事件花花公子和剧本
1)分区的分配
形成一个单一、可验证的花花公子(runbooks)套件,快速一致地响应操作和合规性回路中的事件:从检测到恢复、通信、法律通知和改进。
2)花花公子标准(脚本卡)
目录中的每个花花公子都是按照单个模式排列的:
ID: PB- <code >/Version: v <MAJOR. MINOR >/Owner: <role/name>
Title: <short and unambiguous>
Scope: <technology/payments/information security/compliance/PR>
Severity: S1 S2 S3 S4 (activation criteria)
Detection: <metrics/alerts/log signatures/sources>
Start triggers: <conditions and thresholds>
RACI: IC / Tech Lead / Sec Lead / Comms / Legal / Payments / CS / Data
Response steps:
0-15 min: <start actions, war room, holding statement>
15-60 min: <stabilization/bypasses/reserves/first external message>
1-4 hours: <in-depth diagnostics/fixes/targeted notifications>
Up to 24 hours: <final update/compensation/reports/retro slot>
Communications: <templates for status, players, partners, regulators, media>
Artifacts: <timeline, logs, dumps, screenshots, tickets, reports>
Legal: <to/when to notify, formats, languages>
Exit criteria: <conditions for closing the incident>
MTTD/MTTA/MTTR targets: <numerical benchmarks>
Prevention: <CAPA and backlog links to epics>
Last workout: <date/results/remarks>3)严重性和三重性矩阵(摘要)
S1(关键):全球核心/钱包停机,PII/资金泄漏,大量无法支付以及监管调查。
Apdeits:≤15分钟第一;每30-60分钟。
S2(高):区域停机时间,付款转换率下降>10%,确认的漏洞没有泄漏。
S3(平均):个别提供商/相片的降级,CS呼叫增长超过30%。
S4(低):局部缺陷,单一投诉。
三合会(快速支票):事实?规模吗?工具/数据安全?法律时限?备用路线?第一次消息的频道和下一次更新的时间?
4)角色和沟通
IC(事件指挥官):时间线/解决方桉的所有者。
技术领导(SRE/平台):诊断/假设/解决方法。
安全负责人(AppSec/Blue Team): forenzics/容器/IB通知,如有必要。
付款负责人:PSP/银行,多条路线,手动处理。
法律/合规性:监管通知,措辞,时间表。
Comms Lead:状态页面,电子邮件/SMS/push,附属机构,媒体。
CS/CRM Lead:宏、补偿、目标段。
数据/分析:影响评估、报告、MTT控制。
单一语音:任何外部消息-通过Comms+Legal。
5)通用支票单
5.1个花花公子发射(0-15分钟)
- 指定IC,打开战争室,指定速记员。
- 已确定严重程度(S1-S4),影响半径。
- 采取了保护措施(费奇弗拉格、限制、风险缓解措施)。
- 准备下一个升级的控股声明和ETA。
- 创建了用于固定工件的tiket (logi/damps/screenshots)。
5.2在第一个外部消息之前
- 事实得到证实,秘密/PII被排除在外。
- 对措辞的法律审查。
- 向用户明确指示"现在该怎么做"。
- 下次更新的时间明确。
5.3事件结束
- 根本已经消除/采取了补偿措施。
- 应计赔偿金,处理有争议的交易。
- 最终报告/状态已更新;复古定为≤7天。
- CAPA点与所有者和截止日期一起创建。
6)类型花花公子(目录)
PB-SEC-01: 数据泄漏/帐户损害(S1)
检测:输入异常,EDR/WAF触发,帐户黑客投诉,论坛泄漏。
0-15分钟:隔离受影响的系统;保密轮换;禁用受损令牌;启用MFA活动。
15-60枚地雷:针对受影响者的通知;第一次公开宣传;将人工制品固定为forenzics。
1-4小时:PII访问审计;提供商/云查询;编制监管通知。
长达24小时:详细报告,密钥更改,密码更新,监视扩展。
通讯:状态页面,电子邮件受影响,合作伙伴,如有必要,-媒体Q&A。
从法律上讲:监管机构/银行/PSP在规定时限内的通知。
退出标准:风险是本地化的;所有代币均已更换;向玩家发送指令;确认缺失/受限损害。
预防:虫子赏金,硬化,DLP,秘密管理。
PB-PAY-02: 支付危机(PSP/银行不可用)(S1/S2)
检测: auth-rate下降,故障上升,引线队列.
0-15分钟:切换到备用PSP/路线;软暂停自动引线;收银机中的横幅"替代方法"。
15-60分钟:第一次外部通信(售票处/状态);VIP/弱势群体的手动优先级;与PSP的联系。
1-4小时:重新计算限额;不便赔偿;向合作伙伴报告。
长达24小时:最终报告;SLA退款;更新流量平衡规则。
预防:多收购,方法健康检查,自动重整。
PB-NET-03: DDoS/大规模网络降解(S1)
0-15分钟:启用反DDoS配置文件;rate-limits/kapping;CDN/WAF保护规则;暂时关闭重型终端。
15-60分钟:地理过滤器/黑名单;与提供商的沟通;使用ETA向用户发送的第一条消息。
1-4小时:前部缩放;金丝雀检查;分析攻击遥测。
预防:定期进行DDoS演习;自适应配置文件;备用ASN/CDN。
PB-GAME-04: 游戏提供商失败(S2/S3)
检测:提供商API错误增加,CS呼叫激增到特定标题。
步骤:暂时隐藏受影响的游戏;显示提示/替换;资产负债表同步;通知提供商和玩家。
预防:失败开放/关闭策略,目录缓存,健康游戏标签。
PB-REG-05: 监管事件(S1/S2)
桉例:违反奖金条款,KYC/KYB失败,广告违规。
步骤:有争议的机械师freeze;法律/合规咨询;中性措辞;模板报告。
预防:清除前促销,T&C定期审核。
PB-FRD-06: 欺诈性戒指/戒指(S2)
检测:多县激增,奖金缺口,仲裁异常。
步骤:存款/收款时间限制;目标KYC;封装数据包/付款/IP;风险报告。
通讯:个别通知;避免公开揭示反血缘逻辑。
预防:行为模式,图形分析,velocity过滤器。
PB-DATA-07: 数据完整性/资产负债表同步化(S1/S2)
步骤:将钱包转换为"安全模式";禁止危险交易;从杂志/狙击手中恢复;单位对账;个人通知。
预防:双相commits/idempotity,事件源,不变量。
PB-AFF-08: 会员追踪下降(S3)
步骤:像素/后背修整;赔偿报告;通知合作伙伴;时间归因系数。
预防:转化监测,备用collbacks。
PB-PR-09: 声誉风暴(S2/S3)
步骤:统一立场;事实调查;Q&A;避免评论中的争议;准备一个带有事实的长里德。
预防:演讲者的介导,带有事实的"黑暗网站"。
PB-PHI-10: 网络钓鱼/假网站(S2)
步骤: 收集证据;通知注册人/托管人;向玩家发出警告;更新反篡改页面;DMARC/Brand Indicators.
预防:监视类似域名,与反网络钓鱼提供商合作。
7)消息模板(快速插入)
控股声明(外部,≤2行):合作伙伴/附属机构:简短摘要"什么影响/如何影响跟踪/临时措施/ETA"。
监管机构/银行/PSP:正式通知:事实,措施,客户影响,预防计划,最终报告的截止日期。
8)度量标准与目标
检测:MTTD,信号到噪声等。
反应:MTTA,TTS(时间到状态),SLA中百分比的更新。
恢复:受影响的服务的MTTR,RTO/RPO。
影响:受影响的玩家/交易,未收到GGR,chargeback rait。
通讯:开放/点击率,覆盖范围,重复呼叫比例,CSAT/DSAT。
合规性:强制通知的及时性,工件的完整性。
9)文物和证据基础
最小集存储在事件信息库/信息库中:- 决定和行动的时限(分钟精度);
- 日志/转储/截图/图表导出;
- 配置/票据版本;
- 邮件副本和收件人名单;
- 受影响的帐户/交易列表;
- 法律通知(草稿/发送/回复)。
10)工具和集成
事件机器人:'/declare','/severity S1.. S4','/update <text>','/close'。
状态页面:公共供稿;与aptime传感器的集成。
补偿:细分计算器(按时间、地理、游戏、支付方法)。
证券堆栈:EDR/WAF/SIEM/IDS;SOAR中的花花公子。
可观察性:逻辑/度量/跟踪器,错误预算案,SLO-dashbords。
11)花花公子目录管理(政府)
验证:Git存储库,PR过程,语义版本。
责任:每个花花公子都有所有者和储备。
审计:至少每季度一次,每次审S1/S2之后都不计划。
训练:每季度一次桌顶一次,每半年一次在关键场景中进行现场演练。
兼容性:链接到BCP/DRP、升级矩阵、负责任游戏、通知策略。
12)快速开始实施(30天内)
1.形成十大风险情景清单,并指定所有者。
2.对于每个人-根据标准(第2节)签发卡并进入存储库。
3.将花花公子连接到事件机器人(短裤和消息模板)。
4.进行2次桌上练习(支付+IB)和1次现场演练(游戏提供商降级)。
5.运行仪表板(MTTD/MTTA/MTTR,TTS,SLA中百分比的升级)。
6.开始CAPA逆向,同意时间表和RACI。
7.通过sandbox回滚"干"模板发送(玩家/合作伙伴/监管机构)。
- 危机管理和沟通
- 业务连续性计划(BCP)
- Disaster Recovery Plan (DRP)
- 升级矩阵
- 通知和警报系统
- 负责任的游戏和球员防守