本周主题网络安全应急响应专题，有感兴趣的可以指导留言

创建网络安全演练的有效步骤

NCSC发布

以下提示可以帮助组织创建自己的网络事件响应演练。

本指南适用于希望创建自己的网络事件响应演练的组织。它是为中小型组织的IT员工、网络风险管理和业务连续性团队编写的。我们将本指南分解为9个可管理的步骤，以确保关键要素不会被忽视。

如果你是网络演练的新手，或者正在寻找现成的通用演练，请参阅NCSC的免费盒装演练在线工具，该工具包含设置、计划、交付和演练后活动的材料。

为什么要进行网络事件演练？

组织需要能够快速有效地检测和应对网络事件，以减少其可能造成的财务、运营和声誉损害。因此，制定有效的网络安全和健全的事件响应计划和程序至关重要，团队遵守这些计划和程序的能力也至关重要。

网络事件演练有助于组织确定其对网络攻击的抵御能力，并在安全的环境中演练应对措施。演练也有助于在组织内创造一种学习文化，并为相关团队和个人提供机会，使他们在事故中发挥最大作用。

创建定制演练可以让你定制这些演练，以反映你所在组织的价值观，以及你面临的独特挑战、限制和威胁。

注意：你不应该用演练来制定你的应对计划；这些应该已经到位了。如果你还没有应对计划，可以通过研讨会和咨询来帮助制定。

信息图摘要

步骤1：明确你想演练什么，以及为什么

从一开始就设定明确的目标将确保你的方法保持专注。考虑进行风险分析，以确定业务中最关键的部分，并首先使用演练对此进行测试。同样重要的是，要确保被训练的团队有明确的计划，告知他们应该如何应对网络事件，并让他们理解。在演练之前，你需要制定明确的应对计划；没有这些，你就没有什么可测试的。有关响应计划的更多信息，请参阅NCSC的《小企业指南：响应与恢复》。

提示

• 你决定行使的网络风险不仅应该基于它们可能造成的潜在危害，还应该基于它们实现的可能性。

• 将你的演练与你最大的网络风险联系起来，将大大增加你获得高级认可的机会。

• 为你的演练命名将有助于你的同事将其与任何现实生活中的事件区分开来，从而避免不必要的混淆，并为从中吸取的教训创造一个参考点。

步骤2：获得高层认可

管理层会想知道进行演练的理由。组织内部的大力支持不仅会增加演练的参与度，还会确保任何由此产生的建议都能更容易地落实到位。

确保获得高层负责人的认可，人员具备在管理层进行有效沟通所需的技能，并确保他们能够将行使活动与业务和运营风险明确联系起来。他们应该解释：

• 演练的重点领域以及原因

• 交付所需的可能资源（人力和财力）

• 与不进行相关的风险（以及任何替代方案）

• 任何相关的初始员工沟通计划，以最大限度地提高意识和参与度

• 如何让他们了解最新进展

提示

• 寻求一个演练计划的批准，而不是单个的。这不仅更节省时间，而且还将：

• 展示一种连贯的活动方法

• 确保关键领域和/或问题可以通过有针对性的个人演练来演练

• 确保从一次演练中确定的经验教训在下一次演练之前反映在更新的程序中

步骤3：选择最有效的方法/格式

演练可能是资源密集型的，所以要仔细考虑你想进行的演练类型，以最好地达到你的目标。大致有两种类型：

• 桌面演练是一种基于讨论的会议，团队成员在会议上讨论他们在网络事件中的角色和反应

• 模拟演练，团队成员在模拟网络事件中履行职责，通常是实时的。

或者，你的目标可以通过标准的训练来更好地实现。

在决定您的方法时需要考虑的因素包括：

• 设定的目标

• 可用的资源

• 可用于创建和运行演练的时间

• 参与网络事件响应的关键团队的可用性（例如，确保所有相关团队都在场可能会对多站点组织构成挑战，或者远程工作是常态）

提示

• 演练应该用来加强和测试你现有的计划，而不是创造新的计划。后者可以通过讲习班和协商等其他活动更好地实现

• 确保您的网络响应计划尽可能彻底，并且您组织中的合适人员能够访问这些计划。如果没有这一点，参与者可能会做出困惑和不协调的反应，这可能会损害士气

步骤4：创建一个演练开发团队，并同意演练参与者

从整个业务中创建一个定制的临时团队，无论规模有多小，都将帮助您利用更广泛的专业知识开发和提供演练。一个敬业的团队更适合：

• 确保演练尽可能逼真

• 帮助监控游戏中的活动

• 确定从演练中得到的任何教训

确保整个业务都有正确的参与，以实现你的演练目标。这不仅包括他们的工作职能，必要时还包括适当的资历水平以及在网络事件期间你可能会拜访的任何外部利益相关者（如承包商和第三方）。

提示

• 确保演练时间不会与组织的任何关键活动期相冲突，因为这会影响你对演练的参与和你的企业核心运营。

步骤5：创建并商定演练指标

定义你将如何衡量演练中的表现，以及参与者在每个阶段的预期行动。衡量标准应允许发现任何有效的响应领域（以及需要进一步开发的领域），从而确定明确的经验教训和建议。确保任何商定的指标尽可能全面，并允许对回应进行准确和全面的解释。注意力不集中或不完整的衡量标准将提供不可靠的数据，引入偏见，并导致错误的教训。指标可能包括：

• 参与者遵守商定的应对计划

• 执行任何关键任务所花费的时间

• 所做决定的质量和所产生的任何回应材料（如公共信息）

• 所采取行动的有效性

提示

• 考虑使用一个带有单独指标的反馈表来衡量参与者对演练本身的开发和运行情况的看法。

步骤6：创建和开发演练场景

利用你的演练目标，开始创建一个你的演练将遵循的场景（或故事情节）。考虑向参与者提供相关信息，以帮助使演练更具吸引力或更逼真，例如新闻中引用真实世界事件的背景故事。

提示

• 考虑如何在事故发生期间管理内部和外部沟通，将其构建到您的场景中。

• 进行一些研究，看看最近是否有针对您所在行业或您使用的任何系统的网络攻击或威胁。NCSC的每周威胁报告是一个很好的起点。

步骤7：创建和开发行动投入

创建参与者在演练期间将收到的信息（“投入”）。这些投入（可以是书面的或口头的）将为参与者提供信息和更新以供评估。使用更广泛的开发团队来确保这些注入是现实的，并发送给您业务中合适的个人。

提示

明确每个投入的设计目的，以及它将提示的预期操作。投入不清楚或注意力不集中不仅可能引起混乱，还可能引发参与者提出超出您演练范围的问题。

通过技术专家进行任何相关的投入，以确保所陈述的内容可信和准确（更重要的是，不会导致任何可能停止剩余演练的后果）。

确保游戏期间的所有演练交流和材料（包括口头）都是通过使用“演练-演练-演练”和演练名称开始的。例如，如果你的演练被称为“Powerplay”，你会从公告“演练，演练，演练POWERPLAY”开始。这将确保演练不会被误认为是正常的业务沟通。这一点应在所有参与者演练指导文件中予以明确。

步骤8：为交付团队和参与者制定指导

在演练前几天为参与者创建并分发指导，以便他们做好充分准备。这应该包括定义对他们的期望的演练规则，以及你可能希望他们了解的任何上下文信息。关于这个例子，你可以参考NCSC的免费盒子演练在线工具。还应该明确谁将参加（例如，通过提供演练参与者目录）以及如何获取反馈。对交付团队本身的指导可能包括：

• 演练场景和投入

• 行动指标

• 任何主持人提示

• 记录反馈的文档

提示

即使是最好的演练也会向参与者提出你在创建阶段可能没有发现的问题。为参与者提供一个在游戏中向交付团队提出这些问题的选项，但也要确保任何参与者的指导都表明他们不应该“对抗场景”，即使他们认为这不现实。

确保参与者意识到他们需要根据不完整的信息做出决定（因为这模拟了现实生活事件早期阶段的情况）。

确保组织中的所有参与者和更广泛的同事都知道演练的开始和结束时间。这可以通过给所有员工的电子邮件来完成，并辅以tannoy公告。

步骤9：获取证据和反馈，并在演练后报告中确定经验教训

记录参与者的所有关键观察结果，包括可能效果不佳的事情。关于这可能是什么样子的示例，您可以参考NCSC的Exercise in a Box服务。让参与者有机会提供反馈，包括演练的设计和实施。任何演习后报告应包括：

• 确定的主要观察结果/经验教训

• 相关建议

• 向企业主分配建议，以确保采取行动

• 参与者反馈总结

提示

• 考虑在演练后直接进行一次简短的复习（“a hot-wash”），以捕捉关键参与者的初步想法。这个环节也可以用来展示你的初步发现。

• 确保在进行后续网络演习之前执行任何建议。

• 获取对演练设计和实施的反馈，应告知如何改进未来的演练。

原文始发于微信公众号（老烦的草根安全观）：创建网络安全演练的有效步骤