取证与应急响应
桌面演练
别称: TTX, 桌面推演
定义
以讨论为主的模拟演练,相关方按既定情景推演假想的网络事件,检验计划、角色、决策与沟通。
桌面演练(TTX)是在会议室内、不影响真实系统的情景化事件响应预演,由引导者主持。来自 IT、安全、法务、公关、人力、管理层乃至外部合作伙伴的参与者根据“注入”(勒索信、监管问询、媒体来电)做出反应,以发现剧本、权责与工具链中的不足。CISA、NIST SP 800-84 与 ISO 22398 提供了演练设计的正式指南。TTX 通常每年开展 2~4 次,产出会作为复盘报告,推动 IRP 更新、培训与投入。
示例
- 两小时的勒索软件桌面演练,涵盖遏制、是否支付赎金与法律通报。
- 供应链入侵情景,检验与供应商的协同和对客户的沟通。
相关术语
事件响应计划
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
DFIR(数字取证与事件响应)
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
Business Impact Analysis (BIA)
Business Impact Analysis (BIA) — definition coming soon.
Red Team
Red Team — definition coming soon.
Blue Team
Blue Team — definition coming soon.