风险管理之使用网络安全场景

场景规划如何帮助您探索和管理网络安全风险。

介绍

在我们的风险管理框架指南的第 3 步中，我们鼓励您定义网络安全风险挑战。探索网络安全场景可以帮助您了解可能面临的网络安全风险挑战，并制定对网络安全事件的响应措施。使用场景还可以帮助识别风险评估和控制集可能遗漏的风险和问题。

网络安全场景可用于支持两种类型的网络安全风险管理活动。

• 基于场景的演习可以帮助组织改进对特定场景的响应，以识别以前不可预见的风险和后果

• 未来情景规划可以帮助组织重新评估潜在情景，挑战他们当前对未来可能发生的情况的假设

如果您不熟悉网络安全方案，可能会发现NCSC 的“Exerce in a Box”非常有用，这是一个免费的在线工具，可帮助组织了解其对网络攻击的抵御能力。

基于场景的练习

基于场景的练习可帮助组织测试事件响应计划，以突出显示其中的任何潜在问题。这是行之有效的做法（消防演习是一个典型的例子，参与者在紧急情况下了解离开建筑物的路线）。这种演习的好处是显而易见的；如果发生真正的火灾，人们将不太容易惊慌，因为他们知道自己需要做什么。吸取的经验教训（例如发现建筑物疏散中的瓶颈）可用于开发“剧本”或描述组织如何应对特定场景的文档。它们可以帮助制定一致、有针对性和可重复的响应。

针对网络安全事件制定练习和行动手册可能还不太成熟。网络安全事件往往会产生意想不到的后果；场景允许组织在安全的环境中挖掘它们。您应该制定行动手册来记录如何应对最常见的攻击（例如勒索软件事件或供应链中的问题）或您最关心的风险。这些练习不一定是为了找出组织的错误而进行的。相反，他们的重点应该是帮助培训和装备组织以应对网络攻击。

我们使用的技术系统变得越来越复杂和相互关联，这使得我们很难理解系统的一个部分如何与其他部分交互并影响其他部分。使用系统模型为网络安全演习和场景规划提供信息不仅可以可视化您正在演习的系统，而且可以测试您的模型以及构建模型时所做的假设。记住没有一个模型是完美的，所有模型都有其局限性，这一点很有用。

基于情景的练习的类型

基于场景的练习主要分为三种类型。

1.基于讨论的练习

这些方法成本低廉，需要最少的规划，并且可以轻松运行，包括半即兴运行。它们通常用于提高对已经制定的计划的认识，或者用于难以在实践中测试的场景（例如影响组织内每个端点的勒索软件攻击）。

2.桌面练习

这些都是基于表格的，涉及结构化活动（包括角色扮演和游戏）作为场景的焦点。这些通常在非正式的环境中进行，没有实际操作或现场工作。他们的目标是引发有关该场景的讨论，以提高认识、制定、验证或压力测试计划。游戏可以有效地强调事件期间的决策以及事件后恢复行动的顺序问题（参与者通常强调行动之间的相互依赖性）。

3.功能练习

这些是最身临其境的，涉及正在运用的技术、人员和流程。它们会扰乱正常工作，成本高昂，并且需要详细的规划。与桌面练习相比，它们可以更深入地了解您的组织将如何反应并更有效地揭示不可预见的结果。它们的规模可以不同，从单个部门到一组组织。

无论您使用哪种类型，请记住，目的是管理风险，而不是将被认为无效或疏忽的行为归咎于个人或团队。在规划场景时应牢记这一点，并以积极、合作和基于学习的方式构建。

有关创建网络事件响应练习的更多信息，请参阅我们的指南。

让参与者参与基于场景的练习

• 您需要确保参与者“认同”，这将确保他们对场景的反应与他们的正常行为非常吻合。毕竟，演习的目的是评估人们对真实事件的反应。这些场景应该更新和发展，以反映您的组织的变化。这将使他们保持有趣和吸引力。考虑以下：

• 演习将涉及哪些内容？确保您的场景从一开始就清晰，并包括现实的（如果加速的话）时间表和环境。可以运用许多不同的场景。

• 谁应该参与？您必须拥有合适的人员，并考虑他们的角色、技能和经验。

• 应包括什么详细程度？纳入足够的细节，以揭示决策的效果并增加场景的真实性。

观察员和协调员

协调员在创建现实场景中发挥着重要作用，但请仔细考虑您期望从他们那里获得的投入程度。尽早指出明显的错误可以避免浪费时间。相反，过多的输入会限制场景并减少学习机会。观察员或抄写员（他们不参与实际演习，但记录整个过程）至关重要，可确保捕获所有结果。

短期规划：进一步阅读

• NCSC 指南：创建网络演习的有效步骤

• NCSC 的“Exercise in a Box”在线工具

• 内阁办公室：应急计划和准备：演习和培训

• J. Kick“网络练习手册”(mitre.org) 2014

未来情景规划

未来情景规划的目的不是预测，而是鼓励学习，以便决策者可以考虑未来的其他可能性。它提供了规划不同潜在未来的方法，并研究它们如何影响组织的计划。开发这样的场景可以扩展你的思维。虽然无法准确预测未来，但您可以更深入地了解变革的驱动因素。未来的情景规划应该对“假设”类型的问题持开放态度，让人们在宽容的环境中挑战现有的看法，允许考虑具有高影响力的、一代人一次的事件（也称为“黑天鹅” ）。

未来情景规划最重要的成果是挑战人们现有的看法，鼓励他们对未来进行不同的思考，这样他们就可以针对目前看来难以置信或牵强的网络安全风险和结果进行规划。

这些方法可能有助于考虑常见的业务/技术挑战，例如将服务迁移到云时、与合作伙伴组织合并或分拆 IT 系统和业务流程时，或者由于运营原因而不得不继续使用可能存在漏洞的遗留技术时遇到的挑战。需要或缺乏资金。它们还有助于考虑您对令人不快的“低频 - 高影响”事件的反应（例如，为了应对流行病而不得不强迫员工在家工作），或供应链中的重大问题（这可能意味着关键的问题）。对运营至关重要的零件或服务可能不再可用）。

开发这些未来场景时请考虑以下因素：

• 范围：从一开始就应明确定义范围，关键利益相关者和时间表也应如此。

• 区分趋势和不确定性；参与者应该就“趋势”的标准达成一致。否则，就会存在不确定性。

• 合理的未来：在上述步骤 1 和 2 商定的范围内考虑多种替代未来，从而可以自由地提出任何“假设”问题。场景应该是一致且合理的。

• 专注于“那又怎样？” 每个场景可能会揭示不同的结果；确保重点是组织如何反应。查看共性（因为这可以定义行动方案）和差异。这将使我们能够专注于确定关键决策点。

• 交流经验教训。

• 了解所使用的方法的局限性及其提供的准确性水平（确保不会高估所调查的期货的潜在现实性）。

原文始发于微信公众号（祺印说信安）：风险管理之使用网络安全场景