BIS Journal №4(31)/2018

5 февраля, 2019

Кадровые стратегии для SOC

КРИЗИС В ГОЛОВАХ

Банальное определение «Кризис – он в головах» отлично характеризует ситуацию с созданием SOC: часто на этой самой стадии создания не определяются цели и задачи, нет понимания целевой процессной модели, люди набираются хаотично – по принципу «как у соседа» или «примерно хватит».

В то же время проблему нехватки кадров в SOC возможно решить, определив целевую модель SOC, а именно:

Основной сервис (как правило, мониторинг ИБ).
Модель нарушителя (для коммерческих структур это в первую очередь киберпреступность и ИТ-администраторы).
На основе пункта 2 – перечень сценариев реализации угроз (use cases).
Целевая процессная модель.
Тип SOC.

Перечень сценариев реализации угроз обычно центрирован вокруг Kill Chain и должен покрывать все 6 этапов Kill Chain, а также кейсы отказов в работе Security Controls (встроенные и накладные СЗИ) + кейсы нарушений операционной безопасности службой ИТ (ввода в прод-сегменты непропатченных сервисов и т.п.).

Целевая процессная модель зависит от целевой зоны покрытия – количества объектов под мониторингом, но должна включать как минимум основной операционный процесс из четырех подпроцессов: Киберразведка, Мониторинг, Расследование и Реагирование. Для внутреннего SOC ключевыми являются процессы Расследование и Реагирование. Грубо говоря, все, что не перерождается в действия процесса Реагирование, представляет собой больше академическую ценность и не помогает снижать ущерб от реальных инцидентов.

Еще одним крайне ценным для внутреннего SOC процессом является security data management (в более примитивном смысле Управление коннекторами), который позволит упорядочить жизненный цикл подключения к SOC новых ИТ-систем, в том числе предоставить для других корпоративных процессов процессный API, соблюдая который ИТ-проекты смогут и к SOC подключиться и сдать свои проекты вовремя, не тормозя из-за «необоснованных» требований корпоративной кибербезопасности. Классический цикл security data management состоит из пяти стадий:

Анализ достаточности данных для use case.
Разработка требований к источнику данных.
Реализация и тестирование сбора данных.
Вывод из эксплуатации источника сбора данных.
Управление карточкой источника данных (НСИ).

Рис. 1. Основной операционный процесс SOC

В результате определения предыдущих четырех основ (Рис. 1) сложится вид SOC – «обычный» SOC (далее SOC), ориентированный на выявление нарушений политик ИБ, утечек и иных технологически простых событий или Managed Detection and Response Provider (далее MDR), способный находить новые угрозы (Threat Hunting).

КАДРОВЫЕ СТРАТЕГИИ ДЛЯ SOC  

            SOC не очень требователен к ресурсам, но требователен к процессам. Хорошо описанные, отлаженные и внедренные процессы позволят обойтись привлечением специалистов уровня ИТ-helpdesk, администраторов Windows и администраторов средств сетевой защиты.

            Особенных кадровых стратегий для такого уровня не требуется, специалистам нужно всего лишь реагировать на то, что им покажет та или иная аналитическая модель, реализованная на базе решений класса SIEM или data lake.

КАДРОВЫЕ СТРАТЕГИИ ДЛЯ MDR

Однако злоумышленники не планируют подчиняться правилам, поэтому все больше организаций под SOC подразумевают MDR. От специалистов MDR уже потребуется глубокое понимание целого ряда сфер (Рис. 2).

Рис. 2. Пирамида знаний мониторинга угроз

            Готовых специалистов такого профиля на рынке мало, поэтому предлагается использовать одну или микс из следующих стратегий:

Развитие существующей команды.
Повышение конкурентоспособности оффера работодателя.
Селективный аутсорсинг (Hybrid SOC).
Поэтапное разворачивание SOC.
Привлечение специалистов из смежных областей.
Консолидация компетенций за счет уменьшения с трех до двух линий.
Формирование регионального центра компетенции.
Найм из существующих региональных центров компетенции по SOC.

Стратегии приемлемы и применимы не для всех типов организаций. Например, ориентированные на регионы стратегии 7 и 8 удобны организациям с присутствием в целевом регионе. Разворачивать филиал или обособленное подразделение ради MDR могут себе позволить только игроки рынка, для которых это профильное подразделение.

РАЗВИТИЕ СУЩЕСТВУЮЩЕЙ ИБ-КОМАНДЫ

Прежде чем нанимать новых (еще не проверенных в бою) специалистов разумно посмотреть на ту команду, что есть. Хорошо, если уже составлены профили (стандарты) компетенций соответствующих должностей, определена их номенклатура и произведены расчеты требуемой численности – иначе потребуется это сделать (самостоятельно или привлечь компетентный внешний SOC, который с этим поможет).

Перед формированием индивидуальных планов развития для членов команды необходимо оценить их навыки - как минимум в форме интервью, задав соответствующие профилям компетенций вопросы. Например, на знание модели OSI, предназначение и типовые особенности работы механизмов аутентификации в Windows и Unix (“что делает процесс lsass.exe?”), виды и методы работы средств атаки («как повысить привилегии после получения возможности запуска исполняемых файлов в Windows?”), а также на знание базовых терминов. Увы, многие “специалисты” в SOC даже не знают, что такое IOC.

Повышение навыков происходит как путем киберучений, так и классическими курсами: Администрирование Windows, CCNA, CEH (для изучения методов атаки). Приведены лишь базовые, но, как показывает практика, они же и самые актуальные – пробелов в знаниях специалистов более чем достаточно.

ПОВЫШЕНИЕ РАБОТОСПОСОБНОСТИ ОФФЕРА РАБОТОДАТЕЛЯ

В любой кадровой аналитике во все времена первым фактором выбора работодателя соискателем была денежная компенсация. Для внутренних SOC это часто является проблемой, т.к. они затиснуты в рамки корпоративной системы грейдов и окладов. Однако существуют и дополнительные инструменты. Кроме оклада работодатели имеют возможность устанавливать доплату (за коммерческую тайну, за государственную тайну и иные), а также осуществлять разовые выплаты, в том числе и «подъемные» для переезда кандидатов из регионов. Умелое использование дополнительных инструментов поможет создать особые условия для особых кандидатов, не изменяя всей корпоративной системы мотивации. Но для этого потребуется предварительно выстроить конструктивные отношения с кадровой службой – владельцем HR-бюджета.

Второй по значимости фактор – «интересные задачи». Инструмент этот тяжело управляемый, но очень эффективный. По факту он означает создание нового, а значит, подразумевает возможность решения уникальных проблем. В части технологий это движение в сторону data lake, open source, новых для рынка платформ классов IRP (Incident Response Platform), TIP (Threat Intelligence Platform) и технологий приманок для злоумышленников (Deception Technology) и других. Например, один из банков ТОП-50 тестирует 100% всех новинок на рынке технологий ИБ, в том числе с целью мотивации сотрудников службы ИБ.

СЕЛЕКТИВНЫЙ АУТСОРСИНГ (HYBRID SOC)

Классическим для мировой практики способом снижения нагрузки на штат SOC является привлечение внешнего SOC (сервис-провайдера или MSSP) для выполнения части подпроцессов.

Обычно это процессы мониторинга и расследования, для которых MSSP привносит три ключевые ценности:

Быстрый старт за счет имеющихся людей, технологий и процессов.
Предсказание и обход типовых ошибок при создании SOC.
Более высокий КПД использования аналитиков.

ПОЭТАПНОЕ РАЗВОРАЧИВАНИЕ SOC

Современные корпорации используют сотни и тысячи ИТ-активов для операционной деятельности. Вместе с тем всегда возможно разделить активы на более и менее важные, как минимум по фактору поддержки ими основных или поддерживающих бизнес-процессов. Совсем не обязательно пытаться объять необъятное и распространить сервис мониторинга сразу на всю компанию, лучше наоборот – подключить базовый объём и плавно тиражировать на процесс за процессом, регион за регионом.

Поэтапный подход позволит снизить одномоментный запрос бюджетных средств, внутренних услуг кадровой службы, давление на рынок труда.

ПРИВЛЕЧЕНИЕ СПЕЦИАЛИСТОВ ИЗ СМЕЖНЫХ ОБЛАСТЕЙ

Декомпозировав для себя, кто такой “аналитик SOC”, становится возможным нанимать специалистов из смежных областей. При этом стоит учесть целевую процессную модель, целевую степень использования аутсорсинга и технологические подходы. Например, devops-эксперты будут полезны если строится data lake, но могут быть избыточны, если мы используем много проприетарных «закрытых» технологий.

КОНСОЛИДАЦИЯ КОМПЕТЕНЦИЙ ЗА СЧЕТ УМЕНЬШЕНИЯ С ТРЕХ ДО ДВУХ ЛИНИЙ

MDR подразумевает выявление аномалий через экспертное понимание тонких особенностей работы корпоративной ИТ-инфраструктуры и приложений. В таком случае 1-ая линия с ограниченными знаниями и отсутствием реального опыта ИБ-мониторинга лишь пропустит аномалию или наоборот замучает аналитиков 2-ой линии бесконечными вопросами.

С другой стороны, найти 10+ аналитиков 2-ой линии для организации 24х7 сложно и дорого, но будем реалистами: режим 24х7 необходим компаниям, которые живут в таком ритме.  Именно в таком режиме они и могут реагировать (Рис. 1) на идентифицированные и подтвержденные критичные инциденты. В противном случае потенциальный инцидент подождет до утра – годами им вообще никто не занимался, и организация не только не прекратила своего существования, а даже изыскала деньги на SOC.

Итого. Набор специалистов на 1-ую линию в ряде случаев возможно отменить, ограничившись гораздо более скромным набором на 2-ую и 3-ю линии из расчета на режим 8х5.

ФОРМИРОВАНИЕ РЕГИОНАЛЬНОГО ЦЕНТРА КОМПЕТЕНЦИИ

После достижения размера ИБ-подразделения в 50+ специалистов в Москве начинают сталкиваться с одними и теми же кандидатами по два и три раза. Московский ИБ-рынок труда «перегрет», и в регионах ситуация в среднем лучше (за вычетом Санкт-Петербурга и Нижнего Новгорода).  

При выборе региона для открытия регионального центра компетенции предлагается учесть следующие факторы:

Наличие регионального представительства Компании.
Баланс спроса и предложения на рынке труда в ИТ (например, в Воронеже кадровая напряженность больше, чем в Москве за счет больших региональных центров ATOS и РТЛабс).
Размер региона и наличие технических вузов из ТОП-30.
Стоимость персонала.
Бизнес и политическая среда (например, в Калуге она считается дружественной).
Наличие конкурирующих за кадры крупных игроков (особенно активно нанимающих крупных корпораций: Сбербанк, МТС, НЛМК, Газпромнефть).
Географическая удаленность (ездить все-равно придется).

НАЙМ ИЗ СУЩЕСТВУЮЩИХ РЕГИОНАЛЬНЫХ ЦЕНТРОВ КОМПЕТЕНЦИИ ПО SOC

Для быстрого укрепления команды возможно нанимать специалистов из существующих региональных центров компетенций. МТС в Краснодаре, Сбербанк в Санкт-Петербурге и Новосибирске являют собой природную цель, благо, компенсации в региональных подразделениях крупных корпораций коррелируют с общим уровнем оплаты труда в регионе.

Многие руководители и акционеры компаний поменьше опасаются «развязать кадровую войну» с компаниями-гигантами (ТОП-30 экономики), но нужно понимать, что службы ИБ как непрофильные подразделения в лучшем случае находятся в конце ТОП-10 внутренних клиентов кадровых служб гигантов, и у них во многом связаны руки корпоративной бюрократией + много других задач, кроме как «воевать» или «мстить».

Иногда доходит до того, что гиганты забывают, что они уже создали SOC десяток лет назад. Без внимания руководства он успел деградировать, и теперь его строят заново. С точки зрения бизнеса это понятно – SOC для гиганта обычно лишь одно из сотен подразделений средней важности, не более того.

***

Построение продвинутого SOC (естественно, со способностью MDR) потребует существенных временных, финансовых и эмоциональных затрат со стороны руководства службы ИБ и кадровой службы организации. Личное мнение автора: высококлассный SOC самостоятельно смогут построить лишь организации ТОП-50 экономики. Другим придется привлечь внешние SOC для выполнения части подпроцессов – в первую очередь Мониторинга и Расследования, – взяв курс на создание сильной команды, хотя бы для качественного Реагирования.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

18.03.2024
Сколько денег тратят на маркетинг лидеры российского рынка инфобеза
18.03.2024
Microsoft закроет доступ к облачным сервисам для российских компаний
18.03.2024
От операторов связи потребовали ограничить продажу «симок»
18.03.2024
Жертва социнженеров пыталась поджечь отделение «Сбера»
18.03.2024
Системы МВФ были взломаны впервые за 13 лет
15.03.2024
ИИ поможет бизнесу выявлять брак и маркировать продукцию
15.03.2024
Минцифры поручено и дальше цифровизировать всё вокруг
15.03.2024
Стоит с настороженностью относиться к сообщениям о перевыпуске SIM-карты
15.03.2024
IDC: Больше всех на «облака» в этом году потратит Польша
14.03.2024
Вендоры хотят ограничить госкомпании в закупках зарубежного харда

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных