SOT

SOT

SOAR
Security Orchestration, Automation and Response

Автоматизация реагирования на инциденты информационной безопасности при помощи динамических плейбуков с применением СЗИ, выстраиванием цепочки атаки и объектно-ориентированным подходом

NG SOAR
Next Generation SOAR

Автоматизация реагирования на инциденты ИБ со встроенной базовой корреляцией, сбором сырых событий непосредственно с СЗИ, динамическими плейбуками, выстраиванием цепочки атаки и объектно-ориентированным подходом

AM
Asset Management

Описание ИТ-ландшафта, обнаружение новых объектов в сети, категорирование активов, инвентаризации и управления жизненным циклом оборудования и ПО на АРМ и серверах организаций

VM
Vulnerability Management

Выстраивание процесса обнаружения и устранения технических уязвимостей, сбор информации с имеющихся сканеров защищённости, платформ управления обновлениями, экспертных внешних сервисов и других решений

ГосСОПКА
Государственная Система Обнаружения Предупреждения и Ликвидации Последствий Компьютерных Атак

Двустороннее взаимодействие с Национальным координационным центром по компьютерным инцидентам (НКЦКИ), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

FinCERT
Financial Computer Emergency Response Team

Двустороннее взаимодействие с Центральным Банком (ЦБ РФ, ЦБ РБ и др.), а именно передача информации об инцидентах и получение оперативных уведомлений/бюллетеней от регулятора

Напишите нам на sales@securityvision.ru или закажите демонстрацию

GRC

GRC

КИИ
Критическая Информационная Инфраструктура

Аудит и исполнение требований ФЗ-187 «О безопасности критической информационной инфраструктуры Российской Федерации» и других нормативных документов

RM
Risks Management

Формирование реестра рисков, угроз, мер защиты и других параметров контроля, оценка по выбранной методике, формирование перечня дополнительных мер для изменения уровня риска, контроль исполнения, периодическая переоценка

ORM
Operational Risks Management

Учёт и фиксация событий операционных рисков (СОР), мониторинг ключевых индикаторов рисков (КИР) и проведение самооценки /контроля согласно положению №716-П ЦБ РФ

CM
Compliance Management

Аудит соответствия и комплаенса различным методологиям и стандартам (проектный)

BCP
Business Continuity Plan

Автоматизация процесса обеспечения непрерывности и восстановления деятельности (ОНиВД) после наступления чрезвычайных ситуаций

Напишите нам на sales@securityvision.ru или закажите демонстрацию

Геймификация SOC

Геймификация SOC
04.09.2023

  |  Слушать на Google Podcasts  |   Слушать на Mave  |   Слушать на Яндекс Музыке  |  


Ева Беляева, Руководитель Отдела развития Security Vision


Причины геймификации


Нередко в потоке рабочей рутины и при постоянном погружении в процесс опытный руководитель может сразу подметить первые признаки усталости и выгорания среди аналитиков и операторов SOC. С еще большей частотой команды, непрерывно, замотивированно и с энтузиазмом работающие над сложными или однообразными задачами, замечают свое «нерабочее» состояние уже по факту.


В сухом остатке получается, что команда преобразилась в группу бесконечно уставших людей, которым не помогают ни отпуск, ни деньги, и которые готовы прямо завтра «бросить это ваше ИБ» и уйти в закат. Казалось бы, работа в целом и не связана с помогающими профессиями, однако постоянный интеллектуальный труд, отягощаемый переработками, все же сказывается на состоянии работников вопреки отрицанию проблемы.


рис 1.png


Выходы из таких ситуаций могут быть разные (менеджеры, тимлиды и HR подскажут), но на самом деле таких ситуаций можно или избежать, или как минимум освежить рабочую рутину, добавив в нее элементы игр, балансируя на тонкой грани между работой и развлечениями.


Какие бывают игры

Игровые практики, применяемые в таких командах, бывают разнообразны и многогранны. Конечно, стоит изначально выявить несколько определяющих факторов для выбора формата мероприятий:

1. насколько вы серьезны как SOC;

2. чего стоят послабления в процессе реагирования;

3. каким опытом обладают сотрудники;

4. нередко важен возрастной порог. 

Но на самом деле по большей части все упирается в первый пункт.

Игры для решения серьезных проблем

Игры, подходящие, к примеру, для коммерческих SOC, и играми-то сложно назвать, однако по сути своей, если слегка откалибровать отношение к рабочим активностям (а еще к их результатам), то выходит, что пентест и SOC не просто проводят Red/Blue team соревнования, а решают сложные ИБ-ориентированные головоломки на время. Панацеей от сложных задач и кипящего мозга такой переворот не станет, но как раз-таки уменьшение серьезности хорошо скажется на моральном состоянии, главное не забывать об ответственности и о том, что вокруг все-таки работа.


Не такие уж большие сложности

По крайней мере, здесь есть где разгуляться фантазии, когда всех проблем – одинаковые задачи, одинаковые люди и одинаковые проблемы. Все не критичное, нигде не горит, просто работы много и никуда от нее не деться. Когда недостает разнообразия, можно развернуть околоSOC-деятельность, переняв из игровой сферы как минимум достижения и нарративно-ролевую модель за круглым столом киберучений.


Применение на практике

Что же делать, если решение о разнообразии или снижении градуса стресса рабочих процессов принято? Заручившись согласием всех причастных, приниматься за внедрение практик.


Встраивание в работу

Методы могут также разниться от шуточных до официальных: даже простая смена визуального «поля боя» может задать правильное настроение игрокам: например, «хакерские» терминалы unix, секретное общение с коллегами по настоящей рации и перемещение в новый кабинет или уголок опен-спейса для отработки ключевых задач.


Киберучения, как и рутинная обработка кейсов, могут преобразиться сразу же, на дашбордах – один заказчик добавлял отдельную вкладку с турнирной таблицей рабочей смены. Со временем в аналитиках просыпался азарт, и периодами некритичные/известные/задублированные инциденты закрывались с удвоенной силой. Если вспомнить достижения, то другой заказчик в своей самописной BI-платформе предусмотрел один маленький, но забавный элемент игры – выскакивающая «ачивка» при преодолении командой нового порога в количестве инцидентов или в скорости их обработки.


Не каждый заказчик обладает возможностью переделать визуал под работников. Но организоваться внутри команды можно и самостоятельно.


Встраивание рядом с рабочим процессом

Если рабочий инструмент формален и серьезен, не спасает отпуск и соревнования с учениями доводят до тахикардии и сильных переживаний, можно как временный инструмент использовать нарратив. Команда одного из интеграторов, поработав в аутсорс-SOC пару лет, на третий год переключилась с формального подхода к работе на неформальный: аналитики трансформировались в детективов, процесс расследования и реагирования – в увлекательное кинематографичное приключение. От этого, впрочем, слегка преобразились отчеты – сухой деловой стиль стал новеллистской детективной историей, рассказы о реальных инцидентах для руководства наполнялись мемами, а визуализация вместо красных крестов и зеленых галочек предлагала плачущих и одобряющих котов. Однако, хоть это и звучит странно, такие меры действительно помогли.


Плоды

Вовремя примененная и использованная геймификация, как «здесь и сейчас», так и в долгую, позволяет команде SOC на время переключиться и почувствовать себя в другой роли, изменить перспективу работы и посмотреть на свои задачи с новой, более увлекательной стороны.


Подходящая атмосфера и общие шутки, соревнования на интерес оказываются лучше любого искусственного тимбилдинга: если команда победила серебряного или золотого дракона в поисках украденного билета (а какие еще ассоциации вызывает Kerberos) – все остальное им точно по плечу.


рис 2.png

SOC Подкасты ИБ Практика ИБ Пентесты

Рекомендуем

Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Пентесты
Пентесты
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Рекомендуем

Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Взаимодействие ИТ и ИБ: средства защиты
Взаимодействие ИТ и ИБ: средства защиты
«Фишки» Security Vision: интерфейс
«Фишки» Security Vision: интерфейс
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Вебинары о конструкторах объектов, меню и ролей на платформе Security Vision
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Практическая защита персональных данных. Как компания должна обрабатывать и защищать персональные данные? Часть 2
Security Vision 5.0: швейцарский нож в информационной безопасности
Security Vision 5.0: швейцарский нож в информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
SOC (Security Operation Center): что это такое и зачем используется? Центры мониторинга информационной безопасности
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Новые возможности систем TIP, SGRC, IRP/SOAR, UEBA и Anomaly Detection на платформе Security Vision 5
Безопасность переводов и оплаты товаров через СБП. Часть 1
Безопасность переводов и оплаты товаров через СБП. Часть 1
Роль киберполигона в обеспечении ИБ
Роль киберполигона в обеспечении ИБ
Пентесты
Пентесты
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"
Обзор публикации NIST SP 800-82 Rev. 2 "Guide to Industrial Control Systems (ICS) Security"

Похожие статьи

«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Практика ИБ. Политики аудита безопасности Windows
Практика ИБ. Политики аудита безопасности Windows
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019

Похожие статьи

«Фишки» Security Vision: совместная работа
«Фишки» Security Vision: совместная работа
Тренды информационной безопасности. Часть 3
Тренды информационной безопасности. Часть 3
Управление доступом и идентификация пользователей. IDM системы
Управление доступом и идентификация пользователей. IDM системы
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Динамические плейбуки IRP/SOAR 2.0 на платформе Security Vision 5
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Измерение эффективности процессов кибербезопасности. Метрики ИБ. Часть 1
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Обзор публикации NIST SP 800-125 "Guide to Security for Full Virtualization Technologies"
Практика ИБ. Политики аудита безопасности Windows
Практика ИБ. Политики аудита безопасности Windows
«Фишки» Security Vision: создание экосистемы
«Фишки» Security Vision: создание экосистемы
Управление рисками информационной безопасности. Часть 7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019
Управление рисками информационной безопасности. Часть  7. Стандарт ISO/IEC 27005:2018 (продолжение). Стандарт IEC 31010:2019