Nous parlons des tâches RH et des modèles de développement des employés chez Solar JSOC depuis un certain temps maintenant. Vous avez sûrement réussi à lire un article sur la
façon dont un étudiant de troisième année peut se rendre au centre de surveillance et de réponse , ou
comment concevoir une expérience pour le mouvement vertical dans la structure Solar JSOC (de la première ligne à la seconde). Non loin se trouvent des documents sur la poursuite du développement vertical des analystes et sur la façon dont un gestionnaire de services peut devenir un CISO à part entière. Mais pour l'instant, je voudrais parler d'autre chose.
Le poisson cherche toujours où il est plus profond, et l'homme - où il vaut mieux. Cette déclaration commune reflète assez clairement les aspirations des salariés et des candidats. Seul le mot «mieux» pour chacun d'eux a sa propre signification. Il n'est en aucun cas toujours lié aux conditions financières, aux notes / framboises ou au temps de trajet de la maison au bureau.
Il arrive souvent qu'un employé soit simplement fatigué des tâches en cours et s'efforce moins de «pomper» l'expérience, c'est-à-dire faire de même, mais plus profondément que de trouver de nouveaux défis dans des directions connexes. Dans de tels cas, nous faisons de notre mieux pour l'aider à acquérir une nouvelle vocation et à recevoir un développement non "vertical" mais "horizontal" au sein de Solar JSOC. La seule difficulté est de ne pas rater ce moment, ainsi que de donner à une personne tout le "matériel" nécessaire pour conquérir de nouveaux sommets.
Voici quelques-uns de ces cas que nous allons essayer de raconter.
Mains chaudes, cœur froid
La vie de notre équipe commence par la première ligne. Mais, comme nous l'avons déjà mentionné à plusieurs reprises, les premières lignes sont deux. Le premier se concentre sur la collecte des journaux, l'analyse et l'analyse des incidents, leur transformation en rapports analytiques ou en faux positifs.
Ce travail est très rapide (notre première ligne repousse près de 1 500 soupçons d'incident par jour), mais en même temps, elle est quelque peu typée. Tout d'abord, cela nécessite de la persévérance, de la concentration et une clarté d'esprit continue (c'est probablement aussi pourquoi le suivi du travail attire le sexe féminin - c'est en première ligne que la plupart des filles le sont).
Il y a plusieurs nuances ici. Tout d'abord, après tout, travailler avec des journaux et récupérer un incident laisse souvent un certain sentiment d'éphéméralité et d'incomplétude. Il y a un processus, mais il n'y a aucun résultat que vous pouvez toucher ou sentir au bout de vos doigts. Et le désir de «ressentir» le résultat de son travail est parfois très important pour un agent de sécurité.
Deuxièmement, comme déjà mentionné, le travail mené par le SLA se poursuit et à un rythme élevé. Si l'âme a besoin de la capacité de se plonger de manière réfléchie et tranquille dans une tâche d'ingénierie complexe, une pression de temps constante peut être ennuyeuse.
Cela peut ne pas toujours être évident, même pour le salarié lui-même, mais de l'extérieur sensiblement à l'œil nu, surtout si:
- Un ingénieur solide effectue une analyse et une enquête de très haute qualité des incidents, mais échoue régulièrement dans le calendrier défini par le SLA, en particulier pour les incidents les plus courts.
- Parallèlement aux tâches principales, l'ingénieur est amené à travailler avec des tâches internes pour améliorer l'efficacité de l'infrastructure ou commence à écrire des scripts à genoux pour automatiser ses tâches.
Eh bien, en général, à partir du début de l'entretien, nous prêtons attention à ce qu'il pense et à ce qui motive son futur collègue - s'il est prêt à travailler selon l'algorithme et à suivre strictement les instructions, ou préfère une recherche gratuite et des recherches indépendantes.
Si les spécificités du travail de surveillance deviennent un problème pour une personne, cela ne signifie pas qu'elle doit aller chercher un nouvel endroit. Pour nous, c'est le signal que, après avoir passé le feu et l'eau de la surveillance, il peut s'essayer dans les tuyaux en cuivre de l'administration et adopter les politiques de gestion directe et de "torsion" d'une grande variété de presse-étoupes, d'équipements de sécurité et de systèmes de sécurité de l'information. Et ces «transitions de transfert» ne sont pas une exception à la règle pour nous ou quelque chose de peu développé.
Comment ça marche? Heureusement, malgré toute la différence dans le travail des équipes, les deux premières lignes ont une base similaire en ce qui concerne les technologies de réseau. De plus, pour les ingénieurs de surveillance, la fonctionnalité et les capacités des outils de sécurité sont assez transparentes - ils travaillent quotidiennement avec leurs journaux. Par conséquent, il suffit généralement à un ingénieur de pomper trois compétences pour traduire:
- Pour étudier les fonctionnalités et les interfaces de ces outils de sécurité avec lesquels vous devrez travailler au quotidien (antivirus, proxies, pare-feu, VPN).
- Améliorer les compétences en matière d'administration des équipements du réseau à l'aide d'équipements de laboratoire internes et externes afin de prendre un coup de main dans la gestion, y compris dans la planification du travail.
- Apprenez à diagnostiquer les problèmes et les pannes des équipements de protection en analysant une dizaine de cas pratiques issus de notre base de connaissances.
Et encore une chose: la phrase sur un cœur froid dans le titre du paragraphe n'a pas été donnée comme une plaisanterie. Travailler avec des systèmes critiques à haute charge ne tolère pas les tracas et les émotions "Et maintenant, je vais tout faire rapidement!" Ce sont des actions très équilibrées et rationnelles avec l'évaluation des conséquences potentielles, le développement d'une procédure de demande de changement (RFC) et la planification de la fenêtre technologique.
Ces spécificités de l'activité et de l'atmosphère de l'équipe laissent une empreinte sur la mentalité des combattants de la première ligne de l'administration, les obligeant à réfléchir chaque minute sur les conséquences du travail effectué, les changements en cours et le fait qu'il est impossible de mettre dans la boîte procrustéenne des règlements et des descriptions de travail.
Un mathématicien ne devrait pas penser, un mathématicien devrait penser
Il y a un scénario inverse, à un moment où les mains du spécialiste commencent à se lasser du matériel et de la mise en place des équipements et des équipements de protection, mais il n'y a aucune volonté de s'orienter vers la gestion ou la gestion des personnes. À de tels moments, vous voulez généralement regarder le système de sécurité du client un peu de l'extérieur, commencer à utiliser des vecteurs de menaces, des scénarios pour les identifier et y répondre, regarder l'infrastructure un peu plus large, sans se limiter à la portée des outils de protection et des systèmes associés. Et cela pousse souvent une personne à s'orienter vers l'analyse des incidents et à travailler avec des scénarios pour les identifier.
Nos clients sont d'une grande aide pour former de tels vecteurs de mouvement de spécialistes. En particulier, ceux pour lesquels nous résolvons des tâches de gestion de la sécurité de bout en bout, c'est-à-dire que nous sommes engagés non seulement dans la surveillance et l'analyse des incidents, mais également dans l'administration des outils de sécurité.
Comment les clients influencent-ils nos processus de dotation interne? Principalement pour deux raisons:
- La plate-forme SIEM elle-même, en plus de détecter les incidents, est un très bon outil pour la gestion des journaux et l'analyse postérieure. Une partie des tâches associées à l'opération - diagnostiquer la cause de la charge sur le canal, déterminer la liste des adresses externes utilisées dans l'application, restaurer la chaîne de modifications des politiques et des configurations - peut souvent être effectuée beaucoup plus rapidement et plus efficacement dans SIEM. Par conséquent, tous les ingénieurs, à partir de la première ligne d'administration, ont accès à la lecture des journaux des systèmes clients. Assez rapidement, cela amène un esprit curieux à vouloir créer la micro-automatisation pour lui-même, des modèles de rapport, etc. Ainsi, l'ingénieur est impliqué dans une zone adjacente et la trouve parfois plus intéressante.
- La deuxième partie, non moins importante de notre vie, est l'enquête sur des incidents atypiques ou la réponse à des attaques complexes. Dans ce cas, surtout si le score dure quelques minutes, tout le monde fait tout, et les administrateurs sont également impliqués dans le brainstorming par la méthode d'analyse, la contre-action et l'élimination des conséquences de l'attaque. Une telle stimulation du cerveau pour l'analyse et la recherche de connexions implicites cristallisent également rapidement chez un employé une conscience du confort et de la fascination de telles tâches.
Comment le personnel progresse-t-il dans ce transfert? En règle générale, la formation et la traduction se déroulent dans trois domaines:
- Expérience de l'analyse des journaux et des enquêtes sur les incidents. Bien sûr, les exemples de laboratoire aident beaucoup, mais la vie du fournisseur de MDR génère chaque semaine de nouveaux cas intéressants, sur lesquels vous pouvez tester et pomper vos compétences. De plus, comme je l'ai déjà dit, les experts administratifs ont également une expérience de base des journaux.
- Travaillez avec SIEM pour créer ou adapter du contenu. Le langage «oiseau» pour écrire des règles de corrélation dans différents SIEM n'est pas donné aux enfants tout de suite. Mais encore une fois, l'expérience avec les journaux et la création de rapports de base raccourcit considérablement cet itinéraire.
- Eh bien, les compétences pour déployer la plate-forme, se connecter et configurer des sources pour tout administrateur sont connues depuis longtemps. Encore un produit en portefeuille.
De telles transitions donnent lieu à des analystes très forts, car leur expérience de combat avec des équipements de protection les aide de manière significative à la fois dans l'interprétation de magazines et dans l'élaboration de recommandations plus spécifiques et terre-à-terre pour répondre et éliminer les conséquences d'une attaque.
Il n'y aura jamais une deuxième chance de faire une première impression
Une histoire complètement distincte dans le travail de Solar JSOC est les activités de soutien aux ventes, et en particulier les projets pilotes. Le projet pilote doit être la qualité par excellence du service fourni:
- Le temps de pilotage est toujours serré et limité, par conséquent, le rythme de travail sur la connexion des services du client et du nôtre devrait être maximum.
- Le pilote doit montrer nos capacités et processus dans toute la mesure possible afin que le client puisse évaluer l'applicabilité de nos services pour lui-même aussi objectivement et sans embellissement que possible (sinon, au stade de la prestation de service, de nombreux problèmes peuvent survenir des deux côtés).
- En peu de temps et sur une échelle pilote limitée, nous devons «déterrer» un certain nombre d'incidents et de vulnérabilités d'infrastructure qui expliqueront à l'entreprise les avantages réels du service.
De tels projets nécessitent un analyste en prévente qui en soit responsable avec un ensemble de qualités extrêmement inhabituelles: d'une part, la systématique pour gérer correctement les ressources et les délais, et en même temps, une certaine insouciance et soif de réalisation, pour le faire de temps en temps en avance sur les attentes . D'une part, une démonstration des avantages du service nécessite une immersion substantielle dans le service et une expérience dans le support des ventes. D'autre part, l'excavation des incidents nécessite à la fois une remarquable expertise en sécurité de l'information dans le travail avec les journaux et juste un flair pour les goulots d'étranglement potentiels dans le système de protection du client.
Un cas nous a conduit à une méthode possible de culture et de sélection de ce personnel. Nous étions profondément convaincus que sans une compréhension technique du SOC, une expérience avec les journaux et SIEM, les compétences de prévente dans notre cas sont plutôt dénuées de sens. Mais une fois l'un des candidats a mis toute la situation sur sa tête.
Il était bien formé en prévente - comme l’a dit l’un des intervieweurs: «Je n’en avais pas du tout besoin, mais je l’ai presque acheté.» Il a vraiment "brûlé" son entreprise et était rempli d'un désir de croître et de se développer. Mais, malheureusement, ses connaissances techniques étaient infiniment éloignées du sujet du SIEM et des autres sous-systèmes SOC.
Néanmoins, par la volonté du service RH, le candidat est venu travailler avec nous et a commencé à rejoindre l'équipe. Et de façon tout à fait inattendue, il est devenu clair que le désir de grandir et de se développer en conjonction avec le bon environnement, lorsque les processus et les tâches du SOC sont absorbés dans le fumoir, au déjeuner, et simplement aux quarts de travail, donnent un bon résultat. Littéralement en un mois et demi, il a déjà pris le contrôle du premier projet pilote, non seulement en tant que manager et contrôleur de temps, mais avec une mise en œuvre technique quasi autonome des tâches. Maintenant, il met en œuvre avec succès des pilotes de toute catégorie de complexité déjà dans le rôle d'un entraîneur de jeu.
En conséquence, nous avons trouvé une approche bilatérale à une tâche très non standard de croissance du personnel de pièces tel que l'analyse de prévente des services Solar JSOC:
- «Pollinisation» de l'équipe de prévente avec des connaissances techniques et l'esprit de vie dans les opérations de cybersécurité,
- rechercher parmi les techniciens les personnes qui souhaiteraient passer de spécialistes techniques à un rôle plus proche de la direction commerciale.
Les deux approches sont utiles et prometteuses non seulement pour nous, en tant qu'équipe grandissante du centre de surveillance, mais aussi pour les employés qui reçoivent une autre option pour le développement de carrière.
Bien sûr, ce ne sont pas toutes des options pour déplacer des employés au sein du Solar JSOC. Il y a eu des cas où l'ingénieur du groupe d'administration, fatigué de la communication continue avec le client et ayant le désir de se concentrer sur le fonctionnement de «son propre», a déménagé chez les architectes de notre infrastructure JSOC. Les ingénieurs de première ligne ont parfois éveillé une passion pour l'analyse de bas niveau et le travail avec Assembler (les premiers signes d'un forenser débutant). Des combattants expérimentés des première et deuxième lignes, fatigués de l'ingénierie, se sont progressivement tournés vers les tâches de chef de service et de communication avec le client, ou sont devenus des chefs d'équipe locaux.
Comme déjà mentionné dans le
premier article du cycle, l’essentiel chez une personne n’est pas la «fluidité des doigts» ou le regard «brûlant» à la recherche du bonheur momentané, mais de se concentrer sur son propre développement, la capacité de chercher et de trouver de nouveaux horizons pour soi-même. De plus, notre tâche est déjà - de ne pas manquer le moment où les besoins internes et fondamentaux de cette personne doivent comprendre et aller au fond d'une activité pas assez profilée prévaudront sur la nécessité de résoudre les problèmes des opérations actuelles.
En ce moment, il est important de donner à une personne la possibilité de passer à l'étape suivante, d'offrir des options qui lui permettront de faire ce à quoi l'âme ment vraiment. Et dans quelle direction ce n'est pas si important: il y a peu d'objectifs brillants, et il y a toujours assez de tâches dans une grande entreprise.