Веселая игра SOC-Bingo

На следующей неделе мы ожидаем 2 замечательные конференции, посвященные SOCам, мониторингу ИБ, вопросам построения ГосСОПКА, "охоте на угрозы" и всему такому. Это я говорю про « Мониторинг информационной безопасности – проблемы построения и эксплуатации » (21.11) и SOC Forum 2017 (22.11).

И чтобы не заскучать на презентациях (если будет много маркетинговых), решил сделать несколько таблиц типа bullshit-bingo.ru . Первую назвал Real-SOC-Bingo ("дело говорят, понимают актуальные проблемы, стоит к ним прислушаться"), а вторую - Psevdo-SOC-Bingo ("что-то тут не то, один маркетинг, стоит насторожиться, наверное, это пока не работает"). 

Общий подход к различию представлен в короткой таблице:
У игры простые правила:
  • Перед каждой презентацией распечатываем таблицы.(они ниже).
  • Затем, когда слышим какое-нибудь слово из таблицы — зачеркиваем его.
  • Как только 5 слов по вертикали, горизонтали или диагонали оказались зачеркнуты в таблице Real-SOC-Bingo, то встаем и кричим "Я хочу этот SOC!".
  • Как только 5 слов по вертикали, горизонтали или диагонали оказались зачеркнуты в таблице Psevdo-SOC-Bingo, то встаем и кричим "Такой SOC нам не нужен!".
  • Как только будут зачеркнуты 15 слов в таблице Real-SOC-Bingo, то встаем и кричим "Это очень круто, хочу такой SOC, куда нести деньги?".
  • Как только будут зачеркнуты 15 слов в таблице Psevdo-SOC-Bingo, то встаем и кричим "Что за бред, кыш со сцены!".
А вот, собственно, сами таблицы для игры:
Давайте играть :)))
name='more'>
P.S. Из редких терминов напомню вот эти (кстати, Алексей Лукацкий сделал неплохой глоссарий ): 
  • CMDB - Configuration Management Database
  • EDR - Endpoint Detection and Response
  • ISAE - International Standard on Assurance Engagements (ISAE 3402 / SOC1, SOC2, SOC3)
  • IOC - Indicator of Compromise 
  • IRP - Incident Response Platform
  • JSON - JavaScript Object Notation
  • SIC - Security Intelligence Center
  • SOAR - Security Orchestration, Automation and Response
  • TLP - Traffic Light Protocol
P.P.S. Кстати, вы обратили внимание. что нет слов типа SIEM, "log management", "vulnerability management", MSSP, CASB, NTA? На мой взгляд, сами по себе они не сильно говорят ни о реальности, ни об эфемерности SOCа, однозначно не идентифицируют...

P.P.P.S. Наверное, у вас появятся вопросы типа "а почему. например, славный искусственный интеллект добавлен в таблицу псевдо-SOC, ведь это же модно и современно?!", "а почему IRP в real-SOC, а GRC в psevdo?". Пишите их в комментариях, если их наберется много, то подробнее расскажу по каждому пункту свое мнение, но предлагаю перед этим еще раз посмотреть первую таблицу-сравнение, может уловите мою мысль сами...

Andrey Prozorov

Информационная безопасность в России и мире