SOC timovima trebaju vežbe bez najave, ne samo tabletop scenariji
CSO Online je objavio autorski tekst o tome zašto klasične tabletop vežbe nisu dovoljne za pripremu cyber operations timova za stvarne incidente. Autor poredi sajber incidente sa hitnim medicinskim i vojnim situacijama, gde se timovi ne oslanjaju samo na dokumente, već treniraju pod realnim pritiskom. Glavna tvrdnja je da timovi najčešće ne zakazuju zbog manjka alata ili znanja, već zbog stresa, nejasnih uloga, sporog odlučivanja i loše komunikacije u trenutku kada incident već traje. Kao bolji pristup predlažu se vežbe bez najave, ubacivanje realističnih anomalija u produkcionu telemetriju, brza analiza posle vežbe i merenje vremena do potvrde, eskalacije i uključivanja drugih timova.
U stvarnom incidentu nije dovoljno da playbook postoji, jer ga ljudi moraju koristiti dok su pod pritiskom, uz nejasne informacije i posledice koje već teku. Za firme je vrednost ovakvih vežbi u tome što otkrivaju pukotine koje mirni sastanci ne pokažu: ko stvarno reaguje, ko kasni, ko ne zna svoju ulogu i gde komunikacija prestaje da radi.
- Uvesti male vežbe bez najave, počev od jedne realistične anomalije u SIEM, EDR ili cloud okruženju
- Meriti vreme do potvrde alarma, eskalacije i uključivanja pravog tima, a ne samo vreme detekcije
- Uključiti pravni, komunikacioni, risk i menadžment sloj kada scenario pređe tehničke granice
- Raditi kratku analizu bez traženja krivca u roku od 24 sata nakon vežbe
- Ažurirati kontakte, ovlašćenja, procedure i playbook samo na osnovu onoga što je vežba stvarno pokazala