Bei Solar JSOC sprechen wir bereits seit einiger Zeit über HR-Aufgaben und Mitarbeiterentwicklungsmodelle. Sicherlich konnten Sie einen Artikel
darüber lesen,
wie ein Schüler im dritten Jahr zum Überwachungs- und Reaktionszentrum gelangt oder
wie ein Ingenieur Erfahrungen für vertikale Bewegungen in der Solar-JSOC-Struktur (von der ersten bis zur zweiten Zeile) pumpt. Nicht weit entfernt befinden sich Materialien zur vertikalen Weiterentwicklung von Analysten und wie sich ein Servicemanager in einen vollwertigen CISO verwandeln kann. Aber jetzt möchte ich über etwas anderes sprechen.
Der Fisch sucht immer dort, wo es tiefer ist, und der Mann - wo es besser ist. Diese gemeinsame Aussage spiegelt ganz klar die Bestrebungen von Mitarbeitern und Kandidaten wider. Nur das Wort "besser" für jeden von ihnen hat seine eigene Bedeutung. Es hängt keineswegs immer mit den finanziellen Bedingungen, den Qualitäten / Himbeeren oder der Reisezeit von zu Hause ins Büro zusammen.
Es kommt oft vor, dass ein Mitarbeiter einfach die aktuellen Aufgaben satt hat und nicht so sehr danach strebt, Erfahrungen zu „überpumpen“, d. H. das Gleiche zu tun, aber tiefer als neue Herausforderungen in verwandte Richtungen zu finden. In solchen Fällen tun wir unser Bestes, um ihm zu einer neuen Berufung zu verhelfen und innerhalb von Solar JSOC keine „vertikale“, sondern eine „horizontale“ Entwicklung zu erhalten. Die einzige Schwierigkeit besteht darin, diesen Moment nicht zu verpassen und einer Person die notwendige "Ausrüstung" zu geben, um neue Gipfel zu erobern.
Hier sind einige dieser Fälle, die wir zu erzählen versuchen werden.
Heiße Hände, kaltes Herz
Das Leben unseres Teams beginnt mit der ersten Zeile. Aber, wie wir bereits mehrfach erwähnt haben, sind die ersten Zeilen zwei. Der erste Schwerpunkt liegt auf der Auswahl von Protokollen, der Analyse und Analyse von Vorfällen und deren Umwandlung in Analyseberichte oder Fehlalarme.
Diese Arbeit ist sehr schnell (unsere erste Zeile zermürbt fast 1.500 Verdächtigungen eines Vorfalls pro Tag), ist aber gleichzeitig etwas typisiert. Zuallererst erfordert es Ausdauer, Konzentration und kontinuierliche Klarheit des Geistes (dies ist wahrscheinlich auch der Grund, warum die Überwachungsarbeit das weibliche Geschlecht anzieht - in der ersten Zeile gibt es die meisten Mädchen).
Hier gibt es mehrere Nuancen. Erstens hinterlässt die Arbeit mit Protokollen und die Wiederherstellung eines Vorfalls oft ein Gefühl der Vergänglichkeit und Unvollständigkeit. Es gibt einen Prozess, aber es gibt kein Ergebnis, das Sie berühren oder an Ihren Fingerspitzen fühlen können. Und der Wunsch, das Ergebnis seiner Arbeit zu "fühlen", ist für einen Wachmann manchmal sehr wichtig.
Zweitens ist die Arbeit des SLA, wie bereits erwähnt, noch nicht abgeschlossen. Wenn die Seele die Fähigkeit benötigt, nachdenklich und gemächlich in eine komplexe technische Aufgabe einzutauchen, kann ständiger Zeitdruck ärgerlich sein.
Dies ist selbst für den Mitarbeiter möglicherweise nicht immer offensichtlich, aber von außen mit bloßem Auge spürbar, insbesondere wenn:
- Ein starker Ingenieur führt eine sehr hochwertige Analyse und Untersuchung von Vorfällen durch, scheitert jedoch regelmäßig an dem von der SLA festgelegten Zeitpunkt, insbesondere für die kürzesten Vorfälle.
- Parallel zu den Hauptaufgaben arbeitet der Ingenieur mit internen Aufgaben, um die Effizienz der Infrastruktur zu verbessern, oder beginnt, Skripte auf dem Knie zu schreiben, um seine Arbeitsaufgaben zu automatisieren.
Im Allgemeinen achten wir vom Beginn des Interviews an darauf, wie er denkt und was seinen zukünftigen Kollegen antreibt - ob er bereit ist, nach dem Algorithmus zu arbeiten und die Anweisungen klar zu befolgen, oder ob er eine freie Suche und unabhängige Recherche bevorzugt.
Wenn die Besonderheiten der Überwachungsarbeit für eine Person zu einem Problem werden, bedeutet dies nicht, dass sie nach einem neuen Ort suchen muss. Für uns ist dies ein Signal dafür, dass er sich, nachdem er das Feuer und das Wasser der Überwachung passiert hat, in den Kupferrohren der Verwaltung versuchen und die Direktmanagement- und "Twist" -Richtlinien einer Vielzahl von Drüsen, Sicherheitsausrüstung und Informationssicherheitssystemen übernehmen kann. Und solche "Transferübergänge" sind für uns keine Ausnahme von der Regel oder etwas Unentwickeltes.
Wie funktioniert es Glücklicherweise haben die ersten beiden Linien trotz aller Unterschiede in der Arbeit der Teams eine ähnliche Grundlage in Bezug auf Netzwerktechnologien. Für Überwachungsingenieure sind die Funktionen und Fähigkeiten von Sicherheitstools außerdem recht transparent - sie arbeiten täglich mit ihren Protokollen. Daher reicht es für einen Ingenieur normalerweise aus, drei Fähigkeiten zu pumpen, um zu übersetzen:
- Um die Funktionen und Schnittstellen der Sicherheitstools zu untersuchen, mit denen Sie täglich arbeiten müssen (Antivirenprogramme, Proxys, Firewalls, VPNs).
- Verbesserung der Fähigkeiten bei der Verwaltung von Netzwerkgeräten mithilfe interner und externer Laborgeräte, um beim Management, einschließlich der Arbeitsplanung, Hand anzulegen.
- Erfahren Sie, wie Sie Probleme und Ausfälle von Schutzausrüstung diagnostizieren, indem Sie ein Dutzend praktische Fälle aus unserer Wissensbasis analysieren.
Und noch etwas: Der Satz über ein kaltes Herz im Titel des Absatzes wurde nicht als Scherz bezeichnet. Die Arbeit mit kritischen Systemen mit hoher Auslastung toleriert keine Aufregung und Emotionen. "Und jetzt werde ich alles schnell erledigen!" Dies sind sehr ausgewogene und rationale Maßnahmen mit der Bewertung möglicher Konsequenzen, der Entwicklung eines Änderungsantragsverfahrens (RFC) und der Planung des technologischen Fensters.
Solche Besonderheiten der Aktivität und die Atmosphäre im Team prägen die Mentalität der Kämpfer der ersten Verwaltungslinie und zwingen sie, jede Minute über die Konsequenzen der durchgeführten Arbeiten, die vorgenommenen Änderungen und die Tatsache nachzudenken, dass es unmöglich ist, sie in die Procrustean-Box mit Vorschriften und Stellenbeschreibungen aufzunehmen.
Ein Mathematiker sollte nicht denken, ein Mathematiker sollte denken
Es gibt ein umgekehrtes Szenario, in dem die Hände des Spezialisten irgendwann die Hardware und die Einrichtung von Ausrüstung und Schutzausrüstung satt haben, aber kein Wunsch besteht, sich dem Management oder dem Personalmanagement zuzuwenden. In solchen Momenten möchten Sie normalerweise das Sicherheitssystem des Clients ein wenig von außen betrachten, Bedrohungsvektoren verwenden, Szenarien für deren Identifizierung und Reaktion verwenden, die Infrastruktur etwas umfassender betrachten, ohne auf den Umfang der Schutzwerkzeuge und verwandter Systeme beschränkt zu sein. Dies zwingt eine Person häufig dazu, sich der Vorfallanalyse zuzuwenden und mit Szenarien zu arbeiten, um sie zu identifizieren.
Unsere Kunden sind eine sehr starke Hilfe bei der Bildung solcher Bewegungsvektoren von Spezialisten. Insbesondere diejenigen, für die wir End-to-End-Sicherheitsmanagementaufgaben lösen, dh wir beschäftigen uns nicht nur mit der Überwachung und Analyse von Vorfällen, sondern auch mit der Verwaltung von Sicherheitstools.
Wie beeinflussen Kunden unsere internen Personalprozesse? Hauptsächlich aus zwei Gründen:
- Die SIEM-Plattform selbst ist neben der Erkennung von Vorfällen ein sehr gutes Werkzeug für die Protokollverwaltung und die hintere Analyse. Ein Teil der mit dem Vorgang verbundenen Aufgaben - Diagnostizieren der Ursache der Belastung des Kanals, Ermitteln der Liste der in der Anwendung verwendeten externen Adressen, Wiederherstellen der Änderungskette in Richtlinien und Konfigurationen - kann in SIEM häufig viel schneller und effizienter ausgeführt werden. Daher erhalten alle Ingenieure ab der ersten Verwaltungszeile Zugriff auf das Lesen der Protokolle von Kundensystemen. Dies führt schnell zu dem Wunsch, Mikroautomatisierung für sich selbst, Berichtsvorlagen usw. zu erstellen. Somit ist der Ingenieur in einem angrenzenden Bereich involviert und findet es manchmal interessanter.
- Der zweite, nicht weniger wichtige Teil unseres Lebens ist die Untersuchung atypischer Vorfälle oder die Reaktion auf komplexe Angriffe. In diesem Fall, insbesondere wenn die Punktzahl minutenlang anhält, tun alle alles, und Administratoren sind auch am Brainstorming beteiligt, indem sie die Folgen des Angriffs analysieren, entgegenwirken und beseitigen. Eine solche Stimulation des Gehirns für die Analytik und die Suche nach impliziten Verbindungen kristallisieren bei einem Mitarbeiter auch schnell ein Bewusstsein für den Komfort und die Faszination solcher Aufgaben.
Wie bewegen sich die Mitarbeiter bei diesem Transfer? In der Regel werden Schulungen und Übersetzungen in drei Bereichen durchgeführt:
- Erfahrung in der Protokollanalyse und Vorfalluntersuchung. Natürlich helfen Laborbeispiele sehr, aber das Leben des MDR-Anbieters wirft wöchentlich neue interessante Fälle auf, an denen Sie Ihre Fähigkeiten testen und verbessern können. Darüber hinaus verfügen Verwaltungsexperten, wie bereits erwähnt, über grundlegende Erfahrungen mit Protokollen.
- Arbeiten Sie mit SIEM zusammen, um Inhalte zu erstellen oder anzupassen. Die „Vogel“ -Sprache zum Schreiben von Korrelationsregeln in verschiedenen SIEMs wird Kindern nicht sofort gegeben. Aber auch hier verkürzt die Erfahrung mit Protokollen und der Erstellung grundlegender Berichte diese Route erheblich.
- Nun, die Fähigkeiten zum Bereitstellen der Plattform, zum Verbinden und Konfigurieren von Quellen für jeden Administrator sind seit langem bekannt. Nur noch ein Produkt im Portfolio.
Solche Übergänge führen zu sehr starken Analysten, da die Kampferfahrung mit Schutzausrüstung ihnen sowohl bei der Interpretation von Magazinen als auch bei der Entwicklung spezifischerer und bodenständigerer Empfehlungen zur Reaktion auf und Beseitigung der Folgen eines Angriffs erheblich hilft.
Es wird nie eine zweite Chance geben, einen ersten Eindruck zu hinterlassen
Eine völlig andere Geschichte in der Arbeit von Solar JSOC sind Vertriebsunterstützungsaktivitäten und insbesondere Pilotprojekte. Das Pilotprojekt sollte die Quintessenz der erbrachten Dienstleistung sein:
- Die Pilotzeit ist immer eng und begrenzt, daher sollte das Arbeitstempo bei der Verbindung von Diensten sowohl vom Kunden als auch von uns maximal sein.
- Der Pilot sollte unsere Fähigkeiten und Prozesse in vollem Umfang zeigen, damit der Kunde die Anwendbarkeit unserer Dienstleistungen für sich selbst so objektiv und ohne Verschönerung wie möglich beurteilen kann (andernfalls können in der Phase der Leistungserbringung auf beiden Seiten viele Probleme auftreten).
- In kurzer Zeit und in begrenztem Umfang müssen wir eine Reihe von Vorfällen und Schwachstellen in der Infrastruktur „ausgraben“, die dem Unternehmen die tatsächlichen Vorteile des Dienstes erklären.
Solche Projekte erfordern einen für sie verantwortlichen Vorverkaufsanalysten mit äußerst ungewöhnlichen Eigenschaften: Einerseits Systematik, um Ressourcen und Fristen richtig zu verwalten, und gleichzeitig etwas Rücksichtslosigkeit und Leistungsdurst, um dies von Zeit zu Zeit vor den Erwartungen zu tun . Einerseits erfordert eine Demonstration der Vorteile des Service ein erhebliches Eintauchen in den Service und Erfahrung in der Unterstützung des Vertriebs. Andererseits erfordert die Ausgrabung von Vorfällen sowohl ein bemerkenswertes Fachwissen im Bereich Informationssicherheit bei der Arbeit mit Protokollen als auch nur ein Gespür für potenzielle Engpässe im Schutzsystem des Kunden.
Ein Fall hat uns zu einer möglichen Methode geführt, solche Mitarbeiter zu kultivieren und auszuwählen. Wir waren zutiefst davon überzeugt, dass Vorverkaufsfähigkeiten in unserem Fall ohne ein technisches Verständnis des SOC, Erfahrung mit Protokollen und SIEM ziemlich bedeutungslos sind. Aber einmal hat einer der Kandidaten die ganze Situation auf den Kopf gestellt.
Er war als Vorverkauf gut ausgebildet - wie einer der Interviewer sagte: "Ich brauchte es überhaupt nicht, aber ich hätte es fast gekauft." Er "verbrannte" sein Geschäft wirklich und war erfüllt von dem Wunsch zu wachsen und sich zu entwickeln. Leider war sein technisches Wissen unendlich weit vom Thema SIEM und anderen SOC-Subsystemen entfernt.
Trotzdem kam der Kandidat durch den Willen des HR-Dienstes zu uns und begann, sich dem Team anzuschließen. Und ganz unerwartet wurde klar, dass der Wunsch, in Verbindung mit der richtigen Umgebung zu wachsen und sich zu entwickeln, wenn SOC-Prozesse und -Aufgaben im Raucherraum, beim Mittagessen und einfach in Schichten im Büro absorbiert werden, zu einem guten Ergebnis führt. Buchstäblich in anderthalb Monaten übernahm er bereits die Kontrolle über das erste Pilotprojekt, nicht nur als Manager und Zeitkontrolleur, sondern mit einer nahezu autonomen technischen Umsetzung der Aufgaben. Jetzt setzt er erfolgreich Piloten jeder Komplexitätskategorie ein, die bereits als Spieltrainer fungieren.
Infolgedessen haben wir einen zweiseitigen Ansatz für eine sehr ungewöhnliche Aufgabe gefunden, bei der das Personal wie die Vorverkaufsanalyse von Solar JSOC-Diensten erweitert wird:
- "Bestäubung" des Vorverkaufsteams mit technischem Wissen und Lebensgeist im Bereich Cybersicherheit,
- Suchen Sie unter Technikern nach Personen, die von technischen Spezialisten zu einer Rolle wechseln möchten, die näher an der kommerziellen Ausrichtung liegt.
Beide Ansätze sind nicht nur für uns als wachsendes Team des Überwachungszentrums nützlich und vielversprechend, sondern auch für Mitarbeiter, die eine weitere Option für die berufliche Entwicklung erhalten.
Dies sind natürlich nicht alle Optionen für den Umzug von Mitarbeitern innerhalb des Solar JSOC. Es gab Fälle, in denen der Ingenieur der Verwaltungsgruppe, der die ständige Kommunikation mit dem Kunden satt hatte und den Wunsch hatte, sich auf den Betrieb von etwas „Eigenem“ zu konzentrieren, zu den Architekten unserer JSOC-Infrastruktur wechselte. Die First-Line-Ingenieure weckten manchmal die Leidenschaft für Low-Level-Analysen und arbeiteten mit Assembler (die ersten Anzeichen eines Anfänger-Forensers). Erfahrene Kämpfer der ersten und zweiten Reihe, die keine Lust mehr auf Technik hatten, wechselten allmählich zu den Aufgaben des Servicemanagers und der Kommunikation mit dem Kunden oder wurden lokale Teamleiter.
Wie bereits im
ersten Artikel des Zyklus erwähnt, ist die Hauptsache bei einer Person nicht „Fingerflüssigkeit“ oder „brennender“ Blick auf der Suche nach momentanem Glück, sondern die Konzentration auf die eigene Entwicklung, die Fähigkeit, neue Horizonte für sich selbst zu suchen und zu finden. Darüber hinaus besteht unsere Aufgabe bereits darin, den Moment nicht zu verpassen, in dem das Interne, Grundlegende für diese Person, um einige nicht ganz profilierte Aktivitäten zu verstehen und ihnen auf den Grund zu gehen, die Notwendigkeit überwiegt, die Probleme des aktuellen Betriebs zu lösen.
In diesem Moment ist es wichtig, einem Menschen die Möglichkeit zu geben, den nächsten Schritt zu tun und Optionen anzubieten, die es ihm ermöglichen, das zu tun, was die Seele wirklich anlügt. Und in welche Richtung es nicht so wichtig ist: Es gibt nur wenige gute Ziele und es gibt immer genug Aufgaben in einem großen Unternehmen.