验证事件响应计划有效性的最佳方法是与现场人员一起测试。毕竟，如果计划在需要时不起作用，它就没有价值。

什么是事件响应桌面练习？

事件响应桌面练习是一项活动，涉及测试事件响应计划中概述的流程。运行攻击模拟，以确保事件响应团队成员了解他们的角色和职责，以及他们是否能够响应给定的攻击场景。

事件响应桌面练习可以基于讨论，也可以是可操作的。基于讨论的桌面练习涉及事件响应团队讨论特定安全事件。业务演习涉及动手和基于讨论的活动。

事件响应桌面练习有什么好处？

如前所述，事件响应桌面练习有助于验证事件响应计划的有效性。这些练习可以识别和巩固有效的计划程序，并纠正任何不起作用的程序。

练习还有助于识别和纠正不按顺序的步骤或需要添加或删除的步骤，以创建更高效和有效的计划。它们还有助于确定发生事故时可能需要的资源，例如人员配备、设备、通信、运输或备用位置。

在业务连续性（BC）、技术灾难恢复（DR）、网络安全事件响应和其他以弹性为重点的领域中，桌面练习是一项必不可少的活动。

目前演习和事件响应已经有相应标准。为了确保事件响应计划符合标准，演习和记录演习报告是必要的。出于审核目的，可能还需要事件响应计划执行的证据。

事件响应计划的标准包括：

• ISO 22320:2018 — Security and resilience — Emergency management — Guidelines for incident management
• ISO 22361:2022 — Security and resilience — Crisis management — Guidelines
• ISO 27035:2011 — Information technology — Security techniques — Information security incident management
• NIST Special Publication (SP) 800-61 Rev. 2 — Computer Security Incident Handling Guide

NIST还提供指南-针对IT计划的测试、培训和演习计划。美国国土安全部和联邦紧急事务管理局同样提供安全演习和评估指导。

事件响应练习场景

事件响应场景涉及可能威胁企业运营或生存的假设情况。对于BC/DR和网络安全规划流程，事件响应计划和相应的初始响应步骤至关重要。这提供了一种方法来识别问题以及相应的解决方案，以便在发生中断事件后恢复正常操作。

事件响应演习场景可以包含很多不同的事件，从生物攻击到流行病再到自然灾害。就特定于网络安全的事件而言，常见的桌面练习攻击媒介包括：

• DDoS 攻击
• 网络钓鱼攻击
• 病毒
• 勒索软件
• 登陆凭据盗窃
• 恶意内部人员
• 暴力破解攻击
• 设备或系统配置错误
• 未修补的漏洞

以下是事件响应桌面练习中通常涵盖的网络安全事件场景：

• 数据泄露
• 未经授权访问
• 设备泄露
• 网络入侵
• 服务入侵

如何创建和规划事件响应桌面练习

每个事件响应场景都可以开发作为练习，通过将攻击事件的前提扩展为一系列步骤，使演练更加逼真。例如，数据泄露桌面练习将包括初始攻击媒介，例如网络钓鱼诈骗或凭据盗窃及其后果。

基于讨论的练习可以在会议室进行，如果是在现场进行，也可以远程进行，鉴于近年来远程工作的增加，这是一种流行的选择。在理想的练习中，团队成员并肩工作，以鼓励互动和讨论如何处理事件的发展。

练习的主持人应介绍基本规则，并在可能的情况下担任计时员，以确保演习按计划进行。在演习流程之外出现的情况应加以解决或记录，以供以后讨论。还应该指派某人在练习中做笔记。

在完成后，参与者应该及时回顾和讨论此次演习。这是最佳时机，以了解哪些有效、哪些无效以及对事件响应计划需要进行的任何修订。如果需要后续练习，请在此回顾时间内安排。

在设计桌面练习时，请基于发生的场景、所述事件期间可能发生的情况以及应对方法。详细说明每种情况，包括其目标、涉及的团队成员以及所需的任何设备或其他材料。

在每种情况下，演练组织者可能会引入特定情况（称为注入）可以改变或改变事件的顺序。这会挑战演习参与者，并鼓励他们在可能快速变化的情况下修改或调整他们的事件响应方法。

下表概述了勒索软件桌面练习，包括场景事件和响应，以及用于练习观察。请注意，演习负责人可以查看完整表格，而参与者只能看到场景列。

场景事件	响应	观察
防火墙或入侵防御系统会向安全团队发出警报。	安全团队检查警报，对攻击媒介进行初步评估，并与事件响应团队联系。
员工报告说他们无法访问文件和系统，并表示需要代码才能访问它们。	安全团队检查外围安全系统捕获的代码模式。
安全团队收到警报报告可疑勒索软件攻击。	安全团队启动事件响应计划，并提醒事件响应团队成员启动该计划。 事件响应团队会向高级领导发出攻击警报，并建议员工注销系统和备份文件。
安全团队检查系统，确定对已阻止对系统的访问。	事件响应计划活动隔离恶意软件以进行检查和隔离。
员工仍然无法访问文件和系统。	事件响应团队要求高级领导和其他人确定其部门内的负面影响，例如，无法处理客户查询和下订单。
高级领导和其他人告知事件响应团队，攻击正在导致运营问题。	事件响应团队继续评估情况并检查反恶意软件系统捕获的恶意软件。
高级领导确定公司是否需要关闭，直到攻击得到处理。	事件响应团队确定可能需要启动公司的 BC 计划。
高级管理层推迟启动BC计划，通知事件响应团队。	员工被告知他们可以留在办公室或离开，等待进一步的消息。 事件响应团队确定攻击的性质，尝试修复。
员工仍然无法访问文件和系统。	事件响应团队发现攻击中使用的加密太难解密，请示高级领导者。
高级领导指示 IT 从备份副本中恢复损坏的文件和系统。	IT 和事件响应团队开始系统恢复、清理受影响的系统并重新加载备份资产。
员工报告说他们可以访问系统和文件。	事件响应团队通知高级领导。将向员工发送一条消息，指出系统已恢复。事件后活动启动。

如何进行事件响应桌面练习

事件响应桌面练习应遵循事件响应计划中列出的步骤和程序。例如，NIST 计算机安全事件处理指南概述了以下四个步骤：

1. 准备
2. 检测和分析
3. 遏制、根除和恢复
4. 事后活动

事件响应桌面练习时间表

正如事件响应计划至少应该每年审查和更新一样，事件响应桌面练习也应该如此。企业应该使事件响应计划和桌面练习尽可能保持最新。根据需要添加方案，以应对新的和新出现的威胁，并与新的和现有的团队成员一起查看步骤和过程。

如果需要，在公司业务、基础设施或合规需求发生任何变化时，也应审查和修订计划和练习。