Hoy, incluso una búsqueda superficial en hh.ru ofrece alrededor de 90 vacantes que son diferentes en tareas y funcionalidad con la palabra mágica "analista" y términos de pago bastante decentes. Ante los ojos de muchos candidatos, el big data y el aprendizaje automático flotan de inmediato, el salario comienza a bailar muy por encima del mercado y coquetea con ceros. Entonces, ¿quiénes son los analistas del centro de monitoreo que son "responsables de garantizar que el cliente no sea pirateado"? ¿Qué hacen y qué necesitas saber y poder llegar a este puesto?
En
artículos anteriores, dijimos que la lista de las tareas principales del analista de la línea 3 incluye:
- Análisis de actividades anormales para identificar incidentes.
- Responder a incidentes críticos atípicos de sus clientes.
- Participación en la investigación de incidentes de SI no registrados por monitoreo
- Inspección técnica, conexión y adaptación de fuentes de eventos.
- Desarrollar nuevos escenarios de detección de incidentes.
En resumen, el analista es responsable de los aspectos técnicos del monitoreo de las amenazas cibernéticas del Cliente. La fuente no envía registros, el evento no se analizó, el script no funcionó o se falsificó, se perdió el ataque: el analista asignado al Cliente es responsable de todo.
Sin embargo, esto no significa que todos los analistas de Solar JSOC sean grises o calvos a la edad de 30 años. No todo Solo este rol implica altas exigencias para su artista. Intentemos describirlos con un poco más de detalle. Inmediatamente llamaremos la atención sobre el hecho de que en este artículo no nos enfocamos deliberadamente en las competencias técnicas que esperamos del candidato para el rol de analista de Solar JSOC. Ya se ha dicho mucho sobre tecnología, pero, como dice el nombre de la serie de nuestros artículos, SOC son personas.
Lucha y busca
No nos centraremos en ello, pero no puede decir algunas palabras sobre SIEM :) En la descripción del trabajo, a menudo escriben: "Experiencia con el sistema SIEM". Por un lado, todo está claro: SIEM es un motor SOC, sin él, un servicio, como dicen, "no funcionará". (Algunos expertos tienen sus propias objeciones, tienen derecho a la vida, teorías de construir SOC sin SIEM, pero aún así este no es el tema de nuestro artículo).
Sin embargo, de hecho, detrás de estas palabras hay algo más que la capacidad de mirar los registros de un sistema de TI en particular.
El analista debe poder modelar vectores de ataque en función de la cantidad mínima de información sobre la infraestructura del cliente. Por supuesto, sucede que cuando el Cliente se conecta, obtenemos de él información completa sobre las subredes L2-L3, una lista de servidores y AWP con sus roles, cargas desde AD y SCCM, etc. Y entre los especialistas de Solar JSOC, incluso existe la leyenda de que hubo un Cliente que proporcionó toda esta información actualizada ... Pero, desafortunadamente, este no es siempre el caso, y usted tiene que trabajar con lo que tenemos. Y esto significa que debe poder evaluar la idoneidad de las fuentes conectadas y los eventos recibidos para proporcionar un servicio de alta calidad para monitorear e identificar incidentes de SI. Obviamente, para esto, un especialista debe tener una sólida formación en las principales tecnologías de TI utilizadas para construir una infraestructura típica de la empresa.
Paralelamente, el analista debe ser capaz de usar fuentes antiguas para resolver nuevas tareas (en este caso, lectura - no núcleo). Por ejemplo, uno de nuestros bancos de clientes, que tiene una red desarrollada de cajeros automáticos en todo el país, tuvo un problema grave: la solución antivirus utilizada no nos permitió evaluar la integridad de la cobertura de estos cajeros automáticos con software antivirus. Sin embargo, teníamos un firewall de nivel de kernel conectado y sabíamos con qué servicio de procesamiento interactúan los cajeros automáticos. Utilizando estos registros, el analista responsable pudo preparar una lista de direcciones IP de los cajeros automáticos que están en proceso de procesamiento y, al mismo tiempo, la base de datos del centro de control de soluciones antivirus no contiene información sobre su agente. Durante varios meses de trabajo intensivo conjunto, logramos reducir la lista de dichos cajeros automáticos de varios cientos a unidades, y la tarea de inventario, originalmente atómica, finalmente se lanzó de manera continua.
Encuentra y no te rindas
Extremadamente útil para el analista es la corrosividad y la atención al detalle. Investigar incidentes que no fueron registrados por el conjunto de secuencias de comandos Solar JSOC en ejecución es un trabajo de rutina muy complicado con miles o incluso millones de eventos de varias fuentes. Y aquí lo más difícil es encontrar un hilo tirando del cual, será posible desentrañar todo el enredo del incidente.
Por ejemplo, tuvimos un caso en el que un analista investigó una entrada no autorizada en la infraestructura del Cliente y no pudo encontrar el punto de compromiso original. Para resolver el problema, tuvimos que elaborar un informe mensual sobre las conexiones de red entrantes y salientes con la participación de direcciones IP que pertenecen al grupo de direcciones externas del Cliente. Y solo después de un largo análisis de este informe, fue posible encontrar conexiones salientes atípicas desde un servidor web de prueba a una dirección IP de los Países Bajos, que finalmente resultó ser la actividad de Shell inversa, lanzada por un atacante en un servidor comprometido.
Parte de las tareas del analista requiere comunicación directa con el cliente. A veces, la información debe ser obtenida literalmente por ticks, por ejemplo, cuando llega una solicitud en forma de "¿qué era sospechoso de tal y tal estación de trabajo la semana pasada?". De hecho, después de una serie de preguntas principales, resulta que el empleado que trabajaba en esta estación de trabajo se quejó a su colega de la división IS en la sala de fumadores de que faltaba un archivo en su escritorio. Y el oficial de seguridad decidió preguntar al SOC externo con qué estaba conectado, pero la redacción de la pregunta era demasiado vaga. Y esto sucede todo el tiempo. Es difícil sobreestimar la notoria capacidad de trabajar en equipo, es decir, en conjunto con un gerente de servicio. Para proporcionar un servicio de alta calidad, es importante que ambos empujen al equipo en una dirección y no como en una famosa fábula.
El personaje es persistente, nórdico
Por separado, vale la pena señalar un rasgo de personaje que se hizo tan familiar en todos los currículums que nadie le presta atención. Se trata de resistencia al estrés. Solar JSOC proporciona un servicio de 24 por 7, lo que significa que todos los analistas participan en llamadas las 24 horas, listos en cualquier momento, de día o de noche, para unirse a la investigación de un incidente importante. Al mismo tiempo, como muestran las
estadísticas , una parte considerable de los incidentes críticos ocurre precisamente después de las horas. La capacidad de despertarse varias veces por la noche se destaca, y el cerebro debe comenzar y estar listo para percibir la información más importante casi al instante.
La investigación de todos los incidentes registrados es realizada por los ingenieros de la primera línea de monitoreo. La tarea del analista es conectarse durante la escalada, así como monitorear la calidad de la investigación de incidentes resueltos por la primera línea. Además, los ingenieros a menudo recurren al analista para ayudar a interpretar eventos o evaluar la gravedad del incidente. Esto significa que el analista debe guiar a sus colegas junior, monitorear el progreso en la calidad de la investigación y dar retroalimentación al líder del equipo de primera línea.
Además, el Cliente a menudo solicita proporcionar esta o aquella información sobre los eventos. El analista debe evaluar la tarea, interpretarla correctamente y pasarla a los ingenieros de primera línea para su implementación, total o parcial, dependiendo del nivel de dificultad para completar la tarea. Es importante no bloquear toda la actividad técnica en usted mismo y delegar tareas autónomas a la primera línea a tiempo como un recurso escalable. Como ejemplo de tales tareas, se pueden citar solicitudes como "es necesario descargar información sobre la actividad del empleado N en ciertos hosts" o "solicitar información sobre la interacción de la red con la dirección xxxx del último mes". Como puede ver, las solicitudes son bastante simples, pero su implementación en SIEM requiere una cierta cantidad de tiempo, y es bastante factible en la primera línea.
"... deja que me enseñen"
¿Cómo se repone Solar JSOC? Desearía que todo fuera simple, como en la imagen, pero por desgracia.
Si no considera contratar personas del exterior, así como una transición horizontal, entonces el analista crecerá de la manera más natural de un ingeniero de respuesta (puede leer más detalles sobre este papel en la pandilla JSOC
aquí y
aquí ). "Y solo esto es lógico", como dijo el famoso personaje.
El ingeniero de respuesta probablemente surgió de la primera línea de monitoreo, lo que significa que pasó por un camino difícil para investigar el flujo continuo de incidentes, maniobrando entre Scylla False Positive y Charybdis False Negative. Además, el ingeniero ya ha adquirido las habilidades de investigaciones más complejas, el trabajo en profundidad con SIEM, la conexión de fuentes de eventos y la resolución de problemas específicos de los Clientes. En general, dominó los cimientos necesarios para un mayor crecimiento.
¿Pero es esto suficiente para entrar en análisis? Esta es una pregunta difícil. Y generalmente no hay una respuesta universal para ello. Como mínimo, el analista, en comparación con el ingeniero de respuesta, tiene una nueva responsabilidad: la interacción con el Cliente. Esto parecerá un poco para muchos, pero la práctica ha demostrado que esto está lejos de ser el caso. Muchos de los muchachos, inmersos en TI, tienen que trabajar duro para superar el miedo y aprender a comunicarse con las personas a las que brindamos el servicio. Algunos están muy presionados por la carga de la responsabilidad. Es psicológicamente difícil para los demás aceptar que ya no habrá camaradas superiores en la posición de analista que verifiquen dos veces después de usted y señalen los errores. Para muchos, es demasiado estrés: cuando haces tareas atípicas, cada una de las cuales es un desafío para tus habilidades, cuando varias soluciones seguidas resultan ser un callejón sin salida. Muchos simplemente se rinden. Entonces las cualidades humanas juegan un papel importante aquí.
Como tareas de traducción para el puesto de analista, generalmente ofrecemos dos tipos de tareas. Una de ellas es la tarea de desarrollar contenido JSOC, por ejemplo, desarrollar un bloque de script para detectar nuevos vectores de ataque. Desde cero: la implementación de la detección de ataques en Active Directory, en particular DCShadow.
Además de trabajar con el contenido, el analista durante el proceso de traducción es designado responsable de dos o tres clientes de Solar JSOC: examina su infraestructura, las fuentes conectadas y los eventos recibidos de ellos, verifica la integridad de los sistemas conectados y el alcance de los scripts en ejecución, y procede a controlar los incidentes detectados y la calidad del trabajo de los ingenieros de primera línea. en estos incidentes. Después de la aceptación, todas las preguntas relacionadas con el aspecto técnico del servicio para este Cliente pasan al área de responsabilidad del nuevo analista.
El equipo de análisis tiene una clasificación de publicaciones. El analista junior asume un nuevo rol para sí mismo y se dedica a tareas típicas. El analista es la principal fuerza de ataque de JSOC, cerrando el grupo de tareas principal. También me gustaría decir sobre el papel del analista senior. Como su nombre lo indica, el analista senior hace frente perfectamente a sus tareas principales, mientras que comprende la gestión de servicios de Solar JSOC, puede evaluar los riesgos comerciales, tiene un alto nivel de comunicación y, si es necesario, puede resolver la arquitectura de un servicio no estándar, etc. Por lo tanto, en la persona de dicho empleado, tenemos una unidad de combate autónoma que puede reemplazar al gerente de servicio por el período de su ausencia sin pérdida de calidad.
Pero, ¿qué sucede al lado del empleado que subió una escalera llamada Analista? La escalera de desarrollo Solar JSOC no termina ahí.
Puede concentrarse en el desarrollo y "profundizar", mejorando sus conocimientos y habilidades de un analista en un centro de monitoreo, convirtiéndose gradualmente en un experto empedernido que ya no se preocupa por el nivel de complejidad de las tareas.
Puede optimizar el trabajo de los analistas, así como supervisar a los chicos que comienzan a trabajar en esta posición. En otras palabras, avanzar gradualmente al papel de un líder de equipo local.
Y puede intentar unirse a las filas de gerentes clásicos y asumir la carga de un gerente de servicio, asumiendo tareas tan difíciles como monitorear el cumplimiento de SLA, administrar el servicio Solar JSOC e interactuar con el Cliente en términos del nivel de servicio provisto.
Estamos tratando de ayudar a cada empleado a decidir el vector de desarrollo más adecuado para él y encontrarse en la estructura Solar JSOC.
