performing-ransomware-tabletop-exercise

执行勒索软件桌面推演

适用场景

• 每年或在重大基础设施变更后测试组织的勒索软件响应流程
• 验证勒索赎金支付、法规通知和公开披露的决策流程
• 培训高管、IT、法务、公关和运营团队了解其在勒索软件事件中的职责
• 满足网络保险政策对有据可查的事件响应测试要求
• 识别恢复手册（Playbook）、通信计划和备份流程中的不足

不适用于技术控制测试。桌面推演（Tabletop Exercise）验证流程和决策，而非技术检测或预防能力。

前置条件

• 参与者在演练前应已阅读的书面事件响应计划（IRP）
• 已确认参与者来自：高管层、IT/安全、法务、通信/公关、人力资源、运营部门及外部法律顾问
• 独立于应急响应团队的主持人（以提供客观评估）
• 设计包含多轮递进注入内容的勒索软件场景
• 与 NIST CSF 响应/恢复功能相对应的评估标准
• 2-4小时不受干扰的会议室或虚拟会议

工作流程

步骤 1：设计演练场景

基于当前威胁行为者 TTP 构建真实场景：

场景结构：

阶段 1：初始检测（30 分钟）
  - SOC 收到文件服务器上可疑进程执行的告警
  - EDR 在 3 台工作站上检测到 Cobalt Strike 信标
  - 注入：外部威胁情报报告将 C2 IP 与 LockBit 附属机构关联

阶段 2：升级（30 分钟）
  - 勒索软件在夜间对 40% 的服务器执行加密
  - 勒索信要求在 72 小时期限内支付 200 万美元比特币
  - 注入：攻击者联系媒体声称窃取了客户 PII 数据

阶段 3：决策点（45 分钟）
  - 备份评估显示不可变副本完好，但主备份已被加密
  - 法务就违规通知时间表提供建议（GDPR 72 小时，美国各州不同）
  - 注入：威胁行为者在泄露站点上发布部分被盗数据样本

阶段 4：恢复与通信（45 分钟）
  - 恢复时间估计：从不可变备份恢复需 5-7 天
  - 保险公司介入并聘请谈判公司
  - 注入：主要客户威胁称如未在 24 小时内收到更新将终止合同

需要自定义的场景变量：

• 威胁行为者组织及已知 TTP
• 基础设施被加密的百分比
• 备份是否完好、部分受损或完全被删除
• 外泄数据类型（PII、PHI、财务数据、商业机密）
• 适用的监管框架（GDPR、HIPAA、PCI DSS、SEC 规则）
• 赎金金额和支付期限

步骤 2：准备演练材料

为参与者创建以下文件：

1. 演练概述简报 - 基本规则、目标、范围和参与者
2. 态势报告（SITREP） - 每个阶段一份，随演练进程分发
3. 注入卡片 - 在特定时间引入的新信息，强制进行决策
4. 决策点工作表 - 用于记录小组决策的结构化表单
5. 评估记分卡 - 评估响应质量的标准

需纳入的关键决策点：

• 何时启动事件响应团队
• 是全面关闭系统还是选择性遏制
• 是否联系执法机构（FBI IC3、CISA）
• 是否支付赎金及在何种条件下支付
• 何时以何种方式通知监管机构、客户和公众
• 如何确定系统恢复优先顺序

步骤 3：主持演练

主持人职责：

• 呈现每个阶段场景并分发 SITREP
• 在预定时间引入注入内容以增加压力
• 提出探究性问题以测试决策推理
• 确保所有参与者组别都有发言（防止 IT 团队主导）
• 记录所有决策、理由和行动项目
• 追踪时间管理（许多团队在早期阶段耗费过多时间）

各阶段探究性问题：

阶段 1 - 检测：

• 谁负责宣布事件？触发标准是什么？
• 我们如何从初始告警确定受损范围？
• 我们是否具备取证能力来调查，还是需要外部帮助？

阶段 2 - 升级：

• 我们对员工的通信计划是什么？他们是否知道不要开启受影响的机器？
• 我们是否已隔离网络以防止进一步加密？
• 谁有权授权影响业务运营的系统关闭？

阶段 3 - 决策：

• 在什么条件下我们会考虑支付赎金？
• 此时的法律通知义务是什么？
• 我们如何处理客户数据的公开泄露？

阶段 4 - 恢复：

• 恢复优先顺序是什么？是有文档记录的还是临时决定的？
• 关键业务运营多久能恢复？
• 执法机构和保险所需的证据保全有哪些要求？

步骤 4：评估和对响应评分

针对定义的标准对每个职能领域进行评分：

评估领域	评分（1-5）	标准
检测与升级		及时宣布事件，正确的指挥链
遏制		网络隔离、凭据重置、范围评估
对内通信		员工通知、高管简报、决策记录
对外通信		监管通知、客户沟通、媒体响应
恢复规划		备份验证、恢复优先级、RTO 追踪
法律与合规		违规通知时间表、证据保全、执法介入
业务连续性		手工操作、客户影响缓解、收入损失估算
支付决策		结构化框架、法律审查、OFAC 制裁检查

步骤 5：记录发现与整改计划

在 5 个工作日内制作事后分析报告（AAR）：

AAR 内容：

1. 演练概述和目标
2. 场景摘要和注入内容
3. 已做出的关键决策及其依据
4. 观察到的优势
5. 已识别的差距及严重性评级
6. 含责任人和截止日期的整改行动
7. 与往次演练结果的比较（如适用）

核心概念

术语	定义
桌面推演（Tabletop Exercise, TTX）	基于讨论的演练，参与者逐步演练模拟事件场景以测试计划和流程
注入（Inject）	演练过程中引入的新信息，用于改变场景并迫使进行额外决策
态势报告（SITREP）	在每个演练阶段提供模拟事件当前状态的情况报告
事后分析报告（After-Action Report, AAR）	记录发现、差距、优势和整改行动的演练后文件
双重勒索（Double Extortion）	勒索软件战术，攻击者同时加密数据并威胁公开被盗数据，除非支付赎金
OFAC 检查（OFAC Check）	验证赎金支付接收方不在美国财政部 OFAC 制裁名单上，否则支付将违法

工具与系统

• CISA 桌面推演包（CTEPs）：CISA 为关键基础设施行业设计的免费场景包
• FEMA 国土安全演练与评估计划（HSEEP）：设计、开展和评估演练的方法论
• Immersive Labs：提供实时评分的互动式网络危机模拟平台
• 桌面演练场景（来自英国 NCSC）：提供免费引导式桌面推演的 Exercise in a Box 工具
• 勒索软件准备度评估（CISA）：评估勒索软件准备情况的自评工具

常见场景

场景：医疗系统双重勒索演练

场景背景：一家拥有 5 家医院的医疗系统开展年度勒索软件桌面推演。上次演练发现了 HIPAA 违规通知和临床系统恢复优先级方面的差距。本年度场景模拟针对 EMR 系统的双重勒索攻击。

方法：

1. 基于 Cl0p MOO（托管运营操作者）TTP 设计场景：利用 MOVEit 漏洞获得初始访问权限，外泄 50 万条患者记录，随后加密 EMR 数据库服务器
2. 参与者：CISO、CIO、CMO（首席医疗官）、总法律顾问、副总裁通信、临床运营总监、隐私官员、外部应急响应公司代表
3. 阶段 1 注入：EMR 系统宕机，急诊科将患者转至邻近医院
4. 阶段 2 注入：HHS OCR（民权办公室）就暗网上患者数据报告联系该组织
5. 阶段 3 注入：攻击者提供解密密钥样本，要求 350 万美元，48 小时期限
6. 关键发现：组织缺乏记录在案的赎金支付决策标准，且未预先识别符合 OFAC 要求的支付机制
7. 整改措施：建立支付决策框架，预先聘请勒索软件谈判公司，更新包含具体时间表的 HIPAA 违规通知程序

常见陷阱：

• 设计不反映实际勒索软件 TTP 的不切实际场景，降低演练可信度
• 允许技术团队主导演练而业务和法律参与者保持被动
• 未测试通信计划（许多组织在真实事件中才发现通知名单已过期）
• 未跟进 AAR 中识别的整改行动，使演练价值落空

输出格式

## 勒索软件桌面推演 - 事后分析报告

**演练日期**: [日期]
**主持人**: [姓名]
**场景**: [简要描述]
**持续时间**: [小时数]
**参与者**: [按部门统计人数]

### 演练目标
1. [目标] - 已达成 / 部分达成 / 未达成
2. [目标] - 已达成 / 部分达成 / 未达成

### 关键决策日志
| 时间 | 决策点 | 已做决策 | 依据 | 评估 |
|------|--------|---------|------|------|

### 观察到的优势
1. [优势]

### 已识别的差距
| 差距 | 严重性 | 受影响领域 | 当前状态 | 期望状态 |
|------|--------|-----------|---------|---------|

### 整改行动
| 行动 | 责任人 | 截止日期 | 优先级 | 状态 |
|------|--------|---------|--------|------|

### 与往次演练比较
| 领域 | 上次评分 | 本次评分 | 趋势 |
|------|---------|---------|------|