SEC10-BP07 執行模擬
在組織隨著時間成長和發展時,威脅態勢也會跟著演變,因此持續審查事件應變能力是很重要的。執行模擬 (也稱為比賽日) 是可用於執行此評估的一種方法。模擬會使用真實世界的安全事件案例,這些案例旨在模擬威脅參與者的策略、技術和程序 (TTP),並且讓組織可藉由回應這些可能發生在現實中的模擬網路事件,來運用和評估其事件應變能力。
建立此最佳實務的好處:模擬具有多種好處:
-
驗證網路整備程度和培養事件應變人員的信心。
-
測試工具和工作流程的正確性及效率。
-
根據您的事件應變計畫,精進溝通和呈報方法。
-
提供回應罕見媒介的機會。
未建立此最佳實務時的風險暴露等級:中
實作指引
主要的模擬類型有三種:
-
桌上模擬演練:桌上模擬方法是基於討論的會議,涉及各種事故應變利害關係人的角色和責任練習,並使用已建立的溝通工具和程序手冊。模擬演練促進通常可在虛擬場地、實體場地或兩者的組合於一整天內完成。桌上模擬演練以討論為主軸,因此側重於程序、人員和協作。技術在討論中是不可或缺的一部分,但事件應變工具或腳本的實際使用通常不是桌上模擬演練的一部分。
-
紫隊模擬演練:紫隊模擬演練提高了事故應變人員 (藍隊) 和模擬威脅參與者 (紅隊) 之間的協作層級。藍隊由安全營運中心 (SOC) 的成員組成,但也可以包含在實際網路事件期間涉入的其他利害關係人。紅隊由滲透測試團隊或受過攻擊性安全培訓的主要利害關係人組成。紅隊在設計場景時會與模擬演練協調員合作,使場景精確且可行。在紫隊模擬演練期間,主要重點是偵測機制、工具和支援事件應變工作的標準操作程序 (SOP)。
-
紅隊模擬演練:在紅隊模擬演練期間,攻方 (紅隊) 會進行模擬,以在預定範圍內達到某個目標或一組目標。守方 (藍隊) 不一定知道模擬演練的範圍和持續時間,這對他們應對實際事件的能力可呈現出更真實的評估。由於紅隊模擬演練可能是侵入性測試,請謹慎行事並施加控制,以確認該模擬演練不會對您的環境造成實際傷害。
考慮定期推行網路模擬。每種模擬演練類型都可以為參與者和整個組織提供特有的好處,因此您可以選擇從較不複雜的模擬類型 (例如桌上模擬演練) 開始著手,然後再進入更複雜的模擬類型 (紅隊模擬演練)。您應根據自身的安全成熟度、資源和所需的結果來選擇模擬類型。由於複雜性和成本較高,有些客戶可能不會選擇執行紅隊模擬演練。
實作步驟
無論您選擇的模擬類型為何,模擬通常會執行下列實作步驟:
-
定義核心演練元素:定義模擬案例和模擬的目標。這兩者都應獲得領導階層的允許。
-
找出關鍵利害關係人:模擬演練至少需要模擬演練協調員和參與者。根據情境,可能會涉及法律、通訊或主管領導階層等其他利害關係人。
-
建立和測試情境:如果特定元素不可行,則可能需要在情境建置期間加以重新定義。預計最終的情境會成為此階段的輸出。
-
促進模擬:模擬的類型將決定使用的促進形式 (編撰的場景對比於高度技術性的模擬場景)。協調員應使其促進策略與模擬演練目標相對應,他們應盡可能吸引所有模擬演練參與者,以提供最大的效益。
-
撰寫事後報告 (AAR):找出進展順利的領域、可以改進的領域,以及潛在的差距。AAR 應衡量模擬的有效性以及團隊對於模擬事件的應變能力,以便在未來的模擬追蹤進展幅度。
資源
相關文件:
相關影片:
