Geekly articles weekly

خيمياء الموظفين: ما هو التكوين الأمثل لفريق مركز GosSOPKA؟

صورة

هذه المقالة مفيدة لأولئك الذين يعملون في شركة معترف بها كموضوع للبنية التحتية للمعلومات الهامة (CII) ، مما يعني أنها ملزمة بالوفاء بمتطلبات الرقم 187-FZ وبناء مركز خدمة الدولة للحماية والشهادات الاجتماعية (نظام حكومي للكشف عن ومنع آثار هجمات الكمبيوتر) التي تلبي متطلبات خدمة الأمن الفيدرالية لروسيا .

في مقال سابق ، تطرقنا إلى أساسيات هذا الموضوع وتحدثنا عن متطلبات FSB للمعدات الفنية التي يجب استخدامها في مركز خدمة الضمان الاجتماعي والشهادات الحكومية. ومع ذلك ، لا تنطبق هذه المتطلبات (لأول مرة تقريبًا) على وسائل الحماية التقنية فحسب ، بل تنطبق أيضًا على تنفيذ عمليات محددة لرصد حوادث IS والاستجابة لها والتحقيق فيها. لذلك ، اليوم سنتحدث عن الموارد البشرية التي ستحتاجها لضمان كل هذه العمليات.

أولاً ، بضع كلمات حول سبب إعطائنا النصائح حول هذا الموضوع. في الجوهر ، مركز GosSOPKA هو مركز داخلي صغير لرصد الهجمات الإلكترونية والرد عليها
(مركز العمليات الأمنية) ، مع مهام ومسؤوليات إضافية فقط. إن الممارسة التي دامت سبع سنوات وهي تقديم مثل هذه الخدمات ، أكثر من مائة من أكبر الشركات الخاضعة للحماية ، فضلاً عن تجربة إنشاء مراكز GosSOPKA للعملاء ، ساعدتنا في الوقت المناسب على إيجاد حل عميق لقضايا الموظفين "الكيمياء". وبطبيعة الحال ، على طول الطريق بحثنا بانتظام عن خيارات لتحسين تكاليف الموظفين مع الحفاظ على المستوى العالي المطلوب من الخدمة.

على وجه الخصوص ، يجب أن يكون الفريق قادرًا على الصمود في وجه اتفاقية مستوى الخدمة (SLA) الصعبة إلى حد ما: لا يتوفر للمتخصصين في Solar JSOC سوى 10 دقائق لاكتشاف الهجوم و 30 دقيقة فقط للرد والحماية. في الوقت نفسه ، تسمح لنا معايير الموظفين التي طورناها بتوسيع نطاق الفريق اعتمادًا على الحجم الفعلي للحوادث التي تقع على العميل (وصدقوني ، إنها لا تتناقص من عام إلى آخر).

في هذه المادة ، قمنا بتلخيص إنجازاتنا وقدمنا الحد الأدنى من التكوين للهيكل التنظيمي والتوظيف في SOC ، والتي سوف تكون قادرة على أداء جميع الوظائف الضرورية لمركز GosSOPKA والامتثال للتوصيات التنظيمية للهيئة التنظيمية.

الخط الأول


كما تبين الممارسة ، تتطلب الحماية في هذا الخط 7 متخصصين على الأقل - بالنظر إلى حقيقة أن معظمهم يعملون في نوبات ، مما يوفر وضع 24 × 7. هؤلاء هم ، على وجه الخصوص ، أخصائيو المراقبة - يجب أن يكون هناك 6 أشخاص على الأقل. في هذه الحالة ، لا تقوم فقط بممارسة التحكم على مدار الساعة في أنظمة المؤسسة ، ولكن يمكنك أيضًا تقديم معلومات حول حوادث الكمبيوتر إلى جهاز FSB في موعد لا يتجاوز 24 ساعة وفقًا للطلب رقم 367 المؤرخ 24 يوليو 2018.

في حالة متخصصي الخدمة في SZI GosSOPKA ، هناك خيارات مختلفة ممكنة.

الأول هو أن موضوع KII له بنية واسعة النطاق ، وأنه مطلوب لضمان التوافر المستمر للخدمات الهامة ، وبسبب إيقاف / عدم إمكانية الوصول / تعطيل عمل محطة الفضاء الدولية ، ستتكبد المنظمة خسائر مالية و / أو خسائر في السمعة ، وفي الوقت نفسه هناك خطر كبير من ضرر بالبيئة والأشخاص. في هذه الحالة ، تحتاج إلى توظيف 6 أشخاص سيوفرون العمل بنظام النوبة 24 × 7.

خيار آخر: يحتوي الموضوع على نفس البنية واسعة النطاق والخدمات الهامة التي تتطلب توفرًا مستمرًا ، في حين يتم تنفيذ جميع عمليات المعدات باستخدام خدمات تكنولوجيا المعلومات ، وقسم أمن المعلومات يحدد قواعد التشغيل ويرصد تنفيذها. في هذه الحالة ، يمكنك قصر نفسك على ثلاثة أخصائيين يعملون في الوضع 12/7 وإمكانية إجراء مكالمات ليلية إذا لزم الأمر.

إذا كان موضوع وكالة الحماية الاجتماعية الحكومية لا يعتبر أن خطر انتهاك توفر كائنات KII لمدة تزيد عن 18 ساعة أمر بالغ الأهمية ، فمن الممكن الحفاظ على معدات الحماية بمساعدة اختصاصي واحد في وضع 8x5.

متخصص

الواجبات

متطلبات التأهيل

نظام الحكم

عد

أخصائي الرصد


  • معالجة الحوادث النموذجية من HelpDesk أو IRP أو SIEM أو من المستخدمين.
  • تقارير نموذجية عن نتائج المراجعة.
  • مراقبة حالة المصادر.
  • الشيكات بأثر رجعي (عند استلام مؤشرات جديدة للتسوية).

  • إدارة النظام (Linux / Mac / Windows).
  • معرفة مختلف SZI.
  • معرفة نموذج OSI.
  • معرفة مبادئ حماية البريد الإلكتروني ومراقبة الشبكة والاستجابة للحوادث.
  • تجربة تجميع وتحليل سجلات من مجموعة متنوعة من SIS غير المتجانسة.

24/7

6

أخصائي الخدمة


  • رصد وتشخيص مشاكل معدات التشغيل والبرامج.
  • الصيانة الروتينية المجدولة لـ SZI.
  • خدمة غير مجدولة من SZI.
  • صيانة البنية التحتية الداخلية للمركز
  • استجابة سريعة في حال وجود إيجابيات كاذبة إيجابية متعددة.

  • إدارة النظام (Linux / Mac / Windows).
  • معرفة مختلف SZI.

24/7

6

12x7 + دعوة ليلا

3


8X5


1



من المهم أن نفهم أنه على الرغم من الحجم الأصغر بكثير للحوادث في الليل ، فإن الأحداث الأكثر أهمية والحرجة تحدث فقط في الليل وبحلول الوقت الذي يبدأ فيه التحول الصباحي ، فإنها تفقد أهميتها بالفعل. ومع ذلك ، فإن محاذاة وضع التشغيل 24 × 7 هو الذي يسبب صعوبات لمعظم شركات نفط الجنوب: لن يرغب كل متخصص في العمل في نوبات. سيتم تحفيز موظف نادر على العمل الجيد لفترة طويلة ، خاصة إذا كان هناك عدد قليل من الحوادث في البنية التحتية الخاصة بك. كل هذا يعني أنه سيتعين عليك حل مشكلات دوران الموظفين بشكل منتظم ، واختيار المتدربين الجدد وتدريبهم باستمرار.

السطر الثاني


في هذه المرحلة ، كقاعدة عامة ، لا يمكن للمرء الاستغناء عن مساعدة مقاول ذي خبرة - إلا إذا كنت بالطبع تحسب المال ولا تنوي أن تتحول إلى شركة IB متكاملة الخدمات. في الواقع ، بالإضافة إلى المتخصصين في القضاء على عواقب حوادث الكمبيوتر وتقييم الأمن ، فإن السطر الثاني يتضمن وظائف محددة إلى حد ما. إنهم متخصصون باهظ التكلفة للغاية لا تحتاجون إلى العمل بدوام كامل ، لكن من دونه من غير المحتمل أن تتمكن شركة نفط الجنوب من الحصول على لقب فخور بمركز SOSOPKA - خبراء الأسنان ، خبراء الطب الشرعي ، خبراء تحليل الشفرات. نتيجة لذلك ، فإن الحد الأدنى لعدد الموظفين في السطر الثاني هو 3-4 موظفين ، وهذا يتوقف على مستوى المهام.

من بينهم متخصصون في الاستجابة لحوادث الكمبيوتر ، وموظفو الخط الأول المتمرسون الذين يعرفون كيفية التعامل مع الحوادث غير المعتادة وتقديم مساعدة الخط الأول في حالة وجود صعوبات.

يلتزم مركز GosSOPKA بإجراء تقييم منتظم لأمن موارد المعلومات في مجال مسؤوليته ، لكن ليس كل مؤسسة تستطيع تحمل تكاليف فريقها الخاص من المخدّرين ، مما يبقي الزملاء في نغمة ثابتة. علاوة على ذلك ، وفقًا للتوصيات المنهجية ، يجب إجراء اختبار الاختراق مرتين في السنة - خارجيًا وداخليًا. تم إغلاق هذه المشكلة بنجاح كبير من قبل مقاول خارجي ذي خبرة ، يعمل اختصاصيوه مع العديد من العملاء المختلفين ، مما يعني أنهم يقومون بتحسين مهاراتهم بانتظام في ظروف "القتال".

في الولاية ، نوصيك بأن تترك واحدًا فقط متخصصًا في تقييم الأمان ، وستكون مسؤولياته الرئيسية هي جرد لموارد المعلومات ، وملء قاعدة بيانات CMDB وتحديثها ، والعمل مع ماسح ضوئي للأمان ومعالجة الثغرات الأمنية وإدارة مراقبة التصحيح.

أيضًا ، إذا كان تنفيذ دورة حياة تطوير البرامج الآمنة مناسبًا لموضوع KII ، فيمكن استخدام التحليل الثابت والديناميكي للكود المصدري لتحديد نقاط الضعف. في الوقت نفسه ، لا يلزم وجود أحد متخصصي التطبيقات إلا في عدد محدود جدًا من الحالات لـ KII - من المنطقي جذب الخبرة الخارجية هنا.

بالإضافة إلى ذلك ، لدى شركة SOC الناضجة متخصصون في تحديد أسباب حوادث الكمبيوتر. وكقاعدة عامة ، يعد هذا أيضًا فريقًا كاملًا من المهندسين ، وهو مطلوب فقط عدة مرات في السنة ، ونحن نوصي بعدم تحمل عبء محتوياتها ، ولكن إبرام اتفاقيات مع شركات تعمل في مجال الطب الشرعي على أساس مستمر.

متخصص


الواجبات


متطلبات التأهيل


نظام الحكم


عد


أخصائي التصوير المقطعي


  • الاستجابة للحوادث المعقدة.
  • رصد تفاعل SZI مع SIEM.
  • تحليل الأنشطة غير الطبيعية لتحديد الحوادث.
  • التحقيقات في هجمات DDoS.
  • استجابة سريعة في حال وجود إيجابيات كاذبة إيجابية متعددة.

كما في السطر الأول ، بالإضافة إلى:


  • معرفة لغات البرمجة النصية (بيثون ، باش ، بوويرشيل).
  • الوعي بإدارة نقاط الضعف وأرقام CVE.
  • إدارة السجل وإدارة التصحيح في نظامي التشغيل Windows و Linux.
  • شهادات أو المعرفة الامتثال CISSP / CEH.
  • اهتمام خاص بأنظمة SIEM

8x5 مع مكالمة ليلية / نهاية الأسبوع


2


12x7 + دعوة ليلا


3


مقيم الأمن


  • المسح بحثًا عن نقاط الضعف والامتثال.
  • تكوين ملفات تعريف المسح الضوئي.
  • تحليل الثغرات الأمنية بناءً على تقارير الماسح الضوئي الأمني.
  • ملء قاعدة CMDB.

العمل مع أدوات المخزون ، والضوابط الأمنية


8X5


1


DevSecOps- / QA متخصص

تحليل ثابت وديناميكي للشفرة المصدرية للبرنامج

بناء appsec CI / CD ، العمل مع أجهزة تحليل الشفرات الثابتة والديناميكية ، Fuzzing

قام بمقاولة فرعية


Pentesters / Redteam


  • اختبارات الاختراق.
  • تطوير IoC على أساس البحث.

  • إجراء الآفات الداخلية والخارجية لجميع مراحل killchain.
  • امتلاك أدوات للكشف عن الثغرات واستغلالها.
  • معرفات / IPS الالتفافية ، الخ
  • ملكية OSINT.
  • باش ، باورشيل ، بيثون.
  • معرفة طرق الاختبار.

قام بمقاولة فرعية


معرف سبب الكمبيوتر


  • الهندسة العكسية لعينات البرامج الضارة.
  • الطب الشرعي من مقالب حركة مرور الشبكة ، RAM ، لقطات القرص.
  • الطب الشرعي القائم على المضيف.

  • التحقيق في الحوادث.
  • جمع وتحليل الأدلة ، والتفاعل مع وكالات إنفاذ القانون (العمل مع أنظمة الطب الشرعي ، والهندسة العكسية ، وما إلى ذلك)

قام بمقاولة فرعية


الخط الثالث


يجب أن يتراكم حل المهام الاستراتيجية الرئيسية والإدارة العليا ، والتي يتم تنفيذها من خلال السطر الثالث ، من جانبها. الحد الأدنى لتكوين هذه الوحدة هو 5 متخصصين.

هؤلاء هم ، على وجه الخصوص ، خبراء تقنيون - مهندسون متخصصون ، مسؤولون عن مجال خبرتهم. ينبغي أن يضم موظفو المراكز الكبيرة متخصصين في جميع المجالات الضرورية (WAF ، الاتحاد الدولي للاتصالات ، IDS / IPS ، CIP ، إلخ). سنقتصر على اثنين من الخبراء التقنيين الذين يجب أن يقدموا الدعم المتخصص للمتخصصين في الخطين الأول والثاني.

أخصائي المنهجيات (IS Audit) ، وهو خبير في مجال القوانين القانونية التنظيمية ومتطلبات الهيئات التنظيمية (FSTEC ، FSB ، البنك المركزي ، ILV) ، مسؤول عن تقييم مدى امتثال مستوى أمان المنظمة لأحكام القانون.

يعمل المحلل المعماري على تطوير موصلات جديدة ونصوص SIEM وتحديث قواعد وسياسات أدوات الأمان وفقًا لبيانات تهديدات الذكاء وتحليل الاستجابات الإيجابية الخاطئة وتحليل الحالات الشاذة.

لا شك أن رئيس مركز GosSOPKA لديه معرفة معمقة بالإطار التنظيمي ولديه خبرة عملية لا تقل عن 10 سنوات في صناعة أمن المعلومات.

متخصص

الواجبات

متطلبات التأهيل

نظام الحكم

عد

خبير تقني


  • العمل التكنولوجي الداخلي على نشر المدرجات.
  • اختبار منتجات جديدة للمركز.
  • استجابة سريعة في حال وجود العديد من الإيجابيات الخاطئة.
  • تحليل جودة المحتوى ، وتشكيل متطلبات المراجعة.
  • إجراء مراجعة الحالة ، تحليل جودة تحليل الحالات بخط واحد.
  • التحليلات الإجمالية للإيجابيات كاذبة إيجابية ، توصيات للقضاء.

خبراء في مجال تخصصهم (البرمجيات الخبيثة ، والقرص ، واستخدام الوسائل التقنية المتخصصة ، وما إلى ذلك) ،


8X5


2


منهجية (IS المدقق)


  • تطوير وصيانة وثائق أمن المعلومات التنظيمية والإدارية (السياسات واللوائح والتعليمات).
  • تنظيم ومراقبة الامتثال للمتطلبات القانونية ومعايير صناعة أمن المعلومات.
  • المشاركة في إعداد وإبرام العقود ؛ تحليل قابلية تطبيق وجدوى متطلبات الطرف المقابل فيما يتعلق بأمن المعلومات ؛ تحليل العقود من حيث الامتثال للسياسات والمعايير الأمنية.
  • تطوير وصيانة برنامج التوعية بأمن المعلومات في الشركة.
  • جرد وتصنيف أصول المعلومات من جانب الوصف في الوثائق.

خبير في الشكوى وتطوير المناهج الورقية.


خبرة في تطوير نماذج التهديد والدخل والتوصيات المنهجية.


8X5


1


محلل معماري


  • تطوير الموصل.
  • تكييف السيناريوهات لميزات أداء IP.
  • البرمجة للمصادر الجديدة.
  • تحسين البرنامج النصي.
  • تطوير السيناريو عند استلام الاستخبارات التهديد.
  • مضاهاة الهجمات وتطوير سيناريوهات للكشف عنها

التمكن من العملية ووسائل الدعم (SIEM) في اتجاهها:

  • تقييم الضعف.
  • التشخيص المستمر والتخفيف.

القدرة على تكييف IoC من أنظمة Threat Intelligence إلى IP للموضوع

8X5


1


رئيس


  • الاتجاه العام وتنسيق.
  • رفع وعي موظفي كيان الدولة SOSPKA.
  • تنفيذ "أوامر الإنترنت".

  • إدارة الفريق
  • خبرة في مجال أمن المعلومات من 10 سنوات
  • معرفة الوثائق التنظيمية لل FSB و FSTEC

8X5


1



الحديث عن الممارسة


تعمل كل هذه التوصيات كنقطة انطلاق وليس كدليل دقيق للعمل. بالطبع ، عندما تنشئ مركزًا خاصًا بك ، ستحصل على ملاكك الخاص. سيكون هناك عدد أكبر من المتخصصين في سطر واحد ، وأقل في المجموعة الأخرى ، ستظهر أدوار مختلفة قليلاً في السطر الثالث ، أو سوف يستمرون في الرفع / التخفيض.

على سبيل المثال ، بالنسبة لأحد عملائنا ، قمنا ببناء SOC حيث تركنا وظائف خط المراقبة الأول في وضع 24 × 7 ، وتم التعاقد مع العميل الثاني (مجموعة استجابة من 5 أشخاص) وتحليلات طرف ثالث من قبل أنفسنا. بالإضافة إلى ذلك ، كان للمؤسسة بالفعل رئيس لأمن المعلومات (ترأس SOC) ، بالإضافة إلى منهجي وقسم تكنولوجيا المعلومات ، والذي شارك أيضًا في المخزون.

أضاف عميل آخر إلى السطر الأول أدوار رئيس مجموعة المراقبة والمسؤولين عن التفاعل مع المستخدمين ، كما زاد عدد المتخصصين في المراقبة إلى ثمانية. في السطر الثاني ، كان ثلاثة موظفين مسؤولين عن إزالة العواقب ، لكن تم تعيين أخصائي الطب الشرعي. كان العدد الإجمالي لفريق مركز GosSOPKA في هذه الشركة 20 شخصًا.

في النهاية ، يعتمد موظفو المركز على العوامل الرئيسية لتطوير SOC الخاصة بك ، والتي يتم تحديدها وتعديلها أثناء تحليل الحوادث. في الوقت نفسه ، لا سيما في المراحل الأولية ، يُنصح باستخدام قدرات مزود الخدمة لإجراء "اختبار" للتراخيص والعاملين. في هذه الحالة ، ستتمكن من تقييم متطلبات الموارد بشكل أكثر دقة ، وتجنب الاستثمارات الرأسمالية غير الضرورية. على سبيل المثال ، أعطانا أحد العملاء جميع الوظائف التشغيلية للمركز ، وتركنا وراءه فقط التفاعل مع NCCSC (إرسال تقارير عن الحوادث).

إذا تحدثنا عن مخططنا المعياري لاعتماد البنية التحتية للعميل للمراقبة ، فعلى جانب العميل ، كقاعدة عامة ، هناك:

  • موظفان يستقبلان رسائل من فريق مراقبة Solar JSOC ويستجيبان للحوادث وفقًا لتوصياتنا.
  • أخصائي مسح الضعف.
  • مدير إدارة الخدمات.

لكن لكل شخص طريقته الخاصة في بناء مركز وكالة الحماية الاجتماعية الحكومية ، ونأمل أن يكون هذا المقال قد ساعدك في اتخاذ قرار بشأنك.

Source: https://habr.com/ru/post/ar463675/

More articles:


All Articles