retroverse-studios/incident-zero

GitHub: retroverse-studios/incident-zero

Incident Zero 是一款基于 MITRE ATT&CK 框架的网络安全教育桌游,通过六个可组合的模块让玩家在模拟攻防中学习完整的安全事件响应生命周期。

Stars: 0 | Forks: 0

# Incident Zero ![Incident Zero — 攻击者已经潜入内部](https://static.pigsec.cn/wp-content/uploads/repos/cas/c2/c2bbf6afec38ac2e2099f6e7f821488e43040fe23a6c6ed9ae030d9cc5def749.png) [![棋盘游戏](https://img.shields.io/badge/-board--game-blue?style=flat-square)](https://github.com/topics/board-game) [![网络安全](https://img.shields.io/badge/-cybersecurity-f44336?style=flat-square)](https://github.com/topics/cybersecurity) [![教育](https://img.shields.io/badge/-education-blue?style=flat-square)](https://github.com/topics/education) [![教育类游戏](https://img.shields.io/badge/-educational--game-blue?style=flat-square)](https://github.com/topics/educational-game) [![基于游戏的学习](https://img.shields.io/badge/-game--based--learning-blue?style=flat-square)](https://github.com/topics/game-based-learning) [![html](https://img.shields.io/badge/-html-e34f26?style=flat-square)](https://github.com/topics/html) [![事件响应](https://img.shields.io/badge/-incident--response-blue?style=flat-square)](https://github.com/topics/incident-response) [![mitre-attack](https://img.shields.io/badge/-mitre--attack-blue?style=flat-square)](https://github.com/topics/mitre-attack) [![安全培训](https://img.shields.io/badge/-security--training-blue?style=flat-square)](https://github.com/topics/security-training) [![桌游](https://img.shields.io/badge/-tabletop--game-blue?style=flat-square)](https://github.com/topics/tabletop-game) **Incident Zero** 是一款极具实践性和互动性的桌游,通过游戏过程教授网络安全概念。玩家将扮演响应网络攻击、管理事件响应并制定防御策略的安全专业人员。 ## 概述 Incident Zero 结合了战略决策、资源管理和技术知识,打造了一种沉浸式的教育体验。无论您是教授事件响应、安全架构还是危机管理,Incident Zero 都能为多种学习成果提供一个灵活的框架。 ### 您将学到什么 - **事件响应:** 如何使用 MITRE ATT&CK 框架检测和调查网络攻击 - **纵深防御:** 构建分层安全控制以保护关键系统 - **危机管理:** 在压力下管理违规响应并与利益相关者进行沟通 - **网络杀链:** 了解从初始访问到数据外泄的攻击演进过程 - **资源优先级划分:** 在预算限制下做出安全决策 - **现实世界的威胁:** 现代攻击场景,包括供应链、内部威胁、IoT 和基于云的攻击 ## 运作方式 ### 核心玩法 一名玩家担任 **Threat Orchestrator**(主持人),而其他玩家则组成 **Blue Teams**(防守方)。Threat Orchestrator 使用威胁卡创建隐藏的攻击链,而 Blue Teams 拥有有限的预算和回合数,需要通过调查、防御部署或紧急响应行动来检测出链条中的所有卡片。 **核心机制:** - 基于 1d20 骰点掷出的调查和防御行动 - 预算受限的资源分配 - 针对战略决策的技术论证奖励 - 未控制威胁惩罚,增加压迫感 - 灵活、模块化的游戏结构 ### 游戏模块:6 种玩法 Incident Zero 包含 **6 个可互换的模块**,涵盖了从规划到评估的完整网络安全事件生命周期: **6 个核心模块(每个 30-45 分钟):** 1. **网络构建 (Network Building)** - 设计并保护网络基础设施的安全 2. **强化 (Hardening)** - 构建抵御已知威胁的分层防御 3. **事件响应 (Incident Response)** - 检测并调查隐藏的攻击链 4. **灾难恢复 (Disaster Recovery)** - 通过与利益相关者沟通来管理漏洞危机 5. **取证 (Forensics)** - 调查受损系统并归因攻击(v2.1 新增) 6. **审计与合规 (Audit & Compliance)** - 进行安全评估和合规审计 **推荐组合:** - **单人游戏:** 任意单个模块(30-45 分钟) - **检测与调查:** 事件响应 → 取证(90 分钟) - **危机与调查:** 灾难恢复 → 取证(90 分钟) - **检测与防御:** 事件响应 → 强化(90 分钟) - **构建、测试、修复:** 网络构建 → 事件响应 → 强化(120 分钟) - **完整生命周期:** 网络构建 → 强化 → 事件响应 → 灾难恢复 → 取证 → 审计(4-5 小时;可分为多场进行) 在单人游玩时,每个模块也可以**程序化生成**(通过掷骰子、抽卡),从而让模块能以教育者选择的任何顺序无缝衔接。 有关组合模块的详细指南,请参阅 [模块组合](docs/module-combinations.md) 和 [游戏模式](docs/gameplay-modes.md)。 ## 项目结构 ``` incident-zero/ ├── README.md # This file ├── LICENSE # CC BY-NC-SA 4.0 ├── CONTRIBUTING.md # Contribution guidelines ├── .gitignore │ ├── docs/ │ ├── FRAMEWORK.md # Module philosophy & flexibility guide │ ├── VARIABLE_GAME_LENGTH_SYSTEM.md # Variable game length system (v2.1) │ ├── module-combinations.md # Module combinations & recommended sequences │ ├── gameplay-modes.md # Recommended module combinations & tournaments │ ├── rules/ │ │ ├── core-rules.md # Core mechanics (v2.2) │ │ ├── module-network-building.md # Network Building rules (full) │ │ ├── module-hardening.md # Hardening module rules (full) │ │ ├── module-incident-response.md # Incident Response rules (full) │ │ ├── module-disaster-recovery.md # Disaster Recovery rules (full) │ │ ├── module-forensics.md # Forensics module rules (full) [NEW v2.1] │ │ └── module-audit-compliance.md # Audit & Compliance rules (full) │ └── standalone-games/ │ ├── network-building.md # Network Building solo setup & play │ ├── hardening.md # Hardening module solo setup & play │ ├── incident-response.md # Incident Response solo setup & play │ ├── disaster-recovery.md # Disaster Recovery solo setup & play │ ├── forensics.md # Forensics solo setup & play [NEW v2.1] │ └── audit-compliance.md # Audit & Compliance solo setup & play │ ├── cards/ │ ├── incident-response/ # Incident Response cards │ │ ├── core-deck/ │ │ │ └── threat-defense-cards.md # 12 threat cards + 24 defense cards │ │ └── expansion-deck/ │ │ ├── advanced-threats.md # 8 modern threat cards │ │ └── advanced-defenses.md # Advanced defense cards │ ├── hardening/ # Hardening module cards │ ├── network-building/ # Network Building module cards │ ├── disaster-recovery/ # Disaster Recovery module cards │ ├── forensics/ # Forensics module cards [NEW v2.1] │ │ ├── README.md # Forensics card overview │ │ └── core-deck/ │ │ ├── investigation-cards.md # 12 Investigation Action cards │ │ └── evidence-cards.md # 12 Evidence + 4 Findings cards │ ├── audit-compliance/ # Audit & Compliance module cards │ └── print-templates/ │ └── [Card printing guides, tracker sheets, and templates] ``` ## 快速开始 ### 📚 文档 - **[游戏主页](https://retroverse-studios.github.io/incident-zero/)** - 按模块或完整游戏下载打印即玩包 - **[文档网站](https://retroverse-studios.github.io/incident-zero/docs.html)** - 带有可搜索侧边栏的完整游戏文档 - **[DeepWiki 文档](https://deepwiki.com/retroverse-studios/incident-zero)** - 替代的自动生成文档 Wiki 格式 ### 刚接触这款游戏?从这里开始 阅读 **[玩法指南](docs/HOW_TO_PLAY.md)** —— 这是一份 15 分钟的入门手册,包含一整套带剧本的初次游戏流程(初级事件响应)。下方的所有其他内容均为参考资料。 ### 致教育者 1. **了解框架:** 阅读 [FRAMEWORK.md](docs/FRAMEWORK.md) 了解 6 个模块及其组合方式 2. **查看可变游戏时长:** 阅读 [VARIABLE_GAME_LENGTH_SYSTEM.md](docs/VARIABLE_GAME_LENGTH_SYSTEM.md) 了解游戏节奏选项 3. **选择您的模块:** 决定哪些模块能满足您的学习目标以及按照什么顺序进行(见 [模块组合](docs/module-combinations.md)) 4. **设置游戏:** 按照您选定模块的独立设置说明进行操作 5. **打印卡牌:** 下载并打印您选定模块的卡牌 6. **开展游戏环节:** 每个模块都包含游戏循环和复盘指南 ### 致 Threat Orchestrator 1. 阅读 [核心规则](docs/rules/core-rules.md) 了解核心机制 (v2.1) 2. 选择您想要开展的模块(推荐请参见 [游戏模式](docs/gameplay-modes.md)) 3. 使用 [12 张核心威胁卡](cards/incident-response/core-deck/threat-defense-cards.md) 或 [8 张扩展威胁](cards/incident-response/expansion-deck/advanced-threats.md) 构建您的场景 4. 遵循特定模块的规则和设置程序 5. 利用复盘问题巩固学习效果 ## 游戏组件 ### 核心牌组 - **12 张威胁卡:** 代表攻击者行为的攻击链卡牌 - **24 张防御卡:** 抵御攻击的工具和程序(按成本分级:10/15/25 预算) - **追踪表:** 回合、预算、发现、声誉、未控制威胁 ### 扩展牌组 - **8 种现代威胁:** 供应链攻击、内部威胁、IoT 漏洞、云 API 滥用、DNS 隧道、物理安全绕过 - **高级防御:** 针对扩展威胁的专门对策 - **Pentester 战术卡:** 用于强化模块的高级攻击场景 ## 主要特性 ✅ **完整生命周期覆盖:** 6 个可互换的模块涵盖了从规划到评估的全过程(约占事件响应生命周期的 95%) ✅ **灵活的游戏时长:** 默认公式或高级阶层系统,通过掷骰子实现逼真的可变时间线 ✅ **模块化设计:** 可单独游玩或以任何顺序组合模块(每个模块 30-45 分钟,完整生命周期可达 2.5 小时以上) ✅ **教育导向:** 教授基于 MITRE ATT&CK 框架的真实网络安全概念 ✅ **可扩展的难度:** 适合初学者到高级玩家的难度级别(从 3 张卡牌的攻击链到 6 张卡牌的攻击链) ✅ **取证模块整合:** 用于事后分析的新调查和归因模块 (v2.1) ✅ **引人入胜的玩法:** 包含竞争和合作游戏模式,在资源受限下做出有意义的决策 ✅ **现代威胁:** 涵盖当前威胁(供应链、云、IoT、内部威胁、勒索软件) ✅ **基于讨论:** 内置复盘环节和学习成果追踪 ## 打印您的牌组 ### 快速入门 **最简单的方法:** 从[主页](https://retroverse-studios.github.io/incident-zero/)(或 [downloads/](downloads/) 文件夹)下载单个打印即玩包 —— 每个包都是一个可打印的 HTML 文件,包含规则、卡牌和追踪表。使用 `python3 tools/build_bundles.py` 可重新生成打包文件。 或者,将[卡组](cards/README.md)中的卡牌打印在卡纸上,沿虚线剪下,并可选择是否套上卡套。 ### A4 纸张打印(每张 9 张卡牌) 有关以下内容,请参阅 [A4 布局指南](cards/print-templates/a4-layout-guide.md): - 纸张规格(200-250 gsm 卡纸) - 裁切指南和边距 - 每页多卡布局 - 按卡牌类型的颜色建议 ### 追踪表(游玩必需) 打印 [追踪表](cards/print-templates/tracker-sheets.md) —— 包含通用的回合/预算/声誉/未控制追踪表以及各模块专用表(取证计量表、DR 利益相关者信任度、审计评分、NB 评分表)。 ### 试玩测试 准备开展一场游戏?请使用[试玩指南](docs/playtesting/README.md)、[反馈表](docs/playtesting/feedback-form.md)和[游戏记录表](docs/playtesting/session-notes-form.md),并通过 GitHub Issues 报告结果。 ### 数字化制作(未来) 未来版本可能包括: - 用于专业打印服务的 PDF 模板 - 可编程卡牌生成 (Squib/Ruby) - 按需打印集成 (The Game Crafter, DriveThruCards) ## 许可证 ### 游戏设计与规则 **CC BY-NC-SA 4.0 (知识共享 署名-非商业性使用-相同方式共享)** 该协议允许您: - ✅ 使用 Incident Zero 进行游戏和教学 - ✅ 混合修改并创建您自己的场景 - ✅ 与教育工作者和社区分享 - ❌ 未经许可销售商业产品 - ❌ 限制他人对您的改编进行混合修改 ### 代码(如适用) 任何数字工具、脚本或软件组件均采用 MIT 许可证授权。 **完整许可证文本:** 请参见 [LICENSE](LICENSE) 文件 ### 文档 - **[游戏主页](https://retroverse-studios.github.io/incident-zero/)** - 下载 + [文档网站](https://retroverse-studios.github.io/incident-zero/docs.html)(包含可搜索的规则、模块和卡组) - **[DeepWiki 文档](https://deepwiki.com/retroverse-studios/incident-zero)** - 自动生成的文档 Wiki 替代方案 ## 推荐的课堂设置 ### 60 分钟场次(初级) - 设置:10 分钟 - 事件响应(3 张卡牌的链条,初创企业难度):30 分钟 - 经验教训复盘:10 分钟 - 讨论:10 分钟 ### 90 分钟场次(中级) - 设置:5 分钟 - 事件响应(4 张卡牌的链条):30-35 分钟 - 经验教训复盘:10 分钟 - 强化:30 分钟 - 复盘:10 分钟 ### 2 小时锦标赛(多支队伍) - 设置:10 分钟 - 事件响应(所有队伍同时进行):40 分钟 - 根据结果分流进行第二模块 —— 胜者游玩强化,败者游玩灾难恢复:35 分钟 - 颁奖与复盘:30 分钟 ## 设计理念 **Incident Zero** 的构建原则是 **安全是一项团队运动**。通过结合: - 教育严谨性(基于 MITRE ATT&CK 框架) - 游戏机制(有意义的决策、资源限制) - 真实世界场景(来自实际的违规报告) 我们创造了一个环境,让玩家在实践中学习,在安全的空间中犯错,并培养对安全决策的直觉。 ## 这款游戏的独特之处 1. **专注于杀链:** 玩家不仅要检测威胁;还要理解完整的攻击演进过程 2. **论证奖励:** 成功需要解释一项决策*为什么*重要,而不仅仅是靠掷骰子 3. **双重结果:** 战胜攻击 → 进入强化阶段;防守失败 → 管理危机 4. **可扩展的复杂性:** 从 3 张卡牌的初学者链条到 5 张卡牌的企业级场景(搭配扩展卡牌) 5. **现代威胁:** 在传统攻击之外,还包括供应链、云、IoT 和内部威胁 ## 常见问题解答 **问:这款游戏支持多少人游玩?** 答:2-6 名或以上玩家。最佳配置为 1 名 Threat Orchestrator 和 2-4 名 Blue Team 成员(或多支队伍)。 **问:一局游戏需要多长时间?** 答:小游戏需要 30-45 分钟,战役模式需要 90-120 分钟。 **问:我们可以在没有网络安全背景的情况下游玩吗?** 答:可以!通过游玩教授概念。新玩家从初级场景开始即可。 **问:我可以创建自己的场景吗?** 答:当然可以!有关场景设计指南,请参见 [CONTRIBUTING.md](CONTRIBUTING.md)。 **问:如果我们想玩竞技模式而不是合作模式怎么办?** 答:规则对两者都支持。有关竞技变体,请参见 [游戏模式](docs/gameplay-modes.md#competitive-mode)。 **问:这款游戏可以在网上玩吗?** 答:当前版本专注于桌游体验。未来可能会推出数字化改编版本。 ## 版本历史 - **v2.2**(当前版本) - 试玩版 - 全面一致性核对:规则文档、独立指南和卡组在所有 6 个模块中现在保持一致(每个模块统一一种预算标准、一份成本清单和一种计分公式) - 平衡性补丁:IR 揭示与驻留时间机制、强化剧本上限 + 规范化的防御掷骰公式、取证行动成本 + 可达成的监管链、DR 勒索决策卡 (ACTION-13)、NB 每回合免费部署 - 灾难恢复统一采用卡牌驱动系统(百分比轨道 + 利益相关者信任度,8 回合计时) - 准确性核对:纠正了 MITRE ATT&CK ID、NIST CSF/CIS 引用、GDPR/CCPA/勒索合法性的相关事实 - 新增:网络构建独立牌组(REQ-01–20, EVT-01–16)、追踪表、A4 打印指南、试玩工具包 - 每个模块的规则文档结尾都为试玩者附有“v2.2 试玩版更改”部分 - **v2.1** - 平衡与优化版 - 增加了未控制威胁惩罚机制 - 平衡了“快速通道”发现奖励 - 为第二阶段引入了 Pentester 战术卡 - 扩展了 8 张现代威胁卡(供应链、内部威胁、IoT、云、DNS、物理) - 增加了 6 种游戏模式和锦标赛结构 ## 许可证摘要 ``` Incident Zero - A Cybersecurity Board Game Copyright (C) 2025 This work is licensed under CC BY-NC-SA 4.0: - You may use, remix, and share this work - You must credit Incident Zero - Non-commercial use only - Any adaptations must use the same license See LICENSE file for full legal text. ``` **准备好通过游戏教授网络安全了吗?** [从这里开始](docs/rules/core-rules.md) **想要做出贡献?** [查看 CONTRIBUTING.md](CONTRIBUTING.md) **有疑问?** [提交 Issue](https://github.com/retroverse-studios/incident-zero/issues)
标签:后端开发, 多模态安全, 安全培训, 库, 应急响应, 教学工具, 桌游, 游戏化学习, 网络安全教育, 逆向工具, 防御加固