performing-ransomware-tabletop-exercise
规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。
Best use case
performing-ransomware-tabletop-exercise is best used when you need a repeatable AI agent workflow instead of a one-off prompt.
规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。
Teams using performing-ransomware-tabletop-exercise should expect a more consistent output, faster repeated execution, less prompt rewriting.
When to use this skill
- You want a reusable workflow that can be run more than once with consistent structure.
When not to use this skill
- You only need a quick one-off answer and do not need a reusable workflow.
- You cannot install or maintain the underlying files, dependencies, or repository context.
Installation
Claude Code / Cursor / Codex
Manual Installation
- Download SKILL.md from GitHub
- Place it in
.claude/skills/performing-ransomware-tabletop-exercise/SKILL.mdinside your project - Restart your AI agent — it will auto-discover the skill
How performing-ransomware-tabletop-exercise Compares
| Feature / Agent | performing-ransomware-tabletop-exercise | Standard Approach |
|---|---|---|
| Platform Support | Not specified | Limited / Varies |
| Context Awareness | High | Baseline |
| Installation Complexity | Unknown | N/A |
Frequently Asked Questions
What does this skill do?
规划并主持模拟勒索软件(Ransomware)事件的桌面推演,以测试组织的应急准备、决策能力和通信流程。基于当前勒索软件威胁行为者(LockBit、ALPHV/BlackCat、Cl0p)设计真实场景,涵盖双重勒索(Double Extortion)、备份销毁和法规通知要求等注入内容。依据 NIST CSF 和 CISA 指南评估参与者响应。适用于勒索软件桌面推演、事件响应演练或勒索软件应急准备演习等请求。
Where can I find the source code?
You can find the source code on GitHub using the link provided at the top of the page.
SKILL.md Source
# 执行勒索软件桌面推演 ## 适用场景 - 每年或在重大基础设施变更后测试组织的勒索软件响应流程 - 验证勒索赎金支付、法规通知和公开披露的决策流程 - 培训高管、IT、法务、公关和运营团队了解其在勒索软件事件中的职责 - 满足网络保险政策对有据可查的事件响应测试要求 - 识别恢复手册(Playbook)、通信计划和备份流程中的不足 **不适用于**技术控制测试。桌面推演(Tabletop Exercise)验证流程和决策,而非技术检测或预防能力。 ## 前置条件 - 参与者在演练前应已阅读的书面事件响应计划(IRP) - 已确认参与者来自:高管层、IT/安全、法务、通信/公关、人力资源、运营部门及外部法律顾问 - 独立于应急响应团队的主持人(以提供客观评估) - 设计包含多轮递进注入内容的勒索软件场景 - 与 NIST CSF 响应/恢复功能相对应的评估标准 - 2-4小时不受干扰的会议室或虚拟会议 ## 工作流程 ### 步骤 1:设计演练场景 基于当前威胁行为者 TTP 构建真实场景: **场景结构:** ``` 阶段 1:初始检测(30 分钟) - SOC 收到文件服务器上可疑进程执行的告警 - EDR 在 3 台工作站上检测到 Cobalt Strike 信标 - 注入:外部威胁情报报告将 C2 IP 与 LockBit 附属机构关联 阶段 2:升级(30 分钟) - 勒索软件在夜间对 40% 的服务器执行加密 - 勒索信要求在 72 小时期限内支付 200 万美元比特币 - 注入:攻击者联系媒体声称窃取了客户 PII 数据 阶段 3:决策点(45 分钟) - 备份评估显示不可变副本完好,但主备份已被加密 - 法务就违规通知时间表提供建议(GDPR 72 小时,美国各州不同) - 注入:威胁行为者在泄露站点上发布部分被盗数据样本 阶段 4:恢复与通信(45 分钟) - 恢复时间估计:从不可变备份恢复需 5-7 天 - 保险公司介入并聘请谈判公司 - 注入:主要客户威胁称如未在 24 小时内收到更新将终止合同 ``` **需要自定义的场景变量:** - 威胁行为者组织及已知 TTP - 基础设施被加密的百分比 - 备份是否完好、部分受损或完全被删除 - 外泄数据类型(PII、PHI、财务数据、商业机密) - 适用的监管框架(GDPR、HIPAA、PCI DSS、SEC 规则) - 赎金金额和支付期限 ### 步骤 2:准备演练材料 为参与者创建以下文件: 1. **演练概述简报** - 基本规则、目标、范围和参与者 2. **态势报告(SITREP)** - 每个阶段一份,随演练进程分发 3. **注入卡片** - 在特定时间引入的新信息,强制进行决策 4. **决策点工作表** - 用于记录小组决策的结构化表单 5. **评估记分卡** - 评估响应质量的标准 **需纳入的关键决策点:** - 何时启动事件响应团队 - 是全面关闭系统还是选择性遏制 - 是否联系执法机构(FBI IC3、CISA) - 是否支付赎金及在何种条件下支付 - 何时以何种方式通知监管机构、客户和公众 - 如何确定系统恢复优先顺序 ### 步骤 3:主持演练 **主持人职责:** - 呈现每个阶段场景并分发 SITREP - 在预定时间引入注入内容以增加压力 - 提出探究性问题以测试决策推理 - 确保所有参与者组别都有发言(防止 IT 团队主导) - 记录所有决策、理由和行动项目 - 追踪时间管理(许多团队在早期阶段耗费过多时间) **各阶段探究性问题:** 阶段 1 - 检测: - 谁负责宣布事件?触发标准是什么? - 我们如何从初始告警确定受损范围? - 我们是否具备取证能力来调查,还是需要外部帮助? 阶段 2 - 升级: - 我们对员工的通信计划是什么?他们是否知道不要开启受影响的机器? - 我们是否已隔离网络以防止进一步加密? - 谁有权授权影响业务运营的系统关闭? 阶段 3 - 决策: - 在什么条件下我们会考虑支付赎金? - 此时的法律通知义务是什么? - 我们如何处理客户数据的公开泄露? 阶段 4 - 恢复: - 恢复优先顺序是什么?是有文档记录的还是临时决定的? - 关键业务运营多久能恢复? - 执法机构和保险所需的证据保全有哪些要求? ### 步骤 4:评估和对响应评分 针对定义的标准对每个职能领域进行评分: | 评估领域 | 评分(1-5)| 标准 | |---------|-----------|------| | 检测与升级 | | 及时宣布事件,正确的指挥链 | | 遏制 | | 网络隔离、凭据重置、范围评估 | | 对内通信 | | 员工通知、高管简报、决策记录 | | 对外通信 | | 监管通知、客户沟通、媒体响应 | | 恢复规划 | | 备份验证、恢复优先级、RTO 追踪 | | 法律与合规 | | 违规通知时间表、证据保全、执法介入 | | 业务连续性 | | 手工操作、客户影响缓解、收入损失估算 | | 支付决策 | | 结构化框架、法律审查、OFAC 制裁检查 | ### 步骤 5:记录发现与整改计划 在 5 个工作日内制作事后分析报告(AAR): **AAR 内容:** 1. 演练概述和目标 2. 场景摘要和注入内容 3. 已做出的关键决策及其依据 4. 观察到的优势 5. 已识别的差距及严重性评级 6. 含责任人和截止日期的整改行动 7. 与往次演练结果的比较(如适用) ## 核心概念 | 术语 | 定义 | |------|------| | **桌面推演(Tabletop Exercise, TTX)** | 基于讨论的演练,参与者逐步演练模拟事件场景以测试计划和流程 | | **注入(Inject)** | 演练过程中引入的新信息,用于改变场景并迫使进行额外决策 | | **态势报告(SITREP)** | 在每个演练阶段提供模拟事件当前状态的情况报告 | | **事后分析报告(After-Action Report, AAR)** | 记录发现、差距、优势和整改行动的演练后文件 | | **双重勒索(Double Extortion)** | 勒索软件战术,攻击者同时加密数据并威胁公开被盗数据,除非支付赎金 | | **OFAC 检查(OFAC Check)** | 验证赎金支付接收方不在美国财政部 OFAC 制裁名单上,否则支付将违法 | ## 工具与系统 - **CISA 桌面推演包(CTEPs)**:CISA 为关键基础设施行业设计的免费场景包 - **FEMA 国土安全演练与评估计划(HSEEP)**:设计、开展和评估演练的方法论 - **Immersive Labs**:提供实时评分的互动式网络危机模拟平台 - **桌面演练场景(来自英国 NCSC)**:提供免费引导式桌面推演的 Exercise in a Box 工具 - **勒索软件准备度评估(CISA)**:评估勒索软件准备情况的自评工具 ## 常见场景 ### 场景:医疗系统双重勒索演练 **场景背景**:一家拥有 5 家医院的医疗系统开展年度勒索软件桌面推演。上次演练发现了 HIPAA 违规通知和临床系统恢复优先级方面的差距。本年度场景模拟针对 EMR 系统的双重勒索攻击。 **方法**: 1. 基于 Cl0p MOO(托管运营操作者)TTP 设计场景:利用 MOVEit 漏洞获得初始访问权限,外泄 50 万条患者记录,随后加密 EMR 数据库服务器 2. 参与者:CISO、CIO、CMO(首席医疗官)、总法律顾问、副总裁通信、临床运营总监、隐私官员、外部应急响应公司代表 3. 阶段 1 注入:EMR 系统宕机,急诊科将患者转至邻近医院 4. 阶段 2 注入:HHS OCR(民权办公室)就暗网上患者数据报告联系该组织 5. 阶段 3 注入:攻击者提供解密密钥样本,要求 350 万美元,48 小时期限 6. 关键发现:组织缺乏记录在案的赎金支付决策标准,且未预先识别符合 OFAC 要求的支付机制 7. 整改措施:建立支付决策框架,预先聘请勒索软件谈判公司,更新包含具体时间表的 HIPAA 违规通知程序 **常见陷阱**: - 设计不反映实际勒索软件 TTP 的不切实际场景,降低演练可信度 - 允许技术团队主导演练而业务和法律参与者保持被动 - 未测试通信计划(许多组织在真实事件中才发现通知名单已过期) - 未跟进 AAR 中识别的整改行动,使演练价值落空 ## 输出格式 ``` ## 勒索软件桌面推演 - 事后分析报告 **演练日期**: [日期] **主持人**: [姓名] **场景**: [简要描述] **持续时间**: [小时数] **参与者**: [按部门统计人数] ### 演练目标 1. [目标] - 已达成 / 部分达成 / 未达成 2. [目标] - 已达成 / 部分达成 / 未达成 ### 关键决策日志 | 时间 | 决策点 | 已做决策 | 依据 | 评估 | |------|--------|---------|------|------| ### 观察到的优势 1. [优势] ### 已识别的差距 | 差距 | 严重性 | 受影响领域 | 当前状态 | 期望状态 | |------|--------|-----------|---------|---------| ### 整改行动 | 行动 | 责任人 | 截止日期 | 优先级 | 状态 | |------|--------|---------|--------|------| ### 与往次演练比较 | 领域 | 上次评分 | 本次评分 | 趋势 | |------|---------|---------|------| ```
Related Skills
reverse-engineering-ransomware-encryption-routine
对勒索软件加密例程进行逆向工程,以识别密码学算法、密钥生成缺陷,以及通过静态和动态分析挖掘潜在的解密机会。
recovering-from-ransomware-attack
按照 NIST 和 CISA 框架执行结构化勒索软件事件恢复,包括环境隔离、取证证据保全、 干净基础设施重建、从已验证备份优先还原系统、凭据重置,以及针对再感染的验证。 涵盖 Active Directory 恢复、数据库还原和按依赖顺序重建应用栈。
performing-yara-rule-development-for-detection
通过识别可执行文件中的唯一字节模式、字符串和行为指标,开发精准的 YARA 恶意软件检测规则,同时将误报率降至最低。
performing-wireless-security-assessment-with-kismet
使用 Kismet 通过被动射频监控进行无线网络安全评估,检测流氓接入点(Rogue AP)、隐藏 SSID、弱加密和未授权客户端。
performing-wireless-network-penetration-test
执行无线网络渗透测试,通过捕获握手包、破解 WPA2/WPA3 密钥、检测流氓接入点以及使用 Aircrack-ng 和相关工具测试无线网络分段,评估 WiFi 安全性。
performing-windows-artifact-analysis-with-eric-zimmerman-tools
使用 Eric Zimmerman 的开源 EZ Tools 套件(包括 KAPE、MFTECmd、PECmd、LECmd、JLECmd 和 Timeline Explorer)执行全面的 Windows 取证制品分析,解析注册表 hive、预取文件、事件日志和文件系统元数据。
performing-wifi-password-cracking-with-aircrack
在授权无线安全评估中捕获 WPA/WPA2 握手包,并使用 aircrack-ng、hashcat 和字典攻击进行离线密码破解, 以评估密码短语强度和无线网络安全状况。
performing-web-cache-poisoning-attack
在授权安全测试期间,通过未纳入缓存键的头部和参数毒化缓存响应,利用 Web 缓存机制向其他用户投递恶意内容。
performing-web-cache-deception-attack
通过利用 CDN 缓存层与源服务器之间的路径规范化差异,执行 Web 缓存欺骗攻击,从而缓存并获取敏感的已认证内容。
performing-web-application-vulnerability-triage
使用 OWASP 风险评级方法论对 DAST/SAST 扫描器的 Web 应用程序漏洞发现进行分类,区分真阳性和假阳性,并确定修复优先级。
performing-web-application-scanning-with-nikto
Nikto 是一款开源 Web 服务器和 Web 应用程序扫描器,可针对超过 7,000 个潜在危险文件/程序进行测试,检查超过 1,250 个服务器的过期版本,并识别超过 270 个服务器的版本特定问题。
performing-web-application-penetration-test
遵循 OWASP Web 安全测试指南(WSTG)方法论,对 Web 应用程序执行系统化安全测试,识别认证、授权、 输入验证、会话管理和业务逻辑中的漏洞。测试人员以 Burp Suite 作为主要拦截代理,结合手动测试技术 发现自动化扫描器遗漏的缺陷。适用于 Web 应用渗透测试、OWASP 测试、应用安全评估或 Web 漏洞测试等请求场景。