SecurityNomad/ir-tabletop-library

GitHub: SecurityNomad/ir-tabletop-library

一套跨行业、跨司法管辖区的事件响应桌面演练与 Playbook 库,帮助安全团队以「按威胁组织」的标准化方式开展应急演练和流程落地。

Stars: 1 | Forks: 0

# IR 桌面演练与 Playbook 库 这是一个公开的作品集桌面演练包和事件响应 playbook 库,涵盖了 5 个行业和 5 个司法管辖区的 10 个场景,基于 5 个基于威胁的 IR playbook 构建。 该库的设计使得一个小型安全团队无需任何修改即可运行任何场景,并且相同的操作 playbook 可以应用于截然不同的监管体系——这是其核心理念:**playbook 按威胁类型而非行业组织**,并且每个 playbook 都附带特定司法管辖区的监管附件。有关完整的设计原理,请参阅 [`DESIGN.md`](DESIGN.md)。 ## 如何使用本 Repo 1. 阅读一次[主持人主指南](templates/facilitator-guide.md)——它适用于每个场景。 2. 从下表中选择一个场景。在演练之前,阅读其 `scenario-brief.md` 和 `facilitator-addendum.md`;`inject-cards.md` 仅供主持人查看。 3. 运行所链接的 playbook 结构,作为响应*应该*如何展开的基础,并使用与该场景相关的司法管辖区附件。 4. 在演练后 48 小时内完成[事后行动报告模板](templates/after-action-report-template.md)。 ## 场景 | 行业 | 公司 | 司法管辖区 | 场景 | Playbook | |---|---|---|---|---| | 医疗保健 | Khanyisa Health Group | 南非 (POPIA) | [Ransomware](scenarios/healthcare-ransomware/) | [Ransomware](playbooks/ransomware.md) | | 医疗保健 | Khanyisa Health Group | 南非 (POPIA) | [数据泄露](scenarios/healthcare-data-exfiltration/) | [数据泄露 / Breach](playbooks/data-exfiltration.md) | | 航空 | Al Falah Airways | 阿联酋 (GCAA/ICAO) | [OT / 关键系统中断](scenarios/aviation-ot-disruption/) | [OT / 网络物理系统](playbooks/ot-cyber-physical.md) | | 航空 | Al Falah Airways | 阿联酋/GDPR | [乘客数据泄露](scenarios/aviation-passenger-data-breach/) | [数据泄露 / Breach](playbooks/data-exfiltration.md) | | 银行业 | Brindlewood Bank plc | 英国 (FCA/ICO) | [BEC / 电汇欺诈](scenarios/banking-bec-wire-fraud/) | [BEC / 支付欺诈](playbooks/bec-payment-fraud.md) | | 银行业 | Brindlewood Bank plc | 英国 (FCA/ICO) | [Ransomware](scenarios/banking-ransomware/) | [Ransomware](playbooks/ransomware.md) | | 教育 | Mornington Cross University | 澳大利亚 (NDB) | [数据泄露](scenarios/education-data-exfiltration/) | [数据泄露 / Breach](playbooks/data-exfiltration.md) | | 教育 | Mornington Cross University | 澳大利亚 (NDB) | [Ransomware](scenarios/education-ransomware/) | [Ransomware](playbooks/ransomware.md) | | 购物中心 | Cobalt Ridge Retail Properties | 美国 (PCI-DSS) | [POS / 支付卡泄露](scenarios/mall-pos-payment-breach/) | [支付卡 / POS](playbooks/payment-card-pos.md) | | 购物中心 | Cobalt Ridge Retail Properties | 美国 | [网络物理融合](scenarios/mall-cyber-physical-convergence/) | [OT / 网络物理系统](playbooks/ot-cyber-physical.md) | ## Playbook | Playbook | 司法管辖区附件 | |---|---| | [Ransomware](playbooks/ransomware.md) | 南非 (POPIA), 英国 (FCA/ICO), 澳大利亚 (Privacy Act/NDB) | | [数据泄露 / Breach](playbooks/data-exfiltration.md) | 南非 (POPIA), 澳大利亚 (NDB), 阿联酋/GDPR | | [BEC / 支付欺诈](playbooks/bec-payment-fraud.md) | 英国 (FCA, SWIFT CSCF, Action Fraud) | | [OT / 网络物理系统](playbooks/ot-cyber-physical.md) | 阿联酋 (GCAA/ICAO), 美国 (生命安全系统) | | [支付卡 / POS 妥协](playbooks/payment-card-pos.md) | 美国 (PCI-DSS, 州级泄露法) | ## Repository 结构 ``` scenarios// scenario-brief.md # company profile, initial indicator, escalation structure inject-cards.md # timed escalations — facilitator only, don't share in advance facilitator-addendum.md # scenario-specific probing questions and failure modes playbooks/.md # roles, step-by-step response, decision trees, comms # templates, evidence checklist, jurisdiction annexes templates/ facilitator-guide.md # generic methodology for running any scenario after-action-report-template.md # reusable AAR structure ``` ## 公司与行业均为虚构 本库中引用的所有公司、场景和个人均为虚构。监管框架(POPIA、英国 FCA/ICO、GDPR、澳大利亚的 NDB 方案、PCI-DSS、ICAO/GCAA)均为真实的,并且出于教育/培训目的已尽作者最大理解进行了描述——在将此材料实际投入操作前,请务必向合格的法律顾问核实当前的监管要求。 ## 许可证 MIT — 查看 [LICENSE](LICENSE)。
标签:响应预案, 安全管理, 库, 应急响应, 桌面演练, 网络安全研究, 防御加固