坦白说,我刚开始做安全那几年对应急演练这件事是有点抵触的,总觉得浪费时间——演习嘛,又不是来真的,能试出啥来。直到有一次帮客户做实战演练,一个看起来挺简单的场景模拟,结果多个部门的响应时间平均超标了三倍,我才意识到演习这件事比想象中有价值得多。
先说说演练的三种类型。类型不同,目标和投入也不一样。
桌面推演是最轻量的一种。一群人坐在会议室里,主持人给出一个泄密事件的场景,然后大家按照预案来讨论各自的响应动作。这种方式成本低、容易组织,适合用来验证预案的合理性。比如场景设定为"某员工收到钓鱼邮件,误将内部文件发到了外部邮箱",然后各部门依次讲自己该做什么。推演过程中你会发现很多预案里写得不清楚的地方,比如"通知法务"——法务具体找谁?法务要做什么?响应时间是多少?这些问题一追问就现原形了。
专项演练比桌面推演更进一步,针对的是某个特定环节。比如专门演练日志取证、专门演练数据备份恢复、专门演练对外沟通流程。专项演练的好处是能深入检验某一块能力。我见过一家企业专门演练备份恢复,结果发现他们的异地板是手动挂载的,演练负责人休年假去了没人知道怎么操作,演练直接黄了。要是真出事了,这个隐藏炸弹就会炸得很难看。
实战演练是最接近真实事件的。会模拟一个完整的泄密事件,涉及技术、管理、沟通多个维度。演练前不通知参演人员,制造真实事件的感觉。员工收到演练邮件以为是真实攻击,管理员看到告警以为是真实事件,法务和公关部门以为自己真的需要启动危机应对。这种演练能逼出较多问题,但投入也大,而且需要做好演练方案的设计,防止参演人员从非正式渠道知道真相。
说说组织演练的几个关键要点。
第一,演练场景要贴近业务。很多企业演练只会抄别人家的场景,什么APT攻击、国家层面黑客,搞得跟大片一样,但现实中最可能发生的其实是员工误操作、钓鱼邮件、内部泄密这些日常场景。场景设计应该基于企业自身的风险评估结果,哪个风险优先级高就先练哪个。
第二,演练要有评估标准。不能演完就完了,得有人记录每个环节的响应时间和动作质量。比如接到告警后多久完成了确认、多久启动了响应小组、多久完成了初步隔离、多久完成了证据保全。这些数据就是预案改进的依据。我习惯用一张打分表,每项动作按权重打分,最后汇总成响应能力评分,这样前后几次演练可以横向比较。
第三,演练结束后必须有复盘会。复盘比演练本身更重要。复盘的时候不追究责任、不搞批斗,目的是发现问题。每发现一个问题就记录到预案改进清单里,明确责任人、改进措施和完成时间。我自己的经验是,一次实战演练下来,至少能发现十个以上预案中的盲点。
第四,记录演练全过程。视频录像也好,文字记录也好,要把演练的过程完整保留下来。一是作为后续培训和教育的素材,让新员工快速了解应急场景;二是在实际出事后可以作为参考对照;三是如果监管检查问起演练情况,有据可查。
最后说一下演练频率。桌面推演建议每季度一次,专项演练每半年一次,实战演练每年至少一次。频率当然是越高越好,但也要考虑各部门的配合成本。我的做法是年初制定全年的演练计划,把每次演练的时间、形式、场景都排好,提前通知各部门预留时间,避免临时安排导致参与率低。
保密应急演练不是走过场,而是让自己在真正面对泄密事件时肌肉记忆。演练中发现的问题越多,真实事件中吃的亏就越少。
