SOT

Security Orchestration Tools

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

VS
Vulnerability Scanner

Сканер уязвимостей

SPC
Security Profile Compliance

Контроль параметров безопасности

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

Governance, Risk Management and Compliance

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Геймификация SOC

Геймификация SOC
04.09.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Ева Беляева, Security Vision


Причины геймификации


Нередко в потоке рабочей рутины и при постоянном погружении в процесс опытный руководитель может сразу подметить первые признаки усталости и выгорания среди аналитиков и операторов SOC. С еще большей частотой команды, непрерывно, замотивированно и с энтузиазмом работающие над сложными или однообразными задачами, замечают свое «нерабочее» состояние уже по факту.


В сухом остатке получается, что команда преобразилась в группу бесконечно уставших людей, которым не помогают ни отпуск, ни деньги, и которые готовы прямо завтра «бросить это ваше ИБ» и уйти в закат. Казалось бы, работа в целом и не связана с помогающими профессиями, однако постоянный интеллектуальный труд, отягощаемый переработками, все же сказывается на состоянии работников вопреки отрицанию проблемы.


рис 1.png


Выходы из таких ситуаций могут быть разные (менеджеры, тимлиды и HR подскажут), но на самом деле таких ситуаций можно или избежать, или как минимум освежить рабочую рутину, добавив в нее элементы игр, балансируя на тонкой грани между работой и развлечениями.


Какие бывают игры

Игровые практики, применяемые в таких командах, бывают разнообразны и многогранны. Конечно, стоит изначально выявить несколько определяющих факторов для выбора формата мероприятий:

1. насколько вы серьезны как SOC;

2. чего стоят послабления в процессе реагирования;

3. каким опытом обладают сотрудники;

4. нередко важен возрастной порог. 

Но на самом деле по большей части все упирается в первый пункт.

Игры для решения серьезных проблем

Игры, подходящие, к примеру, для коммерческих SOC, и играми-то сложно назвать, однако по сути своей, если слегка откалибровать отношение к рабочим активностям (а еще к их результатам), то выходит, что пентест и SOC не просто проводят Red/Blue team соревнования, а решают сложные ИБ-ориентированные головоломки на время. Панацеей от сложных задач и кипящего мозга такой переворот не станет, но как раз-таки уменьшение серьезности хорошо скажется на моральном состоянии, главное не забывать об ответственности и о том, что вокруг все-таки работа.


Не такие уж большие сложности

По крайней мере, здесь есть где разгуляться фантазии, когда всех проблем – одинаковые задачи, одинаковые люди и одинаковые проблемы. Все не критичное, нигде не горит, просто работы много и никуда от нее не деться. Когда недостает разнообразия, можно развернуть околоSOC-деятельность, переняв из игровой сферы как минимум достижения и нарративно-ролевую модель за круглым столом киберучений.


Применение на практике

Что же делать, если решение о разнообразии или снижении градуса стресса рабочих процессов принято? Заручившись согласием всех причастных, приниматься за внедрение практик.


Встраивание в работу

Методы могут также разниться от шуточных до официальных: даже простая смена визуального «поля боя» может задать правильное настроение игрокам: например, «хакерские» терминалы unix, секретное общение с коллегами по настоящей рации и перемещение в новый кабинет или уголок опен-спейса для отработки ключевых задач.


Киберучения, как и рутинная обработка кейсов, могут преобразиться сразу же, на дашбордах – один заказчик добавлял отдельную вкладку с турнирной таблицей рабочей смены. Со временем в аналитиках просыпался азарт, и периодами некритичные/известные/задублированные инциденты закрывались с удвоенной силой. Если вспомнить достижения, то другой заказчик в своей самописной BI-платформе предусмотрел один маленький, но забавный элемент игры – выскакивающая «ачивка» при преодолении командой нового порога в количестве инцидентов или в скорости их обработки.


Не каждый заказчик обладает возможностью переделать визуал под работников. Но организоваться внутри команды можно и самостоятельно.


Встраивание рядом с рабочим процессом

Если рабочий инструмент формален и серьезен, не спасает отпуск и соревнования с учениями доводят до тахикардии и сильных переживаний, можно как временный инструмент использовать нарратив. Команда одного из интеграторов, поработав в аутсорс-SOC пару лет, на третий год переключилась с формального подхода к работе на неформальный: аналитики трансформировались в детективов, процесс расследования и реагирования – в увлекательное кинематографичное приключение. От этого, впрочем, слегка преобразились отчеты – сухой деловой стиль стал новеллистской детективной историей, рассказы о реальных инцидентах для руководства наполнялись мемами, а визуализация вместо красных крестов и зеленых галочек предлагала плачущих и одобряющих котов. Однако, хоть это и звучит странно, такие меры действительно помогли.


Плоды

Вовремя примененная и использованная геймификация, как «здесь и сейчас», так и в долгую, позволяет команде SOC на время переключиться и почувствовать себя в другой роли, изменить перспективу работы и посмотреть на свои задачи с новой, более увлекательной стороны.


Подходящая атмосфера и общие шутки, соревнования на интерес оказываются лучше любого искусственного тимбилдинга: если команда победила серебряного или золотого дракона в поисках украденного билета (а какие еще ассоциации вызывает Kerberos) – все остальное им точно по плечу.


рис 2.png

SOC Подкасты ИБ Практика ИБ Пентесты

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Геймификация и управление персоналом
Геймификация и управление персоналом
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности

Рекомендуем

Образование в ИБ. Ожидание vs Реальность
Образование в ИБ. Ожидание vs Реальность
Геймификация и управление персоналом
Геймификация и управление персоналом
Метрики качества динамических плейбуков
Метрики качества динамических плейбуков
Живее всех живых: непрерывность бизнеса
Живее всех живых: непрерывность бизнеса
Фантастический TI и где он обитает
Фантастический TI и где он обитает
Ландшафт угроз информационной безопасности последних лет. Часть 2
Ландшафт угроз информационной безопасности последних лет. Часть 2
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Пентесты
Пентесты
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Кибератаки. Часть 2: Продвинутые техники и манипуляции
Искусство следопыта в корпоративной инфраструктуре
Искусство следопыта в корпоративной инфраструктуре
Этичный хакер и его роль в безопасности
Этичный хакер и его роль в безопасности

Похожие статьи

Управление ИТ-активами
Управление ИТ-активами
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разработка без кода
Разработка без кода
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных

Похожие статьи

Управление ИТ-активами
Управление ИТ-активами
Новые возможности продукта Security Vision Risk Management (RM)
Новые возможности продукта Security Vision Risk Management (RM)
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Ролевая модель безопасности и её отличия от атрибутной модели управления доступом
Что такое социальная инженерия и как от нее защититься
Что такое социальная инженерия и как от нее защититься
Разработка без кода
Разработка без кода
Процессы ИТ и ИБ
Процессы ИТ и ИБ
Модель зрелости SOAR
Модель зрелости SOAR
Тестирование на проникновение
Тестирование на проникновение
SD-WAN – оркестратор для сетей большого масштаба
SD-WAN – оркестратор для сетей большого масштаба
MITRE: последователи и антагонисты
MITRE: последователи и антагонисты
Зачем и как создавать сети передачи данных
Зачем и как создавать сети передачи данных