Hablando sobre cómo funciona el centro para monitorear y responder a los ataques cibernéticos (SOC) desde adentro hacia afuera, ya hemos hablado sobre los ingenieros de
primera y
segunda línea y sobre los
analistas . Luego mencionamos casualmente a los gerentes de servicio. Estos son empleados de SOC que son responsables ante el cliente por la calidad de los servicios prestados. Esta breve definición en realidad oculta lo siguiente: el gerente de servicio determina la implementación práctica del servicio en el sitio del cliente, debe estar listo en cualquier momento para responder la llamada del cliente o la notificación del ingeniero de monitoreo sobre un incidente crítico, reunir un equipo de respuesta o investigación e ir al sitio.
En su mayor parte, los gerentes de servicio de Solar JSOC son hombres mayores de 30 años que han
visto especies con diversa experiencia en seguridad de la información: desde el diseño de sistemas de seguridad de la información hasta los procesos de auditoría. Asegúrese de tener la habilidad de transferir de
aves a humanos, técnicas a negocios y viceversa.
Qué y a quién le debe el gerente de servicio
El gerente de servicio no requiere un conocimiento profundo de herramientas específicas de protección de información a nivel de un ingeniero operativo. Pero existe una perspectiva amplia en el campo de SPI y sus fabricantes, un conocimiento mínimo de protocolos de red y requisitos para objetos de información específicos como AWS KBR, etc. - requerido. Y como requisito obligatorio: un
conocido y arraigado
alias baobab que entiende que es necesario proteger, en primer lugar, no los hosts, sino los procesos comerciales. En teoría, todo el mundo lo sabe, pero en la práctica, no todos pueden seguir este principio.
¿Por qué tal conjunto de criterios? El administrador de servicios es una ventana única para el cliente. Junto con el analista forman un grupo que se comunica directamente con el cliente. Una especie de oficina principal en la forma tal como la imaginamos. Es el administrador de servicios el que determina cómo se resolverán las tareas del cliente a nivel de aplicación. Tales detalles, como regla, no se detallan en el contrato.
Es bueno si el cliente tiene una comprensión clara de lo que quiere obtener del servicio (en esta línea mis colegas sonrieron). En realidad, este fenómeno es casi tan raro como la lluvia de meteoritos. Y aquí simplemente no puede prescindir de una persona que proporciona el desarrollo de la seguridad de la información en el marco del proyecto. Para cada cliente específico, identifica datos y procesos críticos, así como los medios de su automatización; posibles puntos de compromiso a nivel de infraestructura y organización de interacción entre sistemas y personas. Y esto es solo en la etapa de lanzamiento del servicio. Y luego llegan los días de trabajo, durante los cuales el gerente de servicio constantemente mantiene el dedo en el pulso de la infraestructura del cliente. Es necesario recordar y tener en cuenta una serie de factores: el tipo de negocio, el equipo de red y SZI utilizados, el número y los tipos de subcontratistas, los niveles de acceso a información confidencial y mucho, mucho más.
Una pregunta perfectamente lógica: ¿por qué es tan difícil? Después de todo, puede conectar los sistemas del cliente a SOC como fuentes de información y detenerse aquí. Probablemente alguien lo haga, pero nuestra experiencia muestra que lo que es adecuado para un banco no es aplicable a una planta o una empresa de arrendamiento financiero. Sí, y dentro de los bancos no existe un enfoque idéntico para la seguridad, a pesar del hecho de que esta es una de las industrias más sobrerreguladas en nuestro país. Y en las fábricas, generalmente hay un horror silencioso: un grupo de protocolos patentados, un número prohibitivo de subcontratistas que se conectan remotamente a elementos de infraestructura (a menudo sin revelar este hecho al cliente). Y con todo este conocimiento es necesario trabajar.
Como se mencionó anteriormente, bajo cada contrato formamos un equipo de analistas y gerentes que están en primera línea. Los equipos no son permanentes y varían de cliente a cliente. Como regla general, un gerente de servicio atiende de tres a seis clientes, según el tamaño de su contrato y el nivel de madurez de IS. Y estas son tres o seis infraestructuras diferentes, varias
confesiones de enfoques para la seguridad de la información y otros "encantos" de la diversidad de especies. Para ser justos, vale la pena decir que tenemos varios clientes importantes a los que se les ha asignado un gerente de servicio personal que trabaja solo con ellos (pero esto no es más fácil para él).
Un enfoque individual para el cliente no son grandes palabras, sino una de las tareas en la prestación del servicio. Incluso diferentes compañías de la misma industria de infraestructura tienen diferentes enfoques de seguridad, políticas de IS y procesos de negocio que, sin importar cómo queremos unificar el servicio, en realidad este enfoque conducirá a malas palabras y menor protección al cliente (en otras palabras, será hacky) trabajo) Al mismo tiempo, aún es necesario encontrar un equilibrio entre los deseos del cliente, a menudo extraños, y la utilidad real de una u otra acción.
Por ejemplo, hay un segmento de invitado WiFi aislado sin acceso a recursos internos, pero el cliente desea que, si arreglamos el lanzamiento de la RAT (Herramienta de acceso remoto), recibirá una notificación con el máximo nivel de criticidad. Sin embargo, de hecho, al recibir dicha notificación, el cliente no hace nada, porque no tiene libros de jugadas y no tiene suficientes recursos para responder. Y la satisfacción de tales deseos aumenta la carga sobre los ingenieros de respuesta y no beneficia a ninguno de los participantes en el proceso. Como resultado, no obtenemos nada más que mayores "obligaciones socialistas", es decir. La alta respuesta a incidentes y el proceso de investigación no funciona.
O viceversa: el cliente, debido a algunas supersticiones oscuras, no quiere monitorear su sistema de facturación (que es el sistema comercial principal y, en general, CII). Y tenemos que explicar metódicamente, de hecho, con nuestros dedos por qué debemos proteger este segmento. Cada uno de nuestros SM tiene un montón de historias similares, y si las publicas, obtienes un buen libro como ese.
Y en el otro lado de la moneda están los procesos de Solar JSOC: monitoreo directo e identificación de incidentes, análisis, arquitectura, análisis forense, etc. etc. Toda esta empresa bastante grande y heterogénea trabaja para los clientes. Como en cualquier colectivo vivo, tiene sus propios vectores de desarrollo, preferencias y comunicaciones personales. Y esto no debería afectar la prestación del servicio. Este también es el dolor de cabeza de SM: es necesario redistribuir los recursos para resolver un problema, priorizar la implementación para que no afecte a otros clientes. Se obtiene una aburrida lección.
Dormir es para los débiles
A diferencia de la mayoría de los empleados de Solar JSOC, el gerente de servicio "trabaja las 24 horas": sin descansos para la noche, el día libre y el almuerzo. Todos los demás servicios tienen asistentes. Esto no significa que el administrador de servicios, como un esclavo de galera, esté confinado a la versión moderna de los remos: una mesa y una computadora. Es solo esa persona la que debe responder la llamada del cliente o nuestros servicios internos en cualquier momento del día o de la noche. A nuestro entender, el término "respuesta" oculta la siguiente secuencia de acciones (estamos a favor del enfoque del proceso): para reconocer la pregunta / problema, decidir acciones adicionales y conectar los servicios requeridos dentro de la empresa, verificando el resultado.
Los motivos de las llamadas pueden ser diferentes, divertidos y poco. La razón más común y "favorita" para los SM se lanza del lado de los forenses. Encuentran un nuevo exploit, lo evalúan en términos de posibles amenazas y lo lanzan a los administradores de servicios (como
fue recientemente con BlueKeep-2).
Y luego, ¡una discoteca! Cada uno de los SM, por si acaso, mira los expedientes de los clientes (aunque la mayoría recuerda la infraestructura de memoria), el jefe de estos maravillosos tipos genera un mensaje de alerta, que se envía a los clientes a través de todos los canales disponibles.
Con llamadas nocturnas, hay otra historia común. Al comienzo del contrato, el cliente a menudo solicita que los incidentes en una serie de escenarios de las personas responsables sean notificados por voz en cualquier momento del día o de la noche. En consecuencia, cuando se activa una alerta, el oficial de servicio de vigilancia despierta al SM y le brinda toda la información necesaria sobre el incidente. Luego, el SM despierta a la parte responsable y ya le transfiere la información. Incluso si el cliente tiene su propio servicio de respuesta, trabajando las 24 horas, esto no nos impide levantar a la persona responsable de la cama. Las llamadas se producen en paralelo con una notificación al cliente sobre el incidente. Como regla general, después de un par de meses, cuando el cliente está convencido de que el servicio es realmente ininterrumpido y lo paga en vano, se nos pide que detengamos dicha práctica.
Pero hay razones serias para no dormir por la noche. Estos incluyen claramente un ataque a la infraestructura del cliente. También ocurre una situación tan rara pero no excepcional: suena una llamada por la noche y piden ayuda en el sitio físico desde el teléfono. A lo largo de los años de la existencia del Solar JSOC, el esquema se ha implementado: "al ritmo del vals" se forma un equipo, en el que el SM actúa como coordinador y cae amigablemente al cliente. A veces sucede que conducimos ante las personas responsables que lanzaron esta cadena.
Registros - para los fuertes de espíritu
Además de una noche de insomnio en tales situaciones, hay otro gran inconveniente: todos los participantes en el proceso ya pueden dormir lo suficiente, y el gerente de servicio necesita escribir un informe preliminar sobre la situación que indique el momento de las acciones completadas, describa las acciones mismas y sus resultados. La presentación de informes no es un homenaje a las formalidades, sino un documento real, que luego se desmonta para identificar errores o, por el contrario, decisiones exitosas. Absolutamente toda la experiencia de todos los especialistas de Solar JSOC se tiene en cuenta, independientemente de la posición en la que trabajan.
En general, la presentación de informes es una parte integral del trabajo de un administrador de servicios. Hay muchos reportes. No, no asi. HAY MUCHO. Para todos los gustos y colores: desde las actas de las reuniones en las que se registra el desarrollo posterior del servicio hasta los informes periódicos a los clientes. Muy a menudo, los informes van acompañados de presentaciones para la alta gerencia, que quiere saber sobre el dinero gastado, pero no está listo para profundizar en el servicio en particular. En consecuencia, la presentación debe confirmar de manera inteligible que la cantidad gastada no es en vano y que el servicio es realmente útil. Y todo esto se hace absolutamente para todos los clientes por manos de hombres mayores de 30. Sí, hay un cierto nivel de automatización, pero aún no hemos aprendido cómo crear presentaciones en modo automático.
En general, un buen SM puede trabajar con cualquier audiencia: la lucidez es nuestro todoPero lo principal es diferente
Muy a menudo se puede escuchar que el gerente de servicio es una posición de tiro y un trabajo infernal sin posibilidad de desarrollo. Esta es una falacia muy fuerte. Uno de nuestros SM dice que "el resultado del trabajo siempre es visible, es decir, no se trabaja en el basurero, y esto siempre es genial".
Hablaremos sobre dónde se está desarrollando el gerente de servicio y cómo desarrollar un CISO completo a partir de él. Hasta ahora, solo: días laborables a través del ojo de la cerradura.
