Hemos estado hablando sobre tareas de recursos humanos y modelos de desarrollo de empleados en Solar JSOC desde hace algún tiempo. Seguramente logró leer un artículo sobre
cómo un estudiante de tercer año para llegar al centro de monitoreo y respuesta , o
cómo un ingeniero para bombear experiencia para el movimiento vertical en la estructura Solar JSOC (de la primera línea a la segunda). No muy lejos están los materiales sobre el desarrollo vertical posterior de los analistas y cómo un gerente de servicio puede convertirse en un CISO completo. Pero por ahora me gustaría hablar de otra cosa.
El pez siempre está buscando dónde es más profundo, y el hombre, dónde está mejor. Esta declaración común refleja claramente las aspiraciones de los empleados y candidatos. Solo la palabra "mejor" para cada uno de ellos tiene su propio significado. De ninguna manera siempre está relacionado con condiciones financieras, calificaciones / frambuesas o tiempo de viaje desde el hogar a la oficina.
A menudo sucede que un empleado simplemente está cansado de las tareas actuales y se esfuerza no tanto por "repasar" la experiencia, es decir. hacer lo mismo, pero más profundo que encontrar nuevos desafíos en direcciones relacionadas. En tales casos, hacemos todo lo posible para ayudarlo a obtener una nueva vocación y recibir un desarrollo no "vertical", sino "horizontal" dentro de Solar JSOC. La única dificultad es no perderse este momento, así como darle a una persona todo el "equipo" necesario para conquistar nuevos picos.
Aquí hay algunos de estos casos que trataremos de contar.
Manos calientes, corazón frío
La vida de nuestro equipo comienza con la primera línea. Pero, como ya hemos mencionado varias veces, las primeras líneas son dos. El primero se centra en seleccionar registros, analizar y analizar incidentes, convirtiéndolos en informes analíticos o falsos positivos.
Este trabajo es de muy alta velocidad (nuestra primera línea genera casi 1,500 sospechas de un incidente por día), pero al mismo tiempo está algo tipificado. En primer lugar, requiere perseverancia, concentración y claridad mental continua (esta es probablemente también la razón por la cual el trabajo de monitoreo atrae al género femenino: es en la primera línea que hay más niñas).
Hay varios matices aquí. En primer lugar, después de todo, trabajar con registros y recuperar un incidente a menudo deja una sensación de efímero e incompleto. Hay un proceso, pero no hay ningún resultado que pueda tocar o sentir al alcance de su mano. Y el deseo de "sentir" el resultado del trabajo de uno es a veces muy importante para un guardia de seguridad.
En segundo lugar, como ya se mencionó, el trabajo impulsado por el SLA está en curso y a un alto ritmo. Si el alma requiere la capacidad de profundizar cuidadosa y pausadamente en una compleja tarea de ingeniería, la presión constante del tiempo puede ser molesta.
Esto puede no ser siempre obvio incluso para el propio empleado, sino desde el exterior notablemente a simple vista, especialmente si:
- Un ingeniero fuerte realiza un análisis e investigación de incidentes de muy alta calidad, pero falla regularmente en el tiempo definido por el SLA, especialmente para los incidentes más cortos.
- Paralelamente a las tareas principales, el ingeniero se siente atraído por el trabajo con tareas internas para mejorar la eficiencia de la infraestructura o comienza a escribir scripts en la rodilla para automatizar sus tareas de trabajo.
Bueno, en general, comenzando desde el comienzo de la entrevista, prestamos atención a cómo piensa y qué impulsa a su futuro colega, ya sea que esté listo para trabajar de acuerdo con el algoritmo y siga claramente las instrucciones, o prefiera alguna búsqueda gratuita e investigación independiente.
Si los detalles del trabajo de monitoreo se convierten en un problema para una persona, esto no significa que deba ir a buscar un nuevo lugar. Para nosotros, esta es una señal de que, después de pasar el fuego y el agua del monitoreo, puede probarse a sí mismo en las tuberías de cobre de la administración y asumir las políticas de gestión directa y "giro" de una amplia variedad de piezas de hierro, equipos de seguridad y sistemas de seguridad de la información. Y tales "transiciones de transferencia" no son una excepción a la regla para nosotros o algo no desarrollado.
Como funciona Afortunadamente, a pesar de toda la diferencia en el trabajo de los equipos, las dos primeras líneas tienen una base similar con respecto a las tecnologías de red. Además, para los ingenieros de monitoreo, la funcionalidad y las capacidades de las herramientas de seguridad son bastante transparentes: trabajan con sus registros a diario. Por lo tanto, generalmente es suficiente que un ingeniero bombee tres habilidades para la traducción:
- Para estudiar la funcionalidad y las interfaces de esas herramientas de seguridad con las que tendrá que trabajar diariamente (antivirus, servidores proxy, firewalls, VPN).
- Mejorar las habilidades en la administración de equipos de red con la ayuda de equipos de laboratorio internos y externos para poder participar en la gestión, incluida la planificación del trabajo.
- Aprenda a diagnosticar problemas y fallas de los equipos de protección analizando una docena de casos prácticos de nuestra base de conocimiento.
Y una cosa más: la frase sobre un corazón frío en el título del párrafo no fue dada como una broma. Trabajar con sistemas críticos de alta carga no tolera el alboroto y las emociones "¡Y ahora haré todo de una manera rápida!" Estas son acciones muy equilibradas y racionales con la evaluación de posibles consecuencias, el desarrollo de un procedimiento de solicitud de cambio (RFC) y la planificación de la ventana tecnológica.
Tales detalles de la actividad, y la atmósfera en el equipo, dejan una huella en la mentalidad de los luchadores de la primera línea de administración, obligándolos a pensar cada minuto sobre las consecuencias del trabajo realizado, los cambios realizados y el hecho de que es imposible incluir en la caja Procrustean de regulaciones y descripciones de trabajo.
Un matemático no debería pensar, un matemático debería pensar
Existe un escenario inverso, cuando en algún momento las manos del especialista comienzan a cansarse del hardware y la instalación de equipos y equipos de protección, pero no hay deseo de avanzar hacia la gestión o la gestión de personas. En esos momentos, generalmente desea mirar el sistema de seguridad del cliente un poco desde afuera, comenzar a usar vectores de amenazas, escenarios para identificarlos y responder a ellos, mirar la infraestructura un poco más amplia, sin limitarse al alcance de las herramientas de protección y los sistemas relacionados. Y esto a menudo empuja a una persona a avanzar hacia el análisis de incidentes y trabajar con escenarios para identificarlos.
Nuestros clientes son de gran ayuda para formar tales vectores de movimiento de especialistas. En particular, aquellos para los cuales resolvemos tareas de administración de seguridad de extremo a extremo, es decir, nos dedicamos no solo a monitorear y analizar incidentes, sino también a administrar herramientas de seguridad.
¿Cómo es que los clientes influyen en nuestros procesos internos de personal? Principalmente por dos razones:
- La plataforma SIEM en sí misma, además de detectar incidentes, es una muy buena herramienta para la gestión de registros y el análisis posterior. Parte de las tareas asociadas con la operación, diagnosticar la causa de la carga en el canal, determinar la lista de direcciones externas utilizadas en la aplicación, restaurar la cadena de cambios en las políticas y configuraciones, a menudo se puede hacer mucho más rápido y más eficientemente en SIEM. Por lo tanto, todos los ingenieros, comenzando con la primera línea de administración, obtienen acceso para leer los registros de los sistemas del cliente. Rápidamente, esto lleva a una mente inquisitiva al deseo de crear micro-automatización para sí mismo, plantillas de informes, etc. Por lo tanto, el ingeniero está involucrado en un área adyacente y a veces lo encuentra más interesante.
- La segunda parte, no menos importante de nuestras vidas, es la investigación de incidentes atípicos o la respuesta a ataques complejos. En este caso, especialmente si el puntaje continúa durante minutos, todos están haciendo todo, y los administradores también están involucrados en la lluvia de ideas por el método de análisis, contrarrestar y eliminar las consecuencias del ataque. Tal estimulación del cerebro para el análisis y la búsqueda de conexiones implícitas también cristalizan rápidamente en un empleado una conciencia de la comodidad y la fascinación de tales tareas.
¿Cómo se mueve el personal a lo largo de esta transferencia? Por lo general, la capacitación y la traducción van en tres áreas:
- Experiencia en análisis de registros e investigación de incidentes. Por supuesto, los ejemplos de laboratorio ayudan mucho, pero la vida del proveedor de MDR arroja nuevos casos interesantes semanalmente, en los que puede evaluar y potenciar sus habilidades. Además, como ya he dicho, los expertos administrativos también tienen experiencia básica con los registros.
- Trabaja con SIEM para crear o adaptar contenido. El lenguaje "pájaro" para escribir reglas de correlación en diferentes SIEM no se les da a los niños de inmediato. Pero, una vez más, la experiencia con los registros y la creación de informes básicos acorta en gran medida esta ruta.
- Bueno, las habilidades para implementar la plataforma, conectar y configurar fuentes para cualquier administrador han sido familiares. Solo un producto más en la cartera.
Dichas transiciones dan lugar a analistas muy fuertes, ya que la experiencia de combate con equipo de protección los ayuda significativamente a interpretar revistas y a desarrollar recomendaciones más específicas y prácticas para responder y eliminar las consecuencias de un ataque.
Nunca habrá una segunda oportunidad para causar una primera impresión.
Una historia completamente separada en el trabajo de Solar JSOC son las actividades de soporte de ventas, y especialmente los proyectos piloto. El proyecto piloto debe ser la calidad por excelencia del servicio prestado:
- El tiempo de prueba es siempre limitado y limitado, por lo tanto, el ritmo de trabajo en la conexión de servicios tanto del cliente como del nuestro debe ser máximo.
- El piloto debe mostrar nuestras capacidades y procesos al máximo para que el cliente pueda evaluar la aplicabilidad de nuestros servicios por sí mismo de la manera más objetiva y sin adornos posible (de lo contrario, en la etapa de prestación del servicio, pueden surgir muchos problemas en ambos lados).
- En poco tiempo y en una escala piloto limitada, debemos "desenterrar" una serie de incidentes y vulnerabilidades de infraestructura que explicarán a la empresa los beneficios reales del servicio.
Dichos proyectos requieren un analista de preventa responsable de ellos con un conjunto de cualidades extremadamente inusuales: por un lado, la sistematización para gestionar adecuadamente los recursos y los plazos, y al mismo tiempo, cierta imprudencia y sed de logro, para hacer esto de vez en cuando por delante de las expectativas. . Por un lado, una demostración de los beneficios del servicio requiere una inmersión sustancial del proceso en el servicio y experiencia en el soporte de ventas. Por otro lado, la excavación de incidentes requiere una notable experiencia en seguridad de la información para trabajar con registros, y solo un talento para posibles cuellos de botella en el sistema de protección del cliente.
Un caso nos ha llevado a un posible método para cultivar y seleccionar dicho personal. Estábamos profundamente convencidos de que sin una comprensión técnica de SOC, experiencia con registros y SIEM, las habilidades de preventa en nuestro caso no tienen sentido. Pero una vez que uno de los candidatos puso toda la situación de cabeza.
Estaba bien entrenado como preventa, como dijo uno de los entrevistadores: "No lo necesitaba en absoluto, pero casi lo compro". Realmente "quemó" su negocio y estaba lleno de un deseo de crecer y desarrollarse. Pero, desafortunadamente, su conocimiento técnico estaba infinitamente lejos del tema de SIEM y otros subsistemas SOC.
Sin embargo, por voluntad del servicio de recursos humanos, el candidato vino a trabajar con nosotros y comenzó a unirse al equipo. Y de forma bastante inesperada, quedó claro que el deseo de crecer y desarrollarse en conjunto con el entorno adecuado, cuando los procesos y las tareas de SOC se absorben en la sala de fumadores, en el almuerzo y simplemente en los turnos de la oficina, dan un buen resultado. Literalmente, en un mes y medio, ya tomó el control del primer proyecto piloto, no solo como gerente y controlador de tiempo, sino con una implementación técnica casi autónoma de las tareas. Ahora implementa con éxito pilotos de cualquier categoría de complejidad ya en el papel de un entrenador de juego.
Como resultado, encontramos un enfoque de dos lados para una tarea muy no estándar de aumentar el personal de piezas como el análisis de preventa de los servicios de Solar JSOC:
- "Polinización" del equipo de preventa con conocimiento técnico y espíritu de vida en operaciones de ciberseguridad,
- busque entre los técnicos para aquellas personas que deseen pasar de especialistas técnicos a un puesto más cercano a la dirección comercial.
Ambos enfoques son útiles y prometedores no solo para nosotros, como un equipo en crecimiento del centro de monitoreo, sino también para los empleados que reciben otra opción para el desarrollo profesional.
Por supuesto, estas no son todas las opciones para mover empleados dentro del Solar JSOC. Hubo casos en que el ingeniero del grupo de administración, cansado de la comunicación continua con el cliente y con el deseo de concentrarse en la operación de algo "suyo", se trasladó a los arquitectos de nuestra infraestructura JSOC. Los ingenieros de primera línea a veces despertaron una pasión por el análisis de bajo nivel y trabajar con Assembler (los primeros signos de un forense principiante). Los luchadores experimentados de la primera y segunda línea, cansados de la ingeniería, cambiaron gradualmente a las tareas del gerente de servicio y la comunicación con el cliente, o se convirtieron en líderes locales del equipo.
Como ya se mencionó en el
primer artículo del ciclo, lo principal en una persona no es la "fluidez de los dedos" o la mirada "ardiente" en busca de la felicidad momentánea, sino centrarse en el propio desarrollo, la capacidad de buscar y encontrar nuevos horizontes para uno mismo. Además, nuestra tarea ya es: no perder el momento en que lo interno, básico para esta persona necesita comprender y llegar al fondo de alguna actividad que no sea del todo perfil prevalecerá sobre la necesidad de resolver los problemas de las operaciones actuales.
En este momento, es importante darle a una persona la oportunidad de dar el siguiente paso, ofrecer opciones que le permitan hacer lo que el alma realmente miente. Y en qué dirección no es tan importante: hay pocas metas brillantes y siempre hay suficientes tareas en una gran empresa.