1.7　用例、桌面演练以及演习

用例对于展示可能将关键基础设施、敏感数据或其他资产置于风险中的情形非常重要。跟数据所有者和领导进行头脑风暴，提前考虑各种恶意攻击。最好能在开始时提出三个不同的用例，并围绕它们规划如何构建安全措施以及进行风险监控。勒索软件、DDoS（distributed denial of service，分布式拒绝服务）攻击、心怀不满的雇员、内部威胁以及数据泄露都是潜在用例的好例子。在选定几个用例之后，就可以对它们进行分解和分析，并将其对应到洛克希德 • 马丁的入侵杀伤链的每个步骤。

入侵杀伤链，有时也称网络杀伤链，它是“防御者将企业防御能力与攻击方针对该企业实施的特定过程相结合时，获得的一个可操作的情报模型”。正如洛克希德 • 马丁的白皮书所描述的，它由七个步骤组成。

1. 侦查：研究、识别和选择目标，通常表现为抓取互联网网站，比如通过抓取会议记录和邮件列表来获取邮件地址、社会关系或特定技术信息。
2. 武器化：将远程访问木马和漏洞结合到一个可交付的载荷中，这通常要借助自动化工具（weaponizer）。越来越多的客户端应用数据文件，例如 Adobe PDF 文件或 Microsoft Office 文档，被用作武器化的可交付物。
3. 交付：将武器传送到目标环境。武器化载荷的三种最普遍的交付载体是电子邮件附件、网站和 USB 可移动媒介。
4. 利用（exploitation）：武器被送达受害者的主机后，利用会触发入侵者的代码。大多数情况下，利用的对象是应用程序或操作系统的漏洞，但也可以更简单地利用用户本身或者利用自动执行代码的操作系统特性。
5. 安装：在受害者系统里安装远程访问木马或者后门程序，可以让入侵者长久地“待”在该环境中。
6. 命令与控制（command and control，C2）：一般来说，被破坏的主机必须向互联网上的控制器服务器发信才能建立 C2 信道。APT 恶意软件尤其需要人工交互，而不能自动开展活动。C2 信道建立之后，入侵者就可以直接访问目标环境了。
7. 对目标采取行动：只有现在，在经历了前面六个阶段之后，入侵者才能采取行动来实现他们最初的目标。通常，这个目标是数据渗漏，这涉及从受害者的环境中收集、加密和提取信息；破坏数据的完整性或可用性也是潜在的目标。另外，入侵者也可能只想将最初的受害者作为跳板，以此来破坏更多的系统，深入网络。

这本白皮书也提供了很多可以用来创建用例的信息。

表 1-1 是我们针对勒索软件攻击创建的分步杀伤链用例的一个例子。

表1-1：勒索软件用例

可以在杀伤链的每个步骤上添加许多不同的防御性措施，以便从整体上降低每一层的风险。

在围绕用例创建和实施安全控制之后，桌面演练和演习可以作为对概念的验证。桌面演练是主要利益相关者和员工在低压情况下，一步步地考虑某种灾难、故障、攻击或其他紧急情况的缓解措施。演习指的是员工尽可能多地执行在紧急情况下要执行的流程、程序和缓解措施。

尽管演习的规模有限，但对于通过测试特定的控制来发现漏洞和可改进之处非常有用。可以在一定程度上执行灾难恢复计划，可以通过恢复文件来测试备份，并且可以将服务故障转移到备用集群的成员。

桌面演练由几个关键组或几个关键成员构成。

• 在桌面演练的过程中，应该有一位主持人或者协调员来交付演练场景。这位主持人可以回答关于假想的紧急情况的问题，并引导讨论。他可以引入额外的资源并控制演练的节奏。需要告知参与者，在这次演练中找不到问题的答案是完全可以接受的。桌面演练的目的是发现当前流程中的薄弱环节，以便在实际发生事故之前将其修复。
• 还应当有个人来评估演练的整体效果，并撰写一份报告。这个人应当非常仔细地做笔记，并遵循手册以确保准确性。尽管这位评估人员是主要的记录者，但其他小组和个人可能对情况有特定的了解和理解。在这种情况下，在桌面演练结束时，让每位成员向评估人员提供自己的笔记是一种很好的做法。
• 参与者构成了桌面演练的大部分，其中应当包括财务、人力资源、法律、安全（物理和信息）、管理、营销以及可能需要的其他任何关键部门。参与者应当愿意参与对话，礼貌地挑战自己和他人，并在演练的参数范围内工作。

桌面演练要包含：

• 向参与者介绍场景并能做笔记的资料
• 说明如何处理安全情况的手册
• 有关政策和程序的手册
• 工具和外部服务的清单

演练后的行动和问题如下所示。

• 哪些方面进展顺利？
• 哪些方面可以做得更好？
• 是否缺少有助于缩短时间或提升准确性的服务或流程？
• 是否存在不必要或不相关的步骤？
• 识别并记录问题以便采取纠正措施。
• 为下次演练适当地修改计划。

　桌面演练模板

美国联邦紧急事务管理署（FEMA）提供了一组场景、演示和桌面演练，可以用作模板。