在采訪中，Cyberbit的網(wǎng)絡(luò)體驗(yàn)演練負(fù)責(zé)人Allison Ritter分享了她對(duì)現(xiàn)場(chǎng)和虛擬網(wǎng)絡(luò)危機(jī)模擬之間關(guān)鍵差異以及每種方法的有效性的見(jiàn)解。Ritter強(qiáng)調(diào)了有效溝通、明確定義的角色和逼真的場(chǎng)景對(duì)于幫助團(tuán)隊(duì)在壓力下表現(xiàn)的重要性。

問(wèn)：你能解釋一下現(xiàn)場(chǎng)和虛擬危機(jī)模擬之間的關(guān)鍵差異嗎?你覺(jué)得哪種更有效，為什么?

答：虛擬和現(xiàn)場(chǎng)網(wǎng)絡(luò)危機(jī)模擬都是危機(jī)準(zhǔn)備策略的重要組成部分，正確的形式取決于業(yè)務(wù)目標(biāo)和背景。

組織現(xiàn)場(chǎng)活動(dòng)并將整個(gè)團(tuán)隊(duì)聚集在一起需要大量的協(xié)調(diào)，但結(jié)果是值得投資的。當(dāng)與高管團(tuán)隊(duì)合作時(shí)，我通常會(huì)設(shè)計(jì)一個(gè)路線圖，從現(xiàn)場(chǎng)活動(dòng)開(kāi)始，為危機(jī)管理奠定堅(jiān)實(shí)的基礎(chǔ)。接下來(lái)是虛擬場(chǎng)景，以深化這些技能并保持準(zhǔn)備狀態(tài)。有趣的是，現(xiàn)場(chǎng)活動(dòng)往往是危機(jī)應(yīng)對(duì)團(tuán)隊(duì)成員首次面對(duì)面見(jiàn)面的機(jī)會(huì)。它創(chuàng)造了一個(gè)獨(dú)特的環(huán)境，參與者可以放下戒備，參與開(kāi)放、無(wú)過(guò)錯(cuò)的場(chǎng)景，從一開(kāi)始就培養(yǎng)合作和信任。

現(xiàn)場(chǎng)模擬為參與者創(chuàng)造了一個(gè)沉浸式環(huán)境，讓他們掌握危機(jī)響應(yīng)的要點(diǎn)，包括有效的溝通協(xié)議和決策框架。它們促進(jìn)了實(shí)時(shí)溝通和團(tuán)隊(duì)合作，這對(duì)于應(yīng)對(duì)高壓場(chǎng)景至關(guān)重要。通過(guò)模擬真實(shí)生活中的危機(jī)，它們還通過(guò)真實(shí)的人際互動(dòng)鼓勵(lì)和加強(qiáng)團(tuán)隊(duì)凝聚力和信任。團(tuán)隊(duì)受益于面對(duì)面的互動(dòng)和非言語(yǔ)線索，這增強(qiáng)了體驗(yàn)，并允許即時(shí)反饋、有機(jī)討論和關(guān)系建立。

在設(shè)計(jì)危機(jī)演練時(shí)，我有意安排了專門的時(shí)刻，讓參與者從場(chǎng)景中抽身，進(jìn)行開(kāi)放對(duì)話。這些有目的的暫停為討論的自然流動(dòng)創(chuàng)造了空間，讓參與者能夠更深入地探討關(guān)鍵見(jiàn)解，并在模擬過(guò)程中發(fā)現(xiàn)的關(guān)鍵領(lǐng)域上再接再厲。這種交流往往成為反思和合作的寶貴機(jī)會(huì)。

現(xiàn)場(chǎng)演練的另一個(gè)優(yōu)勢(shì)是，它們?yōu)榧夹g(shù)領(lǐng)導(dǎo)層(如SOC和DFIR經(jīng)理)提供了一個(gè)獨(dú)特的機(jī)會(huì)，可以在一個(gè)共享的物理空間中與高管團(tuán)隊(duì)就目標(biāo)、角色和期望達(dá)成一致。我強(qiáng)烈建議將針對(duì)事件響應(yīng)和SOC團(tuán)隊(duì)的技術(shù)網(wǎng)絡(luò)靶場(chǎng)演練與高管演練相結(jié)合。這些團(tuán)隊(duì)往往各自為政，說(shuō)著兩種完全不同的“語(yǔ)言”。將他們聚集在一起打破了這種孤島狀態(tài)，并消除了可能使溝通變得尷尬或受阻的屏幕障礙。

我們經(jīng)常將角色扮演、現(xiàn)場(chǎng)表演和動(dòng)態(tài)演示融入演練中。這些元素注入了更高的真實(shí)感和緊迫感，促進(jìn)了更深入的參與，使團(tuán)隊(duì)完全沉浸在體驗(yàn)中。

另一方面，虛擬演練對(duì)于促進(jìn)分布式團(tuán)隊(duì)之間的協(xié)作非常有效。在當(dāng)今世界，許多組織分布在不同的地點(diǎn)和時(shí)區(qū)，使得虛擬管理網(wǎng)絡(luò)危機(jī)成為一個(gè)非常真實(shí)的場(chǎng)景。通過(guò)進(jìn)行虛擬模擬，你可以驗(yàn)證數(shù)字通信流程和預(yù)案，確保它們?cè)诜植际綀F(tuán)隊(duì)中真正需要時(shí)能夠無(wú)縫運(yùn)行。

這種方法作為后續(xù)策略也非常有效。事實(shí)上，我曾經(jīng)策劃過(guò)這樣的計(jì)劃：我們每年舉辦兩次現(xiàn)場(chǎng)活動(dòng)，再輔以兩次突擊虛擬場(chǎng)景。想象一下：在一個(gè)隨機(jī)的星期二，你突然啟動(dòng)活動(dòng)，考驗(yàn)每個(gè)人的技能，而且，根據(jù)我的經(jīng)驗(yàn)，網(wǎng)絡(luò)危機(jī)總是在最不方便的時(shí)候發(fā)生，比如周五下午晚些時(shí)候或長(zhǎng)假前夕。這是讓團(tuán)隊(duì)為意外情況做好準(zhǔn)備的完美方式。

問(wèn)：AI和VR等技術(shù)如何改變了危機(jī)模擬的方法?

答：我們?cè)谥谱鞫ㄖ莆C(jī)場(chǎng)景的開(kāi)發(fā)過(guò)程中融入了AI，但不得不說(shuō)，這項(xiàng)技術(shù)還有很大的成長(zhǎng)空間。舉個(gè)例子：今年夏天，我在為巴黎的一個(gè)活動(dòng)準(zhǔn)備內(nèi)容時(shí)，求助于AI來(lái)幫助生成圖片創(chuàng)意。我的目標(biāo)是捕捉人們?cè)谙奶旄械骄趩实膱?chǎng)景——聽(tīng)起來(lái)很簡(jiǎn)單，對(duì)吧?然而，AI對(duì)“夏天的沮喪”有著略有不同的解讀，不斷呈現(xiàn)出光著上身的男人。最后我不得不輸入：“每個(gè)人都必須穿衣服?！苯逃?xùn)是：AI是管理和導(dǎo)航網(wǎng)絡(luò)安全事件的不可思議的工具，但它確實(shí)需要一些人為監(jiān)督來(lái)確保一切按計(jì)劃進(jìn)行——并且穿著得體!

話雖如此，AI在危機(jī)模擬中的潛力才剛剛開(kāi)始被充分認(rèn)識(shí)。例如：AI可以加速高管演練場(chǎng)景的設(shè)計(jì);通過(guò)整合組織挑戰(zhàn)、監(jiān)管要求和預(yù)案，AI可以生成一個(gè)故事板或腳本，為符合組織特定需求的定制危機(jī)演練提供支持。在生產(chǎn)方面，我們使用AI構(gòu)建定制化的媒體資產(chǎn)，比如關(guān)于正在發(fā)生的攻擊的新聞快報(bào)視頻。在網(wǎng)絡(luò)靶場(chǎng)模擬的技術(shù)方面，AI可以在SOC或事件響應(yīng)演練中扮演對(duì)手。雖然VR在危機(jī)模擬中尚未普及，但它在彌合遠(yuǎn)程和現(xiàn)場(chǎng)體驗(yàn)之間的差距方面前景廣闊;它允許分布在不同地點(diǎn)的團(tuán)隊(duì)在虛擬環(huán)境中協(xié)作，實(shí)現(xiàn)“感覺(jué)”就像面對(duì)面的互動(dòng)。

問(wèn)：團(tuán)隊(duì)在模擬過(guò)程中面臨的最常見(jiàn)挑戰(zhàn)是什么，以及如何克服這些挑戰(zhàn)?

答：我們遇到的最常見(jiàn)挑戰(zhàn)是溝通不暢、角色混淆和決策癱瘓。

技術(shù)領(lǐng)導(dǎo)層和業(yè)務(wù)高管之間的溝通差距尤其常見(jiàn)。這些團(tuán)隊(duì)各自為政，這往往導(dǎo)致不一致和溝通不暢。技術(shù)人員使用的術(shù)語(yǔ)高管不完全理解，而業(yè)務(wù)優(yōu)先級(jí)可能對(duì)技術(shù)團(tuán)隊(duì)來(lái)說(shuō)也不清楚。因此，很難辨別哪些需要立即關(guān)注和溝通，哪些只是噪音。這減緩了關(guān)鍵決策的制定。如果再引入第三方供應(yīng)商或MSP，這只會(huì)加劇混亂。

角色混淆是一個(gè)有趣的挑戰(zhàn)。危機(jī)管理預(yù)案通常會(huì)為任務(wù)分配角色，但沒(méi)有詳細(xì)說(shuō)明這些角色的含義。我見(jiàn)過(guò)團(tuán)隊(duì)帶著對(duì)角色名稱的自信進(jìn)入演練，但對(duì)于角色在實(shí)際執(zhí)行中的意義卻一無(wú)所知。

很多時(shí)候，團(tuán)隊(duì)甚至不知道團(tuán)隊(duì)中存在某個(gè)角色，或者不知道誰(shuí)負(fù)責(zé)該角色。一個(gè)恰當(dāng)?shù)睦邮恰拔C(jī)模擬秘書”——負(fù)責(zé)記錄會(huì)議筆記、安排電話會(huì)議、確保每個(gè)人都有正確的電話號(hào)碼撥入等。這看似微不足道，但卻是一個(gè)關(guān)鍵角色，因?yàn)槟悴幌朐趽艽螂娫挄r(shí)浪費(fèi)寶貴的幾分鐘。我見(jiàn)過(guò)沒(méi)有設(shè)置這個(gè)角色的組織，僅僅為了讓三四名團(tuán)隊(duì)成員接入電話就花了三十分鐘，更不用說(shuō)整個(gè)危機(jī)響應(yīng)團(tuán)隊(duì)了。

因此，我建議在演練期間討論并為每個(gè)人澄清角色;我個(gè)人會(huì)在每次演練之前都這樣做。

決策癱瘓是技術(shù)和管理層都會(huì)面臨的挑戰(zhàn)。在我管理IBM的SOC期間，我親眼目睹了這一點(diǎn)。能夠發(fā)現(xiàn)最隱蔽惡意軟件的技術(shù)專家，往往在將他們的發(fā)現(xiàn)傳達(dá)給領(lǐng)導(dǎo)層時(shí)感到困難。他們會(huì)花幾個(gè)小時(shí)討論是否應(yīng)該上報(bào)潛在的威脅，因害怕犯錯(cuò)而陷入癱瘓。誤報(bào)可能會(huì)導(dǎo)致批評(píng)，甚至影響他們的績(jī)效評(píng)估，從而形成一種猶豫不決的文化，阻礙迅速?zèng)Q策。

在壓力下做出決策是我們培訓(xùn)的核心，讓我告訴你，這可能會(huì)帶來(lái)一些難忘的時(shí)刻。在一次危機(jī)模擬會(huì)議中，我們有一位參與者與一名演員一起導(dǎo)航一個(gè)實(shí)時(shí)場(chǎng)景。一開(kāi)始，這位參與者很鎮(zhèn)定，以令人欽佩的自信管理著情況。但隨著壓力的增加和問(wèn)題的日益復(fù)雜，他們碰壁了。意識(shí)到自己無(wú)法應(yīng)對(duì)，他們不僅沒(méi)有比喻性地崩潰，而是真的滑到了桌布下面，轉(zhuǎn)過(guò)身去，好像希望消失在宇宙的織物中。這既令人難忘，也生動(dòng)地提醒了我們?cè)谶@些場(chǎng)景中真正的壓力是什么感覺(jué)。后來(lái)我們大笑了一場(chǎng)——這也是一個(gè)關(guān)于在壓力下保持冷靜的偉大學(xué)習(xí)時(shí)刻!

我克服這些挑戰(zhàn)的前三條建議是：

加強(qiáng)技術(shù)團(tuán)隊(duì)和業(yè)務(wù)團(tuán)隊(duì)之間的溝通，以便他們能夠?qū)⒓夹g(shù)細(xì)節(jié)轉(zhuǎn)化為高管可以理解的清晰、可操作的見(jiàn)解。這是在危機(jī)模擬中練習(xí)最不足的領(lǐng)域之一。改善團(tuán)隊(duì)之間的溝通可以消除決策癱瘓，因?yàn)樗趫F(tuán)隊(duì)之間建立了信任，并賦予技術(shù)團(tuán)隊(duì)勇氣，讓他們?cè)谟袉?wèn)題時(shí)“按下大紅按鈕”并警告領(lǐng)導(dǎo)層，而不用擔(dān)心受到批評(píng)。

建立預(yù)定義的通信協(xié)議——我建議為特定的危機(jī)場(chǎng)景創(chuàng)建模板，確?？焖偾乙恢碌男畔鬟f。這可以作為危機(jī)模擬的成果之一來(lái)創(chuàng)建。

讓高管參與模擬——這聽(tīng)起來(lái)可能微不足道，但實(shí)際上，很難將包括CEO、CFO、法務(wù)和公關(guān)在內(nèi)的C級(jí)高管聚集在一起。我在這方面不會(huì)妥協(xié)，因?yàn)槟阆Ｍ@些團(tuán)隊(duì)在網(wǎng)絡(luò)危機(jī)中能夠有效地協(xié)作和溝通。

問(wèn)：你預(yù)見(jiàn)有哪些創(chuàng)新將塑造危機(jī)管理培訓(xùn)的未來(lái)?

答：危機(jī)管理培訓(xùn)的未來(lái)全在于體驗(yàn)。危機(jī)管理培訓(xùn)傳統(tǒng)上是一種“如果……會(huì)怎樣”的決策練習(xí)。它始于紙筆桌面演練，演變?yōu)镻owerPoint演示，然后發(fā)展到危機(jī)模擬器應(yīng)用程序，以數(shù)字、非線性的格式呈現(xiàn)相同的桌面問(wèn)題。然而，缺少的是真正網(wǎng)絡(luò)危機(jī)帶來(lái)的情感過(guò)山車——來(lái)自意外電話、客戶和媒體的壓力，這會(huì)影響你的思考、溝通和決策能力。隨著新的技術(shù)進(jìn)步，我們正在向一種電影般的體驗(yàn)邁進(jìn)，你將被直接投入到場(chǎng)景中。

第二個(gè)重要的創(chuàng)新將是能夠?qū)⒉僮餮菥?如網(wǎng)絡(luò)靶場(chǎng))無(wú)縫集成到危機(jī)演練中的能力。將高管模擬與技術(shù)培訓(xùn)相結(jié)合是現(xiàn)代危機(jī)管理發(fā)展的基石。確保技術(shù)團(tuán)隊(duì)不僅熟練，而且對(duì)他們每天在SOC中依賴的工具有深入的了解至關(guān)重要。通過(guò)將這些專業(yè)知識(shí)融入動(dòng)手培訓(xùn)課程中，他們可以彌合操作技能和高層決策之間的差距。這種整體方法促進(jìn)了無(wú)縫溝通，使技術(shù)見(jiàn)解能夠?yàn)楦邔討?zhàn)略提供信息，確保在實(shí)際事件發(fā)生時(shí)能夠做出協(xié)調(diào)有效的響應(yīng)。這是使體驗(yàn)盡可能接近現(xiàn)實(shí)世界的最后一步。