SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risk Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risk Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Геймификация SOC

Геймификация SOC
04.09.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Ева Беляева, Руководитель Отдела развития Security Vision


Причины геймификации


Нередко в потоке рабочей рутины и при постоянном погружении в процесс опытный руководитель может сразу подметить первые признаки усталости и выгорания среди аналитиков и операторов SOC. С еще большей частотой команды, непрерывно, замотивированно и с энтузиазмом работающие над сложными или однообразными задачами, замечают свое «нерабочее» состояние уже по факту.


В сухом остатке получается, что команда преобразилась в группу бесконечно уставших людей, которым не помогают ни отпуск, ни деньги, и которые готовы прямо завтра «бросить это ваше ИБ» и уйти в закат. Казалось бы, работа в целом и не связана с помогающими профессиями, однако постоянный интеллектуальный труд, отягощаемый переработками, все же сказывается на состоянии работников вопреки отрицанию проблемы.


рис 1.png


Выходы из таких ситуаций могут быть разные (менеджеры, тимлиды и HR подскажут), но на самом деле таких ситуаций можно или избежать, или как минимум освежить рабочую рутину, добавив в нее элементы игр, балансируя на тонкой грани между работой и развлечениями.


Какие бывают игры

Игровые практики, применяемые в таких командах, бывают разнообразны и многогранны. Конечно, стоит изначально выявить несколько определяющих факторов для выбора формата мероприятий:

1. насколько вы серьезны как SOC;

2. чего стоят послабления в процессе реагирования;

3. каким опытом обладают сотрудники;

4. нередко важен возрастной порог. 

Но на самом деле по большей части все упирается в первый пункт.

Игры для решения серьезных проблем

Игры, подходящие, к примеру, для коммерческих SOC, и играми-то сложно назвать, однако по сути своей, если слегка откалибровать отношение к рабочим активностям (а еще к их результатам), то выходит, что пентест и SOC не просто проводят Red/Blue team соревнования, а решают сложные ИБ-ориентированные головоломки на время. Панацеей от сложных задач и кипящего мозга такой переворот не станет, но как раз-таки уменьшение серьезности хорошо скажется на моральном состоянии, главное не забывать об ответственности и о том, что вокруг все-таки работа.


Не такие уж большие сложности

По крайней мере, здесь есть где разгуляться фантазии, когда всех проблем – одинаковые задачи, одинаковые люди и одинаковые проблемы. Все не критичное, нигде не горит, просто работы много и никуда от нее не деться. Когда недостает разнообразия, можно развернуть околоSOC-деятельность, переняв из игровой сферы как минимум достижения и нарративно-ролевую модель за круглым столом киберучений.


Применение на практике

Что же делать, если решение о разнообразии или снижении градуса стресса рабочих процессов принято? Заручившись согласием всех причастных, приниматься за внедрение практик.


Встраивание в работу

Методы могут также разниться от шуточных до официальных: даже простая смена визуального «поля боя» может задать правильное настроение игрокам: например, «хакерские» терминалы unix, секретное общение с коллегами по настоящей рации и перемещение в новый кабинет или уголок опен-спейса для отработки ключевых задач.


Киберучения, как и рутинная обработка кейсов, могут преобразиться сразу же, на дашбордах – один заказчик добавлял отдельную вкладку с турнирной таблицей рабочей смены. Со временем в аналитиках просыпался азарт, и периодами некритичные/известные/задублированные инциденты закрывались с удвоенной силой. Если вспомнить достижения, то другой заказчик в своей самописной BI-платформе предусмотрел один маленький, но забавный элемент игры – выскакивающая «ачивка» при преодолении командой нового порога в количестве инцидентов или в скорости их обработки.


Не каждый заказчик обладает возможностью переделать визуал под работников. Но организоваться внутри команды можно и самостоятельно.


Встраивание рядом с рабочим процессом

Если рабочий инструмент формален и серьезен, не спасает отпуск и соревнования с учениями доводят до тахикардии и сильных переживаний, можно как временный инструмент использовать нарратив. Команда одного из интеграторов, поработав в аутсорс-SOC пару лет, на третий год переключилась с формального подхода к работе на неформальный: аналитики трансформировались в детективов, процесс расследования и реагирования – в увлекательное кинематографичное приключение. От этого, впрочем, слегка преобразились отчеты – сухой деловой стиль стал новеллистской детективной историей, рассказы о реальных инцидентах для руководства наполнялись мемами, а визуализация вместо красных крестов и зеленых галочек предлагала плачущих и одобряющих котов. Однако, хоть это и звучит странно, такие меры действительно помогли.


Плоды

Вовремя примененная и использованная геймификация, как «здесь и сейчас», так и в долгую, позволяет команде SOC на время переключиться и почувствовать себя в другой роли, изменить перспективу работы и посмотреть на свои задачи с новой, более увлекательной стороны.


Подходящая атмосфера и общие шутки, соревнования на интерес оказываются лучше любого искусственного тимбилдинга: если команда победила серебряного или золотого дракона в поисках украденного билета (а какие еще ассоциации вызывает Kerberos) – все остальное им точно по плечу.


рис 2.png

SOC Подкасты ИБ Практика ИБ Пентесты

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Рекомендуем

SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
КИИ - что это? Безопасность объектов критической информационной инфраструктуры
Кейлоггер для кибербезопасности и оптимизации
Кейлоггер для кибербезопасности и оптимизации
Информационная безопасность (ИБ) - что это такое. Виды защиты информации.
Информационная  безопасность (ИБ) - что это такое. Виды защиты информации.
Что такое IRP, где используется и как внедряется
Что такое IRP, где используется и как внедряется
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
SIEM системы (Security Information and Event Management) - что это и зачем нужно?
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности. Часть 1. Основные понятия и методология оценки рисков
Управление рисками информационной безопасности (конспект лекции)
Управление рисками информационной безопасности (конспект лекции)
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Федеральный закон № 161-ФЗ «О национальной платежной системе»
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Категорирование объектов критической информационной инфраструктуры в рамках 187-ФЗ. Постановление Правительства РФ № 127
Практика ИБ. Централизованный сбор логов с Windows-устройств
Практика ИБ. Централизованный сбор логов с Windows-устройств
Управление инцидентами ИБ (конспект лекции)
Управление инцидентами ИБ (конспект лекции)

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только

Похожие статьи

Darknet — что это, как им пользуются преступники, чего следует остерегаться
Darknet — что это, как им пользуются преступники, чего следует остерегаться
Разработка без кода
Разработка без кода
Польза от Pentest для постинцидента
Польза от Pentest для постинцидента
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
Логины, пароли и другие способы аутентификации: описание, особенности, угрозы
IDE для разработки средств защиты в формате no-code
IDE для разработки средств защиты в формате no-code
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
Взломы в информационной безопасности - что это, как они происходят и как от них защититься
SSDL: ML для проверки кода и поведения opensource-решений
SSDL: ML для проверки кода и поведения opensource-решений
Атаки на веб-системы по методологии OWASP Top 10
Атаки на веб-системы по методологии OWASP Top 10
SSDL: Знай своего opensource-поставщика в лицо и не только
SSDL: Знай своего opensource-поставщика в лицо и не только