桌面演练（TTX）：定义、示例和目标

与全面模拟相比，桌面演练的强度较小，成本较低，是一个了解组织和员工在压力环境下如何做出响应的机会。

桌面演练定义

桌面演练（有时缩写为TTX或TTE）是指由应急组织的代表或关键岗位人员参加的，按照应急预案及其标准工作流程，讨论紧急情况时应该采取行动的演练活动，其氛围是学院式和探索性的。

不过，想要真正了解桌面演练，还需要综合分析它与“功能性演练”和“全面演练”的区别。

桌面演练 VS 功能性演练VS全面演练

所谓“功能性演练”是指针对某项应急响应功能或其中某些应急响应行动举行的演练活动，主要目的是针对应急响应功能，检验应急人员以及应急体系的策划和响应能力。

功能性演练比桌面演练规模更大，需要动员更多的应急人员和机构参与，因而协调工作的难度也会随之增加。此外，演练完成后，除了采取口头评论形式外，还应向地方提交有关演练活动的书面汇报，提出改进建议。

所谓“全面演练”是指针对应急预案中全部或大部分应急响应功能，检验、评价应急组织应急运行能力的演练活动。全面演练一般要求持续多个小时，采取交互式方式进行，演练过程要求尽量真实，调用更多的应急人员和资源，并开展人员、设备和其他资源的实战性演练，以验证相互协调的应急响应能力。

与功能性演练类似，全面演练完成后，除了采取口头评论、书面汇报外，还应提交正式的书面报告。

相比之下，顾名思义，桌面演练是围绕一张桌子进行的，其特点是对演练场景进行口头演练，一般是在会议室内举行。

桌面演练一般仅限于有限的应急响应和内部协调活动，应急人员主要来自本地应急组织，事后一般采取口头评论形式收集参演人员的建议，并提交一份简短的书面报告，总结演练活动和提出有关改进应急响应工作的建议。

需要记住的一件重要事情是，桌面演习并不意味着测试或比赛，它们应该被视为协作学习环境和“无错”（no-fault）环境。毕竟，如果组织在演练过程中发现他们的防御弱点或流程存在问题，这应该被认为是一件好事——毕竟，在演练中发现漏洞要比面临真正的危机好得多。

网络安全桌面演练

事实上，桌面演练并不仅限于网络安全领域；任何需要应对潜在危机和灾难的组织都可以从其中受益。例如，俄勒冈州就曾使用桌面演练对2020年冠状病毒大流行后可能产生的变化影响制定演练计划。

但不得不说，在许多方面，桌面演练特别适用于网络安全环境，而且对其格外重要。它们旨在暴露组织结构中的弱点，并确保人们实际上遵循了协议和最佳实践，这些协议和最佳实践在大多数时候似乎都处于理论层面。正因如此，当现实世界中的人类需要实施它们时，那些看似完美的计划也往往以崩溃收场。虽然有很多方法可以对网络防御的技术层面进行测试，但桌面练习测试的是对网络安全同样重要的人和组织因素。

桌面演练需要考虑的问题

开展桌面演练前，要问自己的第一个问题是桌面演练是否适合您的组织。如果您已经为将要经历的场景制定了某种形式的响应计划，那么才值得开始这个过程。桌面演练非常适合测试计划可行性，但如果参与的每个人都只是即兴发挥，那就不能奢望可以从中获益太多。此外，您还需要获取组织对该过程的支持：如果管理层不同意让您根据结果更改计划和政策，那么进行整个演练也是毫无意义的。

同样重要的一个问题就是谁将参与该演练项目。参与的团队成员类型将决定您将进行什么样的演练。例如，参与者都是网络安全团队成员的演练可能侧重于识别和击败高级持续威胁；参与者跨越整个公司的演练可能会着眼于网络入侵的后果以及技术、法律和通信部门应如何应对入侵行为等。

另一个需要考虑的重要问题是“何时”：是应该每年开展一次还是更频繁地进行桌面演练，以提高员工的警觉性？然后是“何地”：显然易见就是举行演练的位置问题，可以是围着会议室的桌子，也可以通过视频会议为分布式团队进行演练。最后，还有一个绝对关键的问题，即“如何”。虽然没有一种绝对正确的方法来进行桌面演练，但是有一些重要的建议可以帮助您充分利用桌面演练。

规划桌面演练

Nexight Group公司的Jack Eisenhauer概述了规划桌面演习的过程，该过程考虑了上述许多问题。他将这个过程分为三个阶段，每个阶段包括三个关键活动。这些对应于练习之前、期间和之后的时间，但您需要提前计划以确保每个步骤在练习中正确完成。

演练前：设计

◼明确目标和结果，确定您希望实现的目标以及练习结束后您将如何使用这些结果；

◼选择您的参与团队，包括关键决策者甚至高管，然后利用他们的影响力将事后报告付诸行动；

◼设计一个可信的且能够引发讨论的场景和演练计划。

演练中：参与

◼创建一个互动的、无错的空间，鼓励人们提出问题和犯错；

◼询问参与者一些探索性问题，遵循脚本但允许即兴发挥；

◼使用可视化工具和时间线，随时记录问题和经验教训——不要完全依赖会议记录者；

演练后：学习

◼准备一份行动后报告，其中包括演练的文档以及潜在改进的领域；

◼根据练习结果制定具体的近期计划；

◼提供工具和指南来促进学习，找到满足演练结果所揭示的需求的资源。

桌面演练目标

让我们回到最开始的一个话题：演练的目标。坦白地说，您希望通过桌面演练为组织带来什么好处？学会将这些目标与参与者在演练中的目标区分开来至关重要。例如，桌面演练参与者的目标可能是弄清楚如何在灾难发生后尽快恢复组织的数据库。但进行该演练的总体目标是对组织的灾难恢复计划进行压力测试，看看团队是否知道如何在遇到意外情况时最好地协同工作。

美国公用设施监管协会（NARUC）建议开展桌面演练的目标应该遵循“SMART”原则，具体为：

◼S代表具体（Specific）——解决具体问题并指定行动项目；

◼M代表可度量（Measurable）——预先建立成功指标，以验证活动成果；

◼A代表可实现（Achievable）——参与者可以在分配时间内完成；

◼R代表相关性（Relevant）——与组织的使命相关联；

◼T代表有时限（Time-bound）——将时间限制在预先确定的合理时间范围内；

领导桌面演练项目

有很多顾问很乐意在您的组织中领导桌面演练；然而，由于这些练习的非正式性质，它们通常由内部员工领导。

纽约州有一个很好的桌面练习指导员指南，提供了有关领导适用于任何主题领域的桌面演习的宝贵建议。它首先列出了协调人的大局职责：

◼介绍演练基本情况；

◼鼓励解决问题；

◼控制活动的节奏和流程；

◼引导讨论并从小组中得出答案和解决方案（而不是直接提供给他们）；

该指南还提供了让所有参与者参与以及控制和维持活动的技巧。重要的关键之一是注意沮丧和冲突的迹象。请记住，桌面演练旨在协作，而不是对抗。特别是，初级员工需要有在管理层面前发表评论的空间，所以尽量让每个人都平等地参与进来。

桌面练习示例和场景

到目前为止，我们一直在谈论一些笼统的情况。那么在实际示例中可能会出现哪些场景？互联网安全中心（CIS）提供了六个场景，可供参考：

◼匆忙修复：网络管理员未经测试就部署补丁，然后出去度假，导致用户无法登录；

◼恶意软件感染：用户将感染恶意软件的SD卡插入公司笔记本电脑中；

◼计划外攻击：黑客组织针对该组织发动攻击——他们会在企业系统中发现什么？

◼云入侵：您的组织一直在使用被黑客入侵的云存储服务存储敏感数据，这可能会暴露客户数据；

◼财务入侵：审计显示您的工资系统正在向可疑人员发放支票；

◼洪水区（flood zone）：在处理公司总部遭遇的洪水攻击时，您又遭到了勒索软件攻击；

该文档还概述了在您的组织中实际运行这些练习所需的大部分内容。其中一些属于下述两个类别，它们可能是最常见的网络安全桌面演练类型：

◼事件响应桌面练习。正如我们希望提前计划和控制一切一样，网络安全在很大程度上是一个被动的过程。RSI有关于执行事件响应桌面演练的文档，其中包括确保参与者了解您的组织针对特定类型的违规行为的政策以及谁负责应对这些事件的行动。

◼用于业务连续性的桌面演练场景。桌面演练也受到了那些负责为自然或人为灾难做准备的人的喜爱，而业务连续性属于该角色与网络安全之间的重叠部分。NContracts对运行有效的桌面业务连续性规划演练有很好的指导，其中包括了解您对特定供应商的依赖关系，并可能将它们循环到任何损坏控制场景中。

桌面练习模板

您想开始规划自己的桌面演练项目吗？您可以使用一些模板来帮助入门。SearchDisasterRecovery就是很好的选择，它会提示您列出运行演练的动机（以便您开展内部动员）、参与者的叙述以及参与者将采用的沟通方式等。而且Continuity Advisor有一个有用的模板，您可以使用它在演练完成后创建行动后报告。

参考及来源：https://www.csoonline.com/article/3622252/tabletop-exercises-explained-definition-examples-and-objectives.html