网络安全桌面推演 · Cyber Tabletop Live

以虚构自行车制造商勒索事件包为固定输入,构建只覆盖防御流程的桌面推演,不生成或执行攻击能力。
最终会得到什么
- timed inject 模拟器和角色卡
- 内部/外部沟通稿与 after-action report
- 决策时间线、观察记录和改进项
本工作流只含防御流程,不包含攻击 payload、可执行 exploit、真实凭据,也不执行对外动作;所有组织、人员、域名和事件均为虚构。
节点与模型
| 节点 | 模型 | 说明 |
|---|---|---|
| 事件包接收 | GPT-5.5 | 冻结虚构组织与范围 |
| 情景边界 | GPT-5.5 | 建立防御性推演规则 |
| Inject 设计 | GPT-5.5 | 生成定时事件卡 |
| 角色卡 | GPT-5.5 | 定义职责与决策权 |
| 沟通草案 | GPT-5.5 | 准备不对外发送的模板 |
| 演练编排 | GPT-5.5 | 合流 inject、角色和沟通 |
| Timed Simulator | GPT-5.5 | 组装离线计时模拟器 |
| 观察记录 | GPT-5.5 | 记录决策与证据缺口 |
| After-action Report | GPT-5.5 | 形成复盘报告 |
| 改进计划 | GPT-5.5 | 排序防御性改进项 |
| 交付清单 | GPT-5.5 | 对账安全边界与文件 |
变量与复跑
可替换变量:事件包、组织类型、演练时长。固定值是虚构自行车制造商勒索事件包、制造业组织和 90 分钟;路径留空或缺失时重建无真实凭据的合成材料并重算 hash。
降级行为
若计时 HTML 不可用,保留 inject 时间线、角色卡、沟通稿和 after-action report;任何工具限制都不得用真实扫描、真实凭据或对外调用补偿。
产物目录
input/ransomware-tabletop-pack.md · artifacts/timed-inject-simulator.html · artifacts/role-cards.md · artifacts/comms-drafts.md · artifacts/after-action-report.md · artifacts/improvement-plan.md.