Подземелья и аварийное восстановление: настольные упражнения для обучения ИТ

Подземелья и аварийное восстановление: настольные упражнения для обучения ИТ

9 февраля 2023 г.

Группа руководителей сидит за столом. Перед ними карта, шесть героических фигур, стоящих в макете дата-центра, окруженных со всех сторон маленькими присевшими существами в толстовках. На одном конце стола DM драматично говорит. «Вы отступили в серверную, поскольку DDoS продолжается. Хакеры несколько раз были отбиты, но вы все ранены и у вас мало ресурсов. обновление. Что вы делаете?"

Игроки какое-то время обсуждают, прежде чем директор по информационным технологиям делает глубокий вдох и смотрит на Мастера. Очевидно, что решение, которое она собирается принять, давит на нее, это крайняя мера, и будет побочный ущерб. Тем не менее, ее голос сильный и уверенный, когда она произносит: "Я использую усиленный брандмауэр".

Сегодня мы рассмотрим кабинетные учения или сценарии и то, как они используются для подготовки к худшему в сфере безопасности.

Использование кабинетных упражнений для обучения инженеров по кибербезопасности

К сожалению (или к счастью), это не то, как на самом деле проводятся настольные упражнения, хотя есть некоторые разновидности, которые очень близки к краю насыщения играми (и действительно, некоторые, которые не только обходят грань, но и с готовностью перепрыгивают через нее). головой вперед). Хотя в реальности злобных киберпреступников, вызывающих гремлинов, и владеющих магией команд безопасности может быть меньше, цели хорошего сценария и хорошей ролевой кампании во многом совпадают.

Running a tabletop exercise saves taking a more drastic and pyromaniacal approach to practicing disaster recovery, like burning down your data center.

Кабинетные учения — это способ проверить планы и подготовиться, не прибегая к более радикальному шагу — сжиганию собственного центра обработки данных. Важно знать, как бизнес будет функционировать после такого кризиса, и подготовиться к нему, но фактический шаг по сжиганию вашего центра обработки данных может показаться слишком сложным для упражнения. Вместо этого эти кризисные события разыгрываются, будь то обнаружение линий связи, проверка планов реагирования на инциденты (будь то непрерывность бизнеса или аварийное восстановление) или просто обучение сотрудников и повышение осведомленности о важности безопасности.

Краткая история

Эти учения также имеют долгую и благородную историю, выходящую за рамки использования современных ИТ и кибербезопасности, восходящую как минимум на двести лет к «Крифсшпилю» Райсвица в 1824 году, разработанному им и его отцом и описанному генералом Карлом фон Мюффлингом как «Это вовсе не игра! Это подготовка к войне. Я буду с энтузиазмом рекомендовать ее всей армии». Это подход, используемый мировыми вооруженными силами для подготовки своих сил к боевым действиям, поскольку НАТО запустила инициативу Wargaming в 2022 году в Париже. Даже службы экстренной помощи, где Национальная служба здравоохранения регулярно проводит симуляции с участием десятков актеров и групп полного грима, чтобы эффективно имитировать травмы.

Kriefsspiel is still played today, along with many other wargames both for serious and entertainment purposes.

Учитывая, что существуют столетия (даже если только два) свидетельств кабинетных учений, игровых сценариев, помощи в подготовке к кризисам, стихийным бедствиям, военным столкновениям и т. д., а также стоимость таких учений чрезвычайно низка по сравнению с неподготовленностью к моменту возникновения сценария. , вы можете попасть в ловушку, думая, что сегодня они используются повсеместно. К сожалению, это не так.

По целому ряду причин, в то время как те, кто хорошо использует кабинетные упражнения, клянутся их ценностью, многие организации просто не используют их. Это может быть синдром страуса, поскольку эти сценарии могут быть исключительно хороши для выявления всевозможных недостатков, которые люди не хотят признавать. Это может быть нежелание заниматься чем-то, что считается «игрой» или «ребячеством». Возможно, он столкнулся с плохо отработанными сценариями, состоящими из чрезмерно спроектированной презентации PowerPoint без взаимодействия и большого количества маркетинговых FUD. По какой-то причине некоторые организации не хотят искать их и использовать этот ценный инструмент.

An executive who could otherwise benefit from tabletop exercises demonstrating ostrich syndrome

К счастью, ситуация меняется благодаря таким мероприятиям, как ежегодная конференция Play Secure, на которую собираются эксперты в области обучения, моделирования, геймификации и игр. Кроме того, ряд компаний предлагает стандартные и индивидуальные упражнения в своих каталогах продукции. Полное раскрытие информации, как и следовало ожидать, моя собственная семейная компания Bores уже несколько лет с отличными результатами использует их.

Идея использования настольных сценариев в качестве места для тестирования или стресс-тестирования планов и подготовки к стихийным бедствиям, формирования толерантности к стрессу и панике у участников (хорошо работайте, это интенсивный опыт) и предоставления места для безопасного совершения ошибок. распространение.

Различные типы настольных упражнений

При выполнении настольных упражнений существует множество вариантов, в зависимости от того, что вы хотите от этого. В качестве упражнения по маркетингу и повышению осведомленности о конкретной угрозе или событии высокоструктурированный формат, включающий подробные входные данные, ограниченный (или даже отсутствие) выбор, почти как воспроизведение реальных событий, может быть очень эффективным - менее привлекательным, но масштабируемым с небольшими усилиями. пути более сложных сценариев нет. На другом конце спектра мы имеем гораздо более открытые сценарии, почти полностью не написанные по сценарию и требующие запуска опытного модератора, реагирования в реальном времени на решения участников, создания новых инъекций на лету.

Как правило, чем больше скриптов в настольном упражнении, тем легче его запустить в масштабе, тем больше усилий требуется для первоначального создания и тем меньше знаний требуется от модератора для запуска. Компания может легко создать заранее подготовленный внутренний сценарий в стиле книги о приключениях с ограниченным выбором и предоставить командам самим проводить сеансы.

It is possible to go too far scripting a scenario. You don't need to prepare for every possibility, just enough to give some choices through the session.

Чем меньше сценариев сеанса, тем сложнее его масштабировать (возможно, но требует больше ресурсов и усилий) и тем больше знаний и опыта требуется от модератора. В идеале здесь должен быть кто-то с опытом симуляции подобного рода инцидентов, а также с опытом проведения игровых сессий (да, я включаю в свое резюме тридцать лет запуска настольных ролевых игр, когда предлагаю эти упражнения). Сеансы без сценария дают возможность протестировать определенные планы или даже построить их на основе действий и решений во время упражнения.

Наряду с этим вам необходимо учитывать тип инцидента, который вы хотите протестировать. Целью кабинетных учений по обеспечению непрерывности бизнеса является выявление того, как организация может поддерживать работу на приемлемом уровне в случае сбоя критических систем.

Реагирование на инциденты в большинстве случаев будет касаться инцидентов, связанных с безопасностью, но может касаться чего угодно, от негативных отзывов в прессе до потерпевшего кораблекрушение генерального директора.

Сценарии обеспечения непрерывности бизнеса нацелены на то, как бизнес реагирует на кризис или критический сбой и поддерживает некоторый уровень функционирования. Это отличный способ выяснить, что действительно важно и какой уровень обслуживания необходим для обеспечения жизнеспособности бизнеса.

Аварийное восстановление часто естественным образом вытекает из непрерывности бизнеса, раскрывая, как организация переходит от планов обеспечения непрерывности бизнеса обратно к нормальной работе (или как восстановить из резервной копии). Антикризисное управление может быть практически любым, включая все вышеперечисленное.

Как вы проводите настольные упражнения?

Я хотел бы сказать, что лучший способ запустить его – нанять профессионала (и это правда, если у вас есть бюджет и вы можете найти профессионально, то вам следует). Однако, если вы просто хотите проверить идею или ищете новый подход к вечеру семейной игры, вы можете легко провести настольную сессию самостоятельно, не прилагая особых усилий. Вы будете полагаться на свой собственный опыт, поэтому для достижения наилучших результатов выберите сценарий, в котором у вас есть некоторый опыт (и среду, с которой вы знакомы — при создании этих сценариев я обычно включаю интенсивную фазу исследования, чтобы понять организацию достаточно хорошо). ).

Самый простой способ, когда у вас есть сценарий, — это решить, что является «правдой». Вот что на самом деле произошло за кулисами. Кто нападавший, или что на самом деле пошло не так. Это не обязательно должно быть невероятно подробным, в зависимости от ваших навыков импровизации и уверенности, но есть золотое правило — не изменять его во время упражнения — небольшая непоследовательность может разрушить вовлеченность и свести на нет любой потенциал обучения.

Injects do not need to be elaborate or complex, nor require a lot of effort. If an exercise is going well then little more than a prompt to keep participant's minds imagining the worst is more than enough - they'll do most of the work and fill in the gaps themselves.

Как только вы узнаете эту «правду», потратьте некоторое время на размышления о том, как ее увидят участники. У них не будет полной информации с самого начала — даже в таком простом сценарии, как сгорание центра обработки данных, первое, что организация, скорее всего, увидит, — это отказ служб. Что бы вы здесь ни обсуждали, это сформирует ваши первые инжекты, которые могут быть такими же простыми, как сказать группе «это то, что вы видите», или, для более мощного эффекта, сообщения в социальных сетях от клиентов, уведомления о программах-вымогателях, заголовки новостей и тому подобное ( вы можете скачать несколько бесплатных шаблонов, чтобы создать несколько таких здесь).

После того, как вы это сделаете, самое сложное — запланировать время, чтобы собрать ваших участников вместе. С этим я не могу помочь.

Наконец-то у вас будет все, что вам нужно: сценарий, вводные, ваши участники и, в идеале, кто-то, кто будет делать подробные записи о том, что происходит.

После этого речь идет о повествовании и рассказывании историй. Начните с начальных инъекций, а затем передайте их своим участникам, чтобы решить, что будет дальше. Когда они предпримут действие, ответьте дополнительной информацией в зависимости от того, что они сделали, возможно, с дополнительными инъекциями, и повторяйте, пока сценарий не будет завершен.

Завершение может быть трудно определить, поэтому реалистично вы хотите работать до тех пор, пока сценарий не станет стабильным - это означает, что любые дальнейшие действия не будут иметь немедленного значения (например, после того, как принято решение о восстановлении центра обработки данных, есть ограниченная ценность в игре в течение нескольких месяцев конструкции, которая будет задействована). Делайте заметки, вытаскивайте что-нибудь важное и начинайте готовиться к следующему настольному упражнению.

Если вы решили попробовать и вам нужен небольшой совет, или если вы хотите, чтобы кто-то пришел и провел серию упражнений, вы можете связаться со мной по адресу Twitter или LinkedIn.


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE