编者按: 以下是Adobe赞助的博客文章.
Adobe的事件响应人员是负责调查和响应可能导致操作和服务丢失或中断的事件或事件的前线防御人员. 尽管我们的救援人员地理位置分散, 他们协同工作, 唯一的目的是识别和减轻对我们网络和系统的威胁和攻击. 鉴于网络安全事件有可能造成不可挽回的损失, 我们的响应人员实施战略规划流程并进行预先准备培训,以尽量减少各种安全事件的影响.
在Adobe, 我们需要对事件响应(IR)团队进行不同风格的培训, 保持我们的反应人员的技能新鲜,并帮助他们保持卓越水平. 在这篇文章中,我们将讨论一种独特的训练风格:桌面和事件模拟练习.
什么是桌面练习?
传统上, 桌面演习是基于场景或讨论的演习,旨在测试公司的事件响应计划, 流程和团队成员. 在事件响应者被推入事件的风口之前,常规测试对于突出差距至关重要. 例如, 桌面可以帮助识别和建立与关键涉众的跨职能关系, 充实IR团队的角色和职责,验证呼叫树和其他流程.
桌面应该植根于直接适用于您的特定组织的真实场景. 如果你想不出一个场景, 翻开新闻中(不幸的)大量安全漏洞中的任何一个,问一下, “怎么 we 处理 那?"
桌面也应该有明确的评估目标. 只要求你“打勾”的桌面通常不会产生清晰的目标. 良好定义的目标为测试提供了清晰的焦点,同时也为评估练习提供了度量标准.
桌面训练有哪些不同类型?
在Adobe, 我们不仅使用传统的长篇大论的讨论桌面, 但是我们也扩展了桌面的概念,包括quick, 快速射击场景以及完整的事件模拟.
长篇的讨论: 传统的桌面运动通常需要60到90分钟才能完成. 长形式的讨论需要开发明确的目标来定义特定的测试平台. 参与者收到一个准备好的场景,并通过模拟真实的安全相关事件来完成决策和任务. 在整个练习过程中,促进者提供输入来指导讨论流程. 观察者注意到每个参与者的决定的优点和缺点, 评估团队互动并提出改进建议. 遵循桌面, 参与者根据设定的目标提供反馈和评估练习. 主持人然后总结所有的观察结果, 提供意见,并根据改进的领域制定行动计划.
快速的场景: 与冗长的讨论相反, 快速射击场景是非常高的级别,意味着容易和快速地理解和讨论. 速射场景通常不超过5分钟, 提供足够的时间来回顾多个场景, 并允许多个个体扮演事件响应者的角色. 最优, 速射场景包括一个一小时的测试,包括四到五个人, 包括混合的junior-, 具有不同背景和经验的中高层团队成员. 使用速射场景进行测试允许更自由的讨论,并且初级团队成员有更多的机会向更有经验的中级和高级团队成员学习.
事故模拟: 作为其他练习的补充,事件模拟模拟了真实攻击者的行动. 而实际的模拟可以根据测试的具体目标在大小和范围上有所不同, 它们在突破端到端流程和程序的极限方面非常有效, 比如检测和分诊, 升级, 事件处理, 法医分析. 模拟也非常适合于向响应人员讲授公司内不同的环境. 在理想的情况下, 事件模拟涉及开发环境中的真实服务器,而不是生产环境, 这使您能够处理真实事件中出现的真实数据.
模拟可以回答以下问题:
- 你有你认为你有的数据吗?
- 你的检测规则真的有效吗?
- 你能获取分析所需的法医图像吗?
最好知道这类问题的答案 之前 你正处于一场真正的高风险事件中.
事件模拟的好处
在Adobe, 我们发现,事件模拟是发现监控和检测过程中漏洞的好方法, 改进重要的IR流程和技能, 并更多地了解我们多样化的环境. 模拟也给我们的IR员工提供了进攻和防御安全技术的经验, 模拟攻击者的行为可以帮助我们更好地理解哪些工件可以用来捕获坏人. 这种洞察力不仅提高了我们的技术技能, 但它也帮助我们发现了我们分析能力中的差距. 反过来,我们使用模拟来测试我们开发的新工具集来解决这些差距. 在一天结束的时候, 模拟对我们的事件响应团队非常有价值,并继续帮助我们保持基础设施和客户数据的安全.
