Selbst eine flüchtige Suche auf hh.ru ergibt heute etwa 90 offene Stellen, die sich in Aufgaben und Funktionalität unterscheiden, mit dem Zauberwort „Analyst“ und recht anständigen Zahlungsbedingungen. Vor den Augen vieler Kandidaten schweben Big Data und maschinelles Lernen sofort, das Gehalt beginnt weit über dem Markt zu tanzen und mit Nullen zu flirten. Wer sind also die Analysten des Überwachungszentrums, die „dafür verantwortlich sind, dass der Kunde nicht gehackt wird“? Was machen sie und was müssen Sie wissen und in der Lage sein, diese Position zu erreichen?
In
früheren Artikeln haben wir gesagt, dass die Liste der Hauptaufgaben des Analysten der 3-Linie Folgendes umfasst:
- Analyse abnormaler Aktivitäten zur Identifizierung von Vorfällen.
- Reaktion auf atypische kritische Vorfälle ihrer Kunden.
- Teilnahme an der Untersuchung von IS-Vorfällen, die nicht durch Überwachung erfasst wurden
- Technische Inspektion, Anschluss und Anpassung von Ereignisquellen.
- Entwickeln Sie neue Szenarien zur Erkennung von Vorfällen.
Zusammenfassend ist der Analyst für die technischen Aspekte der Überwachung der Cyber-Bedrohungen des Kunden verantwortlich. Die Quelle sendet keine Protokolle, das Ereignis wurde nicht analysiert, das Skript hat nicht funktioniert oder gefälscht, sie haben den Angriff verpasst - der dem Kunden zugewiesene Analyst ist für alles verantwortlich.
Dies bedeutet jedoch nicht, dass alle Solar JSOC-Analysten im Alter von 30 Jahren grau oder kahl sind. Nicht alle. Gerade diese Rolle stellt hohe Anforderungen an den Darsteller. Versuchen wir, sie genauer zu beschreiben. Wir werden sofort darauf aufmerksam machen, dass wir uns in diesem Artikel absichtlich nicht auf die technischen Kompetenzen konzentriert haben, die wir vom Kandidaten für die Rolle des Solar JSOC-Analysten erwarten. Es wurde bereits viel über Technologie gesagt, aber wie der Name der Reihe unserer Artikel sagt, sind SOC Menschen.
Kämpfe und suche
Wir werden uns nicht darauf konzentrieren, aber Sie können nicht ein paar Worte über SIEM sagen :) In der Stellenbeschreibung schreiben sie oft: "Erfahrung mit dem SIEM-System". Einerseits ist alles klar: SIEM ist eine SOC-Engine, ohne sie ein Service, wie sie sagen, "wird nicht gehen". (Einige Experten haben Einwände und ihre eigenen, das Recht auf Leben, Theorien zum Aufbau von SOC ohne SIEM, aber dies ist immer noch nicht das Thema unseres Artikels.)
Tatsächlich steckt hinter diesen Worten jedoch mehr als die Möglichkeit, die Protokolle eines bestimmten IT-Systems anzuzeigen.
Der Analyst muss in der Lage sein, Angriffsvektoren basierend auf der Mindestmenge an Informationen über die Infrastruktur des Kunden zu modellieren. Wenn der Kunde eine Verbindung herstellt, erhalten wir von ihm vollständige Informationen zu den L2-L3-Subnetzen, eine Liste der Server und AWPs mit ihren Rollen, Uploads von AD und SCCM usw. Und unter den Solar JSOC-Spezialisten gibt es sogar die Legende, dass es einmal einen Kunden gab, der all diese Informationen auf den neuesten Stand gebracht hat ... Leider ist dies nicht immer der Fall, und Sie müssen mit dem arbeiten, was wir haben. Dies bedeutet, dass Sie in der Lage sein müssen, die Angemessenheit der verbundenen Quellen und empfangenen Ereignisse zu beurteilen, um einen qualitativ hochwertigen Service für die Überwachung und Identifizierung von IS-Vorfällen bereitzustellen. Dazu muss ein Spezialist natürlich über fundierte Kenntnisse der wichtigsten IT-Technologien verfügen, die zum Aufbau einer typischen Unternehmensinfrastruktur verwendet werden.
Parallel dazu muss der Analyst in der Lage sein, alte Quellen zu verwenden, um neue (in diesem Fall Lese- - Nicht-Kern-) Aufgaben zu lösen. Beispielsweise hatte eine unserer Kundenbanken, die über ein landesweit ausgebautes Netzwerk von Geldautomaten verfügt, ein akutes Problem: Mit der verwendeten Antivirenlösung konnten wir die Vollständigkeit der Abdeckung dieser Geldautomaten mit Antivirensoftware nicht bewerten. Wir hatten jedoch eine Firewall auf Kernel-Ebene angeschlossen und wussten, mit welchen Geldautomaten des Verarbeitungsdienstes interagieren. Mithilfe dieser Protokolle konnte der verantwortliche Analyst eine Liste der IP-Adressen von Geldautomaten erstellen, die gerade verarbeitet werden. Gleichzeitig enthält die Datenbank des Kontrollzentrums für Antivirenlösungen keine Informationen zu ihrem Agenten. Während mehrerer Monate gemeinsamer intensiver Arbeit gelang es uns, die Liste solcher Geldautomaten von mehreren hundert auf Einheiten zu reduzieren, und die ursprünglich atomare Inventarisierungsaufgabe wurde schließlich fortlaufend gestartet.
Finde und gib nicht auf
Für den Analysten äußerst nützlich ist die Korrosivität und Liebe zum Detail. Die Untersuchung von Vorfällen, die nicht vom laufenden Solar JSOC-Skriptpool aufgezeichnet wurden, ist eine sehr komplizierte Routinearbeit mit Tausenden oder sogar Millionen von Ereignissen aus verschiedenen Quellen. Und hier ist es am schwierigsten, durch Ziehen einen Faden zu finden, der es ermöglicht, das gesamte Gewirr des Vorfalls zu entwirren.
Wir hatten beispielsweise einen Fall, in dem ein Analyst einen nicht autorisierten Zugriff auf die Infrastruktur des Kunden untersuchte und den ursprünglichen Kompromisspunkt nicht finden konnte. Um das Problem zu lösen, mussten wir einen monatlichen Bericht über eingehende und ausgehende Netzwerkverbindungen unter Beteiligung von IP-Adressen erstellen, die zum Pool externer Adressen des Kunden gehören. Und erst nach einer langen Analyse dieses Berichts konnten atypische ausgehende Verbindungen von einem Testwebserver zu einer IP-Adresse aus den Niederlanden gefunden werden, was sich schließlich als Reverse-Shell-Aktivität herausstellte, die von einem Angreifer auf einem gefährdeten Server gestartet wurde.
Ein Teil der Aufgaben des Analysten erfordert eine direkte Kommunikation mit dem Kunden. Manchmal müssen Informationen daraus buchstäblich durch Häkchen abgerufen werden, beispielsweise wenn eine Anfrage in Form von „Was war letzte Woche an dieser und jener Workstation verdächtig?“ Eintrifft. Nach einer Reihe von Leitfragen stellte sich heraus, dass sich der Mitarbeiter, der an dieser Workstation arbeitete, bei seinem Kollegen aus der IS-Abteilung im Raucherzimmer beschwerte, dass eine Datei auf seinem Desktop fehlte. Und der Sicherheitsbeauftragte beschloss dann, den externen SOC zu fragen, womit er verbunden war, aber der Wortlaut der Frage war zu vage. Und das passiert die ganze Zeit. Es ist schwierig, die berüchtigte Fähigkeit, in einem Team zu arbeiten, zu überschätzen, und zwar in Verbindung mit einem Servicemanager. Um einen qualitativ hochwertigen Service zu bieten, ist es wichtig, dass beide das Team in eine Richtung ziehen und nicht wie in einer berühmten Fabel.
Der Charakter ist hartnäckig, nordisch
Unabhängig davon ist es erwähnenswert, dass ein Charakterzug in allen Lebensläufen so bekannt geworden ist, dass niemand darauf achtet. Es geht um Stressresistenz. Solar JSOC bietet einen 24-mal-7-Service. Dies bedeutet, dass alle Analysten rund um die Uhr an Anrufen teilnehmen, die jederzeit, Tag und Nacht verfügbar sind, um an der Untersuchung eines wichtigen Vorfalls teilzunehmen. Gleichzeitig tritt, wie
Statistiken zeigen, ein erheblicher Teil der kritischen Vorfälle genau nach Stunden auf. Die Fähigkeit, mehrmals pro Nacht aufzuwachen, tritt in den Vordergrund, und das Gehirn muss beginnen und bereit sein, die wichtigsten Informationen fast sofort wahrzunehmen.
Die Untersuchung aller aufgezeichneten Vorfälle wird von den Ingenieuren der ersten Überwachungslinie durchgeführt. Die Aufgabe des Analysten besteht darin, während der Eskalation eine Verbindung herzustellen und die Qualität der Untersuchung von Vorfällen zu überwachen, die in der ersten Zeile ermittelt wurden. Darüber hinaus wenden sich Ingenieure häufig an den Analysten, um Ereignisse zu interpretieren oder die Kritikalität des Vorfalls zu bewerten. Dies bedeutet, dass der Analyst seine Nachwuchskollegen anleiten, den Fortschritt bei der Qualität der Untersuchung überwachen und dem First-Line-Teamleiter Feedback geben muss.
Außerdem bittet der Kunde häufig darum, diese oder jene Informationen zu Ereignissen bereitzustellen. Der Analyst muss die Aufgabe bewerten, richtig interpretieren und an die Erstingenieure weitergeben, um sie je nach Schwierigkeitsgrad bei der Ausführung der Aufgabe ganz oder teilweise umzusetzen. Es ist wichtig, nicht alle technischen Aktivitäten für sich selbst zu sperren und autonome Aufgaben als skalierbare Ressource rechtzeitig an die erste Zeile zu delegieren. Als Beispiel für solche Aufgaben können Anforderungen wie "Es ist erforderlich, Informationen über die Aktivität von Mitarbeiter N auf bestimmten Hosts zu entladen" oder "Anforderung zur Bereitstellung von Informationen zur Netzwerkinteraktion mit der Adresse xxxx für den letzten Monat" angeführt werden. Wie Sie sehen können, sind die Anforderungen recht einfach, aber ihre Implementierung in SIEM erfordert eine gewisse Zeit und ist in der ersten Zeile durchaus machbar.
"... lass sie mich unterrichten"
Wie wird Solar JSOC aufgefüllt? Ich wünschte, alles wäre einfach, wie auf dem Bild, aber leider.
Wenn Sie nicht in Betracht ziehen, Mitarbeiter von außen einzustellen, sowie einen horizontalen Übergang, wächst der Analyst auf natürlichste Weise von einem Reaktionsingenieur (weitere Details zu dieser Rolle in der JSOC-Bande finden Sie
hier und
hier ). "Und nur das ist logisch", wie der berühmte Charakter sagte.
Der Reaktionsingenieur ist höchstwahrscheinlich aus der ersten Überwachungslinie hervorgegangen, was bedeutet, dass er einen schwierigen Weg gegangen ist, um den laufenden Fluss von Vorfällen zu untersuchen und zwischen Scylla False Positive und Charybdis False Negative zu manövrieren. Darüber hinaus hat der Ingenieur bereits die Fähigkeiten komplexerer Untersuchungen, eingehender Arbeiten mit SIEM, der Verbindung von Ereignisquellen sowie der Lösung spezifischer Probleme von Kunden erworben. Im Allgemeinen beherrschte er die Grundlage für weiteres Wachstum.
Aber reicht das aus, um in die Analytik einzusteigen? Schwere Frage. Und normalerweise gibt es keine universelle Antwort darauf. Zumindest hat der Analyst im Vergleich zum Response Engineer eine neue Verantwortung - die Interaktion mit dem Kunden. Dies wird vielen wie eine Kleinigkeit erscheinen, aber die Praxis hat gezeigt, dass dies weit davon entfernt ist. Viele der IT-Mitarbeiter müssen hart an sich arbeiten, um die Angst zu überwinden und zu lernen, wie sie mit den Menschen kommunizieren können, die wir anbieten. Einige sind sehr unter Druck von der Last der Verantwortung. Für andere ist es psychologisch schwierig zu akzeptieren, dass es keine hochrangigen Genossen mehr in der Position eines Analytikers geben wird, die nach Ihnen suchen und auf Fehler hinweisen. Für viele ist es einfach zu viel Stress - wenn Sie atypische Aufgaben erledigen, von denen jede eine Herausforderung für Ihre Fähigkeiten darstellt, wenn sich mehrere Lösungen hintereinander als Sackgasse herausstellen. Viele geben dann einfach auf. Daher spielen hier menschliche Qualitäten eine wichtige Rolle.
Als Übersetzungsaufgaben für die Position eines Analysten bieten wir normalerweise zwei Arten von Aufgaben an. Eine davon ist die Entwicklung von JSOC-Inhalten, beispielsweise die Entwicklung eines Skriptblocks zur Erkennung neuer Angriffsvektoren. Von frisch - die Implementierung der Erkennung von Angriffen auf Active Directory, insbesondere DCShadow.
Neben der Arbeit mit Inhalten wird der Analyst während des Übersetzungsprozesses für zwei oder drei Solar JSOC-Kunden verantwortlich gemacht: Er prüft deren Infrastruktur, verbundene Quellen und die von ihnen empfangenen Ereignisse, überprüft die Vollständigkeit der verbundenen Systeme und den Umfang der Ausführung von Skripten und überwacht die erkannten Vorfälle und die Arbeitsqualität der Erstingenieure auf diese Vorfälle. Nach der Abnahme fallen alle Fragen bezüglich der technischen Seite des Service für diesen Kunden in den Verantwortungsbereich des neuen Analysten.
Das Analyseteam hat eine Rangfolge der Beiträge. Der Junior Analyst übernimmt eine neue Rolle für sich und nimmt typische Aufgaben wahr. Der Analyst ist die wichtigste Schlagkraft von JSOC und schließt den Hauptaufgabenpool. Ich möchte auch auf die Rolle des Senior Analyst eingehen. Wie der Name schon sagt, bewältigt der Senior Analyst seine Hauptaufgaben perfekt, verfügt über ein Verständnis für das Solar JSOC-Service-Management, kann Geschäftsrisiken bewerten, verfügt über ein hohes Maß an Kommunikation und kann bei Bedarf die Architektur eines atypischen Service usw. erarbeiten. Somit haben wir in der Person eines solchen Mitarbeiters eine autonome Kampfeinheit, die den Servicemanager für die Dauer seiner Abwesenheit ohne Qualitätsverlust ersetzen kann.
Aber was passiert neben dem Mitarbeiter, der eine Leiter namens Analyst hinaufgestiegen ist? Die Solar JSOC-Entwicklungsleiter endet hier nicht.
Sie können sich auf die Entwicklung konzentrieren und „tief graben“, Ihre Kenntnisse und Fähigkeiten eines Analysten in einem Überwachungszentrum verbessern und nach und nach zu einem eingefleischten Experten werden, der sich nicht mehr um die Komplexität der Aufgaben kümmert.
Sie können die Arbeit der Analysten optimieren und die Mitarbeiter überwachen, die in dieser Position arbeiten. Mit anderen Worten, steigen Sie schrittweise in die Rolle eines lokalen Teamleiters auf.
Und Sie können versuchen, sich den Reihen der klassischen Manager anzuschließen und die Last eines Service-Managers zu übernehmen, indem Sie so schwierige Aufgaben wie die Überwachung der SLA-Konformität, die Verwaltung des Solar JSOC-Service und die Interaktion mit dem Kunden in Bezug auf das erbrachte Serviceniveau übernehmen.
Wir versuchen, jedem Mitarbeiter bei der Auswahl des für ihn am besten geeigneten Entwicklungsvektors zu helfen und sich in der Solar JSOC-Struktur wiederzufinden.
