攻防演习 | 用沙盘推演验证事件响应计划的有效性（附下载）

国家组织的攻防演习，旨在检验组织机构的安全防护和应急响应能力，提高综合防控水平，包含攻防实战、沙盘推演、应急演练三个阶段。

针对攻防实战阶段，我们发布了《比渗透测试更有用，红队演练该如何开展？》、《攻防演练 | 关于蓝队攻击研判的3大要点解读》、《攻防演练 | 风险收敛加固指南：7个维度，30+Checklist》等一系列攻防演习的文章。

针对沙盘推演阶段，有部分公司参与过。虽然沙盘推演对验证事件响应计划的有效性、提高组织机构的整体安全态势很有帮助，但很多公司并不太熟悉该如何有效开展沙盘推演。

本文推荐的《攻防演习之沙盘推演完全指南》旨在帮助IT和安全专业人员克服挑战，有效开展网络安全沙盘推演活动。在指南中，我们介绍了沙盘推演的基本状况、参与者、常见考虑因素、以及一些沙盘推演常用场景。以下是本指南的内容概况。

扫描以下二维码，下载完整报告

对于大多数组织机构来说，问题不再是会不会被入侵，而是何时被入侵。由于网络安全攻击发生的概率很高，而且成本高昂。根据Ponemon研究所与IBM 发布的《2021数据泄露成本报告》显示，2021年数据泄露的平均成本是424万美元。因此，企业需要制定事件响应计划，确保他们在发生攻击事件时能够及时做出正确响应。

数据泄露的平均总成本

这就是沙盘推演发挥作用的地方。沙盘推演旨在验证组织机构的事件响应计划，其目的是了解组织机构在真实的入侵事件中会如何反应，确定事件响应计划中的优势和劣势，并促进组织机构内部的应对准备工作。

事件响应计划是沙盘推演中不可或缺的一个组成部分。事件响应计划可以作为一个蓝图，让员工能够及时响应安全事件，并从安全事件中恢复过来。如果组织机构有事件响应计划，沙盘推演可以验证该计划，或者发现计划中存在的问题和漏洞。如果组织机构没有事件响应计划，那么需要在进行沙盘推演之前先制定。在组织机构制定了事件响应计划后，沙盘推演就可以确保团队中的每个人都知道他们各自的角色，知道应该如何处理某些攻击。

沙盘推演的目的是验证事件响应计划（IRP）。因此，事件响应计划是沙盘推演中不可或缺的一个组成部分。如果组织机构计划进行沙盘推演，但并没有事件响应计划，这时，组织机构需要首先制定事件响应计划，可以围绕安全事件和如何响应来制定。此外，较小范围的沙盘推演也有助于验证事件响应计划各个部分的效果。事实上，通过较小规模的沙盘推演，可以不断将事件响应计划充实完善起来。沙盘推演有助于发现事件响应计划中的漏洞、需要改进的地方、意外发现的后勤支持问题等等。

沙盘推演是一种安全事件准备活动，让参与者参与模拟事件场景的全流程，并为参与者提供实战训练，从而找出事件响应计划中的缺陷。通常，沙盘推演会将包括安全团队、IT团队、管理人员、公关人员、法律顾问等在内的事件响应团队召集起来，一起讨论他们在应对安全事件时，他们各自的职责与响应方式。这种讨论通常由受过训练的主持人进行，他通过多种情景引导团队，并确定他们的准备情况或响应过程中存在问题的地方。

由于安全事件可能导致组织机构的运营、服务或功能受损或中断，这就需要事件响应团队快速有效地行动起来。通过沙盘推演可以确定事件响应团队将如何识别、分析和解决事件，以及防止未来再次发生此类事件。

制定好事件响应计划后，沙盘推演的负责人可以从以下几个方面进行规划与开展沙盘推演活动。您可下载完整报告，查看详情。

沙盘推演的七个重要环节

设计阶段：针对特定系统确定沙盘推演的场景。如果组织机构已经制定了事件响应计划，建议选择事件响应计划中列出的威胁作为沙盘推演场景。

确定主题：沙盘推演可按攻击向量、数据类型（如网络、隐私、组织敏感、系统特定）和攻击方向（即外部或内部）来选择。

确定范围：沙盘推演的范围可以是只从技术层面开展，往往不会涉及入侵引发的其他问题；也可以从战术层面开展，增加场景的真实性；也可以按照影响程度最大的情况来开展。

确定目标：沙盘推演的目标应该根据事件响应计划中列出的威胁和响应目标而定。确定目标有助于相关者积极参与沙盘演习活动。

确定参与者：沙盘推演的主要参与者包括事件响应的参与人员、外部机构、主持人、数据记录员等等。

协调后勤工作：后勤工作包括日期和时间、地点（如会议室、远程/虚拟会议）、支持设备（如笔记本电脑）、标语牌、茶点、会议邀请函和支持/参考文件（如IRP）。

制定材料：材料可以包括演讲幻灯片、参与者指南、主持人指南和调查问卷等等，问卷应询问未讨论的问题、本次沙盘推演的优势和劣势、从演练中获得的收获以及对演练的改进建议。

沙盘推演模拟了真实危机，可以验证组织机构在面临入侵时，其事件响应计划的有效性。通过沙盘推演，可以让组织机构以一种清晰、有效的方式来处理安全威胁，并有效开展入侵恢复计划，从而让组织机构做到有备无患。整体而言，沙盘推演可以带来以下六个方面的效益。

沙盘推演的六大效益

提高安全意识，增强对威胁的理解：随着网络犯罪变得越来越复杂，组织机构需要定期进行沙盘推演，最好是每年四次，这可以确保现有员工的安全意识始终不会懈怠，并且新员工能够得到有关事件响应计划的全面培训。

评估整体的事件准备情况：沙盘推演可以把事件响应计划付诸实践，并让安全人员清楚地了解目前的事件响应计划。

发现事件响应计划中的不足之处：沙盘推演的目的是验证组织机构现有的响应计划，并确定其优势和劣势，推动其不断完善与改进。

明确事件发生时各自的角色和责任：沙盘推演有助于缩短响应时间，因为通过演习，安全团队已经掌握了评估和处理问题的经验。沙盘推演还可以确定组织机构在多大程度上达到了事件响应目标。

验证事件响应计划和培训效果：如果没有人真正知道在事件发生后该怎么做，即使是再完善的事件响应计划，也是无济于事的。沙盘推演是验证培训效果和确保团队做好准备的一个好方法。

通过总结分析改进计划：通常，在沙盘推演结束后，会针对演习活动的各个方面与环节进行总结复盘，以便确定发现的问题或担忧，并针对哪些领域需要改进征求意见，从而不断完善事件响应计划。

沙盘推演可以有效验证组织机构事件响应计划的有效性，确定计划的优势和劣势，促进相关人员态度和观念的改变，并提高整个组织机构的安全事件响应态势。

就像在剧院演出一样，在开幕之前进行彩排练习可以确保开幕之夜能够成功完成演出。定期进行沙盘推演可以确保组织机构在遇到真正的攻击者之前已经准备好了充分准备，能够在遇到真实攻击时及时采取有效的响应措施。

有关沙盘推演的更多详情，您也可点击“阅读原文”，下载完整版《攻防演习之沙盘推演完全指南》。