Geekly articles weekly

شركة نفط الجنوب هي الناس: دورات إعادة تدريب جدي

لقد كنا نتحدث عن مهام الموارد البشرية ونماذج تطوير الموظفين في Solar JSOC لبعض الوقت الآن. من المؤكد أنك تمكنت من قراءة مقال حول كيفية وصول طالب في السنة الثالثة إلى مركز المراقبة والاستجابة ، أو كيف يمكن للمهندس أن يضخ تجربة للحركة العمودية في هيكل JSOC الشمسي (من السطر الأول إلى الثاني). ليس بعيدًا مواد عن التطور الرأسي الإضافي للمحللين وكيف يمكن لمدير الخدمة أن يتحول إلى CISO كاملة. ولكن الآن أود الحديث عن شيء آخر.

تبحث الأسماك دائمًا عن مكانها الأعمق ، والرجل - حيث يكون أفضل. يعكس هذا البيان المشترك بوضوح تطلعات الموظفين والمرشحين. فقط كلمة "أفضل" لكل منهم لها معناها الخاص. لا يتعلق الأمر دائمًا بأي حال من الأحوال بالظروف المالية أو الدرجات / التوت أو وقت السفر من المنزل إلى المكتب.

غالبًا ما يحدث أن الموظف قد سئم ببساطة من المهام الحالية ولا يسعى كثيرًا إلى "ضخ" الخبرة ، أي للقيام بنفس الشيء ، ولكن أعمق من إيجاد تحديات جديدة في الاتجاهات ذات الصلة. في مثل هذه الحالات ، نبذل قصارى جهدنا لمساعدته على اكتساب مهنة جديدة وعدم تلقي التطور "الرأسي" ، ولكن "الأفقي" داخل Solar JSOC. الصعوبة الوحيدة هي عدم تفويت هذه اللحظة ، وكذلك إعطاء الشخص كل "المعدات" اللازمة للتغلب على قمم جديدة.

فيما يلي عدد قليل من هذه الحالات سنحاول معرفة ذلك.



يد ساخنة ، قلب بارد


تبدأ حياة فريقنا بالسطر الأول. ولكن ، كما ذكرنا بالفعل عدة مرات ، فإن السطور الأولى خطان. يركز الأول على انتقاء السجلات ، وتحليل وتحليل الحوادث ، وتحويلها إلى تقارير تحليلية أو إيجابيات خاطئة.

هذا العمل عالي السرعة للغاية (يطرح خطنا الأول ما يقرب من 1500 شكوك حول حادثة في اليوم) ، ولكن في نفس الوقت يتم تصنيفه إلى حد ما. بادئ ذي بدء ، يتطلب المثابرة والتركيز والوضوح المستمر للعقل (وهذا هو على الأرجح أيضًا سبب جذب عمل المراقبة جنس الأنثى - في السطر الأول يوجد معظم الفتيات).

هناك العديد من الفروق الدقيقة هنا. أولاً ، بعد كل شيء ، فإن العمل مع السجلات واستعادة حادثة ما غالبًا ما يترك بعض الشعور بالزوال وعدم الاكتمال. هناك عملية ، ولكن لا توجد نتيجة يمكنك لمسها أو الشعور بها في متناول يدك. والرغبة في "الشعور" نتيجة عمل المرء في بعض الأحيان مهمة للغاية بالنسبة لحارس الأمن.

وثانيا ، كما ذكرنا من قبل ، فإن العمل الذي يحركه جيش تحرير السودان ما زال جاريا وبوتيرة عالية. إذا كانت الروح تتطلب القدرة على الخوض في مهمة هندسية معقدة ومدروسة ، فقد يكون ضغط الوقت المستمر مزعجًا.

قد لا يكون هذا واضحًا دائمًا حتى للموظف نفسه ، ولكن من الخارج بشكل ملحوظ بالعين المجردة ، خاصة إذا:

  • يقوم مهندس قوي بإجراء تحليل عالي الجودة والتحقيق في الحوادث ، ولكنه يفشل بانتظام في التوقيت المحدد من قبل جيش تحرير السودان ، خاصة بالنسبة لأقصر الحوادث.
  • بالتوازي مع المهام الرئيسية ، يتم جذب المهندس للعمل مع المهام الداخلية لتحسين كفاءة البنية التحتية أو يبدأ في كتابة النصوص على الركبة لأتمتة مهام عمله.

حسنًا ، بشكل عام ، بدءًا من بداية المقابلة ، نولي اهتمامًا لطريقة تفكيره وما الذي يدفع زميله المستقبلي - سواء كان مستعدًا للعمل وفقًا للخوارزمية واتباع التعليمات بوضوح ، أو يفضل إجراء بعض البحث المجاني والبحث المستقل.

إذا أصبحت تفاصيل عمل المراقبة مشكلة لشخص ما ، فهذا لا يعني أنه بحاجة للذهاب للبحث عن مكان جديد. بالنسبة لنا ، هذه إشارة إلى أنه بعد اجتياز حريق وماء المراقبة ، يمكنه أن يجرب نفسه في الأنابيب النحاسية للإدارة ويتبنى سياسات الإدارة المباشرة و "الالتواء" لمجموعة متنوعة من قطع الحديد والمعدات الأمنية وأنظمة أمن المعلومات. ومثل "انتقالات النقل" ليست استثناءً للقاعدة بالنسبة لنا أو شيء غير مطور.

كيف يعمل؟ لحسن الحظ ، على الرغم من الاختلاف في عمل الفرق ، فإن الخطين الأولين لهما أساس مماثل فيما يتعلق بتقنيات الشبكة. بالإضافة إلى ذلك ، بالنسبة لمراقبة المهندسين ، تكون وظائف وقدرات أدوات الأمان شفافة تمامًا - فهم يعملون مع سجلاتهم على أساس يومي. لذلك ، يكفي عادةً أن يقوم المهندس بضخ ثلاث مهارات للترجمة:

  • لدراسة وظائف وواجهات أدوات الأمان تلك التي سيتعين عليك العمل عليها بشكل يومي (مضادات الفيروسات ، البروكسيات ، الجدران النارية ، الشبكات الافتراضية الخاصة).
  • لتعزيز المهارات في إدارة معدات الشبكة بمساعدة معدات المختبر الداخلية والخارجية من أجل الحصول على يد في الإدارة ، بما في ذلك في تخطيط العمل.
  • تعرف على كيفية تشخيص المشكلات وإخفاقات معدات الحماية من خلال تحليل عشرات الحالات العملية من قاعدة معارفنا.

وشيء آخر: العبارة عن القلب البارد في عنوان الفقرة لم يتم اعتبارها مزحة. لا يتسامح العمل مع أنظمة حرجة عالية التحمل والاضطراب العاطفي "والآن سأفعل كل شيء بطريقة سريعة!" هذه إجراءات متوازنة وعقلانية للغاية مع تقييم العواقب المحتملة ، وتطوير إجراءات تطبيق التغيير (RFC) وتخطيط النافذة التكنولوجية.

مثل هذه التفاصيل للنشاط ، والجو في الفريق ، يترك بصمة على عقلية مقاتلي الخط الأول من الإدارة ، مما يجبرهم على التفكير كل دقيقة في عواقب العمل الذي يتم تنفيذه ، والتغييرات التي يجري إجراؤها وحقيقة أنه من المستحيل وضعها في صندوق الأنظمة والتوصيفات الوظيفية.

لا يجب على عالم الرياضيات التفكير ، يجب على عالم الرياضيات التفكير


هناك سيناريو عكسي ، عندما تتعب أيدي المتخصص في مرحلة ما الأجهزة والمعدات ووسائل الحماية ، ولكن لا توجد رغبة في التحرك نحو الإدارة أو إدارة الأشخاص. في مثل هذه اللحظات ، عادة ما ترغب في إلقاء نظرة على نظام أمان العميل قليلاً من الخارج ، والبدء في استخدام ناقلات التهديد ، وسيناريوهات التعرف عليها والاستجابة لها ، والنظر في البنية التحتية على نطاق أوسع قليلاً ، على سبيل المثال لا الحصر نطاق أدوات الحماية والأنظمة ذات الصلة. وهذا غالبًا ما يدفع الشخص إلى التحرك نحو تحليلات الحوادث والعمل مع السيناريوهات لتحديدها.

عملائنا هم مساعدة قوية للغاية في تشكيل مثل هذه ناقلات حركة المتخصصين. على وجه الخصوص ، تلك التي نحل لها مهام إدارة الأمن من البداية إلى النهاية ، أي أننا نشارك ليس فقط في رصد وتحليل الحوادث ، ولكن أيضًا إدارة أدوات الأمان.

كيف يؤثر العملاء على عمليات التوظيف الداخلية لدينا؟ أساسا لسببين:

  • منصة SIEM نفسها ، بالإضافة إلى اكتشاف الحوادث ، هي أداة جيدة جدًا لإدارة السجلات والتحليلات الخلفية. يمكن تنفيذ جزء من المهام المرتبطة بالعملية - تشخيص سبب الحمل على القناة ، وتحديد قائمة العناوين الخارجية المستخدمة في التطبيق ، واستعادة سلسلة التغييرات في السياسات والتكوينات - بشكل أسرع وأكثر كفاءة في SIEM. لذلك ، يمكن لجميع المهندسين ، بدءًا من الخط الأول للإدارة ، الوصول إلى قراءة سجلات أنظمة العملاء. وبسرعة كافية ، يقود هذا عقلًا متسائلًا إلى الرغبة في إنشاء أتمتة صغيرة لنفسها ، ونماذج التقارير ، وما إلى ذلك. وبالتالي ، يشارك المهندس في منطقة مجاورة ويجدها أحيانًا أكثر إثارة للاهتمام.
  • الجزء الثاني ، الذي لا يقل أهمية في حياتنا ، هو التحقيق في الحوادث غير النمطية أو الرد على الهجمات المعقدة. في هذه الحالة ، خاصة إذا استمرت النتيجة لدقائق ، فإن الجميع يفعلون كل شيء ، ويشارك المشرفون أيضًا في العصف الذهني في طريقة التحليل ، والتصدي ، وإزالة عواقب الهجوم. إن تحفيز الدماغ على التحليلات والبحث عن الاتصالات الضمنية يبلوران بسرعة لدى الموظف وعيًا براحة وفتنة هذه المهام.

كيف يتحرك الموظفون على طول هذا النقل؟ عادة ، يتم التدريب والترجمة في ثلاثة مجالات:

  • خبرة في تحليل السجل والتحقيق في الحوادث. بالطبع ، تساعد الأمثلة المعملية كثيرًا ، لكن حياة مزود MDR تطرح حالات جديدة مثيرة للاهتمام على أساس أسبوعي ، يمكنك من خلالها اختبار مهاراتك وضخها. علاوة على ذلك ، كما قلت من قبل ، فإن الخبراء الإداريين لديهم أيضًا خبرة أساسية في السجلات.
  • العمل مع SIEM لإنشاء محتوى أو تكييفه. لا يتم إعطاء لغة "الطيور" لكتابة قواعد الارتباط في SIEMs مختلفة للأطفال على الفور. ولكن مرة أخرى ، فإن التجربة مع السجلات وبناء التقارير الأساسية تقصر هذا المسار بشكل كبير.
  • حسنًا ، لطالما كانت مهارات نشر النظام الأساسي والاتصال وتكوين المصادر لأي مسؤول مألوفة. منتج واحد فقط في المحفظة.

تؤدي مثل هذه التحولات إلى محللين أقوياء للغاية ، لأن خبرتهم القتالية في العمل مع معدات الحماية تساعدهم بشكل كبير في تفسير المجلات وفي وضع توصيات أكثر تحديدًا وواقعية للاستجابة وإزالة عواقب الهجوم.

لن تكون هناك فرصة ثانية لترك انطباع أول


قصة منفصلة تمامًا في عمل Solar JSOC هي أنشطة دعم المبيعات ، وخاصة المشاريع التجريبية. يجب أن يكون المشروع التجريبي الجودة الجوهرية للخدمة المقدمة:

  • دائمًا ما يكون الوقت التجريبي ضيقًا ومحدودًا ، وبالتالي ، يجب أن تكون سرعة العمل على ربط الخدمات من كل من العميل وخدماتنا كحد أقصى.
  • يجب على الطيار أن يُظهر قدراتنا وعملياتنا إلى أقصى حد حتى يتمكن العميل من تقييم مدى انطباق خدماتنا على أنفسهم بموضوعية وبدون تجميل قدر الإمكان (وإلا ، في مرحلة تقديم الخدمة ، يمكن أن تنشأ الكثير من المشاكل على كلا الجانبين).
  • في وقت قصير وعلى نطاق تجريبي محدود ، يجب علينا "حفر" عدد من الحوادث ونقاط الضعف في البنية التحتية التي ستوضح للأعمال الفوائد الفعلية للخدمة.

تتطلب مثل هذه المشاريع محلل ما قبل البيع مسؤول عنها مع مجموعة من الصفات غير العادية للغاية: من ناحية ، النظامية من أجل إدارة الموارد والمواعيد النهائية بشكل صحيح ، وفي الوقت نفسه بعض التهور والعطش للإنجاز ، للقيام بذلك من وقت لآخر قبل التوقعات . من ناحية ، يتطلب عرض فوائد الخدمة انغماسًا كبيرًا في الخدمة والخبرة في دعم المبيعات. من ناحية أخرى ، يتطلب التنقيب عن الحوادث خبرة ملحوظة في مجال أمن المعلومات في التعامل مع السجلات ، ومجرد ميل للاختناقات المحتملة في نظام حماية العميل.

وقد قادتنا إحدى الحالات إلى طريقة محتملة لرعاية واختيار هؤلاء الموظفين. لقد كنا مقتنعين تمامًا بأنه بدون الفهم التقني لـ SOC ، والخبرة مع السجلات و SIEM ، فإن المهارات السابقة في حالتنا لا معنى لها إلى حد ما. ولكن بمجرد أن وضع أحد المرشحين الوضع برمته على رأسه.

لقد تلقى تدريباً جيداً في العرض المسبق - كما قال أحد المحاورين ، "لم أكن بحاجة إليها على الإطلاق ، لكنني اشتريتها تقريباً". لقد "أحرق" عمله حقًا ، وكان مليئًا بالرغبة في النمو والتطور. ولكن ، لسوء الحظ ، كانت معرفته التقنية بعيدة للغاية عن موضوع SIEM والأنظمة الفرعية الأخرى لـ SOC.

ومع ذلك ، وبإرادة خدمة الموارد البشرية ، جاء المرشح للعمل معنا وبدأ بالانضمام إلى الفريق. وبشكل غير متوقع ، أصبح من الواضح أن الرغبة في النمو والتطور بالاقتران مع البيئة المناسبة ، عندما يتم استيعاب عمليات ومهام شركة نفط الجنوب في غرفة التدخين ، في الغداء ، وببساطة في المناوبات في المكتب ، تعطي نتيجة جيدة. حرفيا في شهر ونصف ، سيطر بالفعل على المشروع التجريبي الأول ، ليس فقط كمدير ومراقب للوقت ، ولكن مع تنفيذ تقني مستقل للمهام. الآن ينفذ بنجاح الطيارين من أي فئة من التعقيد بالفعل في دور مدرب اللعب.

ونتيجة لذلك ، وجدنا نهجًا ذا وجهين لمهمة غير قياسية للغاية تتمثل في زيادة عدد الموظفين مثل تحليلات ما قبل البيع لخدمات Solar JSOC:

  • "تلقيح" فريق ما قبل البيع بالمعرفة التقنية وروح الحياة في عمليات الأمن السيبراني ،
  • البحث بين التقنيين لأولئك الأشخاص الذين يرغبون في الانتقال من المتخصصين الفنيين إلى دور أقرب إلى الاتجاه التجاري.

كلا النهجين مفيدان وواعدان ليس فقط بالنسبة لنا ، كفريق متنامٍ من مركز المراقبة ، ولكن أيضًا للموظفين الذين يتلقون خيارًا آخر للتطوير الوظيفي.

بالطبع ، هذه ليست كل الخيارات لنقل الموظفين داخل Solar JSOC. كانت هناك حالات عندما سئم مهندس المجموعة الإدارية من التواصل المستمر مع العميل ولديه الرغبة في التركيز على تشغيل شيء "خاص به" ، تم نقله إلى المهندسين المعماريين لبنيتنا التحتية JSOC. أيقظ مهندسو الخط الأول في بعض الأحيان شغفهم بالتحليل على مستوى منخفض والعمل مع Assembler (العلامات الأولى للمبتدئين في الطب الشرعي). انتقل المقاتلون ذوو الخبرة من الخطين الأول والثاني ، الذين سئموا الهندسة ، تدريجياً إلى مهام مدير الخدمة والتواصل مع العميل ، أو أصبحوا قادة الفرق المحلية.

كما ذكرنا سابقًا في المقالة الأولى من الدورة ، فإن الشيء الرئيسي في الشخص ليس "طلاقة الإصبع" أو "الاحتراق" في البحث عن السعادة اللحظية ، ولكن التركيز على تنمية المرء ، والقدرة على البحث عن آفاق جديدة والعثور عليها. علاوة على ذلك ، تتمثل مهمتنا في عدم تفويت اللحظة التي يحتاج فيها هذا الشخص الداخلي والأساسي لهذا الشخص إلى الفهم والوصول إلى قاع نوع من النشاط غير الشخصي تمامًا سيسود على الحاجة إلى حل مهام العمليات الحالية.

في هذه اللحظة ، من المهم إعطاء الشخص الفرصة لاتخاذ الخطوة التالية ، لتقديم خيارات تسمح له بفعل ما تكمن فيه الروح حقًا. وفي أي اتجاه لا يكون الأمر مهمًا جدًا: هناك عدد قليل من الأهداف الساطعة ، وهناك دائمًا ما يكفي من المهام في شركة كبيرة.

Source: https://habr.com/ru/post/ar412521/

More articles:


All Articles