與全面模擬相比，桌面演練的強(qiáng)度較小，成本較低，是一個(gè)了解組織和員工在壓力環(huán)境下如何做出響應(yīng)的機(jī)會(huì)。

　　桌面演練定義

　　桌面演練（有時(shí)縮寫(xiě)為T(mén)TX或TTE）是指由應(yīng)急組織的代表或關(guān)鍵崗位人員參加的，按照應(yīng)急預(yù)案及其標(biāo)準(zhǔn)工作流程，討論緊急情況時(shí)應(yīng)該采取行動(dòng)的演練活動(dòng)，其氛圍是學(xué)院式和探索性的。

　　不過(guò)，想要真正了解桌面演練，還需要綜合分析它與“功能性演練”和“全面演練”的區(qū)別。

　　桌面演練 VS 功能性演練VS全面演練

　　所謂“功能性演練”是指針對(duì)某項(xiàng)應(yīng)急響應(yīng)功能或其中某些應(yīng)急響應(yīng)行動(dòng)舉行的演練活動(dòng)，主要目的是針對(duì)應(yīng)急響應(yīng)功能，檢驗(yàn)應(yīng)急人員以及應(yīng)急體系的策劃和響應(yīng)能力。

　　功能性演練比桌面演練規(guī)模更大，需要?jiǎng)訂T更多的應(yīng)急人員和機(jī)構(gòu)參與，因而協(xié)調(diào)工作的難度也會(huì)隨之增加。此外，演練完成后，除了采取口頭評(píng)論形式外，還應(yīng)向地方提交有關(guān)演練活動(dòng)的書(shū)面匯報(bào)，提出改進(jìn)建議。

　　所謂“全面演練”是指針對(duì)應(yīng)急預(yù)案中全部或大部分應(yīng)急響應(yīng)功能，檢驗(yàn)、評(píng)價(jià)應(yīng)急組織應(yīng)急運(yùn)行能力的演練活動(dòng)。全面演練一般要求持續(xù)多個(gè)小時(shí)，采取交互式方式進(jìn)行，演練過(guò)程要求盡量真實(shí)，調(diào)用更多的應(yīng)急人員和資源，并開(kāi)展人員、設(shè)備和其他資源的實(shí)戰(zhàn)性演練，以驗(yàn)證相互協(xié)調(diào)的應(yīng)急響應(yīng)能力。

　　與功能性演練類似，全面演練完成后，除了采取口頭評(píng)論、書(shū)面匯報(bào)外，還應(yīng)提交正式的書(shū)面報(bào)告。

　　相比之下，顧名思義，桌面演練是圍繞一張桌子進(jìn)行的，其特點(diǎn)是對(duì)演練場(chǎng)景進(jìn)行口頭演練，一般是在會(huì)議室內(nèi)舉行。

　　桌面演練一般僅限于有限的應(yīng)急響應(yīng)和內(nèi)部協(xié)調(diào)活動(dòng)，應(yīng)急人員主要來(lái)自本地應(yīng)急組織，事后一般采取口頭評(píng)論形式收集參演人員的建議，并提交一份簡(jiǎn)短的書(shū)面報(bào)告，總結(jié)演練活動(dòng)和提出有關(guān)改進(jìn)應(yīng)急響應(yīng)工作的建議。

　　需要記住的一件重要事情是，桌面演習(xí)并不意味著測(cè)試或比賽，它們應(yīng)該被視為協(xié)作學(xué)習(xí)環(huán)境和“無(wú)錯(cuò)”（no-fault）環(huán)境。畢竟，如果組織在演練過(guò)程中發(fā)現(xiàn)他們的防御弱點(diǎn)或流程存在問(wèn)題，這應(yīng)該被認(rèn)為是一件好事——畢竟，在演練中發(fā)現(xiàn)漏洞要比面臨真正的危機(jī)好得多。

　　網(wǎng)絡(luò)安全桌面演練

　　事實(shí)上，桌面演練并不僅限于網(wǎng)絡(luò)安全領(lǐng)域；任何需要應(yīng)對(duì)潛在危機(jī)和災(zāi)難的組織都可以從其中受益。例如，俄勒岡州就曾使用桌面演練對(duì)2020年冠狀病毒大流行后可能產(chǎn)生的變化影響制定演練計(jì)劃。

　　但不得不說(shuō)，在許多方面，桌面演練特別適用于網(wǎng)絡(luò)安全環(huán)境，而且對(duì)其格外重要。它們旨在暴露組織結(jié)構(gòu)中的弱點(diǎn)，并確保人們實(shí)際上遵循了協(xié)議和最佳實(shí)踐，這些協(xié)議和最佳實(shí)踐在大多數(shù)時(shí)候似乎都處于理論層面。正因如此，當(dāng)現(xiàn)實(shí)世界中的人類需要實(shí)施它們時(shí)，那些看似完美的計(jì)劃也往往以崩潰收?qǐng)?。雖然有很多方法可以對(duì)網(wǎng)絡(luò)防御的技術(shù)層面進(jìn)行測(cè)試，但桌面練習(xí)測(cè)試的是對(duì)網(wǎng)絡(luò)安全同樣重要的人和組織因素。

　　桌面演練需要考慮的問(wèn)題

　　開(kāi)展桌面演練前，要問(wèn)自己的第一個(gè)問(wèn)題是桌面演練是否適合您的組織。如果您已經(jīng)為將要經(jīng)歷的場(chǎng)景制定了某種形式的響應(yīng)計(jì)劃，那么才值得開(kāi)始這個(gè)過(guò)程。桌面演練非常適合測(cè)試計(jì)劃可行性，但如果參與的每個(gè)人都只是即興發(fā)揮，那就不能奢望可以從中獲益太多。此外，您還需要獲取組織對(duì)該過(guò)程的支持：如果管理層不同意讓您根據(jù)結(jié)果更改計(jì)劃和政策，那么進(jìn)行整個(gè)演練也是毫無(wú)意義的。

　　同樣重要的一個(gè)問(wèn)題就是誰(shuí)將參與該演練項(xiàng)目。參與的團(tuán)隊(duì)成員類型將決定您將進(jìn)行什么樣的演練。例如，參與者都是網(wǎng)絡(luò)安全團(tuán)隊(duì)成員的演練可能側(cè)重于識(shí)別和擊敗高級(jí)持續(xù)威脅；參與者跨越整個(gè)公司的演練可能會(huì)著眼于網(wǎng)絡(luò)入侵的后果以及技術(shù)、法律和通信部門(mén)應(yīng)如何應(yīng)對(duì)入侵行為等。

　　另一個(gè)需要考慮的重要問(wèn)題是“何時(shí)”：是應(yīng)該每年開(kāi)展一次還是更頻繁地進(jìn)行桌面演練，以提高員工的警覺(jué)性？然后是“何地”：顯然易見(jiàn)就是舉行演練的位置問(wèn)題，可以是圍著會(huì)議室的桌子，也可以通過(guò)視頻會(huì)議為分布式團(tuán)隊(duì)進(jìn)行演練。最后，還有一個(gè)絕對(duì)關(guān)鍵的問(wèn)題，即“如何”。雖然沒(méi)有一種絕對(duì)正確的方法來(lái)進(jìn)行桌面演練，但是有一些重要的建議可以幫助您充分利用桌面演練。

　　規(guī)劃桌面演練

　　Nexight Group公司的Jack Eisenhauer概述了規(guī)劃桌面演習(xí)的過(guò)程，該過(guò)程考慮了上述許多問(wèn)題。他將這個(gè)過(guò)程分為三個(gè)階段，每個(gè)階段包括三個(gè)關(guān)鍵活動(dòng)。這些對(duì)應(yīng)于練習(xí)之前、期間和之后的時(shí)間，但您需要提前計(jì)劃以確保每個(gè)步驟在練習(xí)中正確完成。

　　演練前：設(shè)計(jì)

　　明確目標(biāo)和結(jié)果，確定您希望實(shí)現(xiàn)的目標(biāo)以及練習(xí)結(jié)束后您將如何使用這些結(jié)果；

　　選擇您的參與團(tuán)隊(duì)，包括關(guān)鍵決策者甚至高管，然后利用他們的影響力將事后報(bào)告付諸行動(dòng)；

　　設(shè)計(jì)一個(gè)可信的且能夠引發(fā)討論的場(chǎng)景和演練計(jì)劃。

　　演練中：參與

　　創(chuàng)建一個(gè)互動(dòng)的、無(wú)錯(cuò)的空間，鼓勵(lì)人們提出問(wèn)題和犯錯(cuò)；

　　詢問(wèn)參與者一些探索性問(wèn)題，遵循腳本但允許即興發(fā)揮；

　　使用可視化工具和時(shí)間線，隨時(shí)記錄問(wèn)題和經(jīng)驗(yàn)教訓(xùn)——不要完全依賴會(huì)議記錄者；

　　演練后：學(xué)習(xí)

　　準(zhǔn)備一份行動(dòng)后報(bào)告，其中包括演練的文檔以及潛在改進(jìn)的領(lǐng)域；

　　根據(jù)練習(xí)結(jié)果制定具體的近期計(jì)劃；

　　提供工具和指南來(lái)促進(jìn)學(xué)習(xí)，找到滿足演練結(jié)果所揭示的需求的資源。

　　桌面演練目標(biāo)

　　讓我們回到最開(kāi)始的一個(gè)話題：演練的目標(biāo)。坦白地說(shuō)，您希望通過(guò)桌面演練為組織帶來(lái)什么好處？學(xué)會(huì)將這些目標(biāo)與參與者在演練中的目標(biāo)區(qū)分開(kāi)來(lái)至關(guān)重要。例如，桌面演練參與者的目標(biāo)可能是弄清楚如何在災(zāi)難發(fā)生后盡快恢復(fù)組織的數(shù)據(jù)庫(kù)。但進(jìn)行該演練的總體目標(biāo)是對(duì)組織的災(zāi)難恢復(fù)計(jì)劃進(jìn)行壓力測(cè)試，看看團(tuán)隊(duì)是否知道如何在遇到意外情況時(shí)最好地協(xié)同工作。

　　美國(guó)公用設(shè)施監(jiān)管協(xié)會(huì)（NARUC）建議開(kāi)展桌面演練的目標(biāo)應(yīng)該遵循“SMART”原則，具體為：

　　S代表具體（Specific）——解決具體問(wèn)題并指定行動(dòng)項(xiàng)目；

　　M代表可度量（Measurable）——預(yù)先建立成功指標(biāo)，以驗(yàn)證活動(dòng)成果；

　　A代表可實(shí)現(xiàn)（Achievable）——參與者可以在分配時(shí)間內(nèi)完成；

　　R代表相關(guān)性（Relevant）——與組織的使命相關(guān)聯(lián)；

　　T代表有時(shí)限（Time-bound）——將時(shí)間限制在預(yù)先確定的合理時(shí)間范圍內(nèi)；

　　領(lǐng)導(dǎo)桌面演練項(xiàng)目

　　有很多顧問(wèn)很樂(lè)意在您的組織中領(lǐng)導(dǎo)桌面演練；然而，由于這些練習(xí)的非正式性質(zhì)，它們通常由內(nèi)部員工領(lǐng)導(dǎo)。

　　紐約州有一個(gè)很好的桌面練習(xí)指導(dǎo)員指南，提供了有關(guān)領(lǐng)導(dǎo)適用于任何主題領(lǐng)域的桌面演習(xí)的寶貴建議。它首先列出了協(xié)調(diào)人的大局職責(zé)：

　　介紹演練基本情況；

　　鼓勵(lì)解決問(wèn)題；

　　控制活動(dòng)的節(jié)奏和流程；

　　引導(dǎo)討論并從小組中得出答案和解決方案（而不是直接提供給他們）；

　　該指南還提供了讓所有參與者參與以及控制和維持活動(dòng)的技巧。重要的關(guān)鍵之一是注意沮喪和沖突的跡象。請(qǐng)記住，桌面演練旨在協(xié)作，而不是對(duì)抗。特別是，初級(jí)員工需要有在管理層面前發(fā)表評(píng)論的空間，所以盡量讓每個(gè)人都平等地參與進(jìn)來(lái)。

　　桌面練習(xí)示例和場(chǎng)景

　　到目前為止，我們一直在談?wù)撘恍┗\統(tǒng)的情況。那么在實(shí)際示例中可能會(huì)出現(xiàn)哪些場(chǎng)景？互聯(lián)網(wǎng)安全中心（CIS）提供了六個(gè)場(chǎng)景，可供參考：

　　匆忙修復(fù)：網(wǎng)絡(luò)管理員未經(jīng)測(cè)試就部署補(bǔ)丁，然后出去度假，導(dǎo)致用戶無(wú)法登錄；

　　惡意軟件感染：用戶將感染惡意軟件的SD卡插入公司筆記本電腦中；

　　計(jì)劃外攻擊：黑客組織針對(duì)該組織發(fā)動(dòng)攻擊——他們會(huì)在企業(yè)系統(tǒng)中發(fā)現(xiàn)什么？

　　云入侵：您的組織一直在使用被黑客入侵的云存儲(chǔ)服務(wù)存儲(chǔ)敏感數(shù)據(jù)，這可能會(huì)暴露客戶數(shù)據(jù)；

　　財(cái)務(wù)入侵：審計(jì)顯示您的工資系統(tǒng)正在向可疑人員發(fā)放支票；

　　洪水區(qū)（flood zone）：在處理公司總部遭遇的洪水攻擊時(shí)，您又遭到了勒索軟件攻擊；

　　該文檔還概述了在您的組織中實(shí)際運(yùn)行這些練習(xí)所需的大部分內(nèi)容。其中一些屬于下述兩個(gè)類別，它們可能是最常見(jiàn)的網(wǎng)絡(luò)安全桌面演練類型：

　　事件響應(yīng)桌面練習(xí)。正如我們希望提前計(jì)劃和控制一切一樣，網(wǎng)絡(luò)安全在很大程度上是一個(gè)被動(dòng)的過(guò)程。RSI有關(guān)于執(zhí)行事件響應(yīng)桌面演練的文檔，其中包括確保參與者了解您的組織針對(duì)特定類型的違規(guī)行為的政策以及誰(shuí)負(fù)責(zé)應(yīng)對(duì)這些事件的行動(dòng)。

　　用于業(yè)務(wù)連續(xù)性的桌面演練場(chǎng)景。桌面演練也受到了那些負(fù)責(zé)為自然或人為災(zāi)難做準(zhǔn)備的人的喜愛(ài)，而業(yè)務(wù)連續(xù)性屬于該角色與網(wǎng)絡(luò)安全之間的重疊部分。NContracts對(duì)運(yùn)行有效的桌面業(yè)務(wù)連續(xù)性規(guī)劃演練有很好的指導(dǎo)，其中包括了解您對(duì)特定供應(yīng)商的依賴關(guān)系，并可能將它們循環(huán)到任何損壞控制場(chǎng)景中。

　　桌面練習(xí)模板

　　您想開(kāi)始規(guī)劃自己的桌面演練項(xiàng)目嗎？您可以使用一些模板來(lái)幫助入門(mén)。SearchDisasterRecovery就是很好的選擇，它會(huì)提示您列出運(yùn)行演練的動(dòng)機(jī)（以便您開(kāi)展內(nèi)部動(dòng)員）、參與者的敘述以及參與者將采用的溝通方式等。而且Continuity Advisor有一個(gè)有用的模板，您可以使用它在演練完成后創(chuàng)建行動(dòng)后報(bào)告。