Андрей на днях написал про карточную игру по ИБ, которую выпустили горячие финские парни из NIXU (и чуть раньше про еще одну) Я решил накидать еще несколько примеров карточных игр по ИБ, которые можно внедрить как в процесс повышения осведомленности или обучения по ИБ в своей компании, или использовать их на мероприятиях по ИБ.
CERT компании Michelin в 2017-м году разработал свою версию карточной игры (на английском и французском языках), исходники которой можно скачать с Github и использовать по своему усмотрению. 42 карты с отличным дизайном поделены на 2 категории - защитники (зеленые) и нападающие (красные). При этом в каждой из категорий есть акторы (фиг знает, как это перевести нормально на русский язык, - термин уже активно используется дипломатами), то есть человеческие персонажи (государственные хакеры, аналитик ИБ, архитектор ИБ, Grey Hat, менеджер проектов, киберпреступники и т.п.), и инструменты (системы обнаружения атак, защита Wi-Fi, Zero Day, DoS, флешка на парковке и т.п.). Каждый персонаж имеет три характеристики - уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления. Сама игра достаточно проста - сдаются карты и затем идет подсчет значений имеющихся на руках характеристик. Интересная задумка и прекрасный дизайн, но не до конца проработанная логика игры, в которой слишком много уделяется удаче.
Еще одну карточную игры по ИБ разработали в японской ассоциации сетевой безопасности, взяв за основу игру "Оборотень" (Werewolf), которая в свою очередь базируется на классической "Мафии", придуманную Дмитрием Давыдовым в 1986-м году.
В SEC WEREWOLF идея отличается от предыдущей игры - коррумпированные работники стащили конфиденциальную информацию с помощью нанятых хакеров. Руководство компании узнает об этом, но коррумпированные сотрудники пытаются повесить всю вину для невиновных. CSIRT приглашается для проведения расследования. Цель игры - познакомить широкий круг неспециалистов по ИБ с ролью и деятельностью группы реагирования на инциденты.
Правила игры, описание персонажей доступно на сайте JNSA, но сами карты скачать нельзя - только купить в Интернет-магазине. Однако это не так уж и страшно - в правилах игры дано описание всех карт и их можно изготовить самостоятельно.
Гораздо более сложная игра, и более приближенная к реалиям ИБ, называется d0x3d!, доступная в исходниках на Github. Различные типы нарушителей и атак:
Различные объекты для нападения:
Различные цели (финансовая информация, интеллектуальная собственность, персданные и т.п.):
Различные действия:
Последняя в этом обзоре игра называется Backdoors & Breaches. Она разработана для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны кар, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. У их карточного варианта есть как свои плюсы, так и минусы. Плюс связан с формой представления учений - в карты можно играть даже в купе поезда. Минус - вы ограничены теми TTP, которые записаны на картах. В остальном же очень интересный вариант карточной игры по ИБ.
На прошедшей на прошлой неделе RSA Conference геймификация и интерактив заняли свое достойное место и немало сессий проходило не в скучном лекционном формате, а именно в игровой форме. Так что это стоит пробовать.
CERT компании Michelin в 2017-м году разработал свою версию карточной игры (на английском и французском языках), исходники которой можно скачать с Github и использовать по своему усмотрению. 42 карты с отличным дизайном поделены на 2 категории - защитники (зеленые) и нападающие (красные). При этом в каждой из категорий есть акторы (фиг знает, как это перевести нормально на русский язык, - термин уже активно используется дипломатами), то есть человеческие персонажи (государственные хакеры, аналитик ИБ, архитектор ИБ, Grey Hat, менеджер проектов, киберпреступники и т.п.), и инструменты (системы обнаружения атак, защита Wi-Fi, Zero Day, DoS, флешка на парковке и т.п.). Каждый персонаж имеет три характеристики - уровень знаний, уровень эффективности и уровень обнаружения. Инструменты могут модифицировать характеристики персонажей в сторону их усиления или ослабления. Сама игра достаточно проста - сдаются карты и затем идет подсчет значений имеющихся на руках характеристик. Интересная задумка и прекрасный дизайн, но не до конца проработанная логика игры, в которой слишком много уделяется удаче.
Еще одну карточную игры по ИБ разработали в японской ассоциации сетевой безопасности, взяв за основу игру "Оборотень" (Werewolf), которая в свою очередь базируется на классической "Мафии", придуманную Дмитрием Давыдовым в 1986-м году.
В SEC WEREWOLF идея отличается от предыдущей игры - коррумпированные работники стащили конфиденциальную информацию с помощью нанятых хакеров. Руководство компании узнает об этом, но коррумпированные сотрудники пытаются повесить всю вину для невиновных. CSIRT приглашается для проведения расследования. Цель игры - познакомить широкий круг неспециалистов по ИБ с ролью и деятельностью группы реагирования на инциденты.
Правила игры, описание персонажей доступно на сайте JNSA, но сами карты скачать нельзя - только купить в Интернет-магазине. Однако это не так уж и страшно - в правилах игры дано описание всех карт и их можно изготовить самостоятельно.
Различные объекты для нападения:
Различные цели (финансовая информация, интеллектуальная собственность, персданные и т.п.):
Различные действия:
По сравнению с предыдущими двумя играми это на порядок сложнее, но от этого и интереснее. Занимает она около 1 часа и играть в нее можно даже одному игроку (до 4-х игроков).
Последняя в этом обзоре игра называется Backdoors & Breaches. Она разработана для проведения штабных киберучений, темой которых является реагирование на инциденты и изучение TTP злоумышленников. 52 уникальных карты, доступные для скачивания шаблоны кар, достаточно простые правила, которые во-многом повторяют то, что я провожу в рамках своих киберучений на тех или иных мероприятий. У их карточного варианта есть как свои плюсы, так и минусы. Плюс связан с формой представления учений - в карты можно играть даже в купе поезда. Минус - вы ограничены теми TTP, которые записаны на картах. В остальном же очень интересный вариант карточной игры по ИБ.
На прошедшей на прошлой неделе RSA Conference геймификация и интерактив заняли свое достойное место и немало сессий проходило не в скучном лекционном формате, а именно в игровой форме. Так что это стоит пробовать.
1 коммент.:
If you're trying to burn fat then you need to start following this totally brand new personalized keto meal plan.
To design this keto diet, licensed nutritionists, personal trainers, and professional chefs have united to develop keto meal plans that are powerful, suitable, economically-efficient, and delicious.
Since their first launch in early 2019, 100's of individuals have already completely transformed their figure and well-being with the benefits a great keto meal plan can give.
Speaking of benefits; in this link, you'll discover 8 scientifically-proven ones provided by the keto meal plan.
Отправить комментарий