SOC هي الأشخاص: الحياة اليومية القاسية لمدير خدمة المركز لرصد الهجمات الإلكترونية والاستجابة لها

نتحدث عن كيفية عمل المركز لرصد الهجمات الإلكترونية (SOC) والاستجابة لها من الداخل إلى الخارج ، تحدثنا بالفعل عن مهندسي الخط الأول والثاني وعن المحللين . ثم ذكرنا عرضيًا مديري الخدمات. هؤلاء هم موظفو شركة نفط الجنوب الذين يتحملون مسؤولية العميل عن جودة الخدمات المقدمة. هذا التعريف القصير يخفي فعليًا ما يلي: يحدد مدير الخدمة التنفيذ العملي للخدمة على موقع العميل ، ويجب أن يكون جاهزًا في أي وقت للرد على مكالمة العميل أو إخطار مهندس المراقبة بشأن حادثة حرجة ، وتجميع فريق استجابة أو تحقيق والانتقال إلى الموقع.

بالنسبة للجزء الأكبر ، فإن مدراء خدمة Solar JSOC هم رجال تزيد أعمارهم عن 30 عامًا وشاهدوا أنواعًا لها خبرة متنوعة في أمن المعلومات: من تصميم أنظمة أمان المعلومات إلى عمليات التدقيق. تأكد من أن لديك مهارات النقل من الطيور إلى الإنسان التقنية إلى الأعمال والعكس.

ماذا ولمن يفعل مدير الخدمة مدينون

لا يتطلب مدير الخدمة معرفة متعمقة بأدوات حماية المعلومات المحددة على مستوى مهندس تشغيل. ولكن هناك نظرة عامة في مجال SPI والشركات المصنعة لها ، والحد الأدنى من المعرفة ببروتوكولات الشبكة ومتطلبات كائنات معلومات محددة مثل AWS KBR ، إلخ. - مطلوب. وكشرط إلزامي - فهم راسخ ومعروف باسم baobab أنه من الضروري حماية ، أولاً وقبل كل شيء ، ليس المضيفين ، ولكن العمليات التجارية. من الناحية النظرية ، يعلم الجميع هذا ، ولكن في الممارسة العملية ، لا يستطيع الجميع اتباع هذا المبدأ.

لماذا هذه المجموعة من المعايير؟ مدير الخدمة هو نافذة واحدة للعميل. جنبا إلى جنب مع المحللين يشكلون مجموعة تتواصل مباشرة مع العميل. نوع من المكتب الأمامي في النموذج كما نتخيله. هو مدير الخدمة الذي يحدد كيفية حل مهام العميل على مستوى التطبيق. مثل هذه التفاصيل ، كقاعدة عامة ، لا يتم توضيحها في العقد.

من الجيد أن يكون لدى العميل فهم واضح لما يريد الحصول عليه من الخدمة (على هذا الخط ابتسم زملائي ابتسامة عريضة). في الواقع ، هذه الظاهرة نادرة مثل دش النيزك. وهنا فقط لا يمكن الاستغناء عن الشخص الذي يوفر تطوير أمن المعلومات في إطار المشروع. لكل عميل محدد ، يحدد البيانات والعمليات الهامة ، وكذلك وسائل التشغيل الآلي الخاصة بهم ؛ نقاط التسوية المحتملة على مستوى البنية التحتية وتنظيم التفاعل بين النظم والناس. وهذا فقط في مرحلة إطلاق الخدمة. ثم تأتي أيام العمل ، حيث يقوم مدير الخدمة باستمرار بإصبعه على نبض البنية التحتية للعميل. من الضروري تذكر مجموعة من العوامل وأخذها في الاعتبار: نوع العمل ، معدات الشبكة و SZI المستخدمة ، وعدد وأنواع المقاولين من الباطن ، ومستويات الوصول إلى المعلومات الحساسة وأكثر من ذلك بكثير.

سؤال منطقي تمامًا: لماذا هو صعب جدًا؟ بعد كل شيء ، يمكنك توصيل أنظمة العملاء بـ SOC كمصادر للمعلومات والتوقف هنا. ربما يقوم شخص ما بذلك ، لكن تجربتنا تظهر أن ما هو مناسب للبنك لا ينطبق على مصنع أو شركة تأجير. نعم ، وداخل البنوك لا يوجد نهج مماثل للأمان ، على الرغم من حقيقة أن هذا هو واحد من أكثر الصناعات رقابة في بلدنا. وفي المصانع ، هناك عمومًا رعب هادئ: مجموعة من البروتوكولات الاحتكارية ، وعدد باهظ من المقاولين من الباطن يربطون عن بعد بعناصر البنية التحتية (غالبًا دون الكشف عن هذه الحقيقة للعميل). ومع كل هذه المعرفة من الضروري العمل.

كما ذكرنا أعلاه ، بموجب كل عقد ، نشكل فريقًا من المحللين والمديرين الذين هم في خط المواجهة. الفرق ليست دائمة وتتنوع من عميل إلى عميل. كقاعدة عامة ، يخدم مدير خدمة واحد من ثلاثة إلى ستة عملاء ، اعتمادًا على حجم العقد ومستوى نضج IS. وهذه هي ثلاثة أو ستة بنى تحتية مختلفة ، اعترافات مختلفة من النهج لأمن المعلومات وغيرها من "سحر" تنوع الأنواع. من الإنصاف ، يجدر القول أن لدينا عددًا من العملاء الكبار الذين تم تخصيص مدير خدمة شخصية لهم ويعمل معهم فقط (ولكن هذا ليس بالأمر السهل بالنسبة له).

النهج الفردي للعميل ليس الكلمات الكبيرة ، ولكن واحدة من المهام في تقديم الخدمة. حتى الشركات المختلفة في صناعة البنية التحتية نفسها لديها أساليب مختلفة في مجال الأمن وسياسات IS وعمليات الأعمال التي ، بغض النظر عن الطريقة التي نريد بها توحيد الخدمة ، سيؤدي هذا النهج في الواقع إلى الألفاظ النابية وانخفاض حماية العملاء (بمعنى آخر ، سيكون الاختراق العمل). في الوقت نفسه ، لا يزال من الضروري إيجاد توازن بين رغبات العميل ، وغالبًا ما يكون غريبًا ، والفائدة الحقيقية لعمل أو آخر.

على سبيل المثال ، هناك شريحة ضيف معزولة بدون الوصول إلى الموارد الداخلية ، لكن العميل يريد منا أن نتلقى إخطارًا بأقصى درجة من الأهمية إذا قمنا بإطلاق إطلاق RAT (أداة الوصول عن بُعد). ومع ذلك ، في الواقع ، عند تلقي هذا الإخطار ، لا يفعل العميل شيئًا ، لأنه ليس لديه كتب قواعد تشغيل وليس لديه ما يكفي من الموارد للرد. ورضا هذه الرغبات يزيد العبء على مهندسي الاستجابة ولا يفيد أي من المشاركين في هذه العملية. ونتيجة لذلك ، لم نحصل على شيء سوى "الالتزامات الاشتراكية" المتزايدة ، أي الاستجابة للحادث العالي وعملية التحقيق لا تعمل.

أو بالعكس: العميل ، بسبب بعض الخرافات الغامضة ، لا يريد مراقبة نظام الفوترة (وهو نظام الأعمال الرئيسي ، وبشكل عام ، CII). وعلينا أن نشرح بشكل منهجي ، بأصابعنا ، لماذا يجب علينا حماية هذا الجزء. كل من SM لدينا الكثير من القصص المشابهة ، وإذا قمت بنشرها ، فستحصل على كتاب جيد من هذا القبيل.

وعلى الجانب الآخر من العملة ، توجد عمليات Solar JSOC: مراقبة مباشرة وتحديد الحوادث ، والتحليلات ، والهندسة المعمارية ، والطب الشرعي ، إلخ. إلخ كل هذا شركة كبيرة ومتنافرة تعمل للعملاء. كما هو الحال في أي جماعي حي ، لديه ناقلات التنمية الخاصة به ، والأفضليات ، والاتصالات الشخصية. وهذا لا ينبغي أن يؤثر على تقديم الخدمة. هذا أيضًا صداع SM: من الضروري إعادة توزيع الموارد لحل مشكلة ما ، وتحديد أولويات التنفيذ بحيث لا يؤثر على العملاء الآخرين. تم الحصول على درس ممل.

النوم هو للجبناء

على عكس معظم موظفي Solar JSOC ، فإن مدير الخدمة "يعمل على مدار الساعة": دون استراحة طوال الليل ، وقضاء يوم عطلة وغداء. جميع الخدمات الأخرى لها قابلات. هذا لا يعني أن مدير الخدمة ، مثل العبد ، يقتصر على الإصدار الحديث من المجاذيف - طاولة وجهاز كمبيوتر. إنه الشخص الذي يجب أن يرد على المكالمة من العميل أو خدماتنا الداخلية في أي وقت من النهار أو الليل. في فهمنا ، يخفي مصطلح "إجابة" تسلسل الإجراءات التالي (نحن مع نهج العملية): للاعتراف بالسؤال / المشكلة واتخاذ قرار بشأن الإجراءات الأخرى وربط الخدمات المطلوبة داخل الشركة ، والتحقق من النتيجة.

قد تكون أسباب المكالمات مختلفة - مضحك وليست شديدة. يتم إطلاق السبب الأكثر شيوعًا و "المفضل" لـ SMs على جانب خبراء الطب الشرعي. وجدوا استغلال جديد ، وتقييمه من حيث التهديدات المحتملة وإطلاقه في مديري الخدمات (كما كان الحال في الآونة الأخيرة مع BlueKeep-2).
وبعد ذلك - ديسكو! كل SM من الشركات ، في حال وجودها ، تنظر إلى ملفات العملاء (على الرغم من أن الأغلبية تتذكر البنية الأساسية عن ظهر قلب) ، فإن رئيس هؤلاء الرجال الرائعين يولد نص تنبيه يتم إرساله إلى العملاء عبر جميع القنوات المتاحة.

مع مكالمات ليلية ، هناك قصة أخرى مشتركة. في بداية العقد ، يطلب العميل في كثير من الأحيان أن يتم الإبلاغ عن الحوادث في عدد من سيناريوهات الأشخاص المسؤولين عن طريق الصوت في أي وقت ، ليلا أو نهارا. وفقًا لذلك ، عندما يتم تشغيل التنبيه ، يستيقظ ضابط المراقبة على SM ويعطيه جميع المعلومات اللازمة عن الحادث. بعد ذلك ، يستيقظ SM الطرف المسؤول وينقل المعلومات إليه بالفعل. حتى إذا كان لدى العميل خدمة استجابة خاصة به ، تعمل على مدار الساعة ، فإن هذا لا يمنعنا من إخراج الشخص المسؤول من الفراش. تحدث المكالمات بالتوازي مع إخطار العميل بالحادث. كقاعدة عامة ، بعد بضعة أشهر ، عندما يكون العميل مقتنعًا بأن الخدمة تعمل على مدار الساعة ويدفع ثمنها دون جدوى ، يُطلب منا إيقاف هذه الممارسة.

ولكن هناك أسباب خطيرة لعدم النوم ليلا. وتشمل هذه بوضوح هجوم على البنية التحتية للعميل. يحدث مثل هذا الموقف النادر ولكن ليس الاستثنائي: يرن النداء في الليل ، ويطلبون المساعدة على الموقع الفعلي من الهاتف. على مدار سنوات من وجود سولار JSOC ، تم تشغيل المخطط: "في وتيرة الفالس" يتم تجميع فريق ، حيث يعمل SM كمنسق ، وينخفض ​​بشكل ودي إلى العميل. في بعض الأحيان يحدث أن نقفز أمام الأشخاص المسؤولين الذين أطلقوا هذه السلسلة.

السجلات - للقوي في الروح

بالإضافة إلى ليلة بلا نوم في مثل هذه الحالات ، هناك ناقص ضخم آخر: يمكن لجميع المشاركين في العملية الحصول على ما يكفي من النوم بالفعل ، ويحتاج مدير الخدمة إلى كتابة تقرير أولي عن الموقف يشير إلى توقيت الإجراءات المكتملة ، ووصف الإجراءات بأنفسهم ونتائجها. لا يعد الإبلاغ تكريمًا للإجراءات الشكلية ، ولكنه مستند حقيقي يتم تفكيكه بعد ذلك لتحديد الأخطاء أو ، على العكس من ذلك ، القرارات الناجحة. بالتأكيد يتم أخذ كل تجربة جميع متخصصي Solar JSOC في الاعتبار ، بغض النظر عن المنصب الذي يعملون فيه.

بشكل عام ، تعد التقارير جزءًا لا يتجزأ من عمل مدير الخدمة. هناك الكثير من التقارير. لا ، ليس هكذا. هناك الكثير جدا. لكل ذوق ولون: من محاضر الاجتماعات التي يتم فيها تسجيل مزيد من التطوير للخدمة ، إلى تقديم تقارير منتظمة للعملاء. في كثير من الأحيان ، تكون التقارير مصحوبة بعروض تقديمية للإدارة العليا ، التي ترغب في معرفة الأموال التي تم إنفاقها ، ولكنها غير مستعدة للانخراط في الخدمة المعينة. وفقًا لذلك ، يجب أن يؤكد العرض التقديمي بشكل واضح أن المبلغ الذي تم إنفاقه لم يذهب سدى وأن الخدمة مفيدة حقًا. ويتم كل هذا على الإطلاق لجميع العملاء على أيدي الرجال الذين تزيد أعمارهم عن 30 عامًا. نعم ، هناك مستوى معين من الأتمتة ، لكننا لم نتعلم بعد كيفية إنشاء عروض تقديمية في الوضع التلقائي.


بشكل عام ، يمكن أن يعمل SM الجيد مع أي جمهور: الوضوح هو كل شيء لدينا

لكن الشيء الرئيسي هو مختلف

في كثير من الأحيان يمكنك سماع أن مدير الخدمة هو موقف إطلاق النار والعمل الجهنمية دون إمكانية التطوير. هذه مغالطة قوية جدا. يقول أحد SM لدينا أن "نتيجة العمل واضحة دائمًا ، أي أنك لا تعمل في سلة المهملات ، وهذا أمر رائع دائمًا."

سنتحدث عن مكان تطوير مدير الخدمة وكيفية تطوير CISO متكامل منه. حتى الآن ، فقط - أيام العمل من خلال ثقب المفتاح.