SecurityNomad/ir-tabletop-library
GitHub: SecurityNomad/ir-tabletop-library
一套跨行业、跨司法管辖区的事件响应桌面演练与 Playbook 库,帮助安全团队以「按威胁组织」的标准化方式开展应急演练和流程落地。
Stars: 1 | Forks: 0
# IR 桌面演练与 Playbook 库
这是一个公开的作品集桌面演练包和事件响应 playbook 库,涵盖了 5 个行业和 5 个司法管辖区的 10 个场景,基于 5 个基于威胁的 IR playbook 构建。
该库的设计使得一个小型安全团队无需任何修改即可运行任何场景,并且相同的操作 playbook 可以应用于截然不同的监管体系——这是其核心理念:**playbook 按威胁类型而非行业组织**,并且每个 playbook 都附带特定司法管辖区的监管附件。有关完整的设计原理,请参阅 [`DESIGN.md`](DESIGN.md)。
## 如何使用本 Repo
1. 阅读一次[主持人主指南](templates/facilitator-guide.md)——它适用于每个场景。
2. 从下表中选择一个场景。在演练之前,阅读其 `scenario-brief.md` 和 `facilitator-addendum.md`;`inject-cards.md` 仅供主持人查看。
3. 运行所链接的 playbook 结构,作为响应*应该*如何展开的基础,并使用与该场景相关的司法管辖区附件。
4. 在演练后 48 小时内完成[事后行动报告模板](templates/after-action-report-template.md)。
## 场景
| 行业 | 公司 | 司法管辖区 | 场景 | Playbook |
|---|---|---|---|---|
| 医疗保健 | Khanyisa Health Group | 南非 (POPIA) | [Ransomware](scenarios/healthcare-ransomware/) | [Ransomware](playbooks/ransomware.md) |
| 医疗保健 | Khanyisa Health Group | 南非 (POPIA) | [数据泄露](scenarios/healthcare-data-exfiltration/) | [数据泄露 / Breach](playbooks/data-exfiltration.md) |
| 航空 | Al Falah Airways | 阿联酋 (GCAA/ICAO) | [OT / 关键系统中断](scenarios/aviation-ot-disruption/) | [OT / 网络物理系统](playbooks/ot-cyber-physical.md) |
| 航空 | Al Falah Airways | 阿联酋/GDPR | [乘客数据泄露](scenarios/aviation-passenger-data-breach/) | [数据泄露 / Breach](playbooks/data-exfiltration.md) |
| 银行业 | Brindlewood Bank plc | 英国 (FCA/ICO) | [BEC / 电汇欺诈](scenarios/banking-bec-wire-fraud/) | [BEC / 支付欺诈](playbooks/bec-payment-fraud.md) |
| 银行业 | Brindlewood Bank plc | 英国 (FCA/ICO) | [Ransomware](scenarios/banking-ransomware/) | [Ransomware](playbooks/ransomware.md) |
| 教育 | Mornington Cross University | 澳大利亚 (NDB) | [数据泄露](scenarios/education-data-exfiltration/) | [数据泄露 / Breach](playbooks/data-exfiltration.md) |
| 教育 | Mornington Cross University | 澳大利亚 (NDB) | [Ransomware](scenarios/education-ransomware/) | [Ransomware](playbooks/ransomware.md) |
| 购物中心 | Cobalt Ridge Retail Properties | 美国 (PCI-DSS) | [POS / 支付卡泄露](scenarios/mall-pos-payment-breach/) | [支付卡 / POS](playbooks/payment-card-pos.md) |
| 购物中心 | Cobalt Ridge Retail Properties | 美国 | [网络物理融合](scenarios/mall-cyber-physical-convergence/) | [OT / 网络物理系统](playbooks/ot-cyber-physical.md) |
## Playbook
| Playbook | 司法管辖区附件 |
|---|---|
| [Ransomware](playbooks/ransomware.md) | 南非 (POPIA), 英国 (FCA/ICO), 澳大利亚 (Privacy Act/NDB) |
| [数据泄露 / Breach](playbooks/data-exfiltration.md) | 南非 (POPIA), 澳大利亚 (NDB), 阿联酋/GDPR |
| [BEC / 支付欺诈](playbooks/bec-payment-fraud.md) | 英国 (FCA, SWIFT CSCF, Action Fraud) |
| [OT / 网络物理系统](playbooks/ot-cyber-physical.md) | 阿联酋 (GCAA/ICAO), 美国 (生命安全系统) |
| [支付卡 / POS 妥协](playbooks/payment-card-pos.md) | 美国 (PCI-DSS, 州级泄露法) |
## Repository 结构
```
scenarios//
scenario-brief.md # company profile, initial indicator, escalation structure
inject-cards.md # timed escalations — facilitator only, don't share in advance
facilitator-addendum.md # scenario-specific probing questions and failure modes
playbooks/.md # roles, step-by-step response, decision trees, comms
# templates, evidence checklist, jurisdiction annexes
templates/
facilitator-guide.md # generic methodology for running any scenario
after-action-report-template.md # reusable AAR structure
```
## 公司与行业均为虚构
本库中引用的所有公司、场景和个人均为虚构。监管框架(POPIA、英国 FCA/ICO、GDPR、澳大利亚的 NDB 方案、PCI-DSS、ICAO/GCAA)均为真实的,并且出于教育/培训目的已尽作者最大理解进行了描述——在将此材料实际投入操作前,请务必向合格的法律顾问核实当前的监管要求。
## 许可证
MIT — 查看 [LICENSE](LICENSE)。
标签:响应预案, 安全管理, 库, 应急响应, 桌面演练, 网络安全研究, 防御加固