Editor’s note: The following is a sponsored blog post from Adobe.
Adobe的事件响应人员是负责调查和响应可能导致操作和服务丢失或中断的事件或事件的前线防御人员. Although our responders are geographically dispersed, they work in concert, 唯一的目的是识别和减轻对我们网络和系统的威胁和攻击. 鉴于网络安全事件有可能造成不可挽回的损失, 我们的响应人员实施战略规划流程并进行预先准备培训,以尽量减少各种安全事件的影响.
在Adobe, 我们需要对事件响应(IR)团队进行不同风格的培训, 保持我们的反应人员的技能新鲜,并帮助他们保持卓越水平. 在这篇文章中,我们将讨论一种独特的训练风格:桌面和事件模拟练习.
What is a Tabletop Exercise?
Traditionally, 桌面演习是基于场景或讨论的演习,旨在测试公司的事件响应计划, processes and team members. 在事件响应者被推入事件的风口之前,常规测试对于突出差距至关重要. For instance, 桌面可以帮助识别和建立与关键涉众的跨职能关系, 充实IR团队的角色和职责,验证呼叫树和其他流程.
桌面应该植根于直接适用于您的特定组织的真实场景. If you have trouble coming up with a scenario, 翻开新闻中(不幸的)大量安全漏洞中的任何一个,问一下, “How would we 处理 那?"
Tabletops should also have clear evaluation objectives. 只要求你“打勾”的桌面通常不会产生清晰的目标. 良好定义的目标为测试提供了清晰的焦点,同时也为评估练习提供了度量标准.
What are the Different Types of Tabletop 培训?
在Adobe, 我们不仅使用传统的长篇大论的讨论桌面, 但是我们也扩展了桌面的概念,包括quick, rapid-fire scenarios as well as full incident simulations.
Long-Form Discussions: 传统的桌面运动通常需要60到90分钟才能完成. 长形式的讨论需要开发明确的目标来定义特定的测试平台. 参与者收到一个准备好的场景,并通过模拟真实的安全相关事件来完成决策和任务. 在整个练习过程中,促进者提供输入来指导讨论流程. 观察者注意到每个参与者的决定的优点和缺点, 评估团队互动并提出改进建议. Following the tabletop, 参与者根据设定的目标提供反馈和评估练习. The facilitator then summarizes all observations, 提供意见,并根据改进的领域制定行动计划.
Rapid-fire Scenarios: In contrast to long-form discussions, 快速射击场景是非常高的级别,意味着容易和快速地理解和讨论. 速射场景通常不超过5分钟, provide adequate time to review multiple scenarios, 并允许多个个体扮演事件响应者的角色. 最优, 速射场景包括一个一小时的测试,包括四到五个人, including a mix of junior-, 具有不同背景和经验的中高层团队成员. 使用速射场景进行测试允许更自由的讨论,并且初级团队成员有更多的机会向更有经验的中级和高级团队成员学习.
Incident Simulations: 作为其他练习的补充,事件模拟模拟了真实攻击者的行动. 而实际的模拟可以根据测试的具体目标在大小和范围上有所不同, 它们在突破端到端流程和程序的极限方面非常有效, such as detection and triage, escalation, incident handling, and forensic analysis. 模拟也非常适合于向响应人员讲授公司内不同的环境. 在理想的情况下, 事件模拟涉及开发环境中的真实服务器,而不是生产环境, 这使您能够处理真实事件中出现的真实数据.
Simulations can answer questions such as:
- Do you have the data 那 you think you have?
- Are your detection rules really working?
- Can you acquire the forensic images needed for analysis?
最好知道这类问题的答案 之前 you’re in the middle of a real, high-stakes incident.
The Benefit of Incident Simulations
在Adobe, 我们发现,事件模拟是发现监控和检测过程中漏洞的好方法, improve important IR processes and skills, and learn more about our diverse environments. 模拟也给我们的IR员工提供了进攻和防御安全技术的经验, 模拟攻击者的行为可以帮助我们更好地理解哪些工件可以用来捕获坏人. Not only has this insight increased our technical skillset, 但它也帮助我们发现了我们分析能力中的差距. 反过来,我们使用模拟来测试我们开发的新工具集来解决这些差距. At the end of the day, 模拟对我们的事件响应团队非常有价值,并继续帮助我们保持基础设施和客户数据的安全.
