Personalalchemie: Wie setzt sich das Team des Zentrums GosSOPKA optimal zusammen?

Dieser Artikel ist nützlich für diejenigen, die in einem Unternehmen arbeiten, das als Gegenstand einer kritischen Informationsinfrastruktur (CII) anerkannt ist. Dies bedeutet, dass es verpflichtet ist, die Anforderungen von Nr. 187-FZ zu erfüllen und das Zentrum des staatlichen Sozialschutz- und Zertifizierungsdienstes (staatliches System zur Erkennung, Verhütung und Beseitigung der Folgen von Computerangriffen) zu errichten, das die Anforderungen des föderalen Sicherheitsdienstes Russlands erfüllt .

In einem früheren Artikel haben wir die Grundlagen dieses Themas angesprochen und über die Anforderungen des FSB an technische Ausrüstung gesprochen, die im Zentrum des staatlichen Sozialversicherungs- und Zertifizierungsdienstes verwendet werden sollte. Diese Anforderungen gelten jedoch (fast zum ersten Mal) nicht nur für technische Schutzmaßnahmen, sondern auch für die Implementierung spezifischer Prozesse zur Überwachung, Reaktion auf und Untersuchung von IS-Vorfällen. Daher werden wir heute darüber sprechen, welche Humanressourcen Sie benötigen, um all diese Prozesse sicherzustellen.

Zunächst ein paar Worte darüber, warum wir überhaupt Tipps zu diesem Thema geben. Im Wesentlichen ist das GosSOPKA-Zentrum ein kleines internes Zentrum zur Überwachung und Reaktion auf Cyber-Angriffe
(Security Operations Center) mit nur zusätzlichen Aufgaben und Verantwortlichkeiten. Die siebenjährige Praxis der Bereitstellung solcher Dienstleistungen, mehr als hundert der größten unter Schutz stehenden Unternehmen sowie die Erfahrung bei der Einrichtung von GosSOPKA-Zentren für Kunden haben uns rechtzeitig geholfen, die Probleme der „Alchemie“ des Personals ziemlich gründlich zu erarbeiten. Dabei haben wir natürlich regelmäßig nach Optionen gesucht, um die Personalkosten zu optimieren und gleichzeitig das erforderliche hohe Serviceniveau aufrechtzuerhalten.

Insbesondere sollte das Team in der Lage sein, einem ziemlich harten SLA standzuhalten: Solar JSOC-Spezialisten haben nur 10 Minuten Zeit, um einen Angriff zu erkennen, und nur 30 Minuten, um zu reagieren und zu schützen. Gleichzeitig ermöglichen uns die von uns entwickelten Personalstandards, das Team in Abhängigkeit vom tatsächlichen Volumen der Vorfälle beim Kunden zu skalieren (und glauben Sie mir, es nimmt nicht von Jahr zu Jahr ab).

In diesem Material haben wir unsere Erfolge zusammengefasst und die Mindestkonfiguration der Organisations- und Personalstruktur des SOC angegeben, in der es alle erforderlichen Funktionen des GosSOPKA-Zentrums erfüllen und den methodischen Empfehlungen der Regulierungsbehörde entsprechen kann.

Erste Zeile

Wie die Praxis zeigt, sind für den Schutz dieser Linie mindestens 7 Spezialisten erforderlich, da die meisten von ihnen im Schichtbetrieb arbeiten und einen 24x7-Modus bieten. Dies sind insbesondere Überwachungsspezialisten - es sollten mindestens 6 Personen anwesend sein. In diesem Fall üben Sie nicht nur rund um die Uhr die Kontrolle über die Unternehmenssysteme aus, sondern können dem FSB auch spätestens 24 Stunden gemäß der Bestellnummer 367 vom 24.07.2018 Informationen über Computervorfälle zur Verfügung stellen.

Bei Service-Spezialisten für die SZI GosSOPKA sind verschiedene Optionen möglich.

Das erste ist, dass das Thema KII eine groß angelegte Architektur hat und es notwendig ist, die ständige Verfügbarkeit kritischer Dienste sicherzustellen. Aufgrund der Abschaltung / Unzugänglichkeit / Störung der Arbeit der ISS wird die Organisation Geld- und / oder Reputationsverluste erleiden, und gleichzeitig besteht ein hohes Risiko für Umwelt- und Personenschäden. In diesem Fall müssen Sie 6 Personen einstellen, die rund um die Uhr Schichtarbeit leisten.

Eine weitere Option: Das Subjekt verfügt über dieselbe umfangreiche Architektur und dieselben kritischen Dienste, die eine konstante Verfügbarkeit erfordern, während alle Vorgänge mit Geräten von IT-Diensten ausgeführt werden. Die Abteilung für Informationssicherheit legt die Funktionsregeln fest und überwacht deren Implementierung. In diesem Fall können Sie sich auf drei Spezialisten beschränken, die im 12/7-Modus arbeiten, und bei Bedarf auf Nachtgespräche.

Wenn das Thema der staatlichen Sozialschutzbehörde das Risiko einer Verletzung der Verfügbarkeit von KII-Objekten für mehr als 18 Stunden nicht als kritisch erachtet, ist es möglich, die Schutzausrüstung mit Hilfe eines Spezialisten im 8x5-Modus zu warten.

Spezialist	Verantwortlichkeiten	Qualifikationsanforderungen	Modus	Menge
Überwachungsspezialist	Behandlung typischer Vorfälle von HelpDesk, IRP, SIEM oder von Benutzern. Typische Berichte über die Ergebnisse der Überprüfung. Überwachung des Status von Quellen. Rückwirkende Kontrollen (nach Erhalt neuer Kompromissindikatoren).	Systemadministration (Linux / Mac / Windows). Kenntnisse verschiedener SZI. Kenntnis des OSI-Modells. Kenntnis der Grundsätze des E-Mail-Schutzes, der Netzwerküberwachung und der Reaktion auf Vorfälle. Die Erfahrung der Aggregation und Analyse von Protokollen aus einer Vielzahl heterogener SIS.	24x7	6
Service-Spezialist	Überwachung und Diagnose von Problemen mit Betriebsmitteln und Software. Geplante routinemäßige Wartung von SZI. Außerplanmäßiger Service von SZI. Wartung der internen Infrastruktur des Zentrums Sofortige Reaktion bei mehreren positiven Fehlalarmen.	Systemadministration (Linux / Mac / Windows). Kenntnisse verschiedener SZI.	24x7	6
			12x7 + nachts anrufen	3
			8x5	1

Es ist wichtig zu verstehen, dass trotz der deutlich geringeren Anzahl von Vorfällen in der Nacht die wichtigsten und kritischsten Ereignisse nur in der Nacht auftreten und zu Beginn der Morgenschicht bereits an Relevanz verlieren. Es ist jedoch die Ausrichtung der 24x7-Betriebsart, die den meisten SOCs Schwierigkeiten bereitet: Nicht jeder Spezialist wird in Schichten arbeiten wollen. Ein seltener Mitarbeiter wird lange Zeit zu qualitativ hochwertiger Arbeit motiviert sein, insbesondere wenn es nur wenige Vorfälle in Ihrer Infrastruktur gibt. All dies bedeutet, dass Sie die Fluktuationsprobleme systematisch lösen und kontinuierlich neue Spezialisten auswählen und schulen müssen.

Zweite Zeile

In dieser Phase kann man in der Regel nicht auf die Hilfe eines erfahrenen Auftragnehmers verzichten - es sei denn, Sie zählen natürlich Geld und beabsichtigen nicht, sich in ein Full-Service-IB-Unternehmen zu verwandeln. Neben Spezialisten für die Beseitigung der Folgen von Computervorfällen und die Bewertung der Sicherheit enthält die zweite Zeile eher spezifische Positionen. Dies sind sehr teure Spezialisten, die Sie nicht in Vollzeit benötigen, ohne die Ihr SOC jedoch wahrscheinlich nicht den stolzen Titel des SOSOPKA-Zentrums erreichen kann - Pentester, Forensiker, Experten für Codeanalysen. Infolgedessen beträgt die Mindestanzahl an Mitarbeitern in der zweiten Zeile je nach Aufgabenebene 3-4 Mitarbeiter.

Unter ihnen sind Spezialisten für Computer-Incident-Response, erfahrene First-Line-Mitarbeiter, die wissen, wie man mit nicht typischen Vorfällen umgeht, und die bei Problemen First-Line-Hilfe leisten.

Das GosSOPKA-Zentrum ist verpflichtet, die Sicherheit der Informationsressourcen in seinem Verantwortungsbereich regelmäßig zu bewerten, aber nicht jede Organisation kann sich ein eigenes Pentesterteam leisten, das die Kollegen in einem konstanten Ton hält. Darüber hinaus sollten nach methodischen Empfehlungen zweimal jährlich Penetrationstests durchgeführt werden - extern und intern. Dieses Problem wird von einem erfahrenen externen Auftragnehmer, dessen Spezialisten mit vielen verschiedenen Kunden zusammenarbeiten, recht erfolgreich abgeschlossen, was bedeutet, dass sie ihre Fähigkeiten unter „Kampfbedingungen“ regelmäßig verbessern.

In diesem Bundesstaat empfehlen wir, nur einen Spezialisten für Sicherheitsbewertungen zu belassen, dessen Hauptaufgabe darin besteht, die Informationsressourcen zu inventarisieren, die CMDB-Datenbank zu füllen und auf dem neuesten Stand zu halten, mit einem Sicherheitsscanner zu arbeiten, Schwachstellen zu verarbeiten und das Patch-Management zu überwachen.

Wenn die Implementierung des Lebenszyklus einer sicheren Softwareentwicklung für das Thema KII relevant ist, kann eine statische und dynamische Analyse des Quellcodes verwendet werden, um Schwachstellen zu identifizieren. Gleichzeitig wird für KII nur in sehr wenigen Fällen ein Appsec-Spezialist benötigt - es ist logisch, hier externes Fachwissen anzuziehen.

Darüber hinaus verfügt der ausgereifte SOC über Spezialisten für die Ermittlung der Ursachen von Computervorfällen. Dies ist in der Regel auch ein ganzes Team von Ingenieuren, das nur mehrmals im Jahr benötigt wird. Wir empfehlen, sich nicht mit deren Inhalten zu belasten, sondern Vereinbarungen mit Unternehmen zu schließen, die sich kontinuierlich mit Forensik befassen.

Spezialist	Verantwortlichkeiten	Qualifikationsanforderungen	Modus	Menge
CT-Spezialist	Reaktion auf komplexe Vorfälle. Überwachung der Interaktion von SZI mit SIEM. Analyse abnormaler Aktivitäten zur Identifizierung von Vorfällen. Untersuchungen von DDoS-Angriffen. Sofortige Reaktion bei mehreren positiven Fehlalarmen.	Das gleiche wie in der ersten Zeile, plus: Kenntnisse in Skriptsprachen (Python, Bash, Powershell). Kenntnis des Managements von Schwachstellen und CVE-Nummern. Protokollverwaltung und Patchverwaltung in den Windows- und Linux-Familien. Zertifikate oder Kenntnisse gemäß CISSP / CEH. Besondere Aufmerksamkeit gilt SIEM-Systemen	8x5 mit Nacht- / Wochenendanruf	2
			12x7 + nachts anrufen	3
Sicherheitsassessor	Scannen nach Schwachstellen und Compliance. Konfigurieren Sie Scanprofile. Schwachstellenanalyse basierend auf Sicherheitsscannerberichten. Füllen der Basis-CMDB.	Arbeiten Sie mit Inventar-Tools und Sicherheitskontrollen	8x5	1
DevSecOps- / QA-Spezialist	Statische und dynamische Analyse des Software-Quellcodes	Erstellen von Appsec CI / CD, Arbeiten mit statischen und dynamischen Code-Analysatoren, Fuzzing	Vergabe von Unteraufträgen
Pentester / Redteam	Penetrationstests. Entwicklung von IoC basierend auf Forschung.	Durchführung interner und externer Pentests für alle Stadien der Killchain. Besitz von Tools zum Erkennen und Ausnutzen von Schwachstellen. IDS / IPS-Bypass usw. Eigentum von OSINT. Bash, Powershell, Python. Kenntnis der Testmethoden.	Vergabe von Unteraufträgen
Computer Cause Identifier	Reverse Engineering von Malware-Beispielen. Forensik von Netzwerk-Traffic-Dumps, RAM, Festplatten-Snapshots. Hostbasierte Forensik.	Untersuchung von Vorfällen. Sammlung und Analyse von Beweismitteln, Interaktion mit Strafverfolgungsbehörden (Arbeit mit forensischen Systemen, Reverse Engineering usw.)	Vergabe von Unteraufträgen

Dritte Zeile

Die Lösung der wichtigsten strategischen Aufgaben und des Top-Level-Managements, die in der dritten Zeile umgesetzt werden, sollte auf ihrer Seite angesammelt werden. Die Mindestzusammensetzung einer solchen Einheit beträgt 5 Spezialisten.

Dies sind insbesondere technische Experten - Fachingenieure, die für ihr Fachgebiet verantwortlich sind. Das Personal großer Zentren sollte Spezialisten in allen erforderlichen Bereichen (WAF, ITU, IDS / IPS, KVP usw.) umfassen. Wir beschränken uns auf zwei technische Experten, die Spezialisten der 1. und 2. Linie fachkundig unterstützen sollen.

Der Methodologe (IS-Prüfer), ein Experte auf dem Gebiet der Rechtsvorschriften und der Anforderungen der Aufsichtsbehörden (FSTEC, FSB, Zentralbank, ILV), ist dafür verantwortlich, die Übereinstimmung des Sicherheitsniveaus der Organisation mit den gesetzlichen Bestimmungen zu bewerten.

Analyst-Architect entwickelt neue Konnektoren, SIEM-Skripte, aktualisiert Regeln und Richtlinien von Schutzwerkzeugen gemäß den Threat Intelligence-Daten, analysiert falsch positive Antworten und analysiert Anomalien.

Der Leiter des GosSOPKA-Zentrums sollte zweifellos über fundierte Kenntnisse des Rechtsrahmens verfügen und über mindestens 10 Jahre praktische Erfahrung in der Informationssicherheitsbranche verfügen.

Spezialist	Verantwortlichkeiten	Qualifikationsanforderungen	Modus	Menge
Technischer Experte	Interne technologische Arbeiten zum Einsatz von Ständen. Testen neuer Produkte für das Zentrum. Sofortige Reaktion bei zahlreichen Fehlalarmen. Analyse der Qualität des Inhalts, Bildung von Anforderungen für die Überarbeitung. Durchführung einer Fallprüfung, Analyse der Qualität der Fallanalyse durch 1 Zeile. Aggregierte Analyse von Positiven False Positive, Empfehlungen zur Eliminierung.	Experten auf ihrem Spezialgebiet (Malware, Optimierungen, Einsatz spezieller technischer Mittel usw.),	8x5	2
Methodologe (IS Auditor)	Entwicklung und Pflege der organisatorischen und administrativen Dokumentation zur Informationssicherheit (Richtlinien, Vorschriften, Anweisungen). Organisation und Kontrolle der Einhaltung gesetzlicher Anforderungen und Industriestandards für Informationssicherheit. Teilnahme an der Vorbereitung und dem Abschluss von Verträgen; Analyse der Anwendbarkeit und Durchführbarkeit von Kontrahentenanforderungen im Hinblick auf die Informationssicherheit; Analyse von Verträgen im Hinblick auf die Einhaltung von Sicherheitsrichtlinien und -standards. Entwicklung und Pflege eines Informationssicherheits-Sensibilisierungsprogramms im Unternehmen. Bestandsaufnahme und Klassifizierung von Informationsressourcen von der Beschreibungsseite in der Dokumentation.	Ein Experte für Compliance und methodische Papierentwicklung. Erfahrung in der Entwicklung von Bedrohungs- und Eindringlingsmodellen, methodische Empfehlungen.	8x5	1
Analyst Architekt	Konnektorentwicklung. Anpassung von Szenarien an die Funktionsweise von IP. Skripterstellung für neue Quellen. Skriptoptimierung. Szenarioentwicklung nach Erhalt von Threat Intelligence. Emulation von Angriffen und Entwicklung von Szenarien für deren Erkennung	Beherrschung des Prozesses und der Mittel zur Unterstützung (SIEM) in seiner Richtung: Schwachstellenbewertung. Kontinuierliche Diagnose und Minderung. Die Fähigkeit, IoC von Threat Intelligence-Systemen an die IP des Subjekts anzupassen	8x5	1
Supervisor	Allgemeine Regie und Orchestrierung. Sensibilisierung der Mitarbeiter der staatlichen SOSPKA-Einheit. Durchführung von „Cyber-Orders“.	Teammanagement Erfahrung in Informationssicherheit ab 10 Jahren Kenntnis der Regulierungsdokumente des FSB und des FSTEC	8x5	1

Apropos Übung

Alle diese Empfehlungen dienen eher als Ausgangspunkt als als genaue Handlungsanleitung. Wenn Sie ein eigenes Zentrum einrichten, erhalten Sie natürlich Ihre eigene Personalausstattung. In einer Zeile gibt es mehr Spezialisten, in der anderen weniger, in der dritten werden leicht unterschiedliche Rollen angezeigt, oder sie werden weiter angehoben / abgesenkt.

Zum Beispiel haben wir für einen unserer Kunden einen SOC erstellt, in dem wir die Funktionen der ersten Überwachungslinie im 24x7-Modus belassen haben, und der Kunde hat die zweite Linie (ein Reaktionsteam von 5 Personen) und die Analyse der dritten Linie selbst eingestellt. Darüber hinaus hatte die Organisation bereits einen Leiter für Informationssicherheit (er leitete den SOC) sowie einen Methodologen und eine IT-Abteilung, die ebenfalls mit der Bestandsaufnahme befasst waren.

Ein anderer Kunde fügte der ersten Zeile die Rollen des Leiters der Überwachungsgruppe und der Verantwortlichen für die Interaktion mit Benutzern hinzu und erhöhte die Anzahl der Überwachungsspezialisten auf acht. In der zweiten Zeile waren drei Mitarbeiter für die Beseitigung der Folgen verantwortlich, aber der Forensiker wurde eingestellt. Die Gesamtzahl des GosSOPKA-Center-Teams in diesem Unternehmen betrug 20 Personen.

Letztendlich hängt das Personal des Zentrums von den Schlüsselvektoren der Entwicklung Ihres SOC ab, die bei der Analyse von Vorfällen ermittelt und angepasst werden. Gleichzeitig ist es insbesondere in der Anfangsphase ratsam, die Fähigkeiten des Dienstanbieters für die „Test“ -Skalierung von Lizenzen und Personal zu nutzen. In diesem Fall können Sie den Ressourcenbedarf genauer einschätzen und unnötige Kapitalinvestitionen vermeiden. Zum Beispiel gab uns einer der Kunden alle operativen Funktionen des Zentrums und ließ nur die Interaktion mit dem NCCSC (Senden von Berichten über Vorfälle) zurück.

Wenn wir über unser Standardschema für die Übernahme der Infrastruktur eines Kunden zur Überwachung auf Kundenseite sprechen, gibt es in der Regel:

• Zwei Mitarbeiter, die Nachrichten vom Solar JSOC-Überwachungsteam erhalten und gemäß unseren Empfehlungen auf Vorfälle reagieren.
• Ein Spezialist für das Scannen von Sicherheitslücken.
• Service Management Manager.

Aber jeder hat seine eigene Art, das Zentrum der staatlichen Sozialschutzbehörde aufzubauen, und wir hoffen, dass dieser Artikel Ihnen bei der Entscheidung über Ihr Zentrum geholfen hat.