响应

外部供应商在事件响应工作中通常发挥作用，无论他们是托管安全服务提供商（MSSP）、外部法律顾问、泄漏教练还是其他实体。即使像为金融机构打印和邮寄对账单的组织这样与信息安全关系不大的供应商，也可能卷入事件中。桌面演练是评估供应商和组织在事件中协调程度以及发现响应中任何差距的绝佳方式。至少，桌面演练为内部信息安全团队提供了与外部供应商建立合作工作关系的机会。

评估沟通流程

如果组织准备不足，沟通流程在事件期间可能会迅速崩溃，而来自网络保险和监管机构的要求只会增加其复杂性。桌面演练是确保组织具有明确定义的沟通流程、知道谁将处理内部和外部通知并能够满足任何通知截止日期的绝佳方式。

高级水平与操作水平演练

桌面演练通常分为两大类：高级水平和操作水平。高级水平演练 主要关注企业的战略关切、组织管理权限和决策者。操作水平演练 则涉及响应的技术、实际操作方面。

例如，如果演练的目标是让通信部门熟悉如何应对公众关注的网络安全事件，那么这将是一个高级水平的桌面演练。另一方面，如果重点是实施网络遏制策略以减轻恶意软件的影响，那么这个演练将是一个操作水平的桌面演练。

高级水平演练通常汇集来自不同部门的管理角色，而操作水平演练涉及技术团队成员及其部分管理人员。当然，技术员工仍然可以利用演练讨论与其职位相关的非技术问题，例如政策限制。表 2-1 列出了适合每种类型演练的一些主题。

表 2-1：高级水平与操作水平演练主题

事件场景	高级水平桌面演练	操作水平桌面演练
勒索软件	讨论决定是否支付赎金的因素。	讲解勒索软件攻击后恢复关键系统的步骤。
邮件泄露	探讨与个人身份信息的非控制性泄露相关的法律和监管问题。	评估在主要系统（如电子邮件）被泄露的情况下的备用通信系统。
数据泄露	回应有关公开已知数据泄露的媒体询问。	练习收集关键日志以便调查用途。
第三方安全事件	探讨在响应关键第三方供应商的网络安全事件时涉及的法律问题。	确定切断与第三方供应商网络连接的技术步骤，以作为遏制措施。
分布式拒绝服务攻击	回应无法交付产品并按时完成合同义务的情况。	讨论缓解拒绝服务攻击的技术步骤。
工业控制系统妥协	考虑影响产品安全的系统网络妥协的影响。	讨论在操作技术环境中迅速实施遏制方法的可行性。

高级别桌面演练的选择并不一定意味着组织更成熟。它反映的是桌面演练的重点。如果演练探讨的是战略业务问题，它很可能是高级别的。一个组织不需要在进行多个操作级别的桌面演练后，才能“升级”到高级别演练。

如果一个组织具备必要的资源，它可能会进行连接的操作级别和高级别桌面演练。这些双重演练使得组织能够通过专注于技术问题的一节，接着再进入专注于战略元素的第二节，从而深入探索一个单一主题（如勒索软件）。每一节应当被视为一个独立的桌面演练，拥有单独的参与者和特定的关注领域。虽然双重演练资源要求较高，但它们有若干优点：

• 他们在规划过程中利用了规模经济。

• 他们传达事件的技术和战略考量。

• 他们在业务的各个角色中进行参与，展示了一个单一的网络安全事件具有广泛的影响。

通过适当的规划，双重演练还提供了创造更动态体验的机会。例如，操作级别桌面演练小组的成员可以向高级别桌面演练小组简要介绍前一个演练的技术问题以及他们采取的任何措施。第六章和第七章涵盖了你可以在双重演练中使用的示例场景。

确定谁应该参与

除了你是执行高级还是操作级桌面练习，情景主题通常决定了谁应该参加桌面练习。例如，如果高级桌面练习探讨了数据泄露义务，法律团队成员将在出席名单的顶部，如果操作级桌面练习侧重于技术控制和策略以限制勒索软件爆发，参与者应包括信息技术和信息安全人员。

其他时候，事件响应计划将为你定义参与者名单。这个计划应包含角色，通常分为操作级和高级别，以在事件期间调用，如人力资源、灾难恢复和系统管理员。事件响应计划还应定义每个角色的主要和次要联系点，你可以邀请这些人参加演习。

在某些情况下，演习的主题可能适合混合高级和低级员工；然而，结合这些团体可能不明智。在混合团体中，讨论可能会集中在一个团体感兴趣而另一个团体不感兴趣的问题上，导致部分参与者失去兴趣。此外，组织高层参与者的存在可能会产生冷漠效应，阻止低级别员工提供宝贵的反馈。

最后，要慎重选择谁应该参加。过于广泛的招募会让参与者失去重要的参与机会，他们可能会因为浪费时间而感到沮丧。最好的桌面练习通常有 10 到 15 名参与者，足以涵盖多个角色，但又足够小，能营造协作的环境。然而，不要害怕只有少数参与者的桌面练习。即使只有两到四名信息技术和信息安全团队成员，也可能会发现讨论网络安全事件响应是有价值的。

外部供应商

你的组织可能与影响其信息安全姿态的各种供应商合作。如果他们在网络安全事件中有角色要发挥，你可能希望把他们纳入你的练习中。例如，请考虑以下供应商：

• 一位外包的兼职虚拟首席信息安全官（vCISO）

• 负责识别、限制和解决网络安全事件的 MSSP 安全运营中心（SOC）

• 一个每月发送抵押账单、账户摘要和其他印刷材料给金融机构的印刷和邮寄公司

• 负责维护社交媒体渠道和更新组织网站的通讯和营销公司

• 一个远程登录专用金属加工系统进行故障排除和固件更新的制造商

• 负责保护磁带备份的离岸存储设施

• 负责提供建筑物访问和安全设施保护的物理安全资源

• 一个提供天气预报数据以进行飞行计划服务的软件即服务（SaaS）应用程序运营商

桌面演练是组织吸引供应商参与响应过程的一种方式，以了解他们如何提供支持以及他们可能存在的任何限制。

或许最重要的是，如果网络安全事件涉及来自供应商的失败，例如供应商维护的具有较差密码实践的系统，了解供应商如何将事件升级到组织将使双方能够识别潜在的关系漏洞。最后一点尤为重要，因为互联网上充斥着关于此类失败的故事。考虑前述列表中的第三和第五个子弹点：印刷和邮寄公司以及金属制造商并不承担信息安全角色，但其中任何一个的失败仍可能导致重大事件。

然而，在进行桌面演练时要避免拉太多供应商参与进来。在某些情况下，邀请超过一个供应商可能不合适。每个供应商与组织有独特的关系，并且他们承受着执行令人满意的压力；如果他们不能达到预期，他们知道他们的合同可能不会被续签。你应该始终小心强调，这次演练是为了建立更强的关系，并不意味着要把供应商置于麻烦之中。

最后，如果计划讨论敏感话题，则可能不适合让外部人员参加。他们的加入应该是有目的的，并直接与您的目标和目标保持一致。除非执行赞助人和内部法律顾问已经同意，并遵循组织现有的信息共享程序，否则不要延伸这样的邀请。

法律支持

在网络安全事件后出现某种形式的诉讼并不少见，因此在事件响应过程中包括法律资源至关重要。此外，由于事件最初几个小时可能成为未来诉讼的焦点，组织的法律资源必须就如何维护法律特权提供指导，这一规则可以使通信和其他工作产品保持机密性。关于特权的误解很普遍，因此组织应依靠合格的法律指导在这方面提供帮助。

对于拥有内部法律顾问的组织，将法律团队成员纳入桌面演练的过程可能就像发送一封友好的邮件一样简单。没有内部法律顾问的组织应当邀请外部法律资源参与桌面演练。外部顾问通常按小时收费，但由于法律团队可能会珍视这一增强与客户关系的机会，因此可能会将此演练视为关系建设，免费参与。

在某些情况下，组织可能会发现潜在的法律问题，这些问题超出了其外部法律顾问的职责范围。例如，组织可能需要有关在其他国家进行数据泄露通知的法律指导，而外部法律顾问仅专注于劳动问题和商业机密。在这种情况下，组织可能决定聘请专业的外部补充法律顾问来弥补这一空白并支持其独特需求。

开发团队

你还需要考虑谁将参与桌面演练的开发过程。一个人负责创建桌面演练的所有方面是完全可以接受的；然而，最有效的演练通常包括多位具有不同技能、性格和工作年限的成员。

为了使团队更加多样化，考虑包括来自网络安全领域以外的成员。例如，来自人力资源部门的员工可能会有所帮助，假如在过去的事件中，事件响应者未能及时联系 HR 以保护员工免受纪律处分。审计和风险管理部门也可以包括在内，因为它们有识别和修复组织内部风险的切身利益。你也可能会发现，加入一位能够打开大门并理解部门间关系细微差别的高级员工是有益的。

最优化的开发团队通常由两到三个人组成。这可以让团队分担工作量，分享知识，并为演练增加创造力。它还提供了冗余，以防团队成员在演练前生病、被重新分配到紧急项目或离开组织。我们将在这里讨论一些常见的团队成员角色，但请记住，并非所有演练都需要每个角色。除非角色能提供明显的价值，否则不要包含它们。

开发负责人

开发负责人负责规划和执行桌面演练。在那些拥有成熟事件响应计划的组织中，计划通常会指定负责此角色的个人。理想情况下，计划应该确定一个具体的个人，而不是一个泛泛的类别，比如信息安全，这可能会分散责任。如果计划没有指定个人，可以选择一位在信息技术、信息安全或类似领域的高级员工。开发负责人应该具备以下条件：

• 对组织运作机制的深入了解

• 对现有信息系统和安全控制的理解

• 一种领导角色，很可能负责事件响应

• 在整个组织中获得了许多员工的尊重

• 出色的人际沟通技能和跨职能团队建设联盟的成功经验

• 自然和轻松的演讲技巧

• 现有信息技术以外的现有关系

如果没有候选人具备所有这些特质，优先考虑软技能。您始终可以通过团队的其他成员弥补技术知识的不足；然而，为了创建成功的练习，您需要一位具有出色沟通技能和激励他人能力的领导者。

虽然开发主导应该是一位资深员工，但这个人应该在执行走向组织阶梯的过程中落后于执行赞助人。

主持人

在事件期间，主持人是桌面练习的代表。开发主导是这一角色的合理选择，因为他们对场景和探索方式非常熟悉；但是，完全可以由不同的个人担任每个角色。此外，主持人应具备以下特质：

• 能够在同行和高级领导组成的观众面前自如地展示

• 擅长保持讨论的步调同时识别需要关注的其他要点

• 能够巧妙而尊重地鼓励参与者参与桌面练习，避免一个或两个参与者主导事件

• 能够迅速与与会者建立融洽关系以鼓励更广泛的参与

• 能够随机应变

• 适应特定的预期参与者（例如高管）

即使开发过程的所有其他方面都执行完美，主持人仍然可能是桌面练习的关键。第四章详细讨论了主持人角色。

主题专家

根据练习主题，可能有利于吸引一个主题专家参与，这些专家可以就其他开发团队成员不熟悉的特定系统问题发表意见。例如，如果场景集中在组织的新云环境上，云基础设施专家可以确保团队理解主题的技术细微差别。可能受益于主题专家的其他情况包括以下内容：

• 一家能源公司其管道包含独特的操作技术系统，希望探索威胁行为者可能如何改变其管道安全系统的情况。

• 信用联盟希望探索威胁行为者如何可能破坏全球金融支付系统 SWIFT 的情况。

• 一家游轮运营商计划探索船舶全船无线互联网系统遭到破坏可能如何影响客人安全或船舶运营的情况。

在这些情况下，开发团队需要对信息系统有深入的了解，以制定相关和可信的桌面练习。 但是，请注意，主题专家不一定需要关注练习的技术方面。 专家可以来自法律，营销或其他团队。

最后，作为观众中的被动成员，也许还可以让主题专家在桌面练习本身参加。 如果参与者对 facilitator 无法解答的特定系统提出深入问题，主题专家可以立即提供澄清。

信任代理

如果计划使用顾问来开发桌面练习，或者您个人不熟悉该主题及其参与者，请考虑任命内部信任代理。信任代理本质上是一种被指定与外部顾问一起工作的主题专家。 （有关与外部顾问合作的更多信息，请参见“外包桌面练习”第 47 页。）信任代理应了解场景的细节，并根据其对组织的了解建议顾问进行修改。

在由数万名员工组成的大型企业中，信任代理在开发团队可能不认识参与者或清楚了解相关团队工作方式时非常有用。但是，作为将拥有练习场景内部知识的人，信任代理通常不应参与桌面练习本身。如果必须参与，则应尽量少发表意见，并避免透露参与者尚不知晓的场景细节。

观察者

一些组织可能希望让被动观察者参与练习。 被动观察者就像名字所示：他们观察桌面而不进行互动。 使用观察员的原因包括以下几点：

• 使感兴趣的一方能够理解响应网络安全事件涉及的过程

• 允许法律代表更好地理解可能在事件期间出现的意外法律问题

要确保观察者不会影响桌面练习。 例如，首席执行官参加有关服务台的桌面练习可能会抑制建设性的沟通。

评估者

鉴于 facilitator 必须处理的任务数量，他们可能会发现请其他人评估过程并在练习期间发现的任何弱点或优势非常有帮助。 与观察员一样，评估者是一种被动角色。 评估者甚至可以是观察员或协调员，这是在第五章进一步讨论的位置。

后勤考虑

在进行演习本身之前，您将不得不执行许多对于任何大型活动都必要的事件规划活动。例如，面对面的桌面演习将需要设备齐全的会议室。您还必须识别和解决任何与会者的顾虑。没有人应该在未有机会提问、纠正任何误解和平息他们残存的恐惧之前进入桌面演习。

本节还将涵盖各种耗时的任务，这些任务可能会添加到开发团队的待办事项列表中。根据开发团队的规模、桌面演习的风格和与会者的数量等因素，您可能希望将一些任务分配给项目经理。

主持远程 vs. 面对面的演习

在 COVID-19 大流行期间，许多组织开始远程进行桌面演习。虽然桌面演习在远程环境中也能成功，但面对面的演习往往更为亲密。主持人和团队成员可以在参与者进入物理空间时亲自问候并进行闲谈。在实际的桌面演习过程中，主持人还可以读取身体语言并评估参与者的行为，这有助于澄清他们对演习中提出的观点的反应。远程演习会立即削弱主持人；通常的握手不会发生，视觉线索可能更容易被忽视或完全不存在。此外，面对面的演习使参与者更容易直接与彼此互动，例如在午餐休息期间探讨某些问题。

一些组织选择混合桌面演习，部分参与者在会议室内亲临其境，其他人通过视频或电话连接。然而，主持混合桌面演习尤为具有挑战性，因为面对面的参与者不可避免地会主导论坛，并且他们和主持人很容易忘记远程参与者。第四章 探讨了在促进这类演习时您应考虑的其他因素。

当决定是进行远程还是面对面的桌面演习时，请问自己为什么要进行这个演习。通常，其中一个目标是加强参与者之间的联系，这往往是由于演习前后不可避免的“水塔时刻”而发生的。如果目标是汇聚彼此大多不熟悉的员工，那么面对面的桌面演习将产生最大的回报，并且是值得投资的。然而，如果参与者彼此非常熟悉，远程桌面演习可能就足够了。

还需要考虑组织文化。有些公司由于工作地点集中、行业规范或其他因素，不使用远程工作。高级员工通常更倾向于面对面协作，并且通常被安排在公司总部等中心位置，因此远程桌面演练可能不适合这个群体。

确定持续时间

虽然总有例外，大多数有效的桌面演练持续时间为两到三小时。花更多时间进行演练并不意味着演练会更全面；最终，当讨论和注意力逐渐减弱时，你会达到收益递减的临界点。也就是说，在规划演练持续时间时，请考虑以下附加因素：

• 高级别桌面演练更可能遇到时间限制，且高管参与超过两小时的桌面演练是比较罕见的。

• 对于远程演练，较短的桌面演练更为明智。在当今这个充满干扰的环境中，离开同事的视线时，很容易重新投入到电子邮件或聊天对话中。

确保持续时间合适非常重要；如果参与者觉得他们的时间没有被有效利用，他们将不太愿意参与未来的演练。

选择日期和时间

在规划任何后勤工作之前，确定日历约束。对于高级别的桌面演练，时间可能是规划活动时需要考虑的最关键因素。某些组织的高级领导层可能每季度才开一次会。在这种情况下，你可能需要先定义目标日期，然后倒推安排。

让我们来看看选择日期时的其他一些注意事项：

• 避开星期一和星期五。员工常常在这些日子请假，以延长周末。

• 考虑到可能影响假期安排的文化习惯，如某些国家的长暑假、某些宗教或族群的特殊节日，以及狩猎或钓鱼季节的开始。

• 在重要节假日周围预留缓冲时间，以适应较长的假期。

• 考虑到有学龄儿童的参与者，并且要考虑到学术日历。

• 避开主要操作系统补丁的发布日期，如微软的每月“补丁星期二”，尤其是在技术员工参与的操作级别桌面演练中。

• 避开那些忙碌的时期或专门用于高调工作的时间。这些时期可能包括零售商的假日购物季、大学的学期结束，或者上市公司公布财报的日期。

• 对于国际团队，要注意各个国家的特定节假日，或者某些地区的工作周可能不是常规的周一到周五。

如果在你选择了初步日期后出现冲突，不必感到惊讶。除非你有严格的截止日期，否则可以重新安排桌面演练的时间。从一开始就考虑一个备选日期，但不要提前公布，直到真正需要时才告知；在大多数组织中，竞争性优先事项总会出现，灵活性较大的事件（例如有已知备选日期的活动）更有可能被重新安排。

选择演练的具体时间也需要考虑多种因素。例如，一些组织可能有避免早晚会议的文化。其他组织在特定时间有重要的任务；例如，一个分销公司可能需要在早晨处理过夜订单。最后，对于那些员工分布在全球各地的组织，比如英国和加拿大之间的员工，你需要为英国的员工安排较晚的开始时间，而为加拿大的员工安排较早的开始时间。

一个常见的策略是将桌面演练安排在午餐时间。演练安排在上午 11 点到下午 2 点之间，可以提供午餐并进行用餐休息。（确保提前询问参会者的饮食要求，并照顾任何特殊需求。）在午休期间，参会者和主持人可以交流，讨论到目前为止情景中出现的问题，并识别未来的合作机会。

确保场地

除非桌面演练将在远程举行，否则开发团队必须找到一个合适的场地。通常，你需要预定一个组织内可用的会议室，或者在其他地点租用一个空间。

会议室

很多组织有多个会议室可供选择，提前规划桌面演练可以让你挑选一个合适的会议室。什么样的会议室才是“合适”的？考虑以下几个因素：

参会者的便利性  一些组织有着广阔的校园或多栋分布在城市中心的建筑。根据参会者名单，尽量选择一个对大多数参会者来说方便的地点。

利益相关者的优先级  虽然你应该尽量选择对所有参会者方便的地点，但你可能需要为某些对桌面演练至关重要的个人或小组做出妥协。例如，如果必须让首席信息安全官（CISO）参与桌面演练，而他们只能在某个特定的会议室参加，那时这个需求可能会比其他参会者的便利性更重要。

视听需求  如果桌面演练有特定的视听需求——例如，投影仪、摄像头、麦克风、屏幕及其他设备，帮助参与者远程参与或有效传达材料——请选择最有可能满足这些需求的会议室。第四章会更深入地探讨这个话题。

参与者人数  你应该提前充分了解参与者人数，以便选择合适大小的会议室。一个太小的房间会让参与者感到不舒服，而一个太大的房间则会显得空旷、不欢迎。

社交距离  虽然我们都希望不久后不会再面临全球大流行，但 COVID-19 教会了我们，在某些时候需要适当保持一定的社交距离。（当然，如果有任何参与者感觉不适或出现疾病症状，最好留在家里。）

无障碍  一些员工可能有无障碍需求，例如轮椅通道或为听力或视力障碍者提供的辅助技术。

主持人空间  会议室应有足够的空间供主持人设置并在参与者面前进行演示。

还要考虑你选择的会议室的外观。将桌面演练安排在地下室的陈旧会议室里，会传达出该演练不被重视的信息，而负面的第一印象往往很难消除。

外部网站

并非每个组织都能访问到合适的设施。在这种情况下，你可以租用其他场地，比如酒店、共享办公空间或餐厅或酿酒厂的宴会厅。在评估潜在的异地设施时，考虑以下问题：

• 设施的位置是否方便大多数参与者？选择一个需要两小时通勤的地点，肯定会在活动开始前就疏远参与者。

• 设施是否符合开发团队的技术要求？这些要求通常包括投影仪、屏幕、Wi-Fi 以及易于接入的电源插座。

• 设施是否支持远程参与者？如果有少数参与者需要远程连接，选择一个质量更高的设施，配备内置摄像头和音频设备，以便更好地支持他们的参与。你还需要足够的网络带宽。

• 设施是否私密？租用一个人流量较大的地方（例如，位于大厅接待区附近的酒店会议室）可能会吸引好奇的路人注意。

• 设施是否提供一些便利设施，使桌面演练更加愉快？这些可能包括饮料或餐食服务以及舒适的座椅。

选择外部场所可以减轻使用组织设施可能带来的负面影响。在公司总部高层的执行会议室开会可能会让某些与会者感到紧张，进而不愿发表意见。在外部场所，参与者可能更愿意提出对组织的建设性批评。此外，外部场所还可以为桌面演练后的团队凝聚力活动提供机会，比如一起吃饭或进行其他活动。

然而，始终评估使用外部空间的适宜性。与会者可能会讨论一些敏感话题，例如组织的弱点，因此空间应该是私密的。如果组织涉及独特的商业机密或机密武器系统，那么离开现场工作可能不是一个可行的选择。

确定语气

在桌面演练之前，确定与参与者互动的语气。虽然没有一成不变的公式，但可以考虑以下几种方法：

教育性 如果参与者是桌面演练或网络安全领域的新手，或者桌面演练的目的是在流程变更后验证你的流程，那么你可能需要采取一种更加教育性和手把手指导的方法。强调将建议的行动与事件响应计划对齐，并教育参与者了解他们的角色。

协作性 如果参与者在网络安全方面有不同程度的经验，近期可能经历过一次网络安全事件，并且希望探讨任何已记录的流程在网络安全事件中能否有效执行，那么采取一种更协作的方式会更合适。这可以包括帮助参与者在问题出现时进行探索，同时提出一些尚未解决的其他关注点。

挑战性 在最先进的演练中，参与者通常是行业资深人士，经历过许多网络安全问题，且组织的流程文档齐全。对于这样的观众，你可以采取一种更为巧妙激进的方式，挑战参与者的回答，指出其中的薄弱环节，并推动团队改进。

一般来说，要考虑桌面演练中参与者的行业和组织经验，并让其决定语气。行业资深人士可能不希望面对严苛的教官，但他们可能会从一个能够巧妙探讨可疑或有问题回答并揭示不足之处的主持人那里受益。

还要考虑组织的网络安全成熟度。如果公司在历史上将网络安全视为事后处理，那么协作式或手把手指导的方法将会很有帮助，因为这种方式能从参与者的现有水平出发。团队可以先了解基础的响应步骤和最佳实践，而不是在实际事件发生时才开始接触事件响应。

最后，如果组织主要进行桌面演练的目的是为了聚集利益相关者并建立信任，那么演练的语气应当反映这一目标。但如果组织希望深入挖掘利益相关者的角色和责任，可能需要采用更为强硬的态度。然而，无论如何，都应始终保持专业、礼貌和机智。采取挑战性的方式并不意味着可以居高临下、侮辱他人或过于训诫。

确保开发团队（包括执行赞助人）从演练开发之初就达成共识，统一演练的语气，并在整个过程中保持一致，包括在邮件沟通和总结中。

通知和准备演练参与者

一旦你选择了日期和时间并确认了场地，就可以开始与预期的与会者和其他相关方进行沟通。简而言之，你必须正式宣布桌面演练。这个通知不应草率进行，而应该是一个多管齐下的努力的一部分，旨在阐明演练的目标和目的，以及你对与会者的期望。有些参与者可能会提出一连串问题，而有效的沟通策略可以在演练开始前提前消除他们的疑虑。本节描述了用于准备与会者参加演练的策略的几个组成部分。

执行检查点

一种最初宣布桌面演练基本细节的方法是通过执行赞助人。很可能，赞助人定期与更大的团队沟通业务更新、项目状态、招聘情况等。这些检查点提供了一个机会，赞助人可以讨论演练、解释其目的，并描述为何组织决定投资该活动。由于赞助人处于权威位置，他们还可以传达演练的重要性。

在他们的信息中，执行赞助人可以突出一件最近为员工熟知的网络安全事件，无论是一个备受关注的新闻故事，还是发生在组织内部的问题。理想情况下，这应有助于参与者理解为何进行桌面演练。此外，执行赞助人可以简要提及开发团队成员、开发负责人和引导员，并透露接下来的步骤。

最重要的是，这条消息不应过于详细，应传达一种积极的态度。如果赞助人采取消极语气（例如，“我知道没有人想做这个，但我们就做完它吧”），与会者可能会产生这是一个毫无意义、仅仅是走个过场的活动的印象，觉得不值得付出努力。

初步邮件通知

根据执行赞助人的意见，现在是时候与与会者进行沟通了。为了保持一致性，今后所有沟通工作应由一个人来执行。这可能是项目经理、主持人、开发负责人或开发团队中的其他指定成员。对于一些较大的组织，指派一名通信团队成员可以确保与沟通规范的一致性。

通信负责人应尽量在执行赞助人宣布的同一周内给与会者发送电子邮件。尽早发送邮件可以防止任何担忧的蔓延。这封邮件应简洁地传达关键信息，尽管它不应试图回答参与者的所有问题，但应将参与者引导到能够解答问题的人。

以下是为一个从未进行过桌面演练或其与会者可能有很多问题的组织所构建的样本邮件：

快乐的周五！

在季度全员会议上，Jamie Winter 宣布了我们公司过去几周在进行的一个项目。下个月，我们将进行第一次网络安全桌面演练。

我们的执行团队要求进行桌面演练，以配合我们最近与支付卡行业标准的对接。此外，此次演练将帮助评估公司对网络安全事件的应对准备情况，找出应对中的漏洞，并为我们提供一个跨团队协作的机会，以应对模拟事件。

我们的桌面演练将于 4 月 3 日上午 10:30 到下午 1:30 之间进行。地点在 318 Smith St.的 Evergreen 会议室。午餐将会提供。

如果您收到了这封邮件，意味着我们请求您参与桌面演练。如果由于已有的其他事务您无法参加，请安排一位代表代您出席。无需任何准备或预读材料。

桌面演练并不是考验任何个人或团队应对能力的测试。这是一个合作和改进的机会。

桌面演练开发团队（我本人、Michael Murray、Diana Spinelli 和 Jay Bell）认识到这对某些人来说可能是一次新的体验。我们随时可以回答你们的任何问题，并将在 3 月 20 日上午 10 点和 3 月 22 日下午 4 点，在 Evergreen 会议室安排一次可选的讨论会。欢迎提出任何问题。当然，如果在这些会议之前有任何问题，欢迎回复此邮件或到我的办公室来找我。

预先感谢您对这个项目的支持。

Alphonse Moffit

桌面演练开发负责人

这封邮件友好地提到得到了执行赞助人（Jamie Winter）的支持，保证桌面演练不是一项高强度的活动，并提供参与者在小组环境中或直接向开发负责人提问的机会。

日历邀请

在发送通知邮件后，通讯负责人应立即向每个受邀者发送日历邀请。该日历邀请至少应包含以下内容：

• 初始电子邮件通知中的文本

• 后勤信息，如时间和地点

• 帮助收件人区分任何讨论环节和实际的桌面演练

发送日历邀请还为识别任何日程冲突提供了初步机会。如果某个与会者拒绝了邀请，开发团队可以进行调整。确认所有参与方是否已经接受了日历邀请，如果没有，应该通过电话或电子邮件进行联系。

还应为任何利益相关者在日历上预留时间，以便在桌面演练结束后立即进行反馈。如果几位关键参与者在为期两小时的桌面演练后需要立即赶往下一个会议，评估阶段将受到影响。我们在第五章中讨论评估阶段。

讨论环节

可选的讨论环节是一个机会，让与会者在桌面演练开始前提问。你可以把这些环节当作教授的办公时间；与会者或其他感兴趣的利益相关者可以随意提出尚未解决的问题。开发负责人及可能的其他开发团队成员应计划参加，且应该尽量提供至少两个环节，以便应对日程冲突。

除了帮助缓解与会者的顾虑外，讨论环节还让演练主持人与与会者在桌面演练前建立联系。简单的握手、聊聊即将到来的周末活动，或知道某位与会者刚刚成为了新阿姨，都为桌面演练当天提供了宝贵的对话素材。

最后，这些讨论可以揭示出开发团队或执行赞助人可能需要解决的共同问题。例如，如果几位与会者告诉你：“我们听说这个演练将用来为外包更多的信息安全团队提供依据”，你可以在演练开始前迅速解决这个问题。

非正式接触点

除了结构化的互动，如讨论会议外，开发团队和执行赞助人还可以尝试与参与者创建非正式的接触点。可以将这些看作是“水冷器时刻”，即员工们在这些即兴聚会中讨论从体育到最新办公室新闻的各种话题。如果有机会，开发团队成员和执行赞助人可以随意询问个别参与者对即将到来的演练有什么看法。正是在这些非正式的互动中，员工们最可能透露潜在的担忧。

例如，与桌面演练参与者在办公室休息室的非正式接触点可能会揭示他们担心演练所需的时间投入，或者害怕作为新员工显得愚蠢。虽然这些评论看似微不足道，但花时间消除这些担忧将有助于进行更好的桌面演练。

最后，开发团队成员和执行赞助人持续分享这些关切非常重要。如果开发团队的所有成员从不同来源听到相同的担忧，这表明他们需要对某个话题提供额外的澄清。

最终提醒

在活动开始前大约三天，向所有桌面演练参与者发送提醒。这次提醒给你最后一次机会，如果某个重要角色的参与者无法参加，你可以更改场景。例如，如果你的场景聚焦于一个组织丢失员工数据的法律责任，而法律代表遇到家庭紧急情况，你可能需要快速修改场景或完全重新安排演练。

或者，你可以利用关键参与者的缺席作为机会为场景增添细节。决策者将被迫根据缺席的参与者快速调整——这是一个在现实世界事件中可能确实会出现的情况。这个选项适用于那些旨在对现有流程进行压力测试或发现单点故障的桌面演练，这也是应对网络安全事件时常见的问题。如果剩余的参与者都依赖于缺席的法律代表，开发团队就发现了他们的第一个（且非常重要的）建议。

场景保密性

虽然让组织成员知道桌面演练即将进行是可以接受的，但关于场景、目标和任务的保密性仍然非常重要。有些参与者可能会感到紧张并要求提前了解场景。然而，场景的保密性对桌面演练的成功至关重要，原因有几个。

首先，在实际事件中，参与响应的各方将会沉浸在“战争迷雾”中；他们无法立即确认事件对组织的影响、组织是如何受到攻击的以及其他因素。桌面演练应该与此无异。在演练前不公开细节，将使参与者在情境展开时感到惊讶，并需要他们像处理实际事件一样迅速做出决策。

其次，如果参与者知道演练的细节，他们往往会带着预设的回答来演练，表现出他们知道正确答案。进行桌面演练的众多原因之一，是让参与者讨论潜在反应的利弊，识别技术或组织流程中的不足，并提出他们的特定关注点。这些讨论发生在参与者协作时，如果允许他们提前知道细节，这一过程就会受到阻碍。

当一位高级别的受邀者要求查看桌面演练材料时，可能不容易直接告诉他们：“抱歉，你没有权利查看这些材料。”但并不是一无所有——有一些策略可以防止这种请求：

• 在演练前，提醒执行赞助人，参与者可能会要求查看材料，并确保执行赞助人同意不提前释放材料。

• 考虑制定一份“互动规则”文档，由执行赞助人和开发团队共同同意，声明情境不会提前提供。将所有要求查看材料的人引导至这些互动规则。

• 请执行赞助人与提出请求的人交谈，并为保持桌面演练的保密性进行沟通。通常，这个对话可能揭示出其他担忧（例如担心在同事面前出丑）。

• 在你开始规划演练时，先与最有可能要求查看材料的利益相关者见面，讨论为何不提前提供材料的理由。强调桌面演练的目的是为了协作，而不是找出某个个体的过错。

• 提供一些不会泄露整体情节的高层次细节。

• 强调桌面演练的目的是为了避免公开指责参与者没有采取正确的步骤。

在某些情况下，你为了保持情境保密的努力可能会失败。如果一个决心坚定的首席执行官、主要股东或董事会成员要求查看材料，他们可能会压倒你的执行赞助人。积极的一面是，若有高层管理人员对桌面演练表现出兴趣，那是一个展示桌面演练没有什么可怕之处的机会，在下一次活动中，你可以特别努力让这个人支持保持情境保密，因为已经建立了关系。

邀请者的反对意见

有些人可能会反对桌面演练，可能是积极的（例如批评形式、质疑其价值或提出其他负面反馈），也可能是消极的（例如回避会议、不回复邀请、或根本不重视该事件等）。

一些常见的反对理由包括：

• 担心桌面演练会暴露某个团队的短板

• 担心桌面演练或其结果会显著影响他们的工作负荷

• 已存在的职场人际冲突，导致参与者之间难以合作

无论对方反对的原因是什么，开发团队必须及早识别出反对的迹象，例如以下行为：

• 公开列举不进行桌面演练的理由，例如“现在不是进行桌面演练的时候，我们有 20 个更重要的项目”。

• 非语言方式表示不满，例如交叉双臂或翻白眼

• 不回应基本请求，例如不回复活动邀请或不回应电子邮件

解决反对意见是开发团队的责任，但他们如何应对则取决于具体情况。以下一种或多种方法通常足够应对：

• 向对方询问他们的顾虑，并花时间倾听。承认并验证他们的感受。

• 如果可能，提议将他们的顾虑融入桌面演练中。例如，如果某个参与者担心组织的灾难恢复程序不够完善，并认为用于演练的时间更适合讨论这个问题，那么可以将这个问题加入桌面演练，集中讨论这一主题。

• 承认即将举行的桌面演练可能无法解决对方的顾虑，但可以提议在未来的演练场景中加入这个问题。

• 如果参与者担心演练可能暴露其专业短板，进而危及其职位，可以安抚他们，强调此次演练并非为了寻找过错和归咎于人。

通常，这些对话可以在喝咖啡时或站立式团队会议后进行。然而，如果在你做出合理努力后，对方的反对依然存在，可以请执行赞助人介入事件前的协调。在极少数情况下，团队可能需要将某个员工从桌面演练中移除。虽然这是一个极端的措施，但如果在实际演练中有参与者积极反对，可能会把演练搞得一团糟。

外包桌面演练

随着信息技术环境的复杂性不断增加，许多组织现在将其网络安全需求外包给远程服务，如虚拟首席信息安全官（vCISO）和安全运营中心（SOC）。桌面演练只是组织可以外包给可信供应商的众多网络安全活动之一。

许多组织没有足够的信息安全预算来聘请外部顾问，因为这可能非常昂贵。桌面演练的费用可能从 5,000 美元到 25,000 美元不等，具体取决于所需的规划、复杂性、交付方式、时长、报告及其他因素。对于一些公司来说，聘请外部方的费用可能是无法接受的。

另一方面，一些组织缺乏规划、开发和主持此类活动所需的资源或知识。很可能没有任何员工曾参与过桌面演练，无论是在当前雇主处，还是在过去的职业生涯中。与此相对，咨询公司中的个别成员每年可能会执行 30 次或更多的桌面演练，具备应对潜在障碍的能力。作为妥协，一些组织雇佣外部主持人，但将开发过程作为同时为下一次演练交叉培训内部员工的机会。

咨询公司通常也会在特定领域拥有专业知识。例如，一家咨询公司可能专注于事件响应，而另一家则专注于支付卡行业合规性。这些外部供应商可以回答诸如“我们与同行相比做得怎么样？”这样的问题。一个在多个组织和行业领域内主持大量桌面演练的资深外部供应商，能够提供无价的知识。

在一些组织中，存在寻求外部专家指导的文化。在这种情况下，组织可能更倾向于采纳外部供应商的建议，即使员工过去也曾提出过类似的建议。这些员工可以利用这一点，通过让外部顾问倡导重要的变更来为自己争取利益。例如，如果一名信息安全主管曾请求实施多因素认证并遭到拒绝，外部顾问可以将此问题融入到桌面演练中，并列为已识别的缺陷。

最后，外包的桌面演练可以作为一个第三方评估，旨在提供一个公正的视角。（为了尽量消除任何潜在偏见，选择一个与该组织几乎没有或没有业务联系的咨询公司。）第三方评估是一项强有力的工具，因为观察和建议不太可能受到冲突利益的影响。此外，评估组织信息安全状况的外部利益相关者，可能会对内部进行的桌面演练产生怀疑，尤其是在这些演练得到高度评价且缺陷很少的情况下。这些第三方评估对像网络保险承销商或审计员等各方尤其重要，他们可能会要求查看相关文档，以评估与该组织开展业务的风险。由第三方执行的桌面演练提供的证明，能增加报告的可信度。

然而，如果您选择将演练外包给供应商，请确保与被分配到演练的顾问匹配适当。例如，一个顶尖的美国艺术博物馆雇用外部供应商进行桌面演练，在他们的第一次会议期间，顾问说：“你们有一堆由饥饿的艺术家制作的油画，对吧？”通过这样做，顾问显示出对艺术作品的不重视，而这对博物馆员工来说非常重要。顾问应能够无缝融入组织，快速理解组织结构中的层级，并且不会引起集体的失望。

如果您使用外部顾问来避免过多地使用内部资源进行桌面演练，请务必询问顾问的开发方法，包括需要内部员工投入多少时间和进行哪些活动。他们不太可能需要从组织的员工中组建开发团队，但优秀的顾问应该征求员工的反馈，以确保他们正在开发的场景相关并符合演练的目标。如果外部顾问需要组织几个小时来进行头脑风暴场景、审查可交付成果、协助修订等工作，则这种关系可能无法实现预期的价值，但是，如果有人出现并提供与组织或其业务无关的标准化场景，则可能会更糟。

总结

本章的活动为成功的桌面演练打下了基础，并应帮助您制定桌面演练的格式。在进入下一章并开发演练场景之前，请仔细考虑我们在此提出的每一个考虑因素。

问题

大多数桌面演练需要进行重要的规划才能取得成功，因此在规划过程中投入时间和精力是值得的。在开始桌面演练的开发过程时，请考虑以下问题，确保步入正轨：

1. 谁应该成为桌面演练的执行赞助人？他们具备哪些重要特质？这个人在组织结构图中的位置是否合适？

2. 您对您的执行赞助人有何期望？执行赞助人愿意承担这些任务吗？

3. 在进行桌面演练时，您的目标和目的是什么？

4. 这是高级别还是操作级别的演练？

5. 您计划进行串联桌面演练吗？如果是这样，您有时间专注于额外的规划和促进任务吗？

6. 谁必须参加桌面演练？谁的出席是可选的？

7. 谁将扮演开发负责人、 facilitator（促进者）、 subject matter expert（主题专家）和 trusted agent（信任代理）的角色？

8. 桌面演练是远程进行还是面对面进行？如果是远程进行，您需要哪些技术才能确保活动的成功？如果是面对面的，您应该考虑哪些后勤组成部分？

9. 您的桌面演习将持续多久？

10. 您将如何与与会者沟通此次活动？谁将负责这项沟通工作？

11. 您将如何让与会者提问？如果安排讨论环节，谁将参加这些讨论？

12. 您预见到会有任何反对声音吗？如果有，您打算如何应对？

13. 您将如何保持情景的机密性？

第三章：3 开发过程：何处见证成效

在本章中，我们重点介绍开发团队如何构建其桌面演练，从定义主题到创建演练材料。最终，您将选择一个主题，设计一个场景和注入点，设计一个故事板和地面真实文件，并组装您的演示文稿。

根据每个桌面演练的具体情况，您偶尔可能会跳过本章概述的某些步骤。例如，当副总裁告诉您，“我们需要练习应对业务电子邮件妥协的能力”时，演练主题可能会很快出现。许多桌面演练都是这样开发的；您会知道一些初始组成部分（如范围和主题），并根据已有情况填写其余部分（如持续时间和目标）。与每章一样，您在继续之前应考虑组织动态、业务要求和您组织的独特威胁景观。

选择主题

桌面演练的主题是要探索的总体问题。它可能是与信息安全相关的问题（如勒索软件、内部威胁或钓鱼攻击），或者是影响组织应对信息安全事件能力的灾难场景（如危险的火车脱轨或飓风，导致组织员工无法工作）。理想情况下，您应选择一个组织希望为其准备的主题，并且在揭示时不会使演练参与者困惑。

具体的主题并不像你可能认为的那样重要，因为您可以以多种方式探讨几乎任何主题。例如，以勒索软件为主题的演练可以探讨攻击者的横向移动（即攻击如何在网络中传播）、对监管实体的响应、业务连续性问题或调查行动。您也可以轻松地在基于国家级攻击或供应商安全失败主题的演练中探索这些问题。

主题可以用作考虑引起参与者兴趣的领域的机会。如果组织关注特定问题，选择相关主题可能使演练对参与者和其他利益相关者尤为重要。本节描述了选择主题的一些提示。

参考您的业务影响分析

如果组织已经进行了业务影响分析（BIA）——一份详细列出了各种业务功能和流程中可能发生的各种中断对业务影响的文件——你可以使用它来帮助选择你的桌面演练主题。

当然，BIA 可能涉及广泛的事件，从自然灾害到社会动荡再到供应链中断；然而，它也可能涉及网络安全问题，包括勒索软件、保护数据的泄露（如知识产权和个人身份信息，或 PII）以及关键计算基础设施的丧失。BIA 还可能描述一个完整的场景，其中一个网络安全事件影响了组织。如果是这样，你可以将其作为你的主题。

利用 BIA（业务影响分析）来确定桌面演练的主题，可以提供另一个机会，让你邀请一个新的合作者：负责主导 BIA 的主题专家，无论他们的背景是灾难恢复、风险管理还是其他领域。你可以请这位专家在桌面演练开始时简要发言，解释为何选择这个主题，因为它对组织有着重大的影响，从而强化演练的重要性。

最后，许多组织已经反思了如何应对自然灾害（如即将到来的飓风或暴风雪），但却忽视了针对可能带来相似影响的网络安全事件进行规划。桌面演练可以成为业务连续性或灾难恢复团队与信息安全团队合作的机会，确保他们在未来考虑网络安全事件。

与执行赞助人沟通

另一种为桌面演练寻找灵感的方法是与执行赞助人沟通。很可能，他们已经有一个特定的网络安全问题在心。如果你选择的主题不符合赞助人的个人兴趣，仍然应该寻求他们的反馈，确保他们支持并关注桌面演练的主题；如果没有执行赞助人支持你的桌面演练主题，这会适得其反，应该避免。

借助其他资源寻求灵感

除了我们刚才列出的主题选择方法，你还可以通过以下方式来确定一个相关的主题：

• 向高管询问哪些网络安全问题让他们夜不能寐

• 跟踪并挖掘来自政府或行业来源的趋势来获取创意

• 向参与网络安全的供应商询问他们在行业中看到的问题

一旦确定了主题，就可以开始制定演练的场景。

制定场景

场景是桌面演练探索的独特故事。对于一些桌面演练，选择这个场景的过程是相对简单的。也许有一个明显的选择，灵感来自于新闻事件、组织中的已知安全风险、近期的内部事件或管理指令。在这些情况下，开发阶段很可能会顺利进行。

然而，您可能会在没有特定场景可供探讨的情况下进入桌面演练的开发过程。也许这样的演练对组织来说是新的，或者组织已经进行了太多桌面演练，已经没有明显的场景可以使用了。或者，也许管理层要求进行桌面演练，但没有提供场景的具体参数。如果您发现自己处于这种情况，请放心，许多开发团队曾经面临过完全相同的困境。

有效场景的特征

您不应随意开发场景。如同在第二章中学到的那样，在演练前，某些权威人士或演练参与者可能会询问所选场景的情况。如果发生这种情况，您应该能够阐明开发该场景时所考虑的因素。除了能够实现演练的目标和任务外，场景应该是：

• 现实性

• 与组织和参与者都相关

• 一个检视已知或潜在弱点的机会

让我们进一步探讨这些指南。

保持场景的现实性

虽然您可以对演练场景进行创意设计，但并没有权限进入幻想的领域。参与者可能需要暂时放下某些不信任的成分，场景可能会突破可信的边界，但不应完全荒谬。

什么才算一个现实的场景呢？试着从真实事件中寻找灵感，包括记录下来的网络攻击、组织未能正确应对事件、已知的恶意软件和内部攻击。然后，您可以尝试在这些已知攻击的基础上加大痛点，同时仍然保持在可信范围内，尽管简单也没有问题。正如本书第二部分中的示例所展示的那样，一些最佳的桌面演练非常简短。

在桌面演练过程中，主持人可能会被置于必须为场景的可行性辩护的位置。在这些情况下，他们可能会觉得手头有统计数据或简短的案例研究能帮助他们向观众展示。这些统计数据和示例应当与特定的情节相对应，并与进行演练的组织相关联。

确保场景相关

虽然现实的场景是建立在可能性范围内的，相关的场景则是与业务密切相关的。换句话说，如果场景发生，是否会引发参与者集体的“那又怎样？”反应？

相关性通常最好通过场景的商业影响来衡量，因此您需要了解组织的痛点。您的演练不必针对最重大的商业影响，但您应该专注于一个足够相关的场景，以吸引与会者的注意。让我们来看看几个例子：

• 一家快餐店依赖一个处理得来得及订单的软件平台。如果由于网络安全事件系统无法访问，餐厅就得手工接单，这会导致效率下降，无法服务更多顾客，从而大幅影响销售。

• 家居改善店铺的 80%以上的购买使用信用卡支付。与 POS 系统连接的信用卡支付终端使用第三方供应商来验证顾客的信用卡。如果第三方供应商因为网络安全攻击而停止运作几天，企业将立即遭受销售损失并降低顾客满意度。

• 亚利桑那州的一处商业地产使用工业级冷却系统，承包商可以远程登录进行健康检查。如果凭证被泄露，攻击者关闭了冷却系统，因亚利桑那的沙漠气候，该地产将迅速变得不适合居住。

在每一个例子中，都有明显的业务影响，无法忽视，这将吸引高管和顾客的注意。

最后，确保执行赞助人同意场景的相关性。如果在桌面演练中的任何时刻，执行赞助人会想，那又怎样？ 你应该调整场景。

场景必须与与会人员相关，因为他们要为此投入一定的时间。例如，你可以将勒索软件桌面演练偏向法律部门的成员，集中讨论支付赎金的合规问题；或者，你可以专注于技术人员检测和遏制勒索软件的能力。

确保与会人员没有理由自问，我为什么在这里？ 如果你无法轻松地找出一个场景与他们角色的关系，考虑调整场景以提高他们的参与感。

突出已知或潜在的弱点

让演练更具价值的一个优秀策略是选择一个突出组织环境中已知或潜在弱点的场景。组织通常会在网络安全事件发生后进行桌面演练，作为“教训总结”过程的一部分，这时他们已经弥补了已知的不足，并希望确定是否还有遗留的问题需要解决。

组织的信息安全团队也可能意识到他们的安全实践存在不足，比如只保留重要日志几天。这可能是因为团队未能获得资金来存储更长时间的日志。这个演练提供了一个机会，可以在网络安全事件响应过程中探讨这种不足的影响。在领导层面前演练这个场景可能会促使组织解决这一弱点并争取额外的资金。

场景灵感来源

除了确保场景既现实又相关外，你还可以寻找内部或外部的灵感来源。也许组织之前进行过评估，指出了其流程中的缺陷。或者，也许 FBI 和 CISA 刚刚发布了新的联合网络安全通告，突出了一个新的勒索病毒变种。

让我们进一步探讨一些灵感来源。

审查以往的评估

你可以通过回顾以前的评估活动（例如渗透测试或先前的桌面演练）来为你的场景寻找灵感。这些活动应产生报告，记录任何缺陷，你可以用它们来启发你的场景。利用以前的评估活动作为灵感为所选场景增添了可信度，因为它已经被证明是可信的，并对组织产生了可展示的影响。

最后，将现有的安全漏洞纳入你的场景中，可能会获得来自整个组织或某些对解决该问题有兴趣的成员的额外支持。例如，如果以前的渗透测试发现某个服务器使用了过时的软件包，并且存在已知漏洞，但业务部门抵制风险管理团队的处理建议，将这些细节融入场景中，很可能会为桌面演练赢得风险管理团队的支持。

寻求外部资源

如果现实世界的例子或以前的网络安全事件不能帮助你确定一个相关且现实的场景，可以考虑从以下免费的或低成本的资源中寻找灵感：

网络安全和基础设施安全局（CISA）

CISA 提供了相关材料和场景，可以在 https://www.cisa.gov/cisa-tabletop-exercise-packages 上找到。即使这些场景与你的需求不完全匹配，这些材料也可能提供一个基准，你可以根据需要进行调整。

你的网络保险提供商

作为一个有利害关系的方，旨在减少组织面临的风险，你的保险公司可能能够就哪些场景在桌面演练中最有利提供意见。

执法机构来源

执法机构可以描述它们在处理刑事案件时观察到的威胁态势。公私合作伙伴关系——例如 InfraGard，作为 FBI 与公共部门之间的桥梁——使得可以接触到执法专业人士。借助这些关系，可以根据现实世界的事件提供灵感。

网络安全行业或相同行业领域的同行

行业内的同行通常愿意交换有关威胁环境的信息，只要这不会违反任何保密协议。虽然联系你的联系人是一个很好的起点，但你可以通过在 LinkedIn 小组或其他公共论坛上发布来扩大范围。然而，在这样做时要注意保密问题；比如说“我们正在进行关于勒索病毒的桌面演练，因为‘我们还没有准备好，完全是个待宰的羔羊’”这样的说法，会成为威胁行为者的素材。同时，请记住，这种类型的外部联系可能不适用于某些组织。

SEC 10-K 表格（如果该组织是上市公司）

该表格是组织向股东报告其面临的风险因素（以及其他事项）时提交的，通常会包括特定的网络安全风险，因为大多数组织都认识到网络安全攻击所带来的威胁。

在主题和场景大致确定之后，现在是时候考虑你将通过注入内容呈现给参与者的桌面演练组件了。

介绍注入内容

注入是桌面演练过程中呈现的一组事实，目的是传递新信息或澄清先前提供的信息。注入内容也可以加入时间细节，如日期和时间，人工将场景推进到未来的某个时刻。它可以简单到几个要点，旨在帮助主持人引导场景，并保持参与者专注于响应的特定领域。可以把注入看作是有人进入你的办公室告诉你他们刚刚发现了什么。

让我们考虑几个例子。图 3-1 展示了一个关于数据从银行 SQL 服务器中提取的技术演练注入，该服务器包含敏感的财务数据。

图 3-1：示例桌面演练的注入幻灯片

在这个注入过程中，参与者可以讨论响应的技术方面，例如收集目标 IP 的情报、检查 SQL 服务器以确定访问了哪些数据，以及检查环境中可能已被威胁行为者破坏的其他系统。

图 3-2 将焦点转向高层领导在一起勒索威胁中所扮演的角色，威胁行为者声称已从环境中导出了 150GB 的数据。

图 3-2：一个针对领导层的注入，适用于示例桌面演练

在这样的注入过程中，我们预计领导层会讨论赎金要求的影响，是否支付赎金，所需的内部和外部沟通，以及如何验证被导出的数据是否确实是客户数据。

最后，图 3-3 展示了一个注入，旨在促使多个团队（至少包括信息安全、信息技术和物理安全）参与响应。

图 3-3：涉及非技术团队的注入事件示例

为了应对这个注入事件，物理安全将扮演重要角色，确定在设备安装时谁能进入数据中心，包括讨论他们保存视频录像和访问日志的时间。此外，信息技术和信息安全部门将讨论他们的角色以及调查未知设备的过程。

模拟时间限制

注入事件还可以让你的演练在短短几个小时内，探讨一个可能持续数周或数月的事件。你可以使用注入事件插入新的信息，让情景快速发展，就像它在实时中可能发生的样子。

在复杂的网络安全事件中，组织通常无法立刻了解事件的全貌。各方可能需要数天、数周，甚至数月的时间，才能全面了解发生了什么。事件发生的最初几个小时和几天，通常充满了零碎的信息，混乱重重，最佳应对措施也难以确定。注入事件特别有助于模拟这些情况，因为它们可以通过控制信息引入怀疑和困惑，然后在规定的时间内探讨事件的处理。

直接聚焦

另一个注入事件有帮助的原因是它们能指导开发团队聚焦于组织应对网络安全事件的特定方面。例如，如果桌面演练的一个目标是专注于组织在一次非常公开且备受关注的事件之后，如何与媒体互动，注入事件可以插入一组事实，引导参与者处理这个话题。例如，在一次医疗账单公司专注于业务连续性问题的桌面演练进行到一半时，主持人可能会使用如图 3-4 所示的注入事件。

图 3-4：涉及媒体的注入事件

现在，团队必须将注意力转向检查现有的与媒体沟通的流程，例如谁负责沟通，法律团队是否需要批准声明，以及是否需要召集公共关系专家协助。注入事件就像是一个人冲进会议室，向满是事件响应人员的大喊：“伙计们！媒体刚打来！他们想要下午 3 点前的声明！”在桌面演练中，你可以以一种受控的方式提供相同的信息，使用预定义的注入事件，并在一个低压力的环境中讨论回应。

最后，专注的注入还能确保某些与会者能够参与讨论。例如，图 3-4 中的注入专注于与通讯和媒体相关的问题，而另一个注入可以轻松聚焦于物理安全、供应商管理或人力资源等问题。由于专注于特定领域，因此非常重要，开发团队要邀请能够解决该领域问题的代表参与讨论。#### 平衡清晰度与简洁性

对于桌面练习来说，适合多少个注入？像往常一样，这取决于具体情况，但以下几个因素值得考虑：

• 对于两小时的桌面练习，7 到 10 个注入足以提供一个连贯的故事线，使团队能够探索各种话题。

• 增加不一定更好。桌面练习越复杂，场景就越不简洁和专注。此外，当场景涵盖的范围过广时，与会者可能会因需要解决的问题过多而感到不知所措。深入探讨几个关键主题可能比浅尝辄止多得益。

• 根据与会者的参与文化，有些桌面练习只需要少量注入，例如三个（用于介绍信息、新信息和总结信息）。一个特别健谈的团队即使只有少量注入，也能轻松消耗 90 分钟的讨论时间。

• 如果桌面练习分配了两小时的时间段，最好控制时间不要过长。桌面练习如果在时间剩余的情况下结束，可以让参与者在不感到匆忙的情况下完成情境。

• 运行时间过长的桌面练习可能会导致与会者的日程冲突，其中一些可能是高层管理人员，已经时间有限。

• 大多数桌面练习受益于最后的问答环节；插入太多内容可能会抑制这种好处。因为桌面练习的一个目标是发展关系，所以在会议结束时留出时间讨论出现的问题或其他一般性关切，会使活动更有价值。

注入物必须在增加清晰度、促进与会者之间的协作，并在下一步行动方面制造一些模糊性之间取得平衡。也就是说，它们不应该用太多选项来困扰参与者。有时，最有效的注入物只有几个要点，在幻灯片上不超过 20 个字。避免看起来像 8 号字体写成的博士论文，需要参与者几分钟才能完全消化。如果你发现自己在一次注入中给与会者提供了大量信息，请考虑将注入分成逻辑段落。

设计练习故事板

你的桌面演练的整体概念开始成型了。经过一些思考，你已经定义了目标，并选择了一个主题来探讨网络安全问题。你已经开发了场景并确定了参与者。现在，你就可以开始构建它，对吧？

与生活中的大多数活动一样，即使一个想法已经成型，你也可能会发现必须做出调整。威胁环境可能发生变化（例如，如果新闻中出现了新的攻击），或者高层赞助人可能要求你将场景重新定向到另一个优先事项。有时，桌面演练可能在交付之前经历几次修改，这可能让开发团队感到沮丧。这就是故事板发挥作用的地方。这个做法源于电影行业，作为一种高效的方式，在电影制作前明确剧情和美学。

应用到桌面演练中，这一概念并没有什么不同：故事板只是简单地制作一个演练的草稿，如果需要，可以轻松进行修改。它使得开发团队能够在不投入过多时间的情况下编排演练场景。在这个阶段，修改是非常容易的。通过故事板，开发团队可以直观地看到桌面演练的进展，并识别可能的改进空间或潜在的陷阱。

故事板不需要正式。开发团队的几名成员可以快速在白板上草拟一个。简要描述注入事件（一个或两个句子足够）以及每个注入事件旨在探讨的关键问题。开发团队可以退后一步，审视故事板，并问自己：“这样合理吗？”此外，外部人员审阅故事板时，应能快速跟上整体主题并理解你想要实现的目标。

桌面演练通常遵循 NIST 事件响应生命周期的结构，如图 3-5 所示，该生命周期从准备阶段开始；将事件响应分为检测与分析、遏制、根除和恢复；最终进入事后活动阶段。桌面演练不需要明确包含准备阶段，因为该阶段本身即包括桌面演练以及相关的规划活动。

图 3-5：NIST 事件响应生命周期

例如，大多数桌面演练和真实的网络安全事件都以一个简单的事件开始：系统管理员发现一个具有提升权限的异常账户，网络设备在安全规则被触发后发出警报，或者执法机构敲响大门通知组织其数据可能已被窃取，等等。这个催化事件必须在故事板开发过程中定义，并启动桌面演练。（我们将在“考虑场景升级速度”一节中进一步讨论这一点，详见第 67 页。）

一旦提供了初始信息，新信息将通过注射逐步涌现，为情景带来清晰度，而不是一次性透露太多信息。缓慢起步保持讨论集中在一个预期的区域。额外的注射可以在未来阶段为情景增加细节，例如遏制或恢复措施，最终进行“教训总结”审查。您可以在以下示例故事板中看到这一过程的展示。

故事板非常简洁，撰写初始草案只需要大约一个小时。任何一方都可以迅速理解其总体主题，将增加细微差别的注射和在讨论中提出的关键问题。一个更简洁的故事板可以省略“关键问题”部分；然而，这些部分帮助读者理解每个注射的理由。

现在假设开发团队希望调整练习，包括一个独特的威胁向量，比如一个位于 MHTS 设施外部的个人通过无线连接侵入其网络。在故事板设计中进行这样的课程修正非常容易，并且不会影响到已经完善的内容，比如 PowerPoint 演示文稿。

Storyboarding 的另一个好处是它使开发团队能够向选择的利益相关者，特别是高级赞助人，提供一个粗略的蓝图，以确保他们的支持。桌面演习现在已经从理论讨论发展为一个实际的草案；特别是如果你是顾问，你可以记录客户的联系点已经参与了场景，并表达了他们的批准。

考虑到情景升级步调

当制作故事板和计划你的注射时，请考虑情景升级步调以及适合桌面演习的内容。升级步调 指的是在每个注射中引入的信息严重程度。在许多真实的事件响应场景中，有一个最初的触发因素，可能看起来相对温和：

• 一个最终用户因为他们的计算机运行缓慢而联系帮助台。

• 网络管理员观察到在午夜无人工作时网络流量出现意外的波动。

• 一个最终用户在机场丢失了他们的笔记本电脑。

这些示例每一个都值得进一步探索，并且可以很容易地因为额外的细节而变得更为严重。事实上，有很多众所周知的网络安全事件，都是从类似这些简单事件开始，然后演变成了更大的问题。通过缓慢起步并逐步升级到更严重的事件，参与者能够探讨组织如何响应潜在威胁的初步指标。作为一个附带的好处，如果参与者是第一次参加桌面演习，这种方法会使他们更容易投入到练习中。

为初步注入提供一组更具重要性的事实对于某些桌面演练可能是合适的；然而，需要考虑的是，是否放弃逐步推进到更严重事件的方式，会牺牲对组织如何应对更大威胁的指示的深刻探索。

编写你的事实真相文档

一旦你们达成了一个粗略的故事板，就该开始编写事实真相文档了。美国的《国土安全演练与评估计划》（HSEEP）将事实真相文档定义如下：

一个包含情境详细元素的文档，这些元素在演练开发过程中必须保持一致[ . . . ]以确保保持现实感并实现目标。

故事板是一个非正式的草图，帮助你构思情境，而事实真相文档则将桌面演练正规化，开发背景故事并定义注入内容。

并非所有情况下都需要一个事实真相文档。例如，如果组织的目标仅仅是让利益相关者坐到一起，讨论一个网络安全事件的演变过程，那么这个文档可能就显得多余。同样，如果组织希望在午餐期间进行一系列快速的桌面演练，事实真相文档可能被视为一项不必要的投资，反而让整个活动变得繁琐。最后，如果桌面演练涉及的情境是组织尚未定义政策和程序的领域，事实真相文档可能不太适用，因为在这种情况下，找到正确答案并不像讨论本身那样重要。

另一方面，事实真相文档为桌面演练的开发过程提供了结构。如果组织希望实施一个桌面演练程序，定期评估其成熟度水平，事实真相文档可以向审计员、供应商和其他外部方展示该程序的存在。

创建事实真相文档的一个最重要的好处是，它可以缩短开发过程，因为它使开发团队能够充分探索故事板中定义的桌面演练的初步流程。这一探索可能会揭示出一些不足之处，比如目标和目标不一致、情境中的技术或流程缺口使人难以置信，或者其他让开发团队暂停思考的方面。有了事实真相文档，你可以重新调整，而无需浪费时间修改已完成的材料，例如 PowerPoint 演示文稿。

使用 HSEEP 的定义，让我们回顾一些编写成功事实真相文档的指南。

添加细节和预期结果

故事板提供了一个非常简略的情境总结，而事实真相文档则是深入挖掘其具体元素的机会。例如，在故事板中，注入内容的表述可能仅需简要说明如下：

勒索软件进入环境并加密了人力资源部门使用的信息系统。在加密之前，威胁行为者从关键系统中窃取了数据。

实际情况文件应包含更高程度的具体性：

人力资源总监斯蒂芬·罗森沃尔德（Stephen Rosenwald）收到一封来自MissingPackage@FredEx.com的恶意邮件，并点击了其中的链接。该链接下载了一个名为MISSINGPACKAGE.PDF的 PDF 文件，罗森沃尔德也点击了该文件。

罗森沃尔德最近抱怨一个端点安全代理程序占用了系统资源，由于他在组织中的高级职位，帮助台从他的系统中移除了该代理程序，导致安全控制受限。此外，罗森沃尔德拥有管理员权限，这也是他所在公司高管的常规做法。

由于安全控制受到限制，当罗森沃尔德打开 PDF 文件时，$SomeBot 恶意软件家族的一个变种得以执行，窃取凭证，并允许一个外国攻击者通过远程桌面协议（Remote Desktop Protocol）连接到服务器。攻击者能够远程连接到罗森沃尔德的账户，而该账户拥有访问人力资源数据库的权限，数据库中包含简历、员工数据和健康保险选项。

如你所见，故事板是即将注入的内容的压缩版高级版本，而实际情况（ground truth）则更加详细。实际情况文件通常还包含预期结果或成功的定义，突出参与者在演练中需要关注的领域。（你会在接下来的“实际情况：恶意软件发现”框中看到成功定义的示例。）

虽然这不是对导致网络安全事件的技术和组织因素的全面探索，但第二段包含了在桌面演练过程中可能出现的细节。这些细节可以直接回答参与者立刻会问的基本问题。有了更清晰的信息，参与者可以理解事件是如何发生的，哪些数据被访问了，并开始评估提供信息的重要性。

请记住，所需详细元素会根据受众有所不同。如果预期参与桌面演练的是技术性较强的观众，那么实际情况文件应为一份技术文档，尽可能覆盖将要讨论的各项技术细节。对于面向高层管理人员且跨职能（如非技术性）观众的桌面演练，过于深入的技术细节则不必要。

保持现实性

实际情况文件是另一个确保情景保持现实的机会。桌面演练应该检查假设性的——而不是荒谬的——事件，这些是组织可能面临的挑战，而实际情况文件使得开发团队能够从头到尾梳理情景的细节，持续检查它是否偏离了可行性太远。

与目标对齐

基础事实文档还应该不断检查桌面演练是否与开发过程中开始时所列出的目标对齐。例如，假设一个主要目标是测试组织有效管理对外和内部沟通的能力。当回顾基础事实时，开发团队可能会意识到情景过于侧重于技术因素和业务连续性问题，未能自然引导出沟通任务的探索。发现这一不匹配后，团队可以在演练之前重新调整情景。

正如你在这个例子中所看到的，基础事实文档是在故事板的基础上构建的，并添加了更多细节以定义被审视事件的背景。它包括目标和目的、演练时间、注入项的更多细节以及预期结果。

创建演示幻灯片

完成故事板并确定基础事实后，你现在可以专注于桌面演练的交付成果，通常是使用你选择的演示软件创建的幻灯片。这是释放你的创造力的时候了。

虽然没有一种正确的方法来处理桌面演练的演示幻灯片，但本节将提供一系列格式和流程的建议，以及需要涵盖的关键组件。大多数桌面演练演示幻灯片被分为以下几个部分：

• 介绍

• 序言

• 注入项和演练讨论

• 演练总结

一些桌面演练还包括一个教育部分，例如关于威胁态势中当前趋势的简短简报（例如，突显钓鱼邮件的增加）。更好的是，你可以突出组织内部提炼的安全趋势；这些尤为重要，因为它们与在场的人息息相关。

此外，由于组内成员很可能来自应急响应团队，会议可能为简要讨论应急响应计划的变更以及参与者的角色和责任提供一个平台。这一复习（对于新加入应急响应团队的员工来说，可能不止是复习）恰逢其时，因为组员随后可以将所学内容应用到桌面演练中。

介绍

演示幻灯片中的介绍部分应包含关于主持人及其与组织关系的基本信息。如果主持人是员工，可能不需要包括他们的资历、工作经历等信息，但如果是外部承包商担任主持，这些背景信息有助于强调其行业经验的广度（或许还可以显示这并不是他们的第一次桌面演练）。

在主持人的介绍之后，留出时间让参与者自我介绍。通常，参与者至少会知道彼此的姓名和职能，但在桌面演练中，团队成员首次见面的情况也并不罕见。因为这些演练的部分目的是确保所有参与者都熟悉彼此的角色和职责，所以花时间进行自我介绍是值得的。

不要在自我介绍上花费超过两到三张幻灯片。根据小组规模和与会者之间的关系，5 到 10 分钟应该足够。

前言

主持人应在引言中讲解几个主题，包括桌面演练的目的、适当的礼仪、参与的重要性以及预期的结果。主持人还应介绍注入事件的概念。如果这是组织的首次演练，或者有很多第一次参加的成员，在进入实际场景之前设定期望可以确保所有参与者都在同一频道上。

如果执行赞助人参加桌面演练，引言部分是他们发表简短讲话的机会，重申演练的重要性，感谢大家的参与，并强调他们期待了解在识别漏洞后，组织如何改进。执行赞助人也可以在介绍中发表这些鼓励性的话语。

请注意，引言部分有可能会占用宝贵的演练时间。理想情况下，引言不应超过 15 分钟，将大部分时间留给演练本身。

让我们更详细地了解引言部分的组成。

定义练习的理由

很可能有些参与者会质疑进行桌面演练的价值。一张简短的幻灯片和主持人的几句话可以突出其好处，如图 3-6 所示。

图 3-6：解释桌面演练目的的幻灯片

至少，幻灯片应明确说明桌面演练有助于为组织应对网络安全事件做好准备，识别现有流程中的漏洞，并教育应急响应团队成员在网络安全事件中的角色。

确立桌面演练的适当礼仪

专门用一两张幻灯片介绍桌面演练礼仪。参与者很可能会想知道接下来的两小时会是什么样的。他们会面临对抗吗？他们如何贡献？他们需要做什么？这些都是合理的问题，并可能引起一定的困惑。

也有可能，某个参与者可能会想要为某个组织辩护，防止场景中所呈现的弱点发生。假设你是一个系统管理员，在桌面演习中听到一个面向互联网的系统启用了默认用户名和密码的服务。系统管理员可能会立即跳出来解释，组织已有政策、系统构建流程、定期的外部渗透测试以及其他各种检查措施来防止此类情况发生。

主持人可以通过花时间简要讨论场景的开发过程来避免一些防御性行为。这有助于消除那种认为场景是由一位咖啡喝多的风险管理专家胡乱想象出来的看法。像图 3-7 这样的幻灯片可以帮助预防关于开发过程的反对和猜测。

图 3-7：展示桌面演习礼仪的幻灯片

这张幻灯片强调，这次桌面演习做了一些创意上的自由发挥，并请求参与者不要与故事情节作对。承认这两点应该能减少或消除参与者开始处理场景时的抵触情绪。

鼓励参与

同样重要的是，要求所有与会者参与讨论。桌面演习最有效的方式是当大量参与者积极参与、提出观点和反观点，并巧妙地质疑决策或流程时。

鼓励每个与会者讨论他们的个人兴趣或与其职能相关的兴趣。例如，来自法务部门的代表可能会有与业务连续性部门代表截然不同的关注点。考虑以下信息安全和财务部门代表之间关于是否联系供应商进行紧急支持的简短对话：

信息安全部门： 如果情况真的糟糕到那种地步，我们就会叫我们的供应商来提供事件响应支持。

财务部门： 等等，我们和供应商有合同吗？我记得我们让合同过期了。那会花我们多少钱？

信息安全部门： 我们必须尽快让他们签字。而且这不会便宜。如果我们能花不到 50,000 美元解决，我会感到很惊讶。

财务部门： 很明显，如果我们需要把他们请进来，那就得请进来。但我们有一条硬性政策，所有超过 25,000 美元的合同都必须由法务和采购部门审核。我从未见过一个审核在 48 小时内能快过法务部门的。

很明显，信息安全和财务部门有相同的目标：处理一个网络安全事件。然而，他们各自提出了与各自职能相关的重要观点，使对方能够理解他们在事件处理中可能遇到的障碍。

像图 3-8 这样的幻灯片可以帮助促进参与的氛围。

图 3-8：一张鼓励参与的桌面练习示例幻灯片

如果桌面练习中很少有参与者发言，房间里将会慢慢弥漫起一种不适感，降低事件的价值。

传达预期结果

在深入场景之前，所有参与者应理解桌面练习的预期输出。你可以通过一张简短的幻灯片和随之而来的讨论来实现这一点（图 3-9）。

图 3-9：一张讨论样本桌面练习预期结果的幻灯片

桌面练习的输出通常是一个报告，列出建议和已识别的改进机会。这些可能从认识到关键利益相关者没有及时通知，到解决对组织通过网络保险政策可用资源缺乏明确性的情况不等。第五章详细介绍了报告的具体内容。

可能最重要的是向参与者描述不会发生的事情。即使你在练习之前已向他们保证过，否则一些参与者可能仍然认为他们正在被个人评估，这会导致他们变得过于防御或退缩。例如，如果管理层表示某些业务单元是财务负担或优先级较低，那么来自这些组的参与者可能会觉得有必要做出夸张表现来展示他们的价值。因此，在开始之前要强调，桌面练习的目标不是评估个人反应，你不会给出分数或指出个人的失败。

在继续之前，确保参与者没有任何悬而未决的问题。一旦这些问题解决，你就可以开始练习了。

注入和练习讨论

在涵盖了礼仪和基本规则后，你现在可以设计桌面练习的核心部分：注入幻灯片。如果你已经开发了故事板或事实文档，你可以轻松确定需要多少张幻灯片来传达事件的进展。

我们建议在每个注入幻灯片上包含以下内容：

日期和时间戳 这些显示了特定注入的时间。

注入 在某些情况下，你可能希望一次性展示所有信息，而在其他场景中，你可能希望随着讨论的展开逐步揭示某些细节。如前所述，内容应该尽量简短，而不是一篇论文。

图像 虽然你并不总是需要图像来讲述故事，但图形通常可以传达细节。例如，对于基于勒索软件的场景，添加一张经过修改的来自实际勒索软件变种的勒索信可以让人眼前一亮。

可选的，并且对于初学者来说很有帮助，你可以在每个注入幻灯片后跟随预先编写的问题，以保持桌面练习的进度。请参阅下面框中的注入和预先编写的问题。

此示例要求参与者回答这些问题，同时详细说明与媒体沟通相关的其他响应努力。

如果您在幻灯片上包含预先准备好的问题，请始终将演示软件配置为一次只显示一个问题。如果同时显示多个问题，参与者可能会感到迷失或跳过他们认为更重要的问题。

根据听众的不同，预先准备的问题可能会扼杀讨论。在听到一个可接受的答案后，参与者可能会感到有必要等待下一个问题，而不是提出问题或关注点。鉴于这种可能性，最好的做法是，主持人避免在屏幕上显示预先准备的问题，而是口头提问。预先准备的问题可以保存在演示软件的备注部分，在呈现计算机屏幕的侧面显示。

我们将在第四章中讨论预先准备的问题及其使用方法。

汇报

在这最后阶段，将一两张幻灯片用于汇报。这可以是一个开放式讨论或一系列预先准备的问题。无论哪种方式，您都应该审查人员、流程和现有技术，以及组织是否具备处理练习中演练的事件所需的资源。第五章将更详细地介绍如何在桌面练习后最有效地进行汇报。

注意

请参阅附录，了解您可以在桌面练习中使用的几个示例成果。我们强烈建议根据您组织的需求修改这些内容，而不是直接使用。

邀请反馈

现在您即将完成桌面练习的开发，考虑从组织或行业同行那里征求反馈，例如参与场景设计过程的人员。他们可能会提供您尚未考虑到的探索途径，丰富练习内容。

记住，如果您与外部方共享任何组织信息，无论是政策文件还是 PowerPoint 演示文稿，您都需要遵守公司的信息披露流程。在将信息发送给外部方之前，请书面征得相关利益相关者的批准。对于某些组织来说，从不将信息分享给外部是不可接受的；而对于其他组织来说，与行业同行共进午餐并分享您的计划在获得许可的情况下是完全可以接受的。

摘要

一旦完成本章描述的步骤，您就应该拥有交付桌面练习所需的材料了。这意味着开发团队已经就相关且实际的场景达成一致，并通过注入将其分解为逻辑组件。

下一章将讨论在实际事件期间采用的促进策略。您就快成功了！

问题

在开发过程中，关键之处在于你将制定想法并逐步缩减它们，直到起草出你的情景。在开始这个过程之前，请在进入下一个阶段之前回答以下问题：

1. 你选择主题的过程是什么？一旦列出潜在的主题清单，你将如何将其缩减到最终选择？同样，选择最终场景的过程是什么？

2. 最终的情景是否真实，与组织和参与者相关，并且已经制定了以应对已知或潜在弱点的策略？

3. 是否有任何注入物专注于特定功能，比如法律？

4. 注入物（injects）是否具有期望的适当升级节奏？

5. 你打算如何鼓励参与桌面推演活动？

6. 在桌面推演活动之前进行教育性简报对参与者有价值吗？

7. 组织中谁可以审查故事板并提供关键反馈？你能请行业同行审查桌面推演材料吗？

第四章：4 促进成功的桌面演练

现在，准备工作已经完成，是时候进行桌面演练了。本章将带你扮演主持人的角色，并介绍一些策略，帮助确保你的活动富有成效。这些策略中有些是你可以遵循的指南，帮助你保持组织性，平衡作为主持人的责任；其他则是一些工具和技术的建议，旨在提高参与者的参与度并创造更互动的演练。

主持人的角色

如果你在主持桌面演练，你将承担引导参与者通过场景的挑战性角色，同时鼓励讨论。即使是经验丰富的主持人，有时也会觉得这是一个艰巨的任务。尽管每次桌面演练都有不同，但你应当限制自己只进行以下任务：

• 在需要时提供场景和注入内容的澄清

• 控制讨论，使小组能够全面探讨各个话题，同时确保他们不会浪费时间深入探讨与演练目标无关的内容

• 确定需要进一步讨论的评论和关切点

• 通过提出有针对性的问题，注入你自己的专业知识，以探索潜在的不足之处

• 记录主题和潜在的不足之处，以便在桌面演练后进行记录

• 跟踪时间并以适当的节奏推进场景

主持人类似于体育赛事中的裁判；你应当允许参与者讨论场景，仅在必要时才介入。

这意味着，首先，你必须避免主导对话。作为一个经验法则，你应当尽量保持自己发言时间不超过 30%。一些主持人错误地认为他们必须控制对话的所有方面；不幸的是，这种做法会抑制参与者之间的合作，并造成一个问题不易暴露的环境。

你还应该避免通过过度管理讨论来“引导证人”。虽然参与者有时可能需要你引导他们走向某个方向，但你通过提问让他们自己探索话题的方式要更有效。这一过程有助于促成更深入的对话。

不要害怕通过巧妙地挑战参与者来反驳答案的有效性。考虑以下示例：

主持人：你怎么知道威胁行为者访问系统的时间有多长？

网络管理员：我们通过查看日志可以知道这个情况。日志应该保存 60 天。

主持人：日志保留期是否有文档记录？

网络管理员：不是的。根据日志大小，这是我们保留日志的正常时间。日志一旦达到一定大小，就会自动覆盖。

主持人：如果服务器非常活跃，会发生什么情况？

网络管理员：日志可能只会保存几天。

在这次互动中，主持人的后续提问揭示了两个重要问题：（1）没有文档化的日志保留标准，（2）在现有的日志保留方案和非常活跃的服务器下，可能只有几天的日志可用。如果主持人没有对网络管理员的初步回答进行追问，这次演练就会错过这些重要的发现。然而，即使你在某些话题上非常专业，你也应该避免对每一个陈述进行挑战——你不想制造对抗氛围或显得自以为是。

最后，你必须始终以尊重和专业的态度行事，即使与会者说出一些几乎可以称为无能的话（并且其他参与者可能会意识到这一点）。在这种情况下，你必须以一种既不贬低或让他们尴尬，又能让他们意识到错误的方式做出回应。

桌面演练管理任务

主持过程可能非常耗费心力。你必须同时处理与会者的输入和问题，扫描小组成员的视觉提示，保持对场景的关注，确保关键点得到解决，维持一个得体且专注的对话，尊重场内权威人物的立场，并记录下任何需要在后续报告中解决的流程缺陷。

不用说，这个角色即使对最有条理的人来说也可能是一个挑战。本节中讨论的主持管理任务可以帮助你减少疲劳，集中注意力在讨论上。

指派记录员

减轻主持人负担的最简单方法之一，就是完全消除你的一项任务：追踪问题、缺陷和建议，最终这些内容将进入桌面演练后的报告中。你可以将这些任务分配给通常称为记录员的人。这个人不需要是信息安全或相关领域的专家；他们只需要熟悉演练场景，以便理解演练的背景、目标、目的和参与者的角色。

记录员的角色可以由一位较为初级的员工来担任，这样的员工可能比大多数员工有更轻松的日程安排，并且可以通过这一经历了解组织动态和网络安全。或者，记录员也可以是某个中层职能人员，他/她可能对桌面演练的结果有一定的利益关系。例如，一位风险管理专业人士可能会从观察事件响应过程并理解出现的问题中获益。

记录员必须在桌面演练前与你协调，提前了解需要跟踪的内容。在你主持活动时，你还应该有一种不引人注意的方式（例如，通过一个眼神或其他非语言手势）来示意记录员在何时记录一个重要的点。

除了做笔记，记录员还可以为你起草一份初步报告，供你审阅。我们将在第五章讨论报告。

添加共同主持人

另一个减轻主持人负担的方式是招募一位共同主持人。此人可以承担扫描观众提问或管理演示文稿软件等任务。通过提前商定分工，你们每个人的责任会减少。此外，其中一人可以在另一个人回答问题时休息一下，这样你们都能有机会短暂反思桌面演练的状态，考虑未来的问题方向，并有时间进行心理充电。

然而，选择一个兼容的共同主持人非常重要。兼容性有很多种形式，包括：

个性 共同主持桌面演练需要在整个演练过程中密切合作。选择一个你愿意和他一起喝咖啡的人（而不是一个你总是拿出手机找借口离开的人）。你们不需要是最好的朋友，但主持人之间应有一定程度的职场化学反应。

协调 确保你能在观众面前实时协调，这有助于确保在练习中你们之间的过渡尽可能自然和流畅。

主持风格 一些主持人的表达风格比较激进，而另一些则更加被动。避免混合不同的主持风格，这可能会让与会者在不同主持人提问时感到困惑。桌面演练不应该让与会者觉得自己在参与一场“好警察/坏警察”的游戏。

此外，拥有共同主持人可以带来不同的视角和专业知识。例如，你们中的一位可能在风险管理方面是专家，而另一位可能在网络安全方面有专长。这些互补的技能集可以为演练增值。

邀请嘉宾讲者

为了分担主持人的角色，你可以邀请嘉宾讲者在注入环节中介绍特定的事实。例如，如果高级桌面演练中的注入环节传达了 IT 安全团队的新一组事实（如确认敏感数据丢失），实际的 IT 安全经理可以进入房间向与会者简要通报。

嘉宾讲者应该像在真实事件中一样呈现事实。例如，IT 安全经理可以借此机会练习宣布新确认的技术信息。除了让桌面演练更加互动外，邀请嘉宾讲者的另一个好处是可以让参与者与可能会参与应对真实信息安全事件的人建立联系。然而，一定要事先向嘉宾讲者简要说明他们不应透露的内容，以免破坏未知信息或与场景细节相矛盾。

预写问题

一个常见的促进技巧是进入事件时，准备好几个问题来询问参与者。这是另一种在演练过程中更好地管理促进任务的方法。

在一些桌面演练中，参与者可能会积极参与，你可能会难以跟上他们提出的众多宝贵观点。每个注入点都有准备好的问题，可以帮助你避免记不住是否有一场富有成果的讨论涵盖了所有重要观点。另一方面，观众可能只给出简短的回答，并且参与度低，让你难以找到激发讨论的方法。在这种情况下，准备好的问题可以帮助你启动停滞的讨论。

预先编写的问题可以与特定的注入点相关，或者可以是通用的，任何时候都可以提问。然而，确保这些问题与演练的目标一致，并且适合参与者。例如，如果你旨在确定组织是否具备适当的工具来检测和应对网络安全事件，你的问题可能不应该集中在如何通知和更新高层领导关于泄露事件的情况。

你应该了解你所提问题的正确答案，理想情况下是基于正式的文档。例如，如果你问的问题涉及日志保留，你应该知道公司有一项政策要求某些日志必须保存 90 天。提问自己已知答案的问题，并不是为了抓住错误答案，而是为了帮助你制定相关的后续问题，并加深你对该主题的理解。

你可能希望与可信代理合作完成这项任务，因为他们可能会理解值得提问的问题以及正确答案。预先编写的问题示例包括：

• 根据你所知，你有哪些工具或日志可以确认已知事实？

• 根据提供的信息，这是一起网络安全事件吗？

• 根据这些新信息，是否需要通知其他相关方？

• 根据当前已知的事件事实，谁负责应对？

对于每一个问题，应该有文档提供正确答案（或至少是表面的指导）。

最后，如果你对主持桌面演练的前景感到紧张，预先编写的问题是一个有效的支撑工具。在管理其他众多演练管理任务时，你可能会在对话的间隙中感到卡住；在这种情况下，准备好一个问题可能会在那时起到神助攻的作用。 ### 演练工具和策略

有多种工具可以协助您进行桌面演练，从简单的白板和画架到实时在线投票软件应有尽有。当然，虽然存在一些新的、闪亮的工具，并不意味着它们适合观众，或者能够增强演练效果——也不意味着您一定知道如何使用它们。您必须熟练掌握所携带的任何辅助工具。实时桌面演练不是排除新技术故障或发现您未启用正确设置的时机（而这样做肯定会引来观众集体翻白眼）。

注意事项

本节中的一些建议涉及使用技术来帮助您进行演练。在使用之前，请确保该技术是允许的。例如，政策或业务实践是否允许您在公司笔记本电脑或平板电脑上加载某些软件或存储桌面数据？一些高度监管的环境禁止使用诸如远程演示平台之类的工具，因此提前了解任何限制至关重要。

写字板

您或您的记录员可以使用写字板（例如白板、纸质翻转图表或黑板）记录出现的要点。特别是在参与者在讨论中反复提及某个问题时，这会非常有帮助；您可以礼貌地指向写字板，提醒他们该问题已经讨论并记录过。

写字板还可以作为“停车场”，用于记录那些需要进一步探讨的问题或关切。与会者有时会提出一连串问题，您可以将这些问题写在板上，将其“停车”，直到您准备好处理它们。这让您能够掌控讨论的进度，同时也让与会者放心，他们的问题不会被遗忘。

如果会议室内没有写字板，您可以购买一个画架和翻转图表带到活动现场。如前所述，请确保在进行演练之前，了解房间的功能和局限性。

投票软件

增加互动元素是一种提高您主持的桌面演练参与度的策略。例如，使用投票软件是引导观众互动的好方法。投票软件允许您向参与者提出问题，参与者可以使用智能手机、平板电脑或笔记本电脑作答。随着参与者回答问题，回答可能会实时显示，或在预定的时间后，或者当您结束提交期时显示。

投票软件确实需要一些额外的协调，且大多数投票软件平台会收取一定的费用；然而，它们易于使用。一些在线演示平台内置了投票功能，省去了使用附加服务的需要。

以下是一些投票软件可能会有用的例子：

• 在一个旨在评估与会者是否遵循正确流程的练习中，你可以显示一个投票问题，询问某一组条件是否需要通知信息安全人员。这可以显示与会者是否采取了适当的行动。

• 通过提供一个自由格式的回答问题，你可以验证与会者是否给出了不同且冲突的回答。这将显示出流程上存在的不一致，并指出需要进一步的教育。

• 在桌面演练中记录投票问题有助于满足审计要求，并作为参与的证据。

使用投票软件的一个简单方法是在展示一组事实后提问。例如，图 4-1 显示了一个针对注入（inject）的投票问题，提问：“根据已知事实，以下情境是否会被视为网络安全事件？”观众可以访问给定的网址提交他们的答案。

图 4-1：注入 1 的投票问题

图 4-2 显示了在演示文稿中自动填充的结果，无论是实时填充还是当主持人选择时填充。这些结果帮助主持人探索观众的回答是否与组织政策一致，以及偏差背后的原因。

图 4-2：注入 1 投票的结果

投票软件还提供了提问的机会，可以要求比“是”或“否”更复杂的回答。例如，如果你在探讨参与者认为谁有权采取某些遏制措施，比如关闭关键网络段或断开互联网连接，强迫他们在调查中填写一个答案框可能会提供有趣的结果。如图 4-3 所示，针对一个投票问题的回答大多集中在两个名字（Jennifer 和 Taylor）上，但也包括了一些其他名字。这样的结果可能表明，组织需要更明确地界定谁有权采取特定的、可能是严峻的行动。

图 4-3：开放式投票的结果

使用投票软件的另一个好处是，它可以让你自动捕捉数据点，这些数据点可用于报告。自动记录这些答案节省了时间，并能提供支持你建议的详细信息。

虽然投票非常有帮助，但不要随意使用投票；它们应始终聚焦于特定的问题。

同时请记住，技术是一个变幻莫测的女王。实际的桌面演练不是发现你需要调整默认配置的时候。请像在桌面演练中一样排练使用投票软件。

远程演示软件

如果是远程主持桌面演练，你必须了解如何操作远程演示软件的每个功能。如果你是外部人员，但需要使用组织的工具，这一点尤为重要。操作软件不熟练会降低你的信誉，令那些花时间参加活动的人感到沮丧。

远程演示软件的功能差异很大，但可能包括：

• 创建分组房间的功能，将一组参与者隔离在各自的虚拟房间中，共同讨论某个特定话题，然后再回到主房间。

• 问答管理功能，例如让与会者在想提问时“举手”的功能。

• 屏幕上的白板，主持人可以用它记录问题和建议。

• 能够聚焦某个特定人物，如主持人，这样摄像头视角就不会不断地切换到正在讲话的人。

就像使用投票软件一样，你应该与多个同伴一起彻底测试所有功能。

在桌面演练开始时，建立虚拟协作的基本规则也很重要。与会者可能不了解某些功能，因此他们可能会从快速的功能介绍中受益。常见的基本规则包括：

• 要求与会者在提问前“举手”并获得确认。这可以避免多人同时试图发言。

• 要求所有与会者打开摄像头，这样他们就不能隐藏自己或专注于其他任务（如电子邮件）。请注意，这项规定可能与组织文化不符，因此如果你是外部主持人，应提前与组织确认此要求。此外，避免“摄像头羞辱”——我们都有过一天，最后想做的事情就是在同事面前出现在镜头前。

• 鼓励与会者在不发言时将麦克风静音，以消除不必要的干扰背景噪音。

• 创建一个使用聊天室提问、提供额外反馈或实现其他目的的框架。

提前向与会者传达这些基本规则，确保他们有充足的时间准备。在如今远程工作的时代，并非每个人都在配备了固定摄像头和高质量麦克风的办公桌前工作。提前沟通要求能帮助与会者规划合适的地点并以专业的方式参与。

联合主持人或记录员可以负责监控聊天室，留意举手的情况，并维护白板。尤其是在混合桌面演练中，使用这些功能可能会让人精神疲惫，因为你不仅需要关注桌面与会者，还需要关注远程沟通的人。

多媒体辅助工具

多媒体辅助工具，如短视频或音频剪辑，能够吸引观众注意力并打破幻灯片演示的单调。然而，这些工具必须与迄今为止演练中展示的信息相关。与会者不应在观看视频时感到困惑，不明白视频与场景的联系。以下是相关的多媒体辅助工具示例：

• 在涉及勒索软件的场景中，播放一段在被勒索软件影响的服务器上找到的音频文件。音频文件可以包含一个威胁角色的声音，清楚地表明必须在 48 小时内支付赎金，否则所有数据将被销毁。通过有声音与威胁者建立联系，可以增加一份真实感。

• 在为医院高层人员进行的桌面演练中，可以用一个新闻主播的视频来迎接与会者，视频中主播向观众通报医院发生了大规模的数据泄露事件，视频还展示了丢失的数据示例、医院外部的全景镜头，以及一位愤怒的患者的采访，患者因个人数据丢失而生气。

实施这些示例将需要额外的时间和资源。然而，它们将有助于避免冗长演示文稿的枯燥，显得更为专业，并创造更好的体验。

与会者任务与小组分组

尽管由于后勤限制，并非所有桌面演练都适合使用，指定某个职能执行任务却可能为事件增添活力。例如，如果负责媒体关系的员工表示事件发生后 15 分钟内会发布新闻稿，你可以要求他们去一个侧房间撰写声明。在远程演练中，分配任务也容易实现，因为大多数远程演示工具都有分组功能；通过几次点击鼠标，你就可以将某些与会者放入一个独立的会议室，设定时间。

然而，你必须小心确保这一行为不会让与会者感到尴尬，尤其是当他们没有准备好执行请求的任务时。你可不想抑制关系的建立。

录音设备与软件

一些主持人可能会想，是否应该录制桌面演练。在后疫情时代，录制变得更加容易，因为此时使用远程协作软件进行的演练更有可能可以录制会议，并通过点击一个按钮将其保存为可分享的文件。

然而，更多时候，录制会带来负面影响。它往往对桌面演练产生威慑作用，降低其效果。成功的桌面演练依赖于诚实、开放和直率的对话，而如果与会者担心被录音，给出错误答案或与组织规范背道而驰，他们就不太可能积极参与。

尽管有时确实存在录制桌面演练的正当理由（例如，如果记录员不可用，你想在最终报告中重新查看参与者的回答），但除非有明显的好处超过潜在的负面影响，否则通常不建议这样做。

充分利用演练空间

随着时间的推移，每个主持人都会学习到一些可以在桌面演练中使用的技巧，这些技巧有助于确保演练的成功。其中一些技巧包括如何规划使用空间，例如确定最佳的会议室座位安排，以及如何与团队成员进行沟通。

最大化会议室布局

一种经常被忽视的主持技巧是利用环境来促进对话。如果会议室中的桌子都面向前方，参与者的注意力将会集中在你这个主持人身上。这可能会适得其反，让参与者更不愿意与他人互动。

更好的布局是将桌子安排成 U 形（图 4-4 中的选项 1）。在这种布局中，参与者可以面对面坐着，观察彼此的肢体语言，并在进行眼神交流的同时向特定的参与者发表意见。这也使你可以轻松走入 U 形区域，并在讨论过程中与所有参与者保持紧密接触。

一些会议室由一张大型的圆形或矩形桌子组成，这类桌子无法拆分。在这种情况下，通常建议站在展示的演示文稿对面（图 4-4 中的选项 2），这样参与者就可以将注意力分配在房间的前方（展示演示文稿的地方）和后方（你所在的位置），确保不会有单一的焦点。这种布置也鼓励了参与者之间更多的互动。

图 4-4：可能的会议室布局

当然，存在各种其他可能的会议室布局。在演示之前，考虑一下哪种布局最能促进对话。此外，在选择桌面演练的位置时，确保你能够将桌子摆放成理想的布局。预定会议室却发现桌子布局不合适，开始演练时就感到很不方便。

通过走动提升参与度

最有吸引力的演讲者会在房间中走动。礼貌地走到某个参与者面前提问，比从房间前方与其讲话要更具亲和力。这种方式还提供了向特定人提问的机会。

有时，主持人可能无意中通过向观众发送不经意的信号，影响本应顺利进行的对话。例如，直接盯着一位与会者看时，可能会让他们觉得你希望他们尽快结束自己的发言。在这种情况下，可以暂时后退几步，身体上与与会者保持距离，直到对话结束。

避免站在讲台后。尽管讲台提供了电缆、麦克风、放置笔记本电脑的地方以及快速记下笔记的表面，但它们可能会通过在你和观众之间设置物理障碍，限制参与者的互动。无线演示遥控器可以让你在不必频繁返回讲台的情况下切换幻灯片和执行基本的演示任务。然而，如果你预计与会者需要远程连接，最好检查一下房间的视听设备，因为某些系统可能会迫使你一直待在单一的电话扬声器附近。

沟通技巧

本节概述了你可以用来进行高质量桌面演练的多种沟通策略。有些可能看起来像常识；然而在实际情境中，很容易忘记那些让活动成功的简单原则。

监控生理反应

对于一些主持人来说，桌面演练可能会非常紧张，增加呼吸频率、语速和出汗量。这些生理反应可能会分散与会者的注意力，因此你应当尽量缓解这些反应。在演练之前，回顾一下自己在演示时常出现的生理反应，并制定应对方案，以便它们出现时能够妥善应对。如果你感到特别紧张，有许多简单的方法可以帮助你缓解：

• 如果你处于一个逻辑性的中断点，可以宣布进行五分钟的休息，让与会者可以补充饮料、上洗手间或处理电子邮件。

• 请协同主持人负责下一个环节的引导。

• 尝试有意识地调节自己的呼吸。

• 向一位与会者提问，促使两位参与者之间展开简短对话，将注意力从你身上转移。

每个人对压力情境的反应方式不同。作为主持人，你需要意识到可能的反应，并能够在需要时迅速采取有效的缓解策略。

设置后备沟通渠道

在桌面演练之前，设置一个与信任的同事或高层赞助人沟通的后备通道会很有帮助，这样你们可以在观众看不见的情况下交换重要信息。

后台渠道通常最好保留给远程推进的桌面练习，这些可以包括一个侧面聊天室。在面对面练习期间，后台渠道更难实施但并非不可能；信任的代理人可以通过一个 strategically positioned 的手机给你发送一条简短消息。然而，你必须小心，不要让这分散你注意力或显得你在与房间里的其他人通信，这在某些情况下可能会尴尬。

后台渠道通常用于促使推进者探索一个主题。例如，如果你正在讨论数据备份方法，但尚未讨论备份是否经过测试（这是常见的业务连续性/灾难恢复失误），信任的代理人可以请求讨论这个话题。或者，后台渠道可以提供一个机会与执行赞助人联系，询问他们对练习的看法，并根据需要进行调整。

对于担任外部顾问的便于推进者来说，后台渠道尤为重要。缺乏机构知识，他们很容易忽略一个值得信赖的代理人会识别的关键问题。但对于一些推进者来说，额外的思维任务可能会减弱他们进行高质量练习的能力。

与高级与会者确认

桌面练习的参与者代表各个级别。休息时，与最高级别的与会者私下检查是明智的，以确保练习符合他们的期望。这种检查可能就像说：“我只是想确保这符合您的期望。我们是否应进一步探讨或确保解决某些问题？”这给了高级成员一个表达任何顾虑或得到保证将在未来的注射中解决问题的机会。还要与执行赞助人确认是否参加了桌面练习。

如果需要，检查可以让你纠正课程，并减少高级成员后来可能会抱怨活动的风险。（如果他们这样做，你可以礼貌地指出他们此前提供了积极的反馈。）这对于你作为公司外部人员尤其有帮助，因为外部供应商更有可能接收到批评。

管理对话主导者

一个与会者主导对话并关闭其他人并伤害练习并不罕见。这个人很可能并不是在卖弄自己。相反，他们的行为可能由多种因素造成，包括以下几点：

• 想要证明他们对每个问题都有答案的愿望

• 社交技能的缺乏

• 组织现有流程导致在网络安全事件中所有责任都落在一个人身上的事实

• 组织文化的倾向性，向一个人靠拢

作为引导者，您也可能无意中通过未向其他与会者提问，鼓励了某些人的行为。针对话题主导者的许多不同策略包括：

• 开玩笑地指出，尽管他们有所有的答案，但也很希望听听其他人的意见。然后向另一位与会者提问，问题不涉及主导员工的技能范围。

• 在休息时，私下但礼貌地请他们让其他与会者接手发言。您可以以一种考虑员工感受的方式来表达。例如，您可以说：“您显然知道在事件发生时该怎么做。我很希望我们能给其他人一个机会站出来。”

• 通过加入让他们无法联系的信息，人工地将他们从情境中移除。例如，可以宣布他们现在正在飞往与供应商见面的航班，接下来的两个情境无法与他们沟通。或者，展示一张潜水员的图片，然后告诉他们他们现在在度假。如果他们告诉你他们从不离开手机，你可以回应：“你现在正在加拉帕戈斯群岛潜水，你的手机已经很湿，无法使用。”

无论采用哪种策略，您都应以尊重和机智的方式处理这种情况。指出某人行为接近无礼，肯定会把他们以及其他与会者疏远。

建立人际联系

成功的桌面演练引导者能够在首次情境注入之前，与与会者建立起人际联系，使他们感到放松。与与会者建立关系是一项挑战。大多数关系都是通过共享经历来建立的；不幸的是，您可能只有 15 分钟时间，在与会者进入房间时与他们建立个人联系。无论是好是坏，您在这 15 分钟内给予他们的关注，可能决定了演练的成功与否。每个引导者都有自己的与参与者建立关系的策略。考虑以下几种方式：

• 讨论天气。听起来可能很无聊，但它是最普遍的话题之一，无论是上个月的热浪，还是即将到来的暴风雪。

• 讨论体育。很可能一些参与者会关注体育。评论昨晚的胜利、糟糕的赛季，或是参与者胸牌上的运动队徽章，都是吸引他们注意的有效方式。

• 提及当地文化。这可以包括地区活动，如在附近山脉远足或当地美食。例如，问一下巴尔的摩的桌面演练参与者，谁家的螃蟹饼最好吃，可能会引发热烈的讨论。

• 分享一些关于您家庭的细节。家庭、关系和育儿几乎是任何观众都能共鸣的话题。谈论一个关于孩子的有趣故事或父母的怪癖，几乎总是能促使其他人分享类似的故事。

• 讨论共同的工作问题。当遇到从事某个角色的人时，讨论一个影响你们俩工作的议题。例如，金融专业人士可能像你一样关注快速变化的网络保险市场。

• 提到网络安全新闻。最新的网络安全头条或零日漏洞是一个很容易引起兴趣的话题。

与参与者进行简短、友好的对话，可以让他们放松，更有可能参与到演练中。

不要讨论可能引起争议的话题，比如组织内部管理现状、政治、外交政策或宗教。这些潜在的极化话题是雷区，很容易冒犯与会者，并使演练开始时就处于不利位置。

考虑问题结构

其中一个主持人的目标是鼓励对话。为了做到这一点，你必须注意如何构建你问与会者的问题。要求简短的或是“是”或“不是”回答的问题不太可能激发讨论。考虑以下三个常见于网络安全桌面演练中的问题，以及你如何重新格式化它们以促进更大的观众互动：

问题 1

• 原始格式： 关闭本地网络是否可接受？

• 修改格式： 在什么条件下，关闭本地网络才是可接受的？

原始格式可能会引导与会者给出“是”或“不是”的回答，这样的回答不会引发太多讨论。修改后的问题假设在某个时刻关闭本地网络是可接受的；要作出回应，参与者必须思考影响这一决定的条件。

问题 2

• 原始格式： 这是个人可识别信息吗？

• 修改格式： 什么是个人可识别信息？这算不算？

修改后的格式提出了一个复合问题，以促进讨论什么构成个人可识别信息。

问题 3

• 原始格式： 首席信息安全官（CISO）需要知道吗？

• 修改格式： 要让首席信息安全官（CISO）获知此事，需要发生什么情况？他们需要在半夜被叫醒吗？

在原始格式中，如果注入的信息传达了一组足够严重的事实，所有与会者可能都会点头同意，认为需要通知 CISO。在修改后的格式中，与会者需要思考在什么条件下必须通知 CISO，并根据紧急程度，判断这些条件是否足够严重，需要在半夜叫醒一位高级员工。

问题也可以人为地在两位与会者之间创造讨论。例如，如果你希望两位员工——例如来自信息技术团队的 Bob 和来自人力资源团队的 Luz——互动，你可能会问：“Bob，如果在事件发生时你发现某个员工使用个人电子邮件交换公司敏感信息，而这显然违反了公司政策，你会面对面地与该员工沟通吗？Luz，作为人力资源的负责人，你在这种情况下的角色是什么？是否有明确的流程？当员工被对质时，你希望在场吗？”

当然，提问生成简短回答的时机和场合是存在的。然而，结构良好的问题能够创造一个更加互动的桌面演练。

注意非语言交流

在他们的著作《非语言交流》（Routledge，2022）中，Burgoon、Manusov 和 Guerrero 指出：“非语言信号几乎渗透到每一个沟通行为中。”非语言交流可以包括面部表情、眼神接触、距离、姿势和其他无声信号。

在进行桌面演练时，认真思考你的非语言交流，无论是向个人或一组与会者提问时保持眼神接触，还是在指出重要的流程缺陷时使用关怀的语气，或是通过微笑传达友好的姿态。考虑以下这些非语言交流的例子，以及它们如何促进桌面演练中的讨论：

• 你可能注意到组织中某个通讯团队的成员显得较为 disengaged（不参与）。你不想公开点名批评他们，所以你转向提问整个小组的问题，但特别与这位 disengaged 的与会者进行眼神交流并给予友好的微笑。

• 信息安全团队的成员提出了一个特别突出的问题，你认为这将成为一个关键的建议。你非常有意识地向前倾身，皱起眉头，并与信息安全团队成员进行眼神交流，以传达你对这个问题的关注。你没有说一句话，却已向其他与会者表明了这个问题的重要性。

• 一位与会者对识别出的流程缺陷表达了沮丧之情。你将手掌放在脸上并轻微呻吟。员工意识到你理解他们的痛苦后，继续提供信息。

经验丰富的主持人使用多种非语言交流技巧来更好地吸引观众，并提供更有效的桌面演练。

练习文化意识

在一个全球化的工作环境中，你可能会与遍布全球的参与者一起进行桌面演练。公司的开发团队可能在澳大利亚，制造部门在肯尼亚，电商团队在越南。每个团队遵循不同的文化规范，这些规范可能会影响桌面演练。如果你不了解这些规范，可能会发表冒犯性言论，导致与会者疏远，甚至引发愤怒回应。文化规范违规的例子包括：

• 未能尊重与会者的等级制度，且未能首先介绍最高级别的成员。

• 在一个批评较为稀缺的环境中批评与会者的回应，这可能会让他们在同伴面前感到尴尬。

• 发表关于政府或政治哲学的言论，可能被视为攻击某个文化。

• 对基于民族主义或宗教的冲突没有意识，显得不合时宜。

在桌面演练前，了解每位与会者的物理位置，并研究基本的商业和文化规范。一般来说，如果你不确定某个陈述是否可能被视为不敏感，请避免该话题。

提前识别敏感话题

在每个组织中，某些事件或话题在交谈时是敏感的。尤其是外部顾问，可能不了解相关的背景。此类“雷区”的例子包括：

• 讨论安全运营中心案件管理系统的不足之处，而大家已经心知肚明（且感到沮丧），这个系统一直是彻底且持续的失败。

• 在讨论内部威胁时提起组织最近经历的突如其来的裁员过程。

在桌面演练之前，向执行赞助人或其他联系人询问需要避免的话题。记住，提问尖锐问题和提问显示出缺乏意识或敏感性的问题是有区别的。但如果有疑虑，可以考虑避免某些讨论话题。

摘要

进行桌面演练不仅仅是启动一个演示并希望事情顺利进行。成功的桌面演练主持人会使用一系列工具和技巧，如本章所讨论的，以精心设计一个有效的环节。

在成功主持完演练后，你可能会觉得已经完成任务，但实际上还有很多后续步骤需要完成。这些步骤在下一章中将被讨论，它们是桌面演练中最重要的部分，因为它们将结果制度化，并为组织提供在事件后进行改进的依据。

问题

在主持过程之前考虑以下问题，以确保活动顺利进行，并减轻作为主持人的一些负担：

1. 谁将在练习期间做笔记？是否可以指定一个专职记录员？记录员的具体任务是什么？

2. 你会提前准备问题吗？

3. 你会使用任何辅助设施，比如白板、投票软件或画架吗？如果练习是面对面的，设施已经提供了哪些辅助设施？练习前你需要采购什么？如果练习是远程进行的，你将利用哪些工具？

4. 虽然通常不建议这样做，你会录制桌面练习吗？如果是的话，录制的好处是否超过对与会者的影响？

5. 是否应该与某些与会者建立通信后渠道，比如执行赞助人？你将如何与他们沟通，以避免分散与会者注意力或忽视其他主持任务？

6. 会议室的布置将如何安排？你能在练习前对其进行更改吗？

7. 如果你对演讲感到紧张，你将采用哪些技巧来控制生理反应（如讲话过快）？

8. 开发团队是否预期会有任何与会者主导讨论？你可以采取哪些策略来减少这种情况的发生？

9. 你可以使用什么策略在桌面练习前与与会者建立联系？是否为见面和问候预留了时间？

10. 需要注意的独特文化细微差别有哪些？

第五章：5 基于您所学的行动：评估和下一步

最重要的工作发生在演练结束后的评估阶段。在这个阶段，您将识别并记录组织应当解决的任何问题。如果没有后续的跟进，桌面演练的价值可能大打折扣。

演练结束后，您需要制定计划收集反馈，编写报告，并确定组织的下一步行动。本章将引导您完成这一过程，并提出在进行这些活动时需要考虑的各种要点。

评估要求和限制

在规划具体的评估活动之前，开发团队应对任何要求或限制进行盘点。评估要求可能来自外部监管机构（例如州保险委员会）或是合同性要求（例如与供应商或外部方的协议）。例如，组织的网络保险承保方可能会要求，为了维持保险覆盖或获得优惠的保费，组织必须每年进行一次桌面演练，并通过报告记录该演练，报告内容应包括场景大纲、参与者以及关键建议。或者，组织的风险管理团队可能要求开发团队创建一份报告，列出已识别的建议、相关利益方及负责解决任何问题的方。

开发团队还需要意识到评估过程中可能存在的任何法律限制。例如，法律团队可能会对某些信息是否应以书面形式记录表示保留。如果在网络安全事件中敏感数据被窃取，而有一份书面文件提到这一数据被盗的高可能性，这可能会带来法律风险。出于这个原因（以及其他原因），开发团队在创建任何文档之前，应与组织的法律资源进行沟通，了解任何要求或限制。

选择评估员

在桌面演练之前，开发团队应该选定一名人员负责监督评估阶段，并确定要在报告中包含的建议。这个评估人员应该了解各种组织职能，因为活动可能会暴露出跨多个角色的短板。例如，表 5-1 列出了单次网络安全桌面演练可能揭示的潜在问题，以及最有可能负责解决这些问题的团队。

表 5-1：已识别问题和响应团队

问题	响应团队
在勒索病毒事件中缺乏对合规义务的理解	财务，法律
认识到攻击者可能利用多个设施的安全程序松懈之处	物理安全，风险管理
关于组织如何与客户和供应商沟通公共网络安全事件的流程不明确	通讯，法律

在许多桌面演练中，开发团队的成员，如开发负责人或主持人，通常充当评估者。

注

本章假设主持人也同时担任评估者角色，因为这种情况最为常见。

在有资源支持的组织中，风险管理或审计团队的成员可以担任这一角色。风险管理通常负责识别和解决整个组织的风险，因此它是进行评估的合理选择，因为每个发现都是一个可能影响公司应对网络安全事件能力的风险。审计也是另一个合理的选择：某些发现可能会揭示出偏离政策的情况（或缺乏已建立的政策），这些问题需要得到解决。

不幸的是，资源有限的组织可能无法增加额外人员，或可能缺乏风险管理和审计角色。

评估方法

本节描述了几种常见的评估方法。然而，每个组织都有其自身的目标和目的，因此在确定使用哪些方法时，务必考虑到这些目标。

理想情况下，评估者应在桌面演练开始时呈现这些活动的路线图，以便与会者了解他们的意见将如何被使用，以及整体评估过程将是什么样的。

进行汇报

在桌面演练结束后，评估者应进行两阶段的汇报：首先，从与会者收集反馈，其次，从特定利益相关者收集反馈，例如执行赞助人或最高级别的参与者。虽然评估者稍后会再次向与会者请求额外的反馈，但在演练结束时立即征求反馈，可以让参与者在演练仍新鲜的情况下表达他们的想法。

在汇报的第一阶段，为桌面演练结束时留出大约 15 分钟的时间，进行关于演练中讨论的建议的开放讨论。如果与会者感到疲倦并且没有积极发言，评估者可以回顾演练中出现的一些问题，然后要求他们确认这些问题是否确实有效。这是检查评估者最初观察是否合适的一种方式，确保其能够进入报告中。

第二阶段——即主持人与执行赞助人、高级参与者和其他重要参与者会面——是从更小且更具选择性的参与者群体中收集额外反馈的机会。这对于外部主持人尤为重要，因为它提供了一个更为私密的反馈环境，而这些反馈可能并不适合所有参与者。

在这两个阶段中，主持人有机会为参与者的利益发声。例如，如果讨论中揭示出组织没有保留关键日志超过 10 天，而某个参与者一直提倡增加资金以延长日志保留时间，主持人可以在最终报告中加强这一建议。或者，如果员工反复表示他们缺乏培训，无法更好地应对网络安全事件，主持人可以倡导提供更多培训。

发送调查问卷

在桌面演练后的 24 小时内——当参与者有时间反思事件，但仍然记忆犹新——通过电子邮件向他们发送调查问卷。该调查的目的部分是获取关于主持人和格式的效果数据，部分是收集参与者未分享的想法，这些想法可能因为时间不足或他们不愿意分享而未被表达。调查应允许与会者提供额外的评论，且完成时间不超过五分钟。它还可以匿名反馈，以获取更真诚的意见。

以下框中包括了我们在演练中使用的调查问题示例。欲查看其他示例，请参阅 NIST SP 800-84 中的示例评估表，IT 计划与能力测试、培训和演练指南（https://csrc.nist.gov/publications/detail/sp/800-84/final）。

为了鼓励更高的回应率，执行赞助人可以是发送调查的主体。或者，你也可以在演练结束时提供纸质调查问卷，但在那个时候，参与者可能会感到疲惫，且不太可能提供高质量的反馈。现场填写调查问卷会失去一定的匿名性，这在收集潜在的批评性反馈时可能会产生负面影响。

报告惯例

报告提供了桌面演练发生的证明。它可以帮助组织满足合规性要求，或记录在演练过程中识别出的缺陷或问题。本节概述了你可能创建的两种报告类型：完成声明和完整报告。

由于这些报告可能会被从信息安全经理到董事会成员的广泛受众审阅，因此必须展现出高度的专业性。为了生成这些报告，开发团队应与执行赞助人和法律顾问咨询。报告应完全基于演练中得出的事实。如果合适，它们可以包含与会者的直接引用，并附有基于最佳标准的建议。

尽管极为罕见，组织偶尔会因预算或时间限制，或避免以书面形式记录桌面演练活动而选择不进行报告。然而，报告的好处远大于可能的负面影响。即使是最非正式的演练也会从一份简短的完成声明中受益（如下所述），因此我们不建议跳过这一环节。

完成声明

组织可能会创建一份简要的文档来纪念桌面演练，通常称为完成声明。该文档不过是基本事实的概要，包括：

• 演练的日期、地点和持续时间等后勤信息

• 与会人员及其职称名单

• 对所讨论情景的简要描述

• 一份总结，表明桌面演练已完成

该文档通常不超过两页，作为桌面演练已执行的证明，以备供应商、网络保险承保人或其他相关方请求此类文档时使用。

请注意，完成声明中没有包括任何来自桌面演练的观察——无论是积极的还是消极的——这通常是故意的：组织可能不希望将其不足之处记录下来，以便外部相关方查看并引发担忧。

一些组织会制作两份报告：一份是完成声明，另一份是提供更多细节的传统报告，这些细节可能受到法律和信息共享限制。这允许组织通过完成声明向外部方证明桌面演练已经进行，同时也为内部提供建议和其他意见（在详细的保护报告中）。

附录提供了一个完成声明的示例。

完整报告

大多数桌面演练会生成一份完整报告，提供你所进行演练的详细描述。除了完成声明中包含的项目外，这份综合报告通常还包括：

• 执行摘要

• 情景的描述，包括对情景注入项的细分

• 已识别的具体缺陷及其对应的影响和建议

如果评估员有资格并且组织要求，您可以包含评估员的意见，说明组织是否准备好应对像演练中探讨的情景。然而，这一意见应建立在坚实的基础上，并且对于读者而言是毫无疑问的。

虽然桌面演练报告的长度根据情景的复杂性、注入项的数量以及建议的数量有所不同，但通常为 5 到 10 页。读者应能够快速理解任何已识别的缺陷，因此将每个缺陷分解为三个子部分：发现与观察、影响和建议会很有帮助。

发现与观察

报告应包含具体的发现和观察。这些内容可能来自评估者，也可能来自其他参与桌面演练的人员，包括执行赞助人、记录员和观察者。然而，评估者应该是报告内容的最终裁定者。

发现是指在桌面演练中发生的任何意外事件。例如，根据组织的文档，开发团队可能预期与会者在传达一组事实时通知法务团队；然而，这在演练过程中并未发生。在这种情况下，发现就是与会者偏离了已记录的流程。

观察是关于那些引发深入讨论或未被充分探讨的话题的更广泛的笔记。例如，一项观察可能是与会者不确定是否需要根据一组已知事实通知特定供应商。尽管他们最终选择不通知供应商，这一决定与组织的流程一致，但评估者可能认为这个问题需要进一步的审查。

你应该明确每一项发现和观察是如何被纳入报告的。换句话说，要提供有关该问题在讨论中是如何浮现的背景。例如，如果报告中包含了一项发现，说明组织仅将网络日志保存了 30 天，而根据政策要求应保存 90 天，那么在报告中记录这个问题是如何在关于组织是否能够与关键供应商调查合同要求的讨论中出现的，会更有帮助。

作为评估者，你必须做好准备，应对他人对报告中陈述事实的质疑。为了避免这种情况，你必须确保所有的发现和观察都完全准确，并且基于事实。你可以使用来自演练的直接引用来强化你的观点。此外，由于某些发现和观察可能涉及到高度技术性或复杂的过程，你应该与主题专家进行讨论，以确保术语、过程和行话能够准确地呈现出真实情况。

最后，发现和观察的子章节应该只包含直接来源于桌面演练的内容。要小心避免将其与影响或建议的子章节合并。

影响

在每一项发现或观察之后，报告应该明确阐明其影响。影响传达了突出该项目在报告中的重要性。

如果可能，评估员应当识别出对组织可能造成的最大业务影响。例如，如果由于网络安全事件导致网络瘫痪，进而影响了一个产品订购系统以及用于物理安全的自动徽章访问读卡器，那么最大业务影响很可能是由于产品订购系统无法在线而造成的收入损失。然而，评估员应避免对某一问题的影响做出不切实际的夸大声明；所有陈述都应当基于现实。

建议

建议是解决特定问题的简短提案。通常，建议会在桌面演练过程中随着与会者集思广益，寻找解决短板的方法而出现。然而，通常并不是引导者的职责在演练过程中发现解决方案，评估员应该考虑与会者提出的想法是否能够恰当地解决问题。

建议不需要解决问题的每一个方面。例如，它不需要考虑预算问题、技术限制，或对其他问题的深入探讨；这些可以留到以后再处理。然而，建议需要是现实可行的。如果可能，建议还应当基于标准。引用标准（例如，NIST 800-61r2）会增强论点的分量。

后续活动

利用在演练过程中所学到的信息以及建立的关系，组织可以做出很多变化。本节重点介绍演练结束后可能进行的许多后续活动。其中一些活动相对较快，而另一些则是更大范围努力的一部分。

评估事件响应计划

聚焦于网络安全问题的桌面演练无疑与组织的事件响应计划密切相关，这也是更新该计划的最佳时机。利用桌面演练报告，相关方应当会面讨论计划的适用性。

在桌面演练之前，开发团队应当确定具体的负责人来维护事件响应计划。虽然标准规定事件响应计划应当有一个负责人，但不幸的是，计划的负责人常常被定义为“信息安全”或“风险管理”，这会稀释责任。开发团队可以在制定场景时与计划负责人合作，如果负责人还没有参与角色，也可以邀请其作为被动参与者参与演练。

理想情况下，组织的事件响应计划应该有一个预定的更新间隔期，例如每年更新两次，并根据需要进行临时更新。桌面演练中的发现可以纳入下次审查过程中；如果下一次更新的间隔期很长，或者出现了关键事项，那么进行临时更新可能是合适的。

更新事故响应计划并不总是困难的。桌面演练可能会发现一些小弱点，例如联系人列表中没有包括关键供应商的电话号码，或者责任分配不明确。这些通常是可以快速修复的。但如果出现了重要问题，例如不确定事故响应团队是否能够关闭一个产生收入的应用程序，那么更新可能需要多方利益相关者的参与。

目录和更新其他文档及流程

桌面演练很可能会涉及除事故响应计划之外的其他文档。这可能包括正式的政策、流程、标准、技术手册和网络图，或者像维基页面和内部网站这样的非正式文档。

演练后，评估者应列出可能需要更新的任何文档，以及需要新文档填补的空白。虽然更新每个在桌面演练中提到的文档并不是评估者的责任，但任何涉及流程的所有者应当被通知这些问题，以便他们在下一个更新周期中加以解决。

桌面演练的发现可能与其他业务流程相关，例如业务连续性或风险管理流程。例如，如果一家医疗公司确定涉及特定系统的安全事件有可能出乎意料地阻碍流感疫苗的分发（在流感季节这是一个潜在的严重问题），那么该发现与该组织的业务影响评估相关。你应当将发现的信息传达给这些受影响的相关方，从而增加演练的价值。

进行后续桌面演练

根据演练中发现的不足，解决方案可能仅仅涉及几封电子邮件，或者可能需要几个月的会议和艰苦的工作。一旦不足之处得到解决，进行一个专注于已修复问题的桌面演练可能是有意义的。进行后续桌面演练有几个好处：

• 它验证了已实施的缓解策略是否有效。

• 它触发了新报告的创建，报告中可以记录已识别的不足是否得到解决。

• 它展示了对改进的承诺和解决不足的愿望。

后续演练的场景不需要完全重复原始场景。它可以有所偏离，只要它解决了原始演练报告中识别的不足之处。

实施正式的桌面演练计划

如果尚未存在，开发团队和执行赞助人还可以为后续事件制定框架。每季度或每年进行一次的桌面演练可能不需要大量的计划，因为每次新事件都可以按照可重复的公式执行。例如，可以在组织的事件响应计划中定义这一桌面演练计划，并将计划的更新周期安排在桌面演练之后。

定期进行桌面演练向员工传达了事件响应准备工作对于组织领导层的重要性。桌面演练是对组织最宝贵资源之一的投资：员工的时间。当桌面演练定期举行时，参与的员工可以亲眼看到管理层在减少网络安全事件风险方面的承诺。

如果组织已经定义了正式的桌面演练计划，它应该能够在几天的通知内进行演练（如果需要的话）。考虑到网络安全威胁态势可能因地缘政治事件、新的技术漏洞或最近通过的立法而在几小时或几天内发生变化，这一点尤为重要。组织在应对这些威胁态势变化时通常处于追赶状态，而桌面演练则是评估在面对新威胁时准备情况的一种方法。尽管在重大事件期间细节可能匮乏，但快速的桌面演练可以召集关键利益相关者，基于已知信息讨论事件的影响，并向领导层传达情况正在得到应有的重视。

最后，正式化的桌面演练计划向外部利益相关者表明，准备应对网络安全事件是其信息安全姿态的重要组成部分。外部利益相关者越来越重视评估与组织建立业务关系的网络安全风险。例如，网络保险承销商会提出问题来评估网络安全风险，并确定最合适的保险费用。通过向相关方展示已记录的桌面演练计划，组织证明它正在认真对待网络安全，并努力降低风险。

沟通高层演练结果

领导层越来越关注网络安全威胁所带来的风险。在桌面演练之后，并且仅在执行赞助人的批准下，可以考虑通知领导层演练结果的过程，并向他们简要介绍演练发现。执行赞助人可以提供有关适当论坛和信息传递的指导。执行赞助人也可能是通知领导层的最合适人选，因为他们最可能获得领导层的信任，并且最清楚需要传达的细节。

通知领导层的最佳方式从简单的电子邮件到演示文稿不等。鉴于桌面演习很可能揭示出组织的不足，在远程或面对面的会议中及时填补这些不足，可以当场回答问题，而不是跟进冗长的邮件。除此之外，这些宝贵的对话也可能影响未来的桌面演习。

也许分享一些关于桌面演习的信息也是明智的——例如，它发生了、主题和高级别的发现——可以与组织的员工分享。通过定期安排的活动，如季度全员大会，传达这些信息，有助于再次强调为网络安全事件做准备对组织的重要性。选择性地分享一些已识别的不足和已采取的补救措施，也将展示组织在桌面演习后所做出的改进。务必确保与内部沟通过程相结合，并与领导层和执行赞助人协商。最重要的是，不要推卸责任。

最后，如果风险管理或审计团队成员未能参加桌面演习，你可能希望在获得执行赞助人许可后，向他们提供报告副本。理想情况下，报告将展示演习的价值，并鼓励这些团队参与未来的活动。

识别和分析趋势

一旦一个组织进行过几次桌面演习，它应该拥有有关众多不足和建议的文档，这为其提供了寻找跨情景趋势的机会。例如，假设 10 次演习中有 7 次提到参与者在网络安全事件中对自己的职责感到困惑；这个趋势可能指出一个需要解决的系统性问题。因为很容易在桌面演习后仅关注一份报告，所以容易忽视整体情况。将报告一起审视可能会揭示关键信息。

总结

桌面演习最有价值的好处之一往往是在最后一名与会者离开房间后出现。通过记录演习结果，组织可以优先处理行动项目，与利益相关者沟通发现，跟踪改进，并最大化活动的价值。

问题

你应该提前了解如何评估桌面演习的成功。考虑以下问题，以决定当活动结束后，组织如何进行改进。

1. 你的评估要求是什么？业务合作伙伴、保险提供商或其他相关方是否需要报告？

2. 是否有报告限制？

3. 你将创建什么类型的报告？

4. 谁将被指定为评估者（负责监督报告的人）？

5. 是否有人被指派处理缺陷，例如审计或风险管理团队的成员？

6. 参与者将如何在桌面演习结束后及随后的几天内提供反馈？

7. 您将如何与领导分享结果？

第二部分 示例场景

接下来的三章概述了多个桌面演练场景示例，你可以根据自己组织的需求进行个性化调整。对于每个示例，我们将提供一个包含插入点和讨论问题的故事板。请记住，这些仅作为你桌面演练的灵感来源；你应该根据需要调整这些场景，以适应你的环境以及演练的目标和目的。

第六章：6 吸引技术观众

在本章中，我们专注于旨在吸引和挑战技术观众的练习，例如信息技术和信息安全人员。根据组织的不同，参与者可能包括来自安全运营中心和帮助台的团队成员、数据库和网络管理员以及相关的技术管理人员等。由于本章中的例子比第七章和第八章中的例子更具技术性，因此您需要对组织的技术细节做出重大调整。

通常，技术演练过程中讨论的重点应放在人、流程和技术上，以应对给定的场景，特别强调在网络安全事件中需要解决的技术问题。然而，演练不应忽视技术是为了推动业务发展。如果制定的场景会引起业务领导的一致反应：“那又怎样？”，那么可能表明该演练未与组织的需求对接。

一场广泛的网络钓鱼活动

组织通常希望评估其应对大型网络钓鱼活动的能力，在这些活动中，多个用户点击恶意链接或以有害的方式与可疑电子邮件互动。

本场景的受众应包括来自帮助台、信息技术和信息安全团队的技术人员，以及电子邮件管理员（如果不属于前述职能之一）。同时，明智的做法是让团队领导的某些成员参与进来，因为此场景可能需要做出影响业务的高级决策。

场景

本次桌面演练展示了对去中心化组织的基本网络钓鱼攻击，并包括对环境的主动利用。主动利用表明攻击者当前已进入环境。由于网络钓鱼是一种常见威胁，您可以根据参与者的经验，简化或扩展以下故事板。

在场景介绍中，西南卡车销售公司巴吞鲁日地点的经理（该公司销售大型商用车辆）致电帮助台并表示：“我想我犯了个错误。我收到了 CEO 关于年度奖金和绩效奖金的电子邮件。我下载了附件，但文件是空白的。我需要帮助访问这个文件。”

• 帮助台将如何处理类似的电话？

• 帮助台是否经过培训以识别潜在的网络钓鱼攻击？

• 帮助台应该要求来电者执行哪些立即的技术步骤？这些步骤在这种情况下是否足够？

• 根据单一报告，应该将此问题上报给谁（如果有的话）？

注入 1

在调查经理系统时，服务台接到了来自其他西南卡车销售公司地点的额外电话，报告 CEO 关于奖金的可疑电子邮件。一些用户报告已打开附件中的文件。

• 如果最终用户遇到钓鱼邮件，他们被培训执行哪些步骤？在此场景中，这些步骤是否足够？

• 这些步骤对用户友好吗？是否要求最终用户致电服务台，还是有其他报告问题的方式？

• 这个场景现在是被归类为事件还是事故？

• 如果是一起事件，当前的严重性级别是什么？

• 是否需要通知其他相关方有关此问题的详细信息？

• 服务台是否会联合调查各种工单，还是其团队成员将分别操作？

• 在此时，谁负责监督调查？

• 电子邮件是否可以被信息安全人员恢复并检查？谁将执行这些任务？

注入 2

信息技术部门调查问题并发现该电子邮件已发送给超过 25%的西南卡车销售公司员工。看起来至少有 36 名来自 6 个地点的用户打开了电子邮件，但是否这些员工打开了附件尚不清楚。

• 组织如何调查是谁打开了附件？组织是否能快速做出这一判断？

• 组织是否能够查询信息技术基础设施中的系统，寻找文件的证据，例如文件名或哈希值？

• 是否可以确定该文件在打开时做了什么（如果有的话），以及它包含什么内容？

• 信息技术部门是否可以从收件箱中提取电子邮件，以便其他员工不会打开它并可能点击或下载附件？

• 由于西南卡车销售公司有多个分布在广泛地域的地点，信息技术团队是否有能力实时检查系统数据？如果需要，信息技术团队是否可以捕捉数据集（如 RAM 或日志）？

• 信息安全部门是否具备分析电子邮件和附件所需的技能？是否需要外部供应商提供分析？如果需要，如何与他们合作？

注入 3

信息安全部门调查附件。打开后，受害者被要求输入其域用户名和密码，以访问恶意文档的敏感内容。一旦输入凭据，文档打开并似乎是空白的。信息安全部门确认，在用户输入凭据后，PowerShell 脚本运行并下载额外的文件到系统中。

在分析过程中，信息安全团队识别出了妥协指示（IoC），包括注册表更改、特定文件的 MD5 哈希值以及被妥协系统尝试联系的 IP 地址。

• 如何处理受损的用户凭据和受影响的系统？

• 除了 PowerShell 脚本外，是否还有其他信息源可以用来确定是否有其他用户受到影响？

• PowerShell 脚本是否会触发组织安全工具的任何警报？

• 是否可以查询环境中剩余的系统，以确定哪些系统包含恶意文件？注册表更改、MD5 哈希值和 IP 地址是否已记录在任何系统或网络日志中？

注入 4

调查显示，至少有 23 台系统在 5 个地点包含恶意文件。这些系统属于多个用户，包括财务、人力资源和管理部门的员工。此外，有一名特权 IT 管理员（具有域管理员凭证访问权限）也受到影响。一些用户报告称，在提示时输入了凭证，但其他用户不记得他们具体采取了哪些操作。特权 IT 管理员认为自己输入了凭证，但并不完全确定。

• 组织将如何处理点击附件的用户帐户？

• 是否可以确定域凭证是否已被泄露？如果泄露，它们是否可能被组织外部的人员使用？

• 是否应该将此事件升级到组织中的其他职位？另外，正确的人是否仍在领导响应工作？

• 应该收集哪些其他证据？响应团队如何确保它们得到妥善处理？

• 是否有一个过程，可以因可能的域管理员帐户泄露而更改组织内所有用户帐户的密码，包括域管理员和服务帐户的密码？该过程是否能在短时间内执行（几个小时内）？是否会影响业务运作？

• 上次测试或执行全球密码重置是什么时候？

• 现有的网络日志是否记录了来自这些系统的活动？

注入 5

技术人员已经重置了组织中的凭证。他们重新安装了受影响的系统，并正在重建它们。根据网络日志，似乎没有发生进一步的横向移动（即，在网络其他部分的传播）。

• 组织是否应该考虑实施从远程/VPN 访问的多因素认证，以降低未来此类攻击的风险？对于任何管理员访问权限又如何？

• 事件后，监控系统和环境以防止再感染的过程是什么？

• 是否有系统和网络日志可以检查，以识别内部横向移动或其他异常使用可疑的被泄露凭证的情况？

• 事件发生后，应该通知谁（如果有人）？

• 此事件是否需要正式的经验教训总结过程？

可能的修改

为了调整情境，考虑进行以下修改：

• 该电子邮件来源于组织内一个合法的电子邮件地址。

• 该电子邮件来自合法的合作伙伴、供应商或其他重要的外部关系。

• 发生横向移动，并访问了一个关键应用服务器。

• 钓鱼邮件未被报告。

• 该电子邮件包含一个链接，而不是文件附件。点击该链接可能会导致转向伪造的网站、文件下载或其他恶意网站。

• 问题广泛存在；例如，在全球组织中，三分之三的全球站点受到影响。

• 威胁行为者进入网络并长时间未被察觉。

• 特定日志要么可用，要么不可用，这对调查有影响。

影响文件服务器的勒索软件（技术版本）

截至目前，勒索软件持续困扰全球组织，并且是大多数组织面临的首要威胁。在桌面推演中使用这种场景时，通常会演变成关于如何最好地控制传播、组织备份的有效性以及公司是否有能力恢复环境的长时间讨论。

尽管勒索软件场景可以关注事件的技术和非技术方面，但我们在此讨论的特定情景侧重于技术方面。其他讨论途径，如何涉及网络安全保险提供者以及是否支付赎金等问题，可能会出现，但不应在技术演习中深入讨论。而是将它们保留给执行层级的勒索软件桌面推演，在第七章中讨论。

情景

在这个勒索软件场景中，我们假设服务器环境会受到适度利用，但假设备份和 Active Directory 环境不受影响。威胁行为者将通过钓鱼邮件获得初始访问，并横向移动到服务器群。

情景始于缅因制药公司，一家大型制药研究公司的工作人员因无法访问笔记本上的文件而致电帮助台。打电话者尝试重新启动，但无济于事。他们非常焦急，因为当天稍后要进行大型演示，无法访问他们的幻灯片。

• 帮助台人员将如何处理这个电话？他们是否会远程访问最终用户系统？如果是，那么如何操作？

• 帮助台是否会将这个问题升级给其他人？如果是，那么给谁，如何处理？

• 根据目前已知的事实，这是否被视为安全事件或事故？

注入 1

帮助台接到报告，报告缅因制药公司多名员工桌面上显示一条信息，要求支付 20 比特币到指定比特币钱包，以换取解密密钥和加密数据的访问权限。

• 帮助台是否接受过识别潜在勒索软件事件的培训？

• 现在这是否已经是安全事件或事故？其严重程度如何？

• 此时应该将谁拉入事件？他们将如何被通知？

• 谁在领导应对工作？

• 是否可以确定勒索软件的传播范围？

• 如何对受影响的终端进行隔离？是否有工具可以协助隔离过程，还是必须手动进行？

• 隔离能够多快进行？是否需要批准才能隔离某些系统，如果需要，批准大约需要多长时间？

• 我们是否应考虑隔离未受影响的关键系统，如 Active Directory、备份或其他业务关键系统？（这假设这些系统尚未受到影响。）如果是这样，这些系统将如何被隔离？

• 在调查过程中发现的证据将如何被保存？

注入 2

用户现在报告无法访问 Maine Pharma 文件服务器上的文件。自问题首次发现以来已经过去了四个小时。

• 无法访问这些系统是否与勒索病毒攻击有关？

• 如何检查受影响的服务器是否可能感染勒索病毒？

• 组织如何判断威胁行为者已访问了哪些系统？

• 事件的严重性是否已经增加？如果是，增加到什么程度？还有谁需要参与？

• 组织是否能够提前应对活动在环境中的明显蔓延？

注入 3

信息安全部门确定，Maine Pharma 最初的访问发生在一名财务用户点击了一个鱼叉式钓鱼邮件中的链接时。此次攻击利用了微软 Word 中一个未修补的漏洞，该漏洞已被知情人士发现并正在积极利用。微软在钓鱼邮件发送前三周就宣布了该漏洞，并且自该公告发布以来，补丁已可用。

• 补丁是如何频繁地应用并推广到整个组织的？

• 组织是如何监控新发布的补丁，尤其是那些不在常规发布周期内的高危补丁？

• 是否有流程来加速处理正在被积极利用的漏洞？

• 是否可以监控系统的补丁级别？是否可能拥有一份缺少相关补丁的所有系统的完整清单？

• 目前有哪些系统在监控钓鱼攻击？是否可以从邮箱中提取钓鱼邮件？

注入 4

在与 Maine Pharma 高层领导咨询后，组织决定不支付赎金，必须从现有备份中恢复数据。主要备份似乎未受到勒索病毒的影响。

• 组织将如何验证备份数据是安全可用的？

• 上一次备份恢复测试是什么时候？

• 在系统恢复并重新投入生产之前，需要做什么？

• 系统是如何被验证以确保未受到任何恶意软件或漏洞的影响的？

• 组织可以多快将所有受影响的服务器恢复到可用状态？

• 在恢复过程中，哪些系统将优先处理？

• 如何对恢复的数据进行对账？

可能的修改

为了调整场景，考虑引入以下元素：

• 组织缺乏响应事件和尝试恢复所需的人力或技能。

• 勒索软件已完全加密了主备份和次备份，使其无法使用。

• 威胁者获得访问权限并加密了 Active Directory 服务器或虚拟化管理程序环境。

• 威胁者已窃取数据，并威胁如果组织不支付更高的赎金，将公开数据内容。

• 敏感数据，如知识产权或员工健康计划信息，被访问并被外泄。

• 组织支付赎金并获得解密密钥。进行此修改后，信息技术恢复需要多长时间？我们如何验证解密密钥或工具是否按预期功能工作？

• 勒索软件已加密了关键系统，如域控制器，并且备份已被发现损坏。

• 赎金支付金额高于或低于 20 个比特币。

通过零日漏洞引发的恶意软件爆发

1988 年，莫里斯蠕虫迅速传播，影响了全球的计算机。随着技术的不断发展，组织面临的攻击也会不断变化。恶意软件爆发在组织中是常见的事件，新闻中充斥着这些广泛事件的例子。本节将介绍其中一个事件。

本场景中讨论的恶意软件是虚构的。为了使场景与您的组织更相关，可以尝试将其修改为最近出现的变种，或者已知恶意软件的虚构版本。请考虑当前的威胁形势以及对业务的影响，并相应地修改场景。

场景

一种新的恶意软件变种，名为 ROBber，正在全球范围内传播。该恶意软件在感染的终端上安装远程访问木马和键盘记录器。然后，它将记录的按键日志进行归档，并每天将其发送到命令与控制服务器。演练开始时，尚不清楚这一信息，但它将在稍后的演练中发挥作用。

演练从微软发布一份关于影响运行 Internet Information Services（IIS）版本 10 及以下系统的零日漏洞的安全建议开始。根据该建议，补丁尚不可用；然而，微软建议立即禁用受影响版本的系统。该建议还包括多个 IP 地址，微软建议屏蔽这些地址。微软表示，将在补充更多详细信息时提供进一步更新。

威胁组已经开始利用这一漏洞，安全社区已发布了更多的安全建议，其中包括多个 IP 地址和一个域名的多个 IoC。发现有系统向这些地址发送信号的，应视为已被入侵。

Dave’s Crazy Donuts 是一家区域性的早餐连锁店，拥有 200 多家门店，专门提供独特的甜甜圈和咖啡，其信息技术基础设施中运行着多个 IIS 系统。

• Dave’s Crazy Donuts 如何保持对安全公告的关注，并识别可能影响其环境的公告？是否有专门人员负责监控安全公告？对于重要的安全公告，是否有立即升级的流程？

• 组织将如何—以及多快—回应此类警报？

• 组织如何确定其系统是否存在任何与 IoC 相关的活动？

• 谁负责检查标记的 IP 地址的网络流量？

• 组织如何验证是否有任何系统在运行 IIS 版本 10 或更早版本？执行此任务需要多长时间？

注入 1

对 Dave’s Crazy Donuts 的网络日志进行审查时，发现每天中午 12:22，存在不规则流量指向 IP 地址 1.2.3.4，通过 SSH（TCP/22）传输。该 IP 地址不在微软提供的列表中，但对于组织而言也是未知的。该流量来源于组织中的 46 台不同工作站和服务器（代表八个餐厅地点以及公司总部），其性质与现有威胁报告中提到的流量相似。

• 有哪些工具可以用来调查观察到的 TCP/22 网络流量的内容？

• 公司如何确定不规则流量是来自微软报告的漏洞，还是来自其他问题？

• 这种行为是否被视为网络安全事件？如果是，它的严重性如何？

• 是否有其他管理方或技术团队需要被通知此问题的详细信息？

• 如何调查目标 IP 地址？源系统又该如何处理？

• 收集了哪些网络日志，并且这些日志会保存多久？是否有日志保留政策？

• 是否会部署任何遏制措施？用户是否通常需要使用 SSH 访问互联网主机，还是可以禁用此服务？是否有业务需求通过 SSH 访问环境中的服务器和网络设备？

注入 2

在组织调查此事件时，发现了 18 台新系统，这些系统都包含相同的 3 个可疑文件，表现出相似的行为，并且指向一个新的 IP 地址 1.2.3.9，仍在 TCP/22 端口上。原始系统在阻止之前的 IP 地址后，也开始向这个新 IP 地址发送数据。

• 既然问题似乎正在迅速传播，现在可以采取哪些措施（以及应该采取哪些措施）来遏制这一事件？

• 如果信息技术部门决定特定的遏制措施是合适的，是否有任何限制，禁止关闭可能影响 Dave’s Crazy Donuts 餐厅运营的系统？团队在对这些系统采取行动前，是否需要经过某种正式的批准流程？

• 该事件是否需要升级，内部或外部处理？

• 组织内谁可以调查可疑文件？或者，是否应该让第三方来调查这些文件？如果与第三方咨询，组织是否有常驻的应急响应公司，或者知道该联系谁？

• 组织是否可以咨询威胁情报来源，以更好地了解正在使用的恶意文件或 IP 地址？

• 是否可以识别 SSH 连接的内容？

注入 3

CISA 和微软发布了关于恶意软件快速传播的联合通告，命名为 ROBber。根据报告，该恶意软件在系统上放置了多个文件，其中包括一个远程访问木马和一个按键记录器。

文件的哈希值已包含在通告中。CISA 建议组织阻止特定网络块的流量，并禁用内部版本的 IIS，直至包括版本 10。系统仅在打上补丁或（若感染）完成特定修复步骤后，才能重新上线。

恶意软件还会在临时文件夹中创建一个收集的按键记录日志文件。

• 组织如何确认通告中提到的恶意软件是否与其系统中正在感染的恶意软件相同？

• 组织能多快确定这些 IoC 是否存在于网络中？这个过程需要多长时间？

• 鉴于这些文件在分布在不同地理区域的八个餐厅位置被发现，组织能否快速调查这些系统？

• 技术团队如何了解禁用 IIS 服务对业务的影响？团队可以采取哪些替代措施来确保运营连续性？实施这些应急措施需要多长时间？

• 法务部已指示信息安全部门保存按键记录文件，以防捕获并外泄敏感数据。这样做是否可行，如果可行，会对响应工作产生何种影响？

• 是否有网络日志可能记录了包含按键记录的文件外泄过程？

注入 4

对通告中 IoC 的快速回顾确认，Dave’s Crazy Donuts 已被 ROBber 攻击。当前的 Web 服务器，包括主要的电子商务网站，都在运行 IIS 8.5，且都受该恶意软件影响。其他系统也已被感染。

• 鉴于主要电子商务网站负责业务的许多方面，包括让客户下单并从本地门店取货，组织是否会暂时断开该网站与互联网的连接以控制事件？谁可以授权影响业务的行动，这一选项在技术上可行吗？

• 如果授权决策者希望不影响餐厅运营，如何将此次事件控制住？

注入 5

自疫情爆发已过去 24 小时，事件似乎已经得到遏制。没有发生新的感染，且对按键记录器的日志文件进行审查后发现，它并未捕获任何对业务至关重要或敏感的信息。CEO 要求提供一个恢复所有餐厅运营的时间表。

• 谁负责认证事件已经完全修复，恢复工作可以开始？

• 公司将如何开始将系统恢复到已知的良好状态？恢复的顺序是什么，由谁负责？

• 组织是否有额外的资源（内部或外部）可以帮助恢复过程？

• 恢复各地 Dave’s Crazy Donuts 分店的系统实际需要多长时间？这些系统是否有定义好的恢复时间目标？

可能的修改

为了调整场景，考虑进行以下修改：

• 与其说是零日漏洞，初始访问向量实际上是钓鱼邮件、主动下载、感染的 USB 或其他某种方式。

• 恶意软件影响了更多的系统或攻击了其他可能特别敏感的系统。

• 注入的时机有所不同；例如，组织首先在常规基准检查过程中发现了异常流量。

• 按键记录器日志文件包含敏感信息或客户数据。

• 面向互联网的网络流量通过 TCP/80 或 TCP/443 进行。

• 调查结果产生的 IoC 与 CISA 通报中包含的不同，这引发了是否应共享这些信息以及如何共享的问题。

供应链妥协

与其他网络安全事件相比，2020 年的 SolarWinds 事件具有独特性。SolarWinds 负责为全球组织使用的产品分发软件更新，因此它与这些组织网络中的系统建立了可信赖的关系。威胁行为者利用这种信任，向毫无戒心的组织分发恶意代码，这种攻击方式被称为供应链攻击。

在 SolarWinds 事件后，组织开始评估他们是否以及如何验证第三方提供的软件的安全性。这一妥协事件也引起了政府的广泛关注，因为它具有国家安全的影响。一场精心策划的攻击影响了成千上万的 SolarWinds 客户，包括政府机构。

以下场景设想了一家虚构公司通过其端点检测与响应（EDR）供应商遭遇供应链攻击。我们强烈建议修改这个场景，涉及您组织环境中当前使用的产品。与前一个场景一样，请考虑当前的威胁形势，并相应地修改场景。

场景

端点保护公司 NoMoreBadStuff（NMBS）向全球组织提供 EDR 解决方案。NMBS 监控着全球财富 500 强公司约 10%的工作站，使用其 NMBS EDR 端点。一个国家支持的威胁组织 APT39 已经访问了 NMBS 的网络，并破坏了最新发布的 EDR 工具，该工具已推送给大多数 NMBS 的客户。

在本次演习的介绍中，NMBS 发布了一个通知，指出 APT39 已经破坏了其构建过程并插入了恶意代码。此次破坏仅限于 EDR 的 19.3 版本。NMBS 此后发布了 19.4 版本，移除了恶意代码，并发布了紧急补丁通知，指出应立即安装更新。

Superior Automotive Parts，一家大型汽车零部件制造商和分销商，正在其所有 Windows 端点（包括服务器）上运行 NMBS 的 EDR 工具。公司通过社交媒体迅速意识到这个问题。

• Superior Automotive Parts 多久审查一次通知？接到此类通知后，通常需要多长时间采取行动？相关工作人员会收到这些警报通知吗？

• 响应团队如何更深入地了解 APT39 的战术、技术和程序？

• 是否可以清点所有运行易受攻击版本的 Superior Automotive Parts 系统？这需要多长时间？

• 是否应立即推出更新？组织如何判断新版本是否安全？

• 在更新被部署到受影响的系统之前，是否应该将每个系统与网络断开？如果系统断开连接，这会影响更新过程吗？

注入 1

NMBS 发布了更多信息，表明恶意版本在安全平台中创建了规则，忽略了 APT39 的工具集，启用了其他潜在的恶意活动，并且使相关警报静默。在初始安装后，经过 90 分钟的延时，受损的 EDR 软件会在系统上安装 SEAWEED 后门，并连接到 IP 地址 2.4.3.4，这表明 SEAWEED 已准备好接收来自威胁行为者的连接。

此时，Superior Automotive Parts 尚未发现其系统存在任何恶意活动。

• 该组织如何处理来自 NMBS 的这些新信息？

• 谁将调查环境中的后门？关于回调到 2.4.3.4 的情况呢？

• 网络日志可保存多久？是否有明确的日志保留政策？

• 这些新信息是否改变了组织的处理计划？

• 这是一个符合组织事件响应计划定义的网络安全事件吗？

• 谁需要被通知？

注入 2

过去 30 天的网络日志审查显示，Superior Automotive Parts 的几个系统已连接到 IP 地址 2.4.3.4. 这些连接发生在所有系统安装版本 19.3（恶意版本）后的两天内。此后定期发生其他连接，最近一次是今天早上。

• 这一新发现是否改变了事件的严重程度？

• 这些最新信息是否改变了在场景介绍时达成的行动方案？

• 组织将如何控制此事件？

Inject 3

进一步审查网络日志显示，来自内部 IP 192.168.4.5 的大规模数据外泄通过 FTP 进行。此次外泄发生在三天前的上午 5:24。

• 这个系统是什么，上面存储了哪些数据？

• 如何在此系统上捕获证据？

• 组织是否有资源从系统收集完整的磁盘镜像和内存转储？

• 组织是否需要保持连锁监管？

• 能否确定外泄了哪些数据？

• FTP 以前是否被阻止出站？如果是，如何允许此流量通过？

Inject 4

CEO 要求“全体动员”快速推出 NMBS 的最新版本，重建系统，并恢复组织在线。他们正在要求此工作的预计完成时间。总共有 43 个系统与 IP 地址 2.4.3.4 通信：16 台服务器和 27 个终端。

• 重新建立已知被损害主机的信任协议是什么？系统将被清理还是从可信来源恢复？

• 根据情况，Superior Automotive Parts 有哪些人员支持补丁系统、删除恶意软件和连接或重建系统？

• 组织是否有人员进行全天候覆盖以支持补救工作？

• Superior Automotive Parts 是否与能够提供紧急补充人员的供应商合作？

• 根据受影响系统的数量，预计恢复时间是多久？系统如何优先处理？

• 是否应全局重置密码？这是否包括域管理员和服务账户？

• 曾经进行或测试过全局密码重置吗？

可能的修改

要适应场景，请考虑进行以下修改：

• 威胁行动者是真正针对您特定行业垂直或在桌面演习时积极利用组织的对手。

• 组织确定没有发生数据外泄。

• 组织没有处于活跃利用状态，但确实安装了受损软件。

• 此供应链妥协影响了一位密切的商业伙伴，您可以将其纳入桌面演习中。

• IP 地址、端口和服务特定于您组织的关键资产。

• 组织依赖于一家关键供应商来支持补救工作，但该供应商无法承诺恢复时间表。

第七章：7 吸引执行团队的关注

本章将重点介绍面向高层受众的桌面演练，这些受众可以包括组织的 C 级高管以及各个团队的领导者，如业务运营、人力资源、法律和市场营销团队。

网络安全事件，尤其是那些扩展到公共领域或中断运营的事件，通常需要这些跨职能的领导者协同管理响应。遗憾的是，尽管技术团队经常合作，但比如法律和市场营销团队的合作则较为少见。因此，定期进行桌面演练，测试领导者在应对事件时的合作能力显得尤为重要。

影响文件服务器的勒索软件（高级版）

希望同时进行技术和高层演练的组织，通常会使用相同的场景，然后根据不同的受众调整注入内容。第六章概述了针对技术参与者的勒索软件桌面演练，以下演练则将相同的场景调整为适合高层受众的内容。讨论的事件将类似；然而，主持人的问题和讨论内容将专注于场景的业务影响。

场景

在这个勒索软件场景中，执行团队必须考虑响应过程中的战略问题，例如面对业务停机时间、管理内部和外部通讯、决定是否支付赎金以及考虑其他因素。尽管故事简短，但其中包含了许多常见的战略性和高关注度的事项，执行团队将在勒索软件事件中不得不面对这些问题。

场景开始时，用户报告无法访问 Fire Lake City Schools 文件服务器上的文件。Fire Lake City Schools 是一个拥有超过 4,000 名学生的大型城市学区。这个问题已经持续了近四个小时，直到执行团队被通知。

• 无法访问文件会对学区产生什么影响？

• 如果威胁行为者获取了文件共享中的数据，哪些数据会引发关注？

• 考虑到信息有限，这是否符合事件响应计划中定义的网络安全事件？

注入 1

出于沮丧，一名员工在社交媒体上发布多条消息，称由于“愚蠢的网络罪犯”锁定了他们的计算机和文件，他们无法工作。该员工拥有大量社交媒体粉丝，帖子立即获得了评论和分享。

• 是否已经制定了社交媒体政策？学区的员工是否了解该政策？

• 该帖子是否需要任何内部或外部信息传递？

• 学区如何能够主动防止该帖文的发布？

注入 2

学区的信息安全主管通知首席信息官（CIO）环境中正在发生勒索病毒事件。威胁行为者要求 20 个比特币作为解密密钥交换。学区的技术人员正在评估是否可以使用备份，但与此同时，信息技术基础设施大部分仍然无法使用。

• 学区是否有关于勒索病毒支付的政策？

• 根据已知的少量细节，学区还需要哪些信息才能决定是否考虑支付赎金？

• 谁需要被通知并参与其中？

• 学区是否有能力支付赎金？例如，它是否拥有比特币钱包，或与其他外部资源有合同，可以协助支付？

• 作为一所公立学校系统，Fire Lake City Schools 是否受制于任何禁止支付赎金的法律或规定？谁可以帮助学区理解这些法律或规定？

• 学区是否应通知其网络保险提供商（如果有的话）？保险公司是否有学区可以利用的资源？

• Fire Lake 的警察部门能提供帮助吗？如果能，如何提供帮助？

注入 3

当地新闻媒体得知可能发生的勒索病毒爆发，联系 Fire Lake City Schools 的成员寻求官方声明。鉴于学区是一个公共机构，对此事件有相当大的兴趣。前台已通知响应团队这些电话，许多被征询意见的员工也已做出通报。

• 谁被授权与媒体沟通？员工是否知道只有经过批准的人员才能与媒体沟通？

• 是否有正式的媒体关系培训？

• 是否有任何内容会传达给媒体？

• 是否有可用于此类情况和其他沟通的模板？

• 学区是否应该咨询媒体关系公司？学区是否与媒体关系公司签有长期合同？

• 应进行哪些内部沟通？

注入 4

技术团队报告称他们能够从干净的备份中恢复被感染的系统。然而，整个过程可能需要 72 到 96 小时。

• 这一时机对学区有何影响？

• 学区是否有业务连续性计划，使其能够在没有关键文件共享和财务系统的情况下恢复运营？

• 这一时机是否改变了之前关于赎金的任何决定？

• 学区将如何决定首先恢复哪些系统？

可能的修改

为了适应这个情景，请考虑做以下修改：

• 请求的比特币金额显著更高。

• 勒索病毒已完全加密了主备份和次备份，导致它们无法使用。

• 威胁行为者联系媒体并通知他们学区已遭受攻击。

• 攻击者已经窃取了数据，并威胁如果不支付更多赎金，就会公开这些内容。

• 敏感数据，包括学生和员工的个人身份信息（PII），已被访问和窃取。

• 尤其敏感的学生记录，如心理健康历史和咨询记录，已被访问并泄露。

暗网数据发现

有时组织在未接到执法机构通知之前，不会意识到自己已被入侵，直到执法机构告知它公司机密信息已在网上发现。另一方面，一些组织实际上雇佣服务来监控暗网以防泄露组织秘密。无论哪种情况，如果发生数据泄露，组织必须弄清楚是如何失去数据控制的，并决定如何应对。

场景

在这个场景中，组织雇佣的一家供应商负责监控暗网和开源情报，发现内部员工数据在暗网上出售。敏感数据的丧失迅速升级到领导层，领导们不得不面对他们已经失去对数据控制的现实。

在引言中，UrData 是一家专门通过扫描互联网各个角落来寻找敏感数据的公司，他们发现一些数据似乎属于他们的客户——Old Prairie Bank。UrData 通知 Old Prairie 的首席信息官（CIO），称在暗网有一则帖子，声称出售 Old Prairie 的敏感数据。该列表宣称包含 Old Prairie 客户的个人身份信息（包括姓名、出生日期、地址、账户余额和其他账户信息）。然而，UrData 尚未获取样本数据。

UrData 通知 Old Prairie 的首席信息官，完整的数据集正在以 26,000 美元出售。

• 在此时，是否可以将其视为 Old Prairie 的网络安全事件，符合事件响应计划的定义？

• 首席信息官在收到此类通知后应采取哪些行动？

• 组织内部的谁需要被通知？

• Old Prairie 是否有包含特定客户个人身份信息（PII）系统的库存？是否有可能根据 PII 存储的位置，缩小哪些系统可能已被入侵？

注入 1

UrData 能够获得数据的一个子集。该文件包含列表中宣传的内容：姓名、出生日期、地址、账户余额和其他基本账户信息。

• 这些新细节是否会改变应做出的决策？

• 组织内部的谁能确认数据确实属于 Old Prairie？

• 是否可以迅速确定数据存储的位置以及数据集的来源？

• 是否应该通知更多人并招募他们协助调查，还是响应团队应保持小规模？

• Old Prairie 是否有资源调查此类事件？是否需要引入专业供应商？

• 是否需要通知任何监管机构或其他外部方？

• Old Prairie 是否需要在特定时间内通知其网络保险提供商？

注入 2

UrData 已将数据集的价格谈判至 11,200 美元比特币，但卖方仅在接下来的 8 小时内愿意接受此价格。

在研究卖家时，UrData 已确定该团体与朝鲜有关联的可能性很小。

• Old Prairie 是否愿意以降价后的价格购买该数据集？

• 该团体可能与朝鲜有关，而朝鲜可能受到监管审查，这是否会影响银行是否购买该数据集的决定？

• 购买该数据集会提供什么价值？

• 谁负责决定支付，并且交易如何执行？Old Prairie 能多快获得比特币？

注入 3

Old Prairie 决定支付，而 UrData 获得了完整的数据集。对数据及其格式的审查确认该数据是 Old Prairie 的 MyOP 客户数据库的直接导出，数据大约有一个月的历史。

• 谁可以直接访问 MyOP 数据库，并可能已经外泄了这些数据？是否有外部方可以访问 MyOP 数据？

• 是否有可能外部威胁者已经获得了网络访问权限？

• Old Prairie 是否已聘请其法律顾问？

• 根据外泄数据的类型和数量，必须通知哪些监管机构或外部方（如客户）？Old Prairie 是否有供应商可以协助这些通知？

• 假设 Old Prairie 需要公开披露客户数据泄露事件，应该涉及哪些额外的供应商或人员（例如危机管理团队）？

• 公司员工是否知晓泄露事件？如果是，这将如何影响响应过程？

注入 4

组织怀疑 Jan（一个最近被忽视的数据库管理员）涉及数据外泄。调查显示，在相关时间内，Jan 的账户访问并下载了大量来自多个数据库的数据。

• 在调查过程中发现的证据应该如何处理？

• 是否可以迅速终止 Jan 的访问权限？如果可以，谁来做这个决定？

• 团队中谁负责与 Jan 讨论这份证据？这个过程将如何处理？

• 人力资源团队在响应中的角色是什么？

• 是否应联系执法部门？由谁决定这一点，如果适用，谁来执行联系？应该联系哪个机构？

• 是否有现有的流程来处理类似本情景的内部威胁情况？

可能的修改

为了调整该情景，请考虑做以下修改：

• 请求的数据集金额显著更高。

• 朝鲜涉及的可能性很高，且其政府受到美国制裁，Old Prairie 可能需要寻求额外的指导。

• 被泄露的信息是合作伙伴数据、未发布的收益或组织维护的任何其他敏感数据。

• 场景继续，Jan 要么否认这些指控，要么确认它们。

• 一个外部威胁行为者曾接触过该环境，或者可能仍然接触，并正在积极外泄数据。

• 数据集已发布到一个公开可用的来源，如 Pastebin。

• 威胁行为者售卖的虚假数据与 Old Prairie 无关。这要求 Old Prairie 进行进一步调查，以证明数据丢失没有发生。

• 攻击者提供的数据集已超过六个月，导致 Old Prairie 考虑有哪些调查性材料可以使用。

分布式拒绝服务攻击

随着威胁格局的持续发展，攻击类型也在不断变化。分布式拒绝服务（DDoS）攻击已经存在了一段时间，但以勒索为目的的 DDoS 攻击，如本案例中的攻击，正变得越来越流行。了解如何应对这种独特的攻击类型，以及在遭遇长期攻击时，如何保持组织的正常运作，变得尤为重要。进行桌面演练来讨论 DDoS 攻击是一种测试组织能力的方式。

场景

在这个场景中，DDoS 攻击影响了一个在线贷款方的网页功能。任何拥有网页存在的组织都可以调整这个场景来适应其自身的使用案例，尽管对于那些主要通过其网站开展业务的组织（与那些仅使用网站提供公开信息的组织相比），影响会特别大。

故障开始时，QuickPaydayLoans.net 的网站团队发现其外部网站出现停机，影响了所有功能，包括贷款申请、账单支付、转账和账户访问。贷款方的面向公众的信息网站也受到了影响。

• 网站团队是会被通知到影响网站的可访问性问题，还是会通过其他方式得知？这将需要多长时间？谁可能是第一个意识到遭遇 DDoS 攻击的方？

• 谁应该调查这些问题？

• 内部和外部的升级和通知流程是什么？

• 停机可以持续多长时间，公众才应被通知？

注入 1

网站团队的调查发现，停机是由 DDoS 攻击引起的。根据首席信息官的说法，团队正在与贷款方的互联网服务提供商合作，但不确定问题需要多长时间才能解决。停机已经持续了 90 分钟。

• 这个新信息是否改变了事件的严重性？

• 现在应该通知并参与处理的内部和外部人员有哪些？

• 还有其他需要担心的问题吗？

• 在没有这些服务可用的情况下，贷款方可以操作多久？是否需要担心客户流失？

• 贷款方上一次进行业务连续性或灾难恢复评审是什么时候？业务连续性计划是否已进行过测试？

• 贷方是否与 DDoS 缓解服务提供商有合作关系？如果没有，贷方能多快建立合作？

注入 2

停机事件仍在持续，网页团队和互联网服务提供商未能缓解攻击，威胁者继续使用新的 IP 地址。现在已经过去六小时，本地新闻媒体已开始报道此事。某新闻机构暗示贷方是 APT38 这一威胁团体最新的受害组织之一。

• 谁被授权与媒体沟通？

• 贷方是否了解该向媒体透露什么信息，哪些不该说？

• 员工是否接受过正式的媒体沟通培训？

• 贷方是否会向媒体发布任何信息？如果会，发布的内容是什么？

• 如果需要，有没有可用的沟通模板来应对这种情况及其他类似的沟通？

• 贷方是否应咨询公关媒体公司？

注入 3

客户对他们信息和财务的安全感到沮丧和担忧。贷方接到了若干客户咨询，显然客户信心已受到动摇。

• 贷方如何向客户解释停机的原因，并如何维持其声誉？

• 贷方可以通过哪些渠道进行外部沟通？

• 谁在内部负责制定这些沟通内容？

• 如果客户无法支付贷款，可能会持续几天，这对公司的财务影响是什么？

• 如果由于事件的原因，客户无法按时付款，组织是否不能收取滞纳金？

注入 4

威胁者联系贷方，并表示如果支付 46 比特币，就会停止攻击；否则，攻击将继续。

• 贷方是否应考虑支付赎金？

• 贷方如何知道支付赎金后攻击会停止？

• 贷方能否减轻攻击以避免支付？这需要什么措施，费用是多少？

注入 5

攻击已停止；然而，董事会希望立刻获得关于此次攻击发生原因的更新，并了解如何保护贷方免受未来攻击。

• 有哪些技术或资源可以用来缓解这种攻击？

• 事件响应团队在向董事会报告之前需要进行哪些研究？

可能的修改

若要调整场景，可以考虑做以下修改：

• 勒索赎金金额大幅增加或减少。

• 威胁者没有提出勒索要求。

• 攻击是间歇性的，而非持续性的。

• 攻击持续了几天，并影响了处理财务交易的能力。

• 攻击导致多个内部和外部服务中断，完全使贷方陷入瘫痪。

• 威胁团体是一个专门针对发薪日贷款行业的成熟对手。

第八章：8 吸引业务方参与

有时候，很难向非技术人员解释，他们在网络安全事件中也有责任。 在本章的最后，我们重点介绍了旨在吸引业务部门特定群体参与的演练——即物理安全、沟通和人力资源部门。

虽然这些情景可能也涉及信息技术和信息安全人员，但我们设计这些情景的目的是要展示一个组织的事件响应不仅仅依赖于技术应急响应人员。当一个网络安全事件影响到业务时，组织才会真正感受到其带来的影响。

物理安全漏洞

很容易忽视信息安全事件可能源于物理世界中的安全漏洞。事实上，突破建筑物物理安全的威胁行为者，可能造成的破坏不亚于，甚至超过那些从远程攻破信息技术网络的攻击者。

探讨这样一个情景的好处之一是它涉及一个通常不会出现在信息安全桌面演练中的团队：物理安全。有些组织可能甚至没有这样的角色，而是将确保财产安全的责任交给风险管理或其他不相关的职能部门。

物理安全漏洞当然可能显得牵强，像是碟中谍电影中的场景（想象威胁行为者爬过加热和冷却的空气管道）。但即便是一个简单的攻击也能引发麻烦，正如我们在这里列举的例子。

情景描述

威胁行为者通过绕过安全控制措施进入了物理建筑物。在建筑内，他们相对不受阻碍，可以自由地探索设施。经过一段时间后，他们带着一些有价值的物品离开，包括笔记本电脑、外部存储设备（如硬盘）和文件。

在演练的介绍中，威胁行为者穿着商务休闲服，进入 MedCo 总部大堂，MedCo 是一家医疗保险公司。为了继续前进，威胁行为者必须将通行卡放在射频识别（RFID）阅读器上，以获得访问权限并解锁门。

在早上 8:30，当员工们开始到 MedCo 上班时，脚步声最为密集，威胁行为者在背包里摸索，直到一位 MedCo 员工使用卡片进入，导致 RFID 阅读器发出哔哔声并解锁门。威胁行为者微笑并做出手势，表示他们找到了自己的卡片，从背包里拿出一张颜色相似的通行卡。他们把卡片靠近 RFID 阅读器（此时没有发出哔哔声），并抓住门，趁着门关上时进入。

威胁行为者现在已经进入了 MedCo 的安全设施。

• MedCo 员工是否接受过关于物理安全访问威胁（例如尾随进入，这里发生过的事件）方面的培训？如果有的话，员工们会被培训做些什么？

• 是否有保安、监控摄像头或其他监视设备观察到这种不当的访问行为？

• 谁负责设施的物理安全？

注入 1

威胁行为者伪装成 MedCo 员工，坐在为远程员工准备的桌子前。他们拿出一台笔记本电脑，并将可用的网络电缆插入自己的笔记本电脑，然后尝试连接到网络。

• 连接到组织网络的笔记本电脑是否需要进行身份验证？威胁行为者可能合理访问哪些 MedCo 资源？

• 信息安全团队是否会被提醒发现一个未知的信息系统连接到网络？是否会触发任何其他警报？

注入 2

威胁行为者走到一名行政助理的桌前，说：“我是菲尔与儿子 HVAC 系统公司的员工。我们约定对服务器房间的 HVAC 系统进行维护检查。你能让我进去吗？Dave 应该知道我会来。”威胁行为者带着一小袋工具，乍一看像是 HVAC 技术员。Dave 是 MedCo 的 IT 经理，他的信息在 LinkedIn 上很容易找到。

• 承包商需要遵循什么流程来请求访问某个系统或房间？

• 是否有一个独特的流程用于请求访问敏感房间，例如包含服务器的房间？

• MedCo 员工是否被鼓励或不鼓励在社交媒体上分享他们的工作信息？

注入 3

行政助理要求威胁行为者坐下，同时明智地向信息技术部门核实。威胁行为者借口去洗手间。担心自己被发现，他们悄悄走向出口。

在离开之前，威胁行为者从无人看管的工作区收集三台笔记本电脑，将其放入背包中，然后走出大门。

• 假设员工在返回自己的工作区时发现他们的笔记本电脑丢失，是否有专门的流程供他们报告盗窃事件？

• 过去，员工是否使用过这个指定流程？

• 大厅、停车场、工作区域或其他地点是否有安全摄像头？如果有，它们的录像会保存多久？

• 为了追踪被盗或丢失的 MedCo 资产，采用了哪些方法？

注入 4

威胁行为者离开设施并开车离开。丢失笔记本电脑的员工提醒信息安全部门，信息安全部门迅速通知了物理安全部门。

• 如果威胁行为者在离开之前关闭笔记本电脑或将其关机，他们是否可以稍后访问其内容？如果可以，他们怎么做？

• 确定被盗笔记本电脑的识别信息（如序列号）需要多长时间？组织是否能够确定（a）设备是否被加密，（b）设备上有哪些敏感信息？

• 是否可以远程禁用或清除设备？

• 是否有通知执法机关的流程？

• 如果笔记本电脑中包含敏感数据，是否应该通知其他 MedCo 部门，如法务团队，关于数据丢失的情况？

• 如果有安装摄像头，录像会保留多长时间？安防摄像头能否重建攻击者在设施内的活动轨迹？

可能的修改

为了调整场景，可以考虑做出以下修改：

• 攻击者是一个前员工，熟悉如何在设施内进行导航。

• 攻击者窃取了存储在笔记本电脑或外部硬盘中的极其敏感的数据，需要采取重大响应措施。

• 攻击者成功进入组织网络，占领了更为重要的立足点。

• 攻击者伪装成帮助台团队成员，假装工作站存在问题，并请求访问员工的系统。

• 攻击者在下班后进入设施，伪装成清洁人员。

• 攻击者在环境中制造干扰，可能是通过虚拟手段，或通过物理篡改网络设备。

• 攻击者在环境中安装了物理设备，如模仿合法信号的恶意 Wi-Fi 接入点。

社交媒体泄露

组织使用社交媒体账户的程度各不相同。对于一些组织，这些账户是与客户（甚至员工）沟通的主要方式。社交媒体还使组织能够塑造其品牌形象，而这可能需要多年的努力。以下场景最适用于这些社交媒体导向型公司。

由于社交媒体泄露自一开始就是公开的，因此应对这一事件的响应需要更加紧急。更重要的是，这需要通常不紧密合作的团队之间的协作，如信息安全团队和负责社交媒体的团队（通常是市场营销团队）。而且，正如你可能会发现的那样，市场营销团队在运营社交媒体账户时，往往没有像多因素身份验证和密码管理等信息安全控制措施。

场景

在这个场景中，攻击者向组织的社交媒体账户发布内容。虽然操作简单，但这一事件可以迅速引发关于各种紧迫问题的讨论，并且事件可能会扩展到公众领域。由于组织已经失去了对账户的控制，无法登录，员工必须迅速确定如何（a）重新获得账户的控制权，以及（b）如何与公众沟通，解答他们对帖子内容的关注。

从周六凌晨 3 点开始，Happy Bear 儿童护理中心，一家在加拿大拥有超过 150 个地点和近 4000 名全职及兼职员工的区域性儿童看护机构，发现其社交媒体动态被黎凡特解放军的宣传内容填充。

宣传内容包括对各方的贬损信息，并有若干其他冒犯性言论。这些信息与 Happy Bear 儿童护理中心以往在社交媒体上推广业务的内容形成鲜明对比。

• 在周末凌晨 3 点，Happy Bear 是否有员工在监控社交媒体平台？

• Happy Bear 是否聘请了一个社交媒体品牌声誉公司，可能已经看到来自黎凡特解放军的信息？如果是的话，告知员工的流程是什么？

• 员工大概多久才能发现这些信息？

注入 1

在警觉的员工通知下，Happy Bear 的营销团队尝试登录账户、删除内容并更改密码。在此过程中，员工发现密码已经被更改，无法登录。

• 该事件是否符合 Happy Bear 的事件响应计划（如果有的话）所定义的网络安全事件？

• 应该联系组织内的谁以获得帮助？还需要通知谁？

• 是否有从社交媒体账户恢复密码的流程？

注入 2

Happy Bear 的营销团队尝试通过提供商的账户恢复选项重新获得社交媒体账户的控制权。社交媒体提供商告知员工，账户恢复需要 24 至 48 小时。

注意事项

在现实情况下，恢复账户不太可能需要这么长时间。然而，加入时间延迟会增加事件的压力。

• 知道贬损性信息将在接下来的 1 至 2 天内仍广泛可见，Happy Bear 应如何应对？

• 如果遇到类似此类问题（如登录凭据无法使用）或其他支持相关问题，获取社交媒体平台支持的流程是什么？该流程是否有文档记录？

• 是否存在其他渠道，无论是基于社交媒体还是其他方式，使 Happy Bear 员工能够与家长及其他关心的方进行沟通？

• 是否有任何创建和批准与客户、员工及公众沟通的流程，无论是文档化的还是其他方式的？

• Happy Bear 是否聘请了危机管理公司，以便能迅速协助处理沟通事务？

注入 3

威胁者继续发布更多贬损信息。此外，他们发布了一则帖子，要求组织支付 50,000 美元比特币，以换取释放账户；否则，他们威胁将公布他们声称窃取的学生信息。部分信息包含有特殊需求学生的敏感医疗信息。

• Happy Bear 会考虑支付赎金吗？

• Happy Bear 是否拥有能够覆盖声誉损害和赎金支付费用的网络保险？

• Happy Bear 员工应如何与攻击者互动？

• Happy Bear 员工应如何与关心的家长互动？

• 如果学生信息确实被窃取，应通知哪些监管机构，并且通知的时间应为何时？

• 是否应该联系执法部门？如果是，他们可能提供哪些帮助？

注入 4

快乐熊的首席执行官，越来越担心公共舆论的反响和敏感数据的泄露，已经要求事件响应团队调查是否发生了数据泄露。

• 快乐熊是否与某个事件响应公司已有合作关系？

• 谁将领导和指挥此次调查？调查的目标是什么？

注入 5

这些帖子在互联网上引起了广泛关注，媒体已联系快乐熊寻求评论。一家全国新闻频道计划播出一段关于网络安全的节目，并将重点讨论此次事件对无辜儿童和担忧父母的影响。

• 是否有人事先被指定为与媒体沟通？选择此类代表的过程是怎样的？

• 是否有一份网络保险政策，能够帮助快乐熊恢复其品牌形象？

• 是否有一个公关公司可以为快乐熊提供外部媒体沟通的帮助？

注入 6

快乐熊重新获得社交媒体账户的访问权限，并立即删除了相关内容。这些不当的帖子共保留了 36 小时。

• 一旦账户重新控制，快乐熊将如何应对？

• 在建立长期解决方案之前，快乐熊将采取哪些立即措施来确保社交媒体账户的安全？

• 快乐熊将如何应对攻击者所声称的敏感信息已被泄露的说法？

注入 7

事件响应团队提供了初步调查结果，其中包括对导致泄露的过程漏洞的检查。团队确认社交媒体账户没有使用多因素认证，而且多个员工共享一个简单的密码。这些做法与快乐熊的信息安全政策不符。

此外，攻击者是在一名市场营销员工点击了钓鱼邮件后获得了凭证。该员工曾多次未通过钓鱼测试，且一直未遵循安全计算实践。事件响应团队还确认没有证据表明数据被外泄。

• 人力资源团队在调查中的角色是什么？

• 即使事件响应团队没有发现数据外泄的证据，是否需要通知监管机构？

• 快乐熊将如何通知家长以安抚他们，确保没有信息丢失？公司能做些什么来重新建立信任？

• 假设公司发布最终报告，谁负责执行纠正措施？ #### 可能的修改

为了调整情境，可以考虑进行以下修改：

• 据称被外泄的数据集属于进行此次演练的组织，如果丢失，可能会引发公众的重大担忧。

• 攻击者展示了一份被盗信息样本，这使得组织相信数据确实被盗。

• 应急响应团队发现了敏感数据确实被窃取的证据，因此需要做出更大的响应。

• 父母或其他受影响的个人威胁提起诉讼，迫使组织采取法律保护措施。

• 被窃取的敏感数据属于跨国客户群，复杂了合规性通知的问题。

• 该组织是上市公司，数据丢失对其财务状况有重大影响，需要公司通知其他相关方。

内部威胁

大多数组织在安全投资上专注于防范外部威胁行为者，但内部威胁同样是一个不可忽视的重要风险，应当在桌面演练中加以探讨。

内部威胁有多种形式：疏忽大意的员工未能认真对待安全问题、决心对雇主造成伤害的员工，或者想通过出售知识产权获利的员工，等等。

如果你聘请了外部顾问来处理内部威胁情境，那么特别重要的一点是利用组织中的可信代理来帮助你制定一个现实的情景。大多数内部威胁发生在员工滥用之前获得的特权时，而可信代理比组织协调员更可能理解这些潜在的控制失效点。

在情境演练中，务必考虑技术性和非技术性威胁。互联网充斥着关于敏感数据丢失的故事，原因往往只是某人盗取了打印件或用手机拍照了数据。

最后，尽管情境可能涉及技术控制，但也可能涉及各种政策和程序，需要法律或其他团队的参与。

情境

Mica 的 Fleet Repair 提供大型商业车队的维修服务，服务非常定制化。其最有价值的资产之一是广泛的客户联系人名单，其中包括为每个客户提供的个性化定价。许多企业都会遇到这样的情境：内部人员窃取了关键的知识产权，意图开设竞争性公司。

在情境开始时，David，Mica Fleet Repair 的资深客户经理，刚刚与 Mica 的原始客户之一——Central Delivery Services 开完会。Central 最近决定结束与 Mica 的合作关系。被问及原因时，Central 表示他们对 Mica 的服务很满意，但收到了来自由 Mica 前员工 Ajay 成立的新公司 NYFleet 的报价，比 Mica 便宜了 10%。

令 David 非常沮丧的是，这是 Mica 最近因竞标价格低于对方近 10%的报价而失去的第五个客户。David 怀疑 Ajay 离开时可能带走了某些信息。

• 是否有报告知识产权被盗的流程？应向谁报告？

• 这是否属于 Mica 应急响应计划定义的网络安全事件？

• 谁必须被告知？

注入 1

账户丢失问题足够严重，已经引起 Mica 高层管理的关注，他们怀疑 Ajay 可能带走了 Mica 的知识产权，比如价格清单和合同。Mica 的法律顾问开始审查 Ajay 离职的相关事实，以及 Mica 的离职流程。

• 是否有一个离职流程，Mica 会在员工最后一天前对其进行简报？

• 在员工入职时以及之后的定期检查中，是否告知员工有关敏感信息的政策？

• 是否对敏感信息进行了标记，并采取了额外的安全控制措施加以保护？

• 是否对曾经接触过敏感信息的员工设立了独特的离职流程？

注入 2

Mica 的法律顾问要求提供所有敏感账户信息的位置，包括合同、关键联系人和其他数据。

• 组织是否定义了一个数据分类方案，明确区分了敏感商业信息和无需保护的信息？

• 是否有一个敏感账户信息的清单及其存储位置？

• 是否有访问控制措施限制对这些数据的访问，并记录哪些用户访问过？

注入 3

Mica 的信息技术团队报告称，大部分敏感账户信息都存储在一个系统中，Ajay 和其他 30 名账户经理有权限访问这些信息。

• 是否有日志记录每位账户经理的登录情况及其执行的活动？这些日志保存多长时间？

• 现有的控制措施是否防止用户下载敏感商业信息或将其传输到网络外部（例如通过电子邮件）？

注入 4

Mica 的法律顾问要求信息技术团队提供 Ajay 在职期间使用的所有信息系统的清单。他们希望保留 Ajay 的任何信息，以备调查目的和潜在诉讼使用。

• 接收被终止员工的电脑、手机或其他设备的流程是怎样的？

• 设备在重新发放或销毁前会存放多长时间？

• 在设备重新分配给新员工之前，是否会清除数据？

注入 5

Ajay 的前同事 Martin 在听说 Ajay 正在接受调查的传闻后，主动找到了他的经理。Martin 告诉经理，Ajay 曾经吹嘘过他如何轻松地将客户信息通过电子邮件发送给自己，并且可以开始自己的竞争性业务。自 Ajay 离职已经过去四个月。

• Mica 在员工离职后会保留电子邮件账户多长时间？是否有保留或销毁政策？

• 四个月后，哪些剩余的调查资料可以帮助验证 Ajay 是否将文件通过电子邮件发送给自己？

注入 6

随着调查的展开，越来越明显的是，多个政策和技术上的漏洞曾使 Ajay 能够窃取知识产权。高层管理人员希望做出改变，确保这种情况不会再次发生。

• 鉴于故障发生在多个团队之间，是否应该由某个角色负责主导解决？如果是，应该是谁？也许是审计或风险管理？

• Mica 将如何验证已识别的差距是否已被修正？具体而言，谁能判断实施的解决方案是否足够？

可能的修改

为了调整场景，考虑进行以下修改：

• 用于窃取敏感信息的手段包括打印文件、使用手机相机或将文件下载到 USB 驱动器中。

• 敏感信息与进行演练的组织相关。例如，可能包括化学公式、原型图纸或研究数据。

• 不再是丢失客户信息，内部人员窃取了受监管的数据（如健康信息）或需要通知其他企业的信息。

• 内部人员是现任员工，且他们的角色使得他们对信息技术流程有深入了解。这意味着他们能够通过删除日志来掩盖痕迹。（此外，如果此类员工的离职会造成重大困难，可以在演练中讨论是否可以通过使一些员工任务冗余的方式，确保权力和知识不完全掌握在一个人手中。）

附录报告模板

本附录提供了在银行进行桌面演练时的完成声明和完整报告示例。我们鼓励您根据您组织的风格和需求调整这些报告的格式。在本附录中，斜体字的文字是供参考的，不应包含在报告中。有关桌面演练报告流程的更多信息，请参见第五章。

完成声明模板

描述演练的目的，包括任何合规要求。

Old Prairie 银行进行了桌面演练，探索与网络安全事件相关的事件响应问题。该桌面演练满足了事件响应计划中定义的要求，即每年测试计划流程。

描述演练的时间、地点和规划的持续时间。

规划始于 2024 年 6 月，并在 2024 年 9 月 23 日于位于密苏里州圣约瑟夫市杰斐逊街 22 号的 Old Prairie 总部进行桌面演练。

列出开发团队的所有成员。

开发团队负责创建和主持桌面演练，成员包括：

• Ruth Miller，信息技术副总裁

• Michelle Kane，通讯副总裁

列出所有与会者。

桌面演练的与会者包括：

• Megan Tibbs，数字银行副总裁

• Joanne Svenningsen，财务总监

• Janice Marquardt，风险管理总监

• Sheryl Shectman，信息技术总监

• Corina Milea，人力资源总监

列出演练的目标。在此报告示例中，目标是完成演练本身，其中包含几个目标。

演练的目标是：

• 了解员工在网络安全事件中的角色和责任。

• 提高网络安全事件响应团队之间的沟通与协作。

• 按照网络安全事件响应计划，练习组织对真实网络安全事件的应对。

情景描述

提供情景和每个插入项的简短描述。对于完成声明，您可以选择包括一个简短的段落，总结情景，而不是单独列出每个插入项。

在桌面演练中提出的情景涉及社交媒体泄露和勒索。情景包括以下插入项：

1. 一名外部威胁行为者攻陷了 Old Prairie 的 Facebook 和 X 账户，账户现在显示来自一个著名恐怖组织的宣传内容。

2. 当员工尝试更改其社交媒体页面上的内容时，发现他们被锁定，无法进行更改。

3. 当地媒体和关心的客户就发布的内容联系 Old Prairie。

4. 威胁行为者发布多条信息，声称他们窃取了 Old Prairie 的个人信息，包括银行账户记录。这些信息要求支付比特币，以避免数据泄露。

5. Old Prairie 重新获得了社交媒体账户的控制权。

6. Old Prairie 的信息安全团队没有发现此次攻击超出社交媒体账户的证据，认为个人数据被泄露的可能性较小。

7. 调查结果显示，Old Prairie 的市场营销团队成员点击了一封钓鱼邮件，导致用户名和密码被泄露。该员工有点击钓鱼链接的历史。

总结

描述参与者的出席情况、参与度和总结活动。

所有与会人员全程参与了演习（持续了超过两个小时），并积极参与。在演习结束时，主持人举行了简短的总结会，收集反馈并识别出需要改进的流程，我们将在下次事件响应计划更新周期中评估这些改进。

完整报告模板

除了完成声明中包含的元素外，完整报告还包含一份执行摘要，领导层可以通过它快速了解桌面演习发生的原因以及揭示的不足之处。该执行摘要应该让读者在没有额外信息的情况下也能理解。完整报告还应列出具体的发现和观察结果，以及相应的影响和建议。最后，报告应包括一个简短的部分，列出任何成功的领域。

执行摘要

描述本次演习的目的，包括任何合规义务。

Old Prairie 银行进行了桌面演习，探讨与网络安全事件相关的响应问题。此次桌面演习满足了事件响应计划中要求每年测试计划流程的要求。

描述演习的时间、地点和规划持续时间。

规划始于 2024 年 6 月，并于 2024 年 9 月 23 日在位于密苏里州圣约瑟夫 22 号杰斐逊街的 Old Prairie 总部圆满结束演习。

列出演习的目标。在本报告示例中，目标是完成演习本身，包含多个具体目标。

本次演习的目标是：

• 了解员工在网络安全事件中的角色和职责。

• 改进网络安全事件响应团队之间的沟通与协作。

• 通过遵循网络安全事件响应计划，练习组织对现实网络安全事件的响应。

提供场景的简短描述。

演习的场景涉及一个威胁行为者控制了 Old Prairie 的 Facebook 和 X 账户，发布贬损和不想要的内容，并威胁除非支付赎金，否则将公开窃取的数据。

列出流程缺陷。

桌面演练暴露了 Old Prairie 流程中的几个不足之处，具体包括：

• Old Prairie 社交媒体账户的密码管理不当，与组织的密码政策冲突。

• 在网络安全事件发生时，Old Prairie 员工对角色和责任的定义缺乏认识。

• 缺乏法律顾问（无论是内部员工还是外聘顾问），无法判断 Old Prairie 是否需要在敏感数据丢失时进行通知，以及通知的司法管辖区。

评估已识别的流程缺陷的严重性。

尽管没有发现的缺陷特别严重，但它们提供了降低组织社交媒体账户被攻破风险的机会，并提升事件响应过程的效率。

描述解决已识别缺陷的计划。

相关利益相关者将在后续的桌面演练中检查已识别的问题，并测试任何修复措施，以确保问题得到解决。

概览

列出开发团队的所有成员。

创建并主持桌面演练的开发团队包括：

• Ruth Miller，信息技术副总裁

• Michelle Kane，通讯副总裁

列出所有参与者。

桌面演练的参与者包括：

• Megan Tibbs，数字银行副总裁

• Joanne Svenningsen，财务总监

• Janice Marquardt，风险管理总监

• Sheryl Shectman，信息技术总监

• Corina Milea，人力资源总监

列出演练的目标。

本次演练的目标是：

• 在网络安全事件中，了解员工的角色和责任。

• 提高网络安全事件响应团队之间的沟通与协作。

• 按照网络安全事件响应计划，实践组织对现实网络安全事件的响应。

情境描述

提供情境和每个情节的简短描述。

桌面演练中呈现的情境涉及社交媒体被攻破及勒索，包含以下情节：

1. 一名外部威胁行为者攻破了 Old Prairie 的 Facebook 和 X 账户。现在，这些账户展示了一个知名恐怖组织的宣传信息。

2. 在尝试更改社交媒体页面内容时，员工发现他们被锁定在账户之外，无法进行更改。

3. 本地媒体团体和关注的客户就发布的内容联系 Old Prairie。

4. 威胁行为者发布了几条消息，声称他们窃取了 Old Prairie 的个人信息，包括银行账户记录，并要求支付比特币以避免泄露数据。

5. Old Prairie 重新获得社交媒体账户的控制权。

6. Old Prairie 的信息安全团队未发现攻击超出了社交媒体账户，且认为个人数据被泄露的可能性较小。

7. 调查显示，Old Prairie 营销团队的一名成员点击了一个钓鱼邮件，从而泄露了用户名和密码。这名员工有点击钓鱼链接的历史。

发现与观察

描述收集反馈的过程。

桌面演习以包括所有与会者的总结会议结束。随后，一小组关键利益相关者进行了第二次总结。开发团队从两组收集了关于潜在改进和其他问题的反馈。此外，参与者填写了演习后的调查问卷。以下部分总结了所得到的反馈，以及在桌面演习期间的观察结果。

描述在桌面演习中发现的任何优点。

演习揭示了以下成功之处：

合作

这次桌面演习突显了 Old Prairie 的团队合作精神。所有与会者积极参与演习，表达意见，并共同致力于事件的圆满解决，即使他们对事件响应缺乏了解。

外部合作伙伴

技术团队与多个外部公司建立了合作关系，包括外部事件响应团队和网络保险合作伙伴，这将有助于应对任何重大事件响应工作。

高层管理承诺

Old Prairie 的高层管理人员投入了超过两个小时参加桌面演习和演习后的总结会议，证明了他们对该过程的承诺。

详细描述所识别的问题，包括发现和观察、其影响，以及任何改进建议。

我们还识别出了一些弱点，列举如下，并附上相应的改进建议。

管理不当的社交媒体密码

Old Prairie 的密码管理政策（政策#201b）定义了所有 Old Prairie 环境中账户以及包含 Old Prairie 数据的任何外部账户的认证要求。特别需要注意的是，政策#201b 规定：

• 所有密码将包含至少 15 个字符、数字或符号。

• 所有密码将在每六个月更换一次。

• 密码将不会在 Old Prairie 的员工之间共享。

• 如果可用，必须启用多因素认证。

• 所有违反政策#201b 的行为都需要获得 Old Prairie 首席信息安全官的书面批准。

在演习过程中，确定了以下事项：

• 至少有三名员工共享一个 Old Prairie 社交媒体账户的密码。

• 员工为两个社交媒体账户使用了相同的密码。

• 单个员工通过更改社交媒体账户的密码，有可能将其他员工锁定。

• 密码是一个容易猜到的词汇，没有独特的符号、数字或大写字母。

• 虽然多因素认证可用，但未启用。

尽管参与者知道政策 #201b 的存在，但他们并不理解该政策如何适用于 Old Prairie 的社交媒体账户。

影响

已识别的不良密码使用习惯使得威胁行为者更容易对组织造成损害。Old Prairie 的 Facebook 和 X（前身为 Twitter）账户被入侵，可能会显著影响 Old Prairie 的声誉并引起其客户群的关注。

建议

Old Prairie 应重新审视政策 #201b，并确认其是否适用于社交媒体和其他账户。在进行任何必要的更新后，Old Prairie 应教育所有员工了解该政策的范围。最后，Old Prairie 应更新所有社交媒体账户以符合政策 #201b。Old Prairie 应定期审计内部和外部账户，确保符合政策要求。

对数据丢失通知要求的了解不足

根据 Old Prairie 的网络安全事件响应计划，组织的总法律顾问负责领导向受影响方和监管机构发出数据丢失通知。在这个情景中，总法律顾问对密苏里州的数据泄露通知法律有所了解，但对邻近州的法律不熟悉，而这些州正是 Old Prairie 客户群的所在地。Old Prairie 员工的评论表明，组织目前缺乏在数据丢失事件中采取适当措施所需的专业知识。

影响

网络安全事件可能需要在规定的时间内迅速通知关键的监管机构。如果不了解相关司法管辖区的数据泄露法律，Old Prairie 可能无法及时进行这些通知。在网络安全事件发生时，时间至关重要，组织可能会被迫浪费宝贵的时间寻找和采购适当的法律资源。

建议

Old Prairie 的总法律顾问应寻求、评估并聘请一家在美国范围内具有数据泄露通知经验的律师事务所。

事件期间角色认知不足

网络安全事件响应计划描述了员工在事件发生期间的角色和责任。然而，少数员工知道他们的具体义务。在桌面演练中，主持人询问参与者在应对网络安全事件时会采取的行动。很少有这些行动与网络安全事件响应计划中的规定一致，在多个情况下，员工推荐的行动与计划直接相悖。当被追问时，大多数与会者承认他们并不清楚计划的内容。

影响

所有寻求全面响应事件的组织必须进行事件响应规划。尽管 Old Prairie 有网络安全事件响应计划，但员工对该计划缺乏了解，这可能会不必要地延长响应时间。如果利益相关者忽视该计划，他们可能会错误地执行重要步骤。

建议

在事件响应计划中承担职责的 Old Prairie 员工应熟悉自己在网络安全事件中的责任。Old Prairie 应该教育全体员工了解该计划的存在，并为有相关职责的员工提供专门的培训。

结论

描述改进机会和下一步措施。

Old Prairie 的桌面演练揭示了若干改进机会。一些安全漏洞为事件提供了温床（如不良的社交媒体密码实践和政策意识），而另一些则可能妨碍组织及时响应事件（如缺乏角色和责任意识，或缺乏专门的法律顾问来协助数据泄露义务）。

我们将在六个月内进行后续演练，以便有足够的时间来整改关键问题。

第九章：索引

A

• 可访问性要求，39

• 主动利用，120

• 桌面演习的优势，13–14

• 效率，14

• 高投资回报率，13

• 低成本，13

• 无操作中断，14

• 亚马逊，16

• 与会者，38–40。另见 参与者

• 任务，93–94

• 音视频需求，39

• 审计员，48

B

• 后门渠道，96–97

• 董事会，9

• 分组，93–94

• 分组讨论室，91

• 预算，信息安全，17–18

• 业务连续性计划，19

• 面向商业的桌面演习，145–155

• 内部威胁示例，152–154

• 物理安全漏洞示例，145–148

• 社交媒体受损示例，148–152

• 业务影响分析，52

C

• Calce，Michael，16

• 日历邀请，43

• 案例研究

• 对当前事件的临时反应，17

• 牵强的情景，54–55

• 提高安全意识，8–9

• 媒体培训，92–93

• 相关情景，56

• 应对新法律，6

• 探讨组织弱点的情景，57

• 测试制造系统，15

• 面向供应商的演习，31–32

• 博彩黑客，16

• 网络安全中心（CIS），10，11

• 事件响应计划章程，19

• 首席信息安全官（CISO），5，6，39，99

• CISA（网络安全与基础设施安全局），13–14，58

• 联合主持人，86，92

• 事件响应团队的协作，4

• Colonial Pipeline，16，17

• 沟通负责人，42，43

• 沟通流程，评估，28

• 公关和营销公司，30

• 沟通技巧，96–101

• 与高级与会者沟通，97

• 考虑问题结构，99–100

• 建立人际关系，98–99

• 事先识别敏感话题，101

• 管理话语霸占者，97–98

• 监控生理反应，96

• 注意非语言交流，100

• 练习文化意识，100–101

• 设置备用通道，96–97

• 计算机安全事件处理指南（NIST SP 800-61r2），19，111

• 会议室，38–39，94–95

• 保密性，45–46

• 已确认的妥协，20

• 控制程序，14，19

• 合同，11

• 管理话语霸占者，97–98

• 数据泄露成本（Ponemon Institute 和 IBM 安全公司），7，14

• COVID-19 大流行，17

• 信用卡，11

• 跨培训，47

• 加密货币挖矿，15

• 文化意识，100–101

• 网络保险，48，58，113–114

• 网络安全与基础设施安全局，13–14，58

• 网络安全桌面演练，xix

D

• 暗网数据发现示例，138–141

• 数据泄露，7

• 已确认与怀疑，20

• 财务影响，6–7

• 通知要求，20–21

• 时间要求，20

• 数据保护法，6

• 选择日期和时间，37–38

• DDoS 攻击，16，141–143

• 事后总结，执行，105–106

• 国防联邦采购法规补充（DFARS），10，11

• 美国卫生与公众服务部，20

• 美国国土安全部，xxii

• 开发负责人，33–34

• 开发团队，33–36，43–44，103–104，107，112，113

• 评估员，36

• 促进者，34

• 负责人，33–34

• 观察员，35

• 主题专家，34–35

• 信任的代理人，35

• 讨论会，43–44

• 分布式拒绝服务（DDoS）攻击，16，141–143

• 文档，编目和更新，112

• 美国国防部（DoD），11

• 持续时间，37

E

• eBay，16

• 电子邮件通知，42–43

• 鼓励参与，76–77

• ENISA（欧洲网络安全局），14，16，110

• 威胁升级，8

• 升级节奏，场景，67–68

• 伦理责任，21

• 桌面演练礼仪，75

• 欧洲网络安全局，14，16，110

• 评估方法，105–107

• 进行简报，105

• 发送调查，106–107

• 评估要求，103–104

• 评估限制，104

• 评估员，选择一个，104–105

• 检查最近的网络安全事件，12

• 高层观众，135

• 高层检查点，41–42

• 高层发起人，24，41–43，53，96，101，105，107，108，113–114

• 责任，25–26

• 选择，24

• 高层桌面演练，9，135

• 深网数据发现示例，138–141

• DDoS 攻击示例，141–143

• 勒索软件示例，136–138

• 外部促进者，47

• 外部方通知，19

• 外部网站，39–40

• 外部利益相关者，48，113

• 外部供应商，30

F

• 促进者，83–85

• 挑战与会者，84

• 创建对抗性环境，85

• 外部，47

• 引导证人，84

• 促进者空间，39

• 设施，确保安全，38

• 邀请反馈，80

• 最终提醒，44–45

• 数据泄露的财务影响，8

• 发现，108–109，114

• 重点领域，15

• 预算，17–18

• 流程和程序的有效性，19

• 事件响应计划，19

• 信息分享协议，18

• 通知合规性，20–21

• 残留风险，21

• 威胁态势，16

• 后续活动，111–114

• 评估事件响应计划，112

• 编目和更新文档，112

• 沟通演习发现，114

• 进行进一步桌面演习，113

• 辨识和分析趋势，114

• 实施正式桌面演习计划，113–114

• 正式桌面演练计划，实施中，113–114

• “网络安全信息分享和风险减少框架”（Microsoft），18

• 框架，符合，10

• 法国国家信息系统安全局，xxii

• 完整报告，108, 159

• 发现和观察，108–109

• 建议，109

• 样本，110–111

• 模板，159–164

G

• 通用数据保护条例（GDPR），20

• 目标与目标，26–28, 77

• 地面真实性文件，68–73

• 与目标对齐，70

• 细节和预期结果，69–70

• 例子，70–73

• 保持现实感，70

• 和平的守护者，16

• 特邀演讲者，86

H

• 实操练习 vs. 桌面演习，13

• 健康保险可移植性和责任法案（HIPAA），20

• 国土安全演习和评估计划（HSEEP），xxii, 68

• 人力资源经理，5

我

• IBM 安全，7, 14

• 影响，评估，5–6, 109

• 事件升级路径，19

• 事件识别和通知，19

• 事件响应生命周期，64

• 事件响应计划，27, 30, 112

• 宪章，19

• 存在缺陷，15, 19

• 排演，27

• 团队角色和责任，19

• 测试，7

• 威胁指标，18

• 行业同行，59

• 行业标准，与之对齐，10–11

• 非正式接触点，44

• 信息安全预算，17–18

• 信息安全经理，5

• 信息共享协议，18

• 注入，78

• 清晰性和简洁性，63

• 日期和时间，79

• 已定义，59

• 指导焦点，62

• 高级管理，60

• 形象化，79

• 媒体，62

• 非技术性，61

• 模拟时间限制，61

• 技术性，60

• 面对面演练，36–37

• 内部威胁示例，152

• 预期结果，77–78

• 国际标准化组织（ISO），xxii，10

• 人际关系，98–99

• 采访（电影），16

• IoC（妥协指标），18

• ISO/IEC 27001，10

K

• 金正恩，16

• 已知风险，识别和优先排序，12

L

• 横向移动，52

• 执法机关，58

• 法律，响应，6

• 法律特权，32

• 法律支持，5，32–33，107

• 经验教训

• 来自事件响应，12

• 来自桌面演练，13

• 后勤考虑，36–41，43

• 日期和时间，37–38

• 演练持续时间，37

• 远程与面对面演练，36–37

• 保护设施，38–40

• 设置基调，40–41

M

• 恶意软件，15

• 恶意软件爆发示例，126–130

• 托管安全服务提供商（MSSP），27–28，30

• 管理任务，85–87

• 添加共同主持人，86

• 指定记录员，85

• 邀请嘉宾讲师，86

• 预写问题，87

• 制造系统，15

• 微软，18

• 事件响应计划中的使命声明，19

• 道德责任，21

• 莫里斯，罗伯特，16

• 莫里斯蠕虫，16

• 多媒体辅助工具，92

N

• 国家标准与技术研究院（NIST），xxii，10，64

• 事件响应生命周期，64

• SP 800-3，110

• SP 800-61r2， 19， 111

• SP 800-84， 10， 106

• SP 800-171， 11

• 网络管理员， 5

• 朝鲜， 16

• 非语言沟通， 100

• 非语言沟通（Burgoon、Manusov 和 Guerrero）， 100

• 通知， 41

• 日历邀请， 43

• 讨论会， 43–44

• 电子邮件， 42–43

• 高层检查点和， 41–42

• 外部方， 19

• 最后提醒， 44–45

• 非正式接触点， 44

• 要求， 20–21

O

• 目标与目标， 26–27

• 观察， 108–109

• 观察员， 35

• 操作级别演练， 28–29

• 来自受邀者的反对， 46–47

• 组织文化， 37

• 外包桌面演练， 47–48

P

• 参与者

• 可访问性要求， 39

• 便利性， 38–39

• 确定， 29–30

• 通知， 41–43

• 数量， 39

• 来自的反对， 46–47

• 社交距离， 39

• 支付卡行业数据安全标准（PCI-DSS）， 11

• 渗透测试， 15

• 个人数据， 6

• 网络钓鱼， 8–9， 120–123

• 物理安全漏洞示例， 145–148

• 生理反应， 96

• 作战手册， 19

• 调查软件， 88–89

• 波诺门研究所， 7， 14

• 演示文稿， 73–80

• 复盘， 80

• 注入， 78–80

• 介绍， 74

• 序言， 74–78

• 预写问题， 79–80， 87

• 印刷和邮寄公司， 30

• 利益相关者的优先级， 39

• 过程变化的影响评估， 5–6

• 更新过程， 112

• 过程和程序的有效性， 19

Q

• 问题结构， 99–100

R

• 勒索软件， 13， 16， 56， 57

• 示例

• 高层演练， 136–138

• 技术演练， 123–126

• 桌面演练的理由， 75

• 现实主义

• 在真实数据文档中，70

• 场景的，54–55

• 进行桌面演练的理由

• 与行业标准对齐，10–11

• 评估流程变更的影响，5–6

• 明确团队角色和责任，4–5

• 检查最近的网络安全事件，12

• 探讨关键问题，9

• 履行合同要求，11

• 确定并优先处理已知风险，12

• 改善关系，4

• 提高安全意识，8–9

• 准备高层领导应对事件，9–10

• 降低数据泄露成本，6–7

• 基于发现和观察的建议，109

• 录音设备和软件，94

• 红队，7，13

• 相关场景，55

• 远程演练，36–37

• 远程演示软件，91–92

• 报告惯例，107–111

• 完整报告，108–110，159–164

• 完成声明，107–108，157–159

• 要求和限制，103–104

• 更正措施后的剩余风险，21

• 团队的责任，4–5

• 投资回报，13

• 风险披露，10

• 风险管理，5

• 风险登记册，12

S

• 示例报告，110–111

• 沙特阿拉伯，16

• 沙特阿美，16

• 场景，53

• 有效性的特征，53–57

• 启发，57–59

• 记录，85，92，108

• 美国证券交易委员会（SEC），9–10，59

• 表格 8-K，20

• 表格 10-K，9–10，59

• 安全意识，8–9

• 准备高层领导应对安全事件，9–10

• 安全操作中心（SOC），30，47

• 高级参与者，97

• 高级别演练，28–29

• 敏感话题，101

• 沙穆恩病毒，16

• 欺骗短信，17

• 社交距离，39

• 社交媒体，13

• 社交媒体妥协示例，148–152

• 索尼影业，16

• 利益相关者，4，39

• 完成声明，107–108

• 模板，157–159

• 故事板

• 设计，63–67

• 示例，65，69

• Stuxnet，16

• 主题专家，34–35

• 供应链攻击，130

• 供应链妥协示例，130–133

• 调查，发送，106–107

• 疑似妥协，20

T

• 桌面练习。参见 桌面练习的优势; 关注领域; 后勤考虑

• 定义，3

• 教育组成部分，74

• 桌面练习战术，88，93–94

• 同步练习，29

• 团队责任，4

• 技术受众，119

• 技术桌面练习，9，119

• 恶意软件爆发示例，126–130

• 钓鱼活动示例，120–123

• 勒索软件示例，123–126

• 供应链妥协示例，130–133

• 测试频率，19

• 第三方评估，48

• 威胁景观，16

• 辨识威胁，8

• 桌面练习工具，88

• 多媒体辅助工具，92–93

• 投票软件，88–91

• 录音设备和软件，94

• 远程演示软件，91–92

• 写字板，88

• 设置语调，40–41

• 主题，选择，52–53

• 与执行赞助人商议，53

• 咨询业务影响分析，52

• 利用其他资源，53

• 趋势分析，114

• 可信代理，35，96–97

U

• 美国国防部（DoD），11

• 美国卫生与公众服务部，20

• 美国国土安全部，xxii

• 美国证券交易委员会（SEC），9–10，20，59

V

• vCISO（虚拟首席信息安全官），30，47

• 供应商响应评估，27–28

• 与供应商合作，30–32

W

• 宴会现场交流，95–96

• 写字板，88

Y

• 雅虎，16