Alchimie du personnel: quelle est la composition optimale de l'équipe du centre GosSOPKA?

Cet article est utile à ceux qui travaillent dans une entreprise reconnue comme un sujet d'infrastructure d'information critique (CII), ce qui signifie qu'il est obligé de satisfaire aux exigences du numéro 187-FZ et de construire le centre du Service national de protection sociale et de certification (Système d'État pour détecter, prévenir et éliminer les conséquences des attaques informatiques) qui répond aux exigences du Service fédéral de sécurité de Russie .

Dans un article précédent , nous avons abordé les bases mêmes de ce sujet et évoqué les exigences du FSB en matière de moyens techniques à utiliser au centre du Service national de sécurité sociale et de certification. Cependant, ces exigences (presque pour la première fois) s'appliquent non seulement aux moyens techniques de protection, mais également à la mise en œuvre de processus spécifiques de surveillance, de réponse et d'enquête sur les incidents SI. Par conséquent, aujourd'hui, nous parlerons des ressources humaines dont vous aurez besoin pour assurer tous ces processus.

Tout d'abord, quelques mots sur les raisons pour lesquelles nous donnons même des conseils sur ce sujet. En substance, le centre GosSOPKA est un petit centre interne de surveillance et de réponse aux cyberattaques
(Security Operations Center), avec seulement des tâches et des responsabilités supplémentaires. La pratique de sept ans de prestation de tels services, plus d'une centaine des plus grandes entreprises sous protection, ainsi que l'expérience de la création de centres GosSOPKA pour les clients, nous ont aidés à temps à résoudre assez en profondeur les questions de «l'alchimie» du personnel. Et, bien sûr, en cours de route, nous avons régulièrement recherché des options pour optimiser les coûts de personnel tout en maintenant le haut niveau de service requis.

En particulier, l'équipe devrait être capable de résister à un SLA assez difficile: les spécialistes de Solar JSOC n'ont que 10 minutes pour détecter une attaque et seulement 30 minutes pour répondre et protéger. Dans le même temps, les normes de personnel que nous avons développées nous permettent de dimensionner l'équipe en fonction du volume réel d'incidents chez le client (et, croyez-moi, il ne diminue pas d'année en année).

Dans ce document, nous avons résumé nos réalisations et donné la configuration minimale de la structure organisationnelle et de personnel du SOC, dans laquelle il sera en mesure de remplir toutes les fonctions nécessaires du centre GosSOPKA et de se conformer aux recommandations réglementaires du régulateur.

Première ligne

Comme le montre la pratique, la protection sur cette ligne nécessite un minimum de 7 spécialistes - étant donné que la plupart d'entre eux travaillent par équipes, fournissant un mode 24x7. Il s'agit en particulier de spécialistes de la surveillance - il devrait y avoir au moins 6 personnes. Dans ce cas, vous exercez non seulement un contrôle 24h / 24 sur les systèmes d'entreprise, mais vous pouvez également fournir des informations sur les incidents informatiques au FSB au plus tard 24 heures conformément à l'ordonnance n ° 367 du 24 juillet 2018.

Dans le cas des spécialistes du service pour le SZI GosSOPKA, différentes options sont possibles.

La première est que le sujet de KII a une architecture à grande échelle, et il est nécessaire d'assurer la disponibilité constante des services critiques, et en raison de la fermeture / inaccessibilité / interruption du travail de l'ISS, l'organisation encourra des pertes monétaires et / ou de réputation, et en même temps il y a un risque élevé de dommages à l'environnement et aux personnes. Dans ce cas, vous devez embaucher 6 personnes qui assureront un travail posté 24h / 24 et 7j / 7.

Autre option: le sujet a la même architecture à grande échelle et les mêmes services critiques qui nécessitent une disponibilité constante, tandis que toutes les opérations avec les équipements sont effectuées par les services informatiques, et le service de la sécurité de l'information détermine les règles de fonctionnement et surveille leur mise en œuvre. Dans ce cas, vous pouvez vous limiter à trois spécialistes travaillant en mode 12/7 et la possibilité d'appels de nuit si nécessaire.

Si le sujet de l'Agence nationale de protection sociale ne considère pas le risque de violation de la disponibilité des objets KII pendant plus de 18 heures comme critique, il est possible de maintenir l'équipement de protection avec l'aide d'un spécialiste du mode 8x5.

Spécialiste	Responsabilités	Exigences de qualification	Le mode	Qté
Spécialiste de la surveillance	Gestion des incidents typiques de HelpDesk, IRP, SIEM ou des utilisateurs. Rapports typiques sur les résultats de l'examen. Suivi de l'état des sources. Contrôles rétrospectifs (à réception de nouveaux indicateurs de compromis).	Administration système (Linux / Mac / Windows). Connaissance de divers SZI. Connaissance du modèle OSI. Connaissance des principes de protection du courrier électronique, de surveillance du réseau et de réponse aux incidents. L'expérience de l'agrégation et de l'analyse des journaux d'une variété de SIS hétérogènes.	24x7	6
Spécialiste du service	Surveillance et diagnostic des problèmes de fonctionnement des équipements et logiciels. Maintenance de routine planifiée de SZI. Service imprévu de SZI. Entretien de l'infrastructure interne du centre Réponse rapide en cas de multiples faux positifs positifs.	Administration système (Linux / Mac / Windows). Connaissance de divers SZI.	24x7	6
			12x7 + appel la nuit	3
			8x5	1

Il est important de comprendre que malgré le volume significativement plus faible d'incidents la nuit, les événements les plus importants et les plus critiques se produisent juste la nuit et au moment où le quart de travail commence, ils perdent déjà de leur pertinence. Cependant, c'est l'alignement du mode de fonctionnement 24h / 24 et 7j / 7 qui pose problème à la plupart des SOC: tous les spécialistes ne voudront pas travailler par équipes. Un employé rare sera longtemps motivé pour un travail de qualité, surtout s'il y a peu d'incidents dans votre infrastructure. Tout cela signifie que vous devrez résoudre systématiquement les problèmes de rotation du personnel, en sélectionnant et en formant en permanence de nouveaux spécialistes.

Deuxième ligne

À ce stade, en règle générale, on ne peut pas se passer de l'aide d'un entrepreneur expérimenté - à moins, bien sûr, que vous comptiez de l'argent et que vous n'ayez pas l'intention de devenir une entreprise IB à service complet. En effet, en plus des spécialistes de l'élimination des conséquences des incidents informatiques et de l'évaluation de la sécurité, la deuxième ligne comprend des postes assez spécifiques. Ce sont des spécialistes très chers dont vous n'avez pas besoin à temps plein, mais sans lesquels votre SOC ne sera probablement pas en mesure de répondre au fier titre du centre SOSOPKA - pentesters, experts médico-légaux, experts en analyse de code. En conséquence, le nombre minimum d'employés sur la deuxième ligne est de 3 à 4 employés, selon le niveau des tâches.

Parmi eux, des spécialistes de la réponse aux incidents informatiques, des employés expérimentés de première ligne qui savent gérer les incidents inhabituels et fournir une assistance de première ligne en cas de difficultés.

Le Centre GosSOPKA est obligé d'évaluer régulièrement la sécurité des ressources d'information dans son domaine de responsabilité, mais toutes les organisations ne peuvent pas se permettre d'avoir leur propre équipe de pentesters, ce qui garderait les collègues sur un ton constant. De plus, selon les recommandations méthodologiques, des tests de pénétration devraient être effectués deux fois par an - externes et internes. Ce dossier est clôturé avec succès par un contractant externe expérimenté, dont les spécialistes travaillent avec de nombreux clients différents, ce qui signifie qu'ils améliorent régulièrement leurs compétences en conditions de «combat».

Dans l'état, nous vous recommandons de ne laisser qu'un seul spécialiste de l'évaluation de la sécurité, dont les principales responsabilités seront un inventaire des ressources d'information, le remplissage et la mise à jour de la base de données CMDB, le travail avec un scanner de sécurité, le traitement des vulnérabilités et la surveillance de la gestion des correctifs.

De plus, si la mise en œuvre du cycle de vie d'un développement logiciel sûr est pertinente pour le sujet de KII, une analyse statique et dynamique du code source peut être utilisée pour identifier les vulnérabilités. Dans le même temps, un spécialiste appsec n'est nécessaire que dans un nombre très limité de cas pour KII - il est logique d'attirer ici une expertise externe.

En outre, le SOC mature dispose également de spécialistes pour identifier les causes des incidents informatiques. En règle générale, il s'agit également de toute une équipe d'ingénieurs, qui n'est nécessaire que plusieurs fois par an, et nous vous recommandons de ne pas vous encombrer de leur contenu, mais de conclure des accords avec des entreprises qui se consacrent à la criminalistique de manière continue.

Spécialiste	Responsabilités	Exigences de qualification	Le mode	Qté
Spécialiste CT	Répondre à des incidents complexes. Suivi de l'interaction de SZI avec SIEM. Analyse des activités anormales pour identifier les incidents. Enquêtes sur les attaques DDoS. Réponse rapide en cas de multiples faux positifs positifs.	Identique à la première ligne, plus: Connaissance des langages de script (Python, Bash, Powershell). Connaissance de la gestion des vulnérabilités et des nombres CVE. Gestion des journaux et gestion des correctifs dans les familles Windows et Linux. Certificats ou connaissances conformes à CISSP / CEH. Une attention particulière aux systèmes SIEM	8x5 avec appel de nuit / week-end	2
			12x7 + appel la nuit	3
Évaluateur de sécurité	Recherche de vulnérabilités et de conformité. Configurez les profils de numérisation. Analyse de vulnérabilité basée sur les rapports des scanners de sécurité. Remplissage de la base CMDB.	Travailler avec des outils d'inventaire, des contrôles de sécurité	8x5	1
Spécialiste DevSecOps / QA	Analyse statique et dynamique du code source du logiciel	Construire appsec CI / CD, travailler avec des analyseurs de code statiques et dynamiques, Fuzzing	Sous-traitance
Pentesters / Redteam	Tests de pénétration. Développement d'IoC basé sur la recherche.	Réalisation de pentests internes et externes pour toutes les étapes de la chaîne de mise à mort. Possession d'outils pour détecter et exploiter les vulnérabilités. Contournement IDS / IPS, etc. Propriété d'OSINT. Bash, Powershell, Python. Connaissance des méthodes de test.	Sous-traitance
Identifiant de cause de l'ordinateur	Rétro-ingénierie d'échantillons de logiciels malveillants. Forensics of dumps du trafic réseau, RAM, instantanés de disque. Médecine légale basée sur l'hôte.	Enquête sur les incidents. Collecte et analyse de preuves, interaction avec les forces de l'ordre (travail avec les systèmes médico-légaux, rétro-ingénierie, etc.)	Sous-traitance

Troisième ligne

La solution des tâches stratégiques clés et de la gestion de haut niveau, qui sont mises en œuvre par la troisième ligne, doit être accumulée de son côté. La composition minimale d'une telle unité est de 5 spécialistes.

Il s'agit notamment d'experts techniques - ingénieurs de spécialisation, responsables de leur domaine d'expertise. Le personnel des grands centres devrait comprendre des spécialistes dans tous les domaines nécessaires (WAF, UIT, IDS / IPS, CIP, etc.). Nous nous limiterons à deux experts techniques qui devront apporter un support expert aux spécialistes des 1ère et 2ème lignes.

Le méthodologiste (auditeur SI), expert dans le domaine des actes juridiques réglementaires et des exigences des régulateurs (FSTEC, FSB, Banque centrale, ILV), est chargé d'évaluer la conformité du niveau de sécurité de l'organisation avec les dispositions de la loi.

L'analyste-architecte développe de nouveaux connecteurs, des scripts SIEM, met à jour les règles et politiques des outils de sécurité conformément aux données de Threat Intelligence, analyse les réponses fausses positives, analyse les anomalies.

Le responsable du centre GosSOPKA doit sans aucun doute avoir une connaissance approfondie du cadre réglementaire et avoir au moins 10 ans d'expérience pratique dans l'industrie de la sécurité de l'information.

Spécialiste	Responsabilités	Exigences de qualification	Le mode	Qté
Expert technique	Travail technologique interne sur le déploiement des stands. Test de nouveaux produits pour le centre. Réponse rapide en cas de nombreux faux positifs. Analyse de la qualité du contenu, formation des exigences de révision. Réalisation d'un examen de cas, analyse de la qualité de l'analyse des cas par 1 ligne. Analyse agrégée des positifs Faux positifs, recommandations pour l'élimination.	Experts dans leur domaine de spécialisation (malware, tweaks, utilisation de moyens techniques spécialisés, etc.),	8x5	2
Méthodologue (auditeur SI)	Développement et maintenance de la documentation organisationnelle et administrative de la sécurité de l'information (politiques, réglementations, instructions). Organisation et contrôle du respect des exigences légales et des normes de sécurité de l'information de l'industrie. Participation à la préparation et à la conclusion des contrats; analyse de l'applicabilité et de la faisabilité des exigences des contreparties en termes de sécurité de l'information; analyse des contrats en termes de conformité aux politiques et normes de sécurité. Développement et maintenance d'un programme de sensibilisation à la sécurité de l'information dans l'entreprise. Inventaire et classification des actifs informationnels du côté de la description dans la documentation.	Un expert en complicité et développement de papier méthodologique. Expérience dans le développement de modèles de menace et d'intrus, recommandations méthodologiques.	8x5	1
Architecte analyste	Développement de connecteurs. Adapter les scénarios aux caractéristiques du fonctionnement de l'IP Script pour de nouvelles sources. Optimisation de script. Développement de scénario à la réception de Threat Intelligence. Emulation d'attaques et développement de scénarios pour leur détection	Maîtrise des processus et moyens d'accompagnement (SIEM) dans sa direction: Évaluation de la vulnérabilité. Diagnostic et atténuation continus. La capacité d'adapter l'IoC des systèmes Threat Intelligence à l'IP du sujet	8x5	1
Superviseur	Direction générale et orchestration. Sensibilisation des salariés de l'entité publique SOSPKA. Exécuter des «cyber-commandes».	Management d'équipe Expérience en sécurité de l'information depuis 10 ans Connaissance des documents réglementaires du FSB et du FSTEC	8x5	1

En parlant de pratique

Toutes ces recommandations servent de point de départ plutôt que de guide d'action précis. Bien sûr, lorsque vous créez votre propre centre, vous obtiendrez votre propre personnel. Il y aura plus de spécialistes dans une ligne, moins dans l'autre, des rôles légèrement différents apparaîtront dans la troisième, ou ils continueront à augmenter / diminuer.

Par exemple, pour l'un de nos clients, nous avons construit un SOC où nous avons laissé les fonctions de la 1ère ligne de surveillance en mode 24x7, et le deuxième client (un groupe de réponse de 5 personnes) et des analyses tierces ont été engagés par nous-mêmes. De plus, l'organisation disposait déjà d'un responsable de la sécurité de l'information (il dirigeait le SOC), ainsi que d'un méthodologiste et d'un département informatique, également impliqué dans l'inventaire.

Un autre client a ajouté à la première ligne les rôles du chef du groupe de surveillance et des responsables de l'interaction avec les utilisateurs, et a également porté à huit le nombre de spécialistes de la surveillance. En deuxième ligne, trois employés étaient responsables de l'élimination des conséquences, mais le médecin légiste a été embauché. Le nombre total de l'équipe du centre GosSOPKA dans cette entreprise était de 20 personnes.

Au final, le personnel du centre dépend des vecteurs clés de développement de votre SOC, qui sont déterminés et ajustés lors de l'analyse des incidents. Dans le même temps, en particulier aux stades initiaux, il est conseillé d'utiliser les capacités du prestataire de services pour la mise à l'échelle «test» des licences et du personnel. Dans ce cas, vous pourrez évaluer plus précisément les besoins en ressources, en évitant des investissements en capital inutiles. Par exemple, l'un des clients nous a confié toutes les fonctions opérationnelles du centre et n'a laissé que l'interaction avec le NCCSC (envoi de rapports d'incidents).

Si nous parlons de notre schéma standard pour adopter l'infrastructure du client pour la surveillance, du côté du client, en règle générale, il y a:

• Deux employés qui reçoivent des messages de l'équipe de surveillance Solar JSOC et répondent aux incidents conformément à nos recommandations.
• Un spécialiste de l'analyse des vulnérabilités.
• Gestionnaire de gestion des services.

Mais chacun a sa propre façon de construire le centre de l'Agence nationale de protection sociale, et nous espérons que cet article vous a aidé à choisir le vôtre.