龙与地下城遇上格子间与妥协:事件响应桌面演练的创新玩法

本文介绍了一种将龙与地下城游戏机制融入事件响应桌面演练的创新方法。通过20面骰子决定行动成败,结合政策文档和培训水平给予加成,帮助团队在轻松氛围中发现流程漏洞。这种方法比传统演练更有趣有效。

龙与地下城遇上格子间与妥协

John Strand //

最近我们与一些客户进行了一个非常酷的游戏。市场上对事件响应桌面演练有一定需求,但大多数这类活动并不有趣。我参加过太多沉闷的会议,人们只是走过场般地讨论事件,然后梳理政策、流程和程序。唉!

通常,还会出现关于某个程序是否足够或某项技术是否真能按预期工作的枯燥争论。更多时候,人们会生气和受伤,但几乎没有什么改变。当整个活动结束时,大多数参与者再也不想做了。这就像把手夹在车门里…稍微有点意思,但主要是痛苦。

我们不想以这种方式进行桌面演练。(因为我们喜欢有趣,不想让客户流泪。)相反,我们开始在这个过程中加入一点随机性…你猜对了,用一个20面骰子,因为我们就是这么酷。

关键是要让它不要太复杂。我知道会有很多人坚持认为应该有超级复杂的规则,需要多年的练习和记忆才能"正确"掌握。这些人往往也喜欢D&D,但愿意花几个小时争论无意义的细节,而不是推动叙事前进。尽管表面如此,这些人不是你的朋友,应该不惜一切代价避免。

“那不是你施放魔法飞镖的方式!!”

成长过程中,最好的D&D游戏是那些地下城主推动故事前进的游戏。他们愿意为了故事而简化和弯曲规则。这就是我们在这里做的事情。

更新:可打印版本可以在这里找到:www.blackhillsinfosec.com/cubicles-compromises-printable/

规则(极其简单)

你的IR团队采取的每一个行动,你都要掷20面骰子。如果掷出11-20,行动成功。如果是10或以下,失败。砰。

如果你的组织有该行动的文档化程序,你获得+5修正。

如果你的组织有受过培训的人来执行该行动,你获得+2修正。

在随机时间间隔,IT大师(是的,这个角色可能需要一个更好的名字)可以注入一个随机事件到游戏中。(如果IGM有一些渗透测试经验会有所帮助。)以下是一些例子:

  • 攻击者将事件数据发布到Pastebin。
  • 实习生Bobby杀死了你正在审查的系统。
  • 这是CEO雇佣的黑盒渗透测试…你可以睡个好觉。
  • 法律部门将你唯一熟练的处理人员带进会议解释事件。
  • 首席处理人员的妻子生孩子。
  • 爆发了不相关的DDoS攻击。 随意添加更多。

如果在任何时刻团队试图采取行动,但没有政策或任何人受过培训,应该有人记下这是一个需要解决的差距。

就这样。

快速演练

那么,让我们从一个初始事件开始,走过几个行动回合。

IT大师(IGM):周一早上,在黑咖啡的帮助下,迷雾散去。你收到一封来自服务台的电子邮件/工单,用户报告了一个AV警报弹出窗口。服务台技术人员没有记录恶意软件的名称。你做什么?

技术员#1:我们会去审查那个系统,看看是否有任何奇怪的进程。

IGM:你们有实时系统取证的流程吗?

技术员#1:没有。

IGM:有人受过实时系统取证的培训吗?

技术员#1:没有。

IGM:请掷骰。

技术员#1掷出3。

IGM:行动失败。请注意实时系统取证缺乏流程和培训。

IGM:AV只捕获了恶意软件的投放器,没有检测到内存注入阶段。恶意软件正在这个工作站上运行。攻击者然后尝试从受感染的工作站转移到另一个工作站。你的团队在工作站上启用了基于主机的防火墙吗?

技术员#1:我们有。

IGM:你们有将警报转发到SIEM吗?

技术员#1:我们有。

IGM:有在警报解决后审查和清除警报的流程吗?团队成员受过培训这样做吗?

技术员#1:我们有。而且,是的。

IGM:请掷骰。

技术员#1掷出7(流程的+5和培训的+2将掷骰结果提高到14)。

IGM:你检测到了横向移动。你的下一个行动是什么?

技术员#1:我们会隔离那个系统。

IGM:你们有系统隔离的流程吗?

技术员#1:我们有,而且我们受过培训。

IGM:请掷骰。

技术员#1掷出13。

IGM:你成功隔离了系统。然而,现在是注入事件的时候了。攻击者已经将一些敏感的HR数据从那个系统发布到Pastebin。一个客户通过Google找到了它。你的下一步是什么?

技术员#1:我们会立即将这些信息传递给管理层。

IGM:管理层,你的下一个行动是什么?

经理#1:我们会立即联系客户获取更多细节,并联系Pastebin请求删除信息。

如此继续。目标是尽可能多地处理事件,以识别培训和流程中的差距。

如果你想要增加一点乐趣,让红队扮演攻击者的角色。他们的规则很简单,他们采取的每一个行动只需要掷出10以上就成功。没有修正。如果你认为这很苛刻,你从未当过渗透测试员。这已经非常慷慨了。

IGM可以根据他们认为合适的方式修改和添加不同行动成功的掷骰要求。比如说攻击者转储密码。如果公司仍然有LanMan,IGM会要求掷出2或以上才能成功。如果密码是NT且至少20+字符,IGM会要求掷出18以上才能破解密码。(这只是我喜欢使用的一个例子。)请随意更改和添加,以使游戏更有趣,或更适用于你的业务。

我们很快会安排一个网络直播,玩一两轮,帮助大家感受一下。这比把手夹在车门里有趣多了。

节日快乐! John

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次