Als wir darüber sprachen, wie die Arbeit des Zentrums zur Überwachung und Reaktion auf Cyber-Angriffe (SOC) von innen nach außen funktioniert, haben wir bereits über die Ingenieure der
ersten und
zweiten Linie sowie über die
Analysten gesprochen . Dann haben wir beiläufig Service Manager erwähnt. Dies sind SOC-Mitarbeiter, die gegenüber dem Kunden für die Qualität der erbrachten Dienstleistungen verantwortlich sind. Diese kurze Definition verbirgt tatsächlich Folgendes: Der Servicemanager bestimmt die praktische Implementierung des Service vor Ort beim Kunden, sollte jederzeit bereit sein, den Anruf des Kunden oder die Benachrichtigung des Überwachungstechnikers über einen kritischen Vorfall zu beantworten, ein Antwort- oder Untersuchungsteam zusammenzustellen und zum Standort zu gehen.
Bei den Solar JSOC-Servicemanagern handelt es sich größtenteils um Männer über 30, die
Arten mit unterschiedlicher Erfahrung in der Informationssicherheit gesehen haben: vom Entwurf von Informationssicherheitssystemen bis zu Prüfprozessen. Stellen Sie sicher, dass Sie über die Fähigkeiten verfügen, vom
Vogel zum menschlichen Techniker zum Geschäft zu wechseln und umgekehrt.
Was und wem schuldet der Servicemanager?
Der Servicemanager benötigt keine gründlichen Kenntnisse über bestimmte Informationsschutz-Tools auf der Ebene eines Betriebsingenieurs. Auf dem Gebiet der SPI und ihrer Hersteller gibt es jedoch einen breiten Ausblick, minimale Kenntnisse der Netzwerkprotokolle und Anforderungen für bestimmte Informationsobjekte wie AWS KBR usw. - erforderlich. Und als zwingende Voraussetzung - ein etabliertes und verwurzeltes
aka Baobab- Verständnis, dass es notwendig ist, zunächst nicht Hosts, sondern Geschäftsprozesse zu schützen. Theoretisch weiß das jeder, aber in der Praxis kann nicht jeder diesem Prinzip folgen.
Warum so ein Kriterium? Service Manager ist ein einzelnes Fenster für den Client. Zusammen mit dem Analysten bilden sie eine Gruppe, die direkt mit dem Kunden kommuniziert. Eine Art Front Office in der Form, wie wir es uns vorstellen. Der Service Manager bestimmt, wie Kundenaufgaben auf Anwendungsebene gelöst werden. Solche Angaben sind in der Regel nicht vertraglich geregelt.
Es ist gut, wenn der Kunde ein klares Verständnis dafür hat, was er vom Service erhalten möchte (in dieser Zeile grinsten meine Kollegen). In Wirklichkeit ist dieses Phänomen fast so selten wie ein Meteorschauer. Und hier kann man einfach nicht auf eine Person verzichten, die im Rahmen des Projekts die Entwicklung der Informationssicherheit übernimmt. Für jeden einzelnen Kunden identifiziert er kritische Daten und Prozesse sowie Mittel zu deren Automatisierung. potenzielle Kompromisspunkte auf der Ebene der Infrastruktur und der Organisation der Interaktion zwischen Systemen und Menschen. Und dies ist erst in der Phase des Starts des Dienstes. Und dann kommen Arbeitstage, an denen der Serviceleiter ständig am Puls der Infrastruktur des Kunden ist. Es ist notwendig, eine Reihe von Faktoren zu berücksichtigen und zu berücksichtigen: die Art des Geschäfts, die verwendeten Netzwerkgeräte und SZI, die Anzahl und Art der Subunternehmer, den Zugang zu sensiblen Informationen und vieles mehr.
Eine völlig logische Frage: Warum ist es so schwierig? Schließlich können Sie Kundensysteme als Informationsquelle mit SOC verbinden und hier anhalten. Wahrscheinlich tut es jemand, aber unsere Erfahrung zeigt, dass das, was für eine Bank geeignet ist, nicht für ein Werk oder eine Leasinggesellschaft gilt. Ja, und innerhalb von Banken gibt es keinen identischen Sicherheitsansatz, obwohl dies eine der am stärksten überregulierten Branchen in unserem Land ist. Und in Fabriken herrscht im Allgemeinen ein leiser Schrecken: eine Reihe von proprietären Protokollen, eine unerschwingliche Anzahl von Subunternehmern, die sich remote mit Infrastrukturelementen verbinden (oft ohne dies dem Kunden mitzuteilen). Und mit all diesem Wissen ist es notwendig zu arbeiten.
Wie oben erwähnt, bilden wir unter jedem Vertrag ein Team von Analysten und Managern, die an vorderster Front stehen. Teams sind nicht permanent und variieren von Kunde zu Kunde. In der Regel bedient ein Service Manager drei bis sechs Kunden, abhängig von deren Vertragsgröße und dem Reifegrad des IS. Und dies sind drei oder sechs verschiedene Infrastrukturen, verschiedene
Bekenntnisse zu Ansätzen zur Informationssicherheit und andere „Reize“ der Artenvielfalt. Fairerweise ist es erwähnenswert, dass wir eine Reihe großer Kunden haben, denen ein persönlicher Servicemanager zugewiesen wurde, der nur mit ihnen zusammenarbeitet (was für ihn jedoch nicht einfacher ist).
Eine individuelle Herangehensweise an den Kunden ist kein großes Wort, sondern eine der Aufgaben bei der Erbringung der Dienstleistung. Selbst verschiedene Unternehmen derselben Infrastrukturbranche verfolgen unterschiedliche Ansätze in Bezug auf Sicherheit, IS-Richtlinien und Geschäftsprozesse. Unabhängig davon, wie wir den Service vereinheitlichen möchten, führt dieser Ansatz in Wirklichkeit zu Obszönitäten und einem geringeren Kundenschutz (mit anderen Worten, er ist hackig Arbeit). Es ist jedoch immer noch notwendig, ein Gleichgewicht zwischen den oft seltsamen Wünschen des Kunden und dem tatsächlichen Nutzen einer bestimmten Aktion zu finden.
Beispielsweise gibt es ein isoliertes WiFi-Gastsegment ohne Zugriff auf interne Ressourcen. Der Kunde möchte jedoch, dass er eine Benachrichtigung mit maximaler Kritikalität erhält, wenn wir den Start des RAT (Remote Access Tool) korrigieren. Tatsächlich unternimmt der Kunde jedoch nach Erhalt einer solchen Benachrichtigung nichts, weil Er hat keine Spielbücher und nicht genügend Ressourcen, um zu antworten. Und die Befriedigung solcher Wünsche erhöht die Belastung der Reaktionsingenieure und kommt keinem der Teilnehmer des Prozesses zugute. Infolgedessen erhalten wir nichts als erhöhte "sozialistische Verpflichtungen", d.h. Hohe Reaktion auf Vorfälle und Untersuchungsprozess funktionieren nicht.
Oder umgekehrt: Der Kunde möchte aufgrund eines obskuren Aberglaubens sein Abrechnungssystem (das Hauptgeschäftssystem und im Allgemeinen CII) nicht überwachen. Und wir müssen tatsächlich methodisch mit unseren Fingern erklären, warum wir dieses Segment schützen sollten. Jeder unserer SMs hat eine Menge ähnlicher Geschichten, und wenn Sie sie veröffentlichen, erhalten Sie ein gutes Buch wie dieses.
Auf der anderen Seite der Medaille stehen Solar-JSOC-Prozesse: direkte Überwachung und Identifizierung von Vorfällen, Analysen, Architekturen, Forensik usw. usw. All diese ziemlich große und bunte Firma arbeitet für Kunden. Wie in jedem lebenden Kollektiv hat es seine eigenen Entwicklungsvektoren, Vorlieben und persönlichen Kommunikationen. Dies sollte die Leistungserbringung nicht beeinträchtigen. Dies ist auch das Problem von SM: Es ist notwendig, Ressourcen neu zu verteilen, um ein Problem zu lösen und die Implementierung zu priorisieren, damit andere Kunden nicht davon betroffen sind. Eine langweilige Lektion wird erhalten.
Schlaf ist für Weicheier
Im Gegensatz zu den meisten Mitarbeitern von Solar JSOC arbeitet der Servicemanager „rund um die Uhr“: ohne Pausen für Nacht, Tag und Mittagessen. Alle anderen Dienste haben Begleiter. Dies bedeutet nicht, dass der Servicemanager wie ein Galeerensklave auf die moderne Version der Ruder beschränkt ist - einen Tisch und einen Computer. Es ist nur diese Person, die den Anruf des Kunden oder unserer internen Dienste zu jeder Tages- und Nachtzeit beantworten muss. Nach unserem Verständnis verbirgt der Begriff „Antwort“ die folgende Abfolge von Aktionen (wir sind für den Prozessansatz): Um die Frage / das Problem zu erkennen, entscheiden Sie sich für weitere Aktionen und verbinden Sie die erforderlichen Services innerhalb des Unternehmens, indem Sie das Ergebnis überprüfen.
Die Gründe für Anrufe können unterschiedlich sein - lustig und nicht sehr. Der häufigste und „beliebteste“ Grund für SMs ist die der Forensiker. Sie finden einen neuen Exploit, bewerten ihn im Hinblick auf mögliche Bedrohungen und starten ihn in Service-Manager (wie
kürzlich bei BlueKeep-2).
Und dann - eine Disco! Jeder der SMs prüft für alle Fälle die Dossiers der Kunden (obwohl sich die Mehrheit auswendig an die Infrastruktur erinnert). Der Leiter dieser wunderbaren Mitarbeiter generiert einen Alarmtext, der über alle verfügbaren Kanäle an die Kunden gesendet wird.
Bei Nachtanrufen gibt es eine andere gemeinsame Geschichte. Zu Vertragsbeginn bittet der Kunde häufig darum, dass die Vorfälle in einer Reihe von Szenarien der verantwortlichen Personen zu jeder Zeit, Tag und Nacht per Stimme gemeldet werden. Wenn ein Alarm ausgelöst wird, weckt der Überwachungsbeamte den SM und gibt ihm alle erforderlichen Informationen zu dem Vorfall. Als nächstes weckt der SM den Verantwortlichen und überträgt die Informationen bereits an ihn. Selbst wenn der Kunde über einen eigenen Reaktionsdienst verfügt, der rund um die Uhr arbeitet, hindert uns dies nicht daran, die verantwortliche Person aus dem Bett zu heben. Anrufe erfolgen parallel zu einer Benachrichtigung des Kunden über den Vorfall. In der Regel werden wir nach einigen Monaten, wenn der Kunde davon überzeugt ist, dass der Service wirklich rund um die Uhr verfügbar ist und er vergeblich dafür bezahlt, gebeten, eine solche Praxis einzustellen.
Es gibt jedoch schwerwiegende Gründe, nachts nicht zu schlafen. Dazu gehört eindeutig ein Angriff auf die Infrastruktur des Kunden. Eine solche seltene, aber nicht außergewöhnliche Situation tritt auch auf: Nachts klingelt ein Anruf, und sie bitten das Mobilteil um Hilfe am physischen Standort. Im Laufe der Jahre des Bestehens des Solar JSOC wurde das Programm eingeführt: „Im Tempo des Walzers“ wird ein Team zusammengestellt, in dem der SM als Koordinator fungiert und freundschaftlich zum Kunden fällt. Manchmal kommt es vor, dass wir vor den Verantwortlichen vorfahren, die diese Kette gestartet haben.
Rekorde - für die Starken im Geist
Neben einer schlaflosen Nacht in solchen Situationen gibt es noch ein großes Minus: Alle Teilnehmer des Prozesses können bereits genug Schlaf bekommen, und der Servicemanager muss einen vorläufigen Bericht über die Situation schreiben, in dem der Zeitpunkt der abgeschlossenen Aktionen angegeben ist, die Aktionen selbst und ihre Ergebnisse beschreiben. Die Berichterstattung ist keine Hommage an die Formalitäten, sondern ein echtes Dokument, das dann zerlegt wird, um Fehler oder umgekehrt erfolgreiche Entscheidungen zu identifizieren. Absolut alle Erfahrungen aller Solar JSOC-Spezialisten werden berücksichtigt, unabhängig von der Position, in der sie arbeiten.
Im Allgemeinen ist die Berichterstattung ein wesentlicher Bestandteil der Arbeit eines Servicemanagers. Es gibt viele Berichte. Nein, nicht so. Es gibt sehr viel. Für jeden Geschmack und jede Farbe: von den Sitzungsprotokollen, in denen die Weiterentwicklung des Dienstes aufgezeichnet wird, bis hin zur regelmäßigen Berichterstattung an die Kunden. Sehr oft werden Berichte von Präsentationen für das Top-Management begleitet, das über das ausgegebene Geld Bescheid wissen möchte, aber nicht bereit ist, sich mit dem jeweiligen Service zu befassen. Dementsprechend sollte die Präsentation verständlich bestätigen, dass der ausgegebene Betrag nicht umsonst ist und dass der Service wirklich nützlich ist. Und all dies wird absolut für alle Kunden von Männern über 30 erledigt. Ja, es gibt einen gewissen Automatisierungsgrad, aber wir haben noch nicht gelernt, wie man Präsentationen im automatischen Modus erstellt.
Im Allgemeinen kann ein guter SM mit jedem Publikum zusammenarbeiten: Klarheit ist unser AllesAber die Hauptsache ist anders
Sehr oft kann man hören, dass der Servicemanager eine Schießposition und höllische Arbeit ohne die Möglichkeit einer Entwicklung ist. Dies ist ein sehr starker Irrtum. Einer unserer SMs sagt, dass "das Ergebnis der Arbeit immer sichtbar ist, das heißt, Sie arbeiten nicht im Mülleimer, und das ist immer cool."
Wir werden darüber sprechen, wo sich der Service Manager entwickelt und wie daraus ein vollwertiger CISO entstehen kann. Bisher nur - Arbeitstage durch das Schlüsselloch.
