SOC: кадры решают все

Состав персонала SOC разнообразен и определяется выполняемыми функциями и его местом в организации. Например, в данный момент мы принимаем участие в строительстве SOC в крупном банке и в промышленной компании. В первом случае в SOC также переданы задачи отслеживания фрода, а во втором – мониторинг технической и физической безопасности. Для решения таких задач дополнительно нужна целая команда узких специалистов. Но как обеспечить выполнение основных функций SOC: сбор и анализ данных от ИT-систем и пользователей, расследование и реагирование на инциденты ИБ и оперативное информирование всех заинтересованных сторон? Как сформировать и поддерживать соответствующий штат?

Кого искать?

Ключевой принцип подбора персонала для SOC – "качество важнее количества". Главная задача в том, чтобы на ключевых позициях были профессионалы высочайшего уровня. Это тот случай, когда лучше нанять одну "звезду", чем двух рядовых аналитиков (особенно в начале создания SOC).

Помимо прочего SOC должен оперативно обрабатывать заявки и звонки пользователей, сообщения от различных подразделений компании, информацию из внешних источников и т.д. Для этого необходимы время и группа 1-й линии, которая обеспечит разбор входящей информации и выделение в общем потоке данных, свидетельствующих об инциденте ИБ. Специалисты 1-й линии не производят глубокий анализ инцидентов, их основная задача – оперативно обработать входящую информацию и принять решения по реагированию на типовые угрозы. Если обработка инцидента занимает более нескольких минут, инцидент передается на 2-ю линию SOC. Эскалации также подлежат все инциденты с высоким уровнем критичности.

Задержка между получением данных 1-й линией и эскалацией не должна превышать строго определенное время. Сотрудники 2-й линии должны обладать более глубокими экспертными компетенциями. Они могут расследовать инцидент от нескольких минут до недель, собирая детальные данные, привлекая экспертов, восстанавливая последовательность действий и готовя рекомендации по ликвидации последствий инцидента, внедрению контрмер и т.д. Формально относящиеся к делу сотрудники 2-й линии сделают неэффективным весь SOC. Здесь нужны настоящие энтузиасты своего дела (для которых ИБ больше, чем просто работа), обладающие практическим опытом в обеспечении ИБ.

Повышает качество работы SOC, мотивацию и профессиональный уровень персонала и кадровая ротация внутри SOC: специалисты 2-й линии должны часть времени работать в 1-й, а специалисты 1-й линии – привлекаться к расследованию части инцидентов. При этом специалисты 2-й линии (или отдельная команда) должны совершенствовать метрики, используемые специалистами 1-й линии при обработке и эскалации инцидентов, а также анализировать нетипичную и аномальную активность.

Не каждый SOC может позволить себе две линии, но такое разделение позволяет наиболее эффективно использовать знания и таланты персонала. Помимо аналитиков 1-й и 2-й линии в состав SOC часто входят управленцы и администраторы используемых систем ИБ. Хотя администрирование может осуществляться и другим подразделением или частично самими специалистами SOC, имеющими достаточные компетенции.

Где искать?

Идеально – найти специалистов с опытом работы в SOC. Однако рынок предлагает исключительно малое число экспертов, уже работавших в российском, а тем более в западном или азиатском SOC. Хорошо, если такие профессионалы войдут в ядро команды, однако большую часть сотрудников, скорее всего, придется набирать из смежных областей.

Костяк команды лучше сформировать как можно раньше, чтобы он поучаствовал во внедрении систем и отладке процессов. Стоит привлечь к работе в SOC и часть сотрудников компании, знающих особенности ее ИT-инфраструктуры, ИБ-систем и бизнес-процессов. Полезный для сотрудников SOC бэкграунд включает опыт администрирования ИT- и ИБ-систем, навыки практической безопасности (особенно пентестов), умение программировать на одном или нескольких языках. Последний навык кажется избыточным, но на практике он крайне полезен при разборе инцидентов (глубокое понимание работы систем) и при автоматизации рутинных задач, которых в SOC хватает.

В 1-ю линию зачастую попадают молодые специалисты с начальным уровнем знаний. Не каждая компания может позволить себе обучать вчерашних студентов без опыта работы, однако даже небольшого опыта администрирования, как правило, хватает. Из-за разнообразия и интенсивности задач специалисты 1-й линии стремительно набирают опыт. Уже через пару лет многие профессионально готовы к переводу во 2-ю линию. И, учитывая сложности поиска хороших аналитиков для 2-й линии, этим источником не стоит пренебрегать.

Дополнительные скиллы

Иногда на SOC возлагаются задачи, требующие узкопрофильных специалистов. К примеру, опытный пентестер для SOC, в который передан процесс управлениями уязвимостями, – действительно ценное приобретение. Специалиста, осуществляющего периодическое сканирование сети на уязвимости и анализирующего результаты, найти сравнительно просто, а полноценного пен-тестера гораздо сложнее. Пен-тестер пригодится и в процессе расследования инцидента и имитации атак.

В ряде случаев в SOC выделяются специалисты по анализу вредоносного кода и анализу дампов памяти. Особенно это актуально для банков, традиционных жертв APT-атак. Или, скажем, при расследовании инцидента в системе ДБО крайне важно понимать логику ее работы. Но для этого проще привлечь сотрудника из другого подразделения. Однако согласовать это нужно заранее, т.к. процесс расследования должен быть максимально оперативным, и времени искать нужного специалиста не будет. Можно рассмотреть и вариант аутсорсинга для отдельных задач.

Режим работы

Важная тема – режим работы SOC. Идеальный вариант – работа 24х7 в полную мощность. Многие атаки осуществляются ночью. Поэтому при работе в режиме 8х5 полноценная реакция последует только к обеду следующего рабочего дня, когда аналитики разгребут завал данных за ночь (или выходные) и разберутся в ситуации.

Наш опыт показывает, что затраты на режим 24х7 могут оказаться неподъемными. В сменах работают живые люди, им необходимы выходные и отпуск. Работа в SOC требует внимания и быстрой реакции, поэтому превышение 8-часового порога нежелательно. Получается, что только на 1-ю линию необходимо минимум 5 человек на полную ставку (а ведь желательно, чтобы аналитики еще и страховали и перепроверяли друг друга, передавали дела между сменами – тут получаем все 8 человек). Поэтому зачастую формируют промежуточные варианты. Например, 12х5 с двумя пересекающимися сменами по 8 часов в будни и в выходные. Аналитики 2-й линии могут работать при этом в режиме 8х5. На ночь консоль SIEM можно выводить дежурной ИT-смене, чтобы они отслеживали самые критичные ситуации. На практике очень сложно найти аналитиков 2-й линии, готовых работать в ночное время. С 1-й линией в этом вопросе обычно проще. Оценивая расходы на тот или иной режим работы SOC и актуальные ИБ-риски организации, можно выбрать наиболее оптимальную конфигурацию для каждого случая.

Учить или не учить?

Обучение сотрудников, посвященное техническим средствам, используемым в SOC, – неплохая идея. Оно не сделает из них экспертов, однако позволит быстро сориентироваться в сложных продуктах (типа SIEM или сканера безопасности). Обучение могут провести интегратор или консультанты, участвующие во внедрении системы. Оно может включать не только технические моменты, но и процедуры, индивидуальные для конкретного SOC. Все новые сотрудники SOC должны обязательно проходить тренинги, знакомящие их с обязанностями, регламентами и техникой. В противном случае есть риск однажды обнаружить, что 1-я линия, к примеру, уже 6 месяцев пропускает критичные инциденты. Сбор и распространение внутри команды информации о новых угрозах и трендах в ИБ должны быть непрерывным процессом. Важный компонент – обмен опытом внутри команды, в том числе в рамках ротаций.