Андрей на днях написал про карточную игру по ИБ, которую выпустили горячие финские парни из NIXU (и чуть раньше про еще одну ) Я решил накидать еще несколько примеров карточных игр по ИБ, которые можно внедрить как в процесс повышения осведомленности или обучения по ИБ в своей компании, или использовать их на мероприятиях по ИБ.
CERT компании Michelin в 2017-м году разработал свою версию карточной игры (на английском и французском языках), исходники которой можно скачать с Github и использовать по своему усмотрению. 42 карты с отличным дизайном поделены на 2 категории - защитники (зеленые) и нападающие (красные). При этом в каждой из категорий есть акторы (фиг знает, как это перевести нормально на русский язык, - термин уже активно используется дипломатами), то есть человеческие персонажи (государственные хакеры, аналитик ИБ, архитектор ИБ, Grey Hat, менеджер проектов, киберпреступники и т.п.), и инструменты (системы обнаружения атак, защита Wi-Fi, Zero Day, DoS, флешка на парковке и т.п.). Каждый персонаж имеет три характеристики - уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления. Сама игра достаточно проста - сдаются карты и затем идет подсчет значений имеющихся на руках характеристик. Интересная задумка и прекрасный дизайн, но не до конца проработанная логика игры, в которой слишком много уделяется удаче.
Еще одну карточную игры по ИБ разработали в японской ассоциации сетевой безопасности, взяв за основу игру "Оборотень" (Werewolf), которая в свою очередь базируется на классической "Мафии", придуманную Дмитрием Давыдовым в 1986-м году.
В SEC WEREWOLF идея отличается от предыдущей игры - коррумпированные работники стащили конфиденциальную информацию с помощью нанятых хакеров. Руководство компании узнает об этом, но коррумпированные сотрудники пытаются повесить всю вину для невиновных. CSIRT приглашается для проведения расследования. Цель игры - познакомить широкий круг неспециалистов по ИБ с ролью и деятельностью группы реагирования на инциденты.
Правила игры, описание персонажей доступно на сайте JNSA , но сами карты скачать нельзя - только купить в Интернет-магазине. Однако это не так уж и страшно - в правилах игры дано описание всех карт и их можно изготовить самостоятельно.
Гораздо более сложная игра, и более приближенная к реалиям ИБ, называется d0x3d! , доступная в исходниках на Github. Различные типы нарушителей и атак:
Различные объекты для нападения:
Различные цели (финансовая информация, интеллектуальная собственность, персданные и т.п.):
Различные действия:
Последняя в этом обзоре игра называется Backdoors & Breaches . Она разработана для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны кар, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. У их карточного варианта есть как свои плюсы, так и минусы. Плюс связан с формой представления учений - в карты можно играть даже в купе поезда. Минус - вы ограничены теми TTP, которые записаны на картах. В остальном же очень интересный вариант карточной игры по ИБ.
На прошедшей на прошлой неделе RSA Conference геймификация и интерактив заняли свое достойное место и немало сессий проходило не в скучном лекционном формате, а именно в игровой форме. Так что это стоит пробовать.
CERT компании Michelin в 2017-м году разработал свою версию карточной игры (на английском и французском языках), исходники которой можно скачать с Github и использовать по своему усмотрению. 42 карты с отличным дизайном поделены на 2 категории - защитники (зеленые) и нападающие (красные). При этом в каждой из категорий есть акторы (фиг знает, как это перевести нормально на русский язык, - термин уже активно используется дипломатами), то есть человеческие персонажи (государственные хакеры, аналитик ИБ, архитектор ИБ, Grey Hat, менеджер проектов, киберпреступники и т.п.), и инструменты (системы обнаружения атак, защита Wi-Fi, Zero Day, DoS, флешка на парковке и т.п.). Каждый персонаж имеет три характеристики - уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления. Сама игра достаточно проста - сдаются карты и затем идет подсчет значений имеющихся на руках характеристик. Интересная задумка и прекрасный дизайн, но не до конца проработанная логика игры, в которой слишком много уделяется удаче.
В SEC WEREWOLF идея отличается от предыдущей игры - коррумпированные работники стащили конфиденциальную информацию с помощью нанятых хакеров. Руководство компании узнает об этом, но коррумпированные сотрудники пытаются повесить всю вину для невиновных. CSIRT приглашается для проведения расследования. Цель игры - познакомить широкий круг неспециалистов по ИБ с ролью и деятельностью группы реагирования на инциденты.
Правила игры, описание персонажей доступно на сайте JNSA , но сами карты скачать нельзя - только купить в Интернет-магазине. Однако это не так уж и страшно - в правилах игры дано описание всех карт и их можно изготовить самостоятельно.
Различные действия:
По сравнению с предыдущими двумя играми это на порядок сложнее, но от этого и интереснее. Занимает она около 1 часа и играть в нее можно даже одному игроку (до 4-х игроков).
Последняя в этом обзоре игра называется Backdoors & Breaches . Она разработана для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны кар, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. У их карточного варианта есть как свои плюсы, так и минусы. Плюс связан с формой представления учений - в карты можно играть даже в купе поезда. Минус - вы ограничены теми TTP, которые записаны на картах. В остальном же очень интересный вариант карточной игры по ИБ.
На прошедшей на прошлой неделе RSA Conference геймификация и интерактив заняли свое достойное место и немало сессий проходило не в скучном лекционном формате, а именно в игровой форме. Так что это стоит пробовать.
