龙与地下城遇见立方体与妥协

最近我们与部分客户开展了一项非常酷的游戏。市场对事件响应桌面演练存在一定需求，但这类活动大多枯燥无味。我参加过太多沉闷的会议，人们机械地走查事件流程，然后逐条审查政策、流程和程序——唉！

通常还会出现关于程序是否充分或某技术是否真能按预期工作的干巴巴争论。往往最终不欢而散，收效甚微。活动结束后，多数参与者再也不想经历第二次。这就像把手夹在车门里——略带趣味，但主要还是疼痛。

我们不想这样进行桌面推演。（因为我们喜欢有趣的事，不想让客户流泪。）相反，我们开始融入一点随机性……你猜对了，用20面骰子，因为我们就是这么酷。

关键是要避免过度复杂化。我知道会有很多人坚持认为应该有超级复杂的规则，需要多年练习和记忆才能“做对”。这些人通常也热爱D&D（龙与地下城），但愿意花几小时争论无意义的细节而不推动剧情。尽管表面如此，这些人并非你的朋友，应尽量避免。

“魔法飞镖不是这样投的！！！”

成长过程中，最好的D&D游戏是地下城主推动故事发展的那些。他们愿意为故事简化甚至调整规则。这正是我们在此所做的。

更新：可打印版本在此处：www.blackhillsinfosec.com/cubicles-compromises-printable/

规则（极其简单）

• 你的应急响应团队每采取一个行动，就投一次20面骰。如果投出11-20，行动成功；10或以下则失败。砰！
• 如果你的组织对该行动有书面程序，获得+5修正。
• 如果你的组织有受过该行动培训的人员，获得+2修正。
• IT大师（是的，这个角色可能需要更好的名字）随机在游戏中注入事件。（如果IT大师有渗透测试经验会更有帮助。）以下是一些例子：
  • 攻击者将事件数据发布到Pastebin。
  • 实习生Bobby杀死了你正在审查的系统。
  • 这是CEO雇用的黑盒渗透测试……你可以安心睡觉。
  • 法务部门将你唯一熟练的处理员带进会议解释事件。
  • 首席处理员的妻子生孩子。
  • 爆发了无关的DDoS攻击。 随意添加更多。
• 如果团队尝试采取某个行动时既无政策又无人受训，应记录此为待解决的缺口。

就这样。

快速推演

让我们从一个初始事件开始，走几个行动回合。

IT大师（IGM）： 周一早晨，在黑咖啡的帮助下雾气散去。你收到帮助台的邮件/工单，用户报告了一个杀毒软件弹窗警报。帮助台技术员未记录恶意软件名称。你们怎么做？

技术员1： 我们会去审查该系统，查看是否有异常进程。

IGM： 你们有实时系统取证的流程吗？

技术员1： 没有。

IGM： 有人受过实时系统取证的培训吗？

技术员1： 没有。

IGM： 请投骰。

技术员1投出3。

IGM： 行动失败。请记录实时系统取证缺乏流程和培训。

IGM： 杀毒软件只捕获了恶意软件的加载器，未检测到内存注入阶段。恶意软件在此工作站上运行。攻击者随后尝试从受感染工作站横向移动到另一台工作站。你们的团队在工作站上启用了基于主机的防火墙吗？

技术员1： 启用了。

IGM： 你们将警报转发到SIEM了吗？

技术员1： 是的。

IGM： 有在解决后审查和清除警报的流程吗？团队成员受过相关培训吗？

技术员1： 有流程，也受过培训。

IGM： 请投骰。

技术员1投出7（流程+5和培训+2使结果变为14）。

IGM： 你检测到了横向移动。下一步行动是什么？

技术员1： 我们会隔离该系统。

IGM： 有系统隔离的流程吗？

技术员1： 有流程且受过培训。

IGM： 请投骰。

技术员1投出13。

IGM： 你成功隔离了系统。但现在该注入事件了。攻击者将该系统的一些敏感HR数据发布到了Pastebin。客户通过Google发现了它。下一步是什么？

技术员1： 我们会立即将此信息传递给管理层。

IGM： 管理层，下一步行动是什么？

经理1： 我们会立即联系客户获取更多细节，并联系Pastebin要求删除信息。

如此继续。目标是处理尽可能多的事件，以识别培训和流程中的缺口。

如果想增加趣味性，让红队扮演攻击者。他们的规则简单：每行动只需投出10以上即成功。无修正。如果你觉得这苛刻，说明你从未做过渗透测试员。这已经非常慷慨了。

IT大师可以根据情况修改和添加不同行动的成功投骰要求。例如，攻击者转储密码。如果公司仍使用LanMan，IT大师可能要求投出2或以上成功；如果密码是NT且最少20+字符，可能要求投出18以上才能破解密码。（这只是我喜欢用的一个例子。）请随意更改和添加，使游戏更有趣或更贴合业务。

我们很快将安排一次网络直播，玩一两轮帮助大家感受。这比把手夹在车门里有趣多了。

节日快乐！

John