Parlant de la façon dont le travail du centre de surveillance et de réponse aux cyberattaques (SOC) de l'intérieur, nous avons déjà parlé des ingénieurs de
première et de
deuxième ligne et des
analystes . Ensuite, nous avons parlé avec désinvolture des gestionnaires de services. Ce sont des employés SOC qui sont responsables envers le client de la qualité des services fournis. Cette courte définition cache en fait ce qui suit: le gestionnaire de service détermine la mise en œuvre pratique du service sur le site du client, doit être prêt à tout moment à répondre à l'appel du client ou à la notification de l'ingénieur de surveillance concernant un incident critique, constituer une équipe de réponse ou d'enquête et se rendre sur le site.
Pour la plupart, les gestionnaires de services Solar JSOC sont des hommes de plus de 30 ans qui ont
vu des espèces ayant une expérience diversifiée dans la sécurité de l'information: de la conception de systèmes de sécurité de l'information aux processus d'audit. Assurez-vous d'avoir les compétences nécessaires pour passer de l'
oiseau à l'homme technique à l'entreprise et vice versa.
Quoi et à qui le gestionnaire de services doit-il
Le responsable de service ne nécessite pas une connaissance approfondie des outils spécifiques de protection des informations au niveau d'un ingénieur d'exploitation. Mais il existe une large perspective dans le domaine des SPI et de leurs fabricants, une connaissance minimale des protocoles réseau et des exigences pour des objets d'information spécifiques tels que AWS KBR, etc. - obligatoire. Et comme exigence obligatoire - un
baobab connu et enraciné, comprenant qu'il est nécessaire de protéger, tout d'abord, non les hôtes, mais les processus métier. En théorie, tout le monde le sait, mais en pratique, tout le monde n'est pas en mesure de suivre ce principe.
Pourquoi un tel ensemble de critères? Le gestionnaire de services est une fenêtre unique pour le client. Avec l'analyste, ils forment un groupe qui communique directement avec le client. Une sorte de front office dans le formulaire tel qu'on l'imagine. C'est le gestionnaire de services qui détermine comment les tâches du client seront résolues au niveau de l'application. De tels détails, en règle générale, ne sont pas précisés dans le contrat.
C'est bien si le client a une compréhension claire de ce qu'il veut obtenir du service (sur cette ligne, mes collègues ont souri). En réalité, ce phénomène est presque aussi rare que la pluie de météores. Et ici, on ne peut plus se passer d'une personne qui assure le développement de la sécurité de l'information dans le cadre du projet. Pour chaque client spécifique, il identifie les données et processus critiques, ainsi que les moyens de leur automatisation; points de compromis potentiels au niveau des infrastructures et organisation de l'interaction entre les systèmes et les personnes. Et ce n'est qu'au stade du lancement du service. Et puis viennent les jours de travail, pendant lesquels le chef de service garde constamment le doigt sur le pouls de l'infrastructure du client. Il est nécessaire de se souvenir et de prendre en compte un certain nombre de facteurs: le type d'entreprise, l'équipement réseau et SZI utilisés, le nombre et les types de sous-traitants, les niveaux d'accès aux informations sensibles et bien plus encore.
Une question parfaitement logique: pourquoi est-ce si difficile? Après tout, vous pouvez connecter les systèmes du client au SOC en tant que sources d'informations et vous arrêter ici. Probablement quelqu'un, mais notre expérience montre que ce qui convient à une banque ne s'applique pas à une usine ou à une société de crédit-bail. Oui, et à l'intérieur des banques, il n'y a pas d'approche identique en matière de sécurité, malgré le fait qu'il s'agit de l'une des industries les plus réglementées de notre pays. Et dans les usines, il y a généralement une horreur silencieuse: un tas de protocoles propriétaires, un nombre prohibitif de sous-traitants se connectant à distance à des éléments d'infrastructure (souvent sans révéler ce fait au client). Et avec toutes ces connaissances, il est nécessaire de travailler.
Comme mentionné ci-dessus, dans chaque contrat, nous formons une équipe d'analystes et de gestionnaires qui sont en première ligne. Les équipes ne sont pas permanentes et varient d'un client à l'autre. En règle générale, un gestionnaire de services dessert trois à six clients, selon la taille de leur contrat et le niveau de maturité du SI. Et ce sont trois ou six infrastructures différentes, diverses
confessions d' approches à la sécurité de l'information et d'autres «charmes» de la diversité des espèces. En toute honnêteté, il vaut la peine de dire que nous avons un certain nombre de gros clients qui se sont vu attribuer un gestionnaire de services personnels qui travaille uniquement avec eux (mais ce n'est pas plus facile pour lui).
Une approche individuelle du client n'est pas un grand mot, mais l'une des tâches de la prestation du service. Même différentes entreprises du même secteur d'infrastructure, les approches de la sécurité, les politiques SI et les processus commerciaux sont si différentes que, quelle que soit la façon dont nous voulons unifier le service, en réalité, cette approche conduira à des blasphèmes et à une diminution du niveau de protection des clients (en d'autres termes, ce sera hacky travail). Cependant, il faut encore trouver un équilibre entre les souhaits du client, souvent étranges, et l'utilité réelle d'une action particulière.
Par exemple, il existe un segment invité WiFi isolé sans accès aux ressources internes, mais le client souhaite que, si nous fixons le lancement du RAT (Remote Access Tool), il recevra une notification avec le niveau de criticité maximum. Cependant, en réalité, à réception d'une telle notification, le client ne fait rien, car il n'a pas de manuels et n'a pas suffisamment de ressources pour répondre. Et la satisfaction de tels désirs alourdit le fardeau des ingénieurs d'intervention et ne profite à aucun des participants au processus. En conséquence, nous n'obtenons rien d'autre que des «obligations socialistes» accrues, c'est-à-dire Un processus élevé de réponse aux incidents et d'enquête ne fonctionne pas.
Ou vice versa: le client, en raison de certaines superstitions obscures, ne veut pas surveiller son système de facturation (qui est le principal système commercial et, en général, CII). Et nous devons méthodiquement, en fait, expliquer avec nos doigts pourquoi nous devrions protéger ce segment. Chacun de nos SM a une tonne d'histoires similaires, et si vous les publiez, vous obtenez un bon livre comme ça.
Et de l'autre côté de la médaille, il y a les processus Solar JSOC: surveillance directe et identification des incidents, analyse, architecture, criminalistique, etc. etc. Toute cette entreprise plutôt grande et hétéroclite travaille pour les clients. Comme dans tout collectif vivant, il a ses propres vecteurs de développement, préférences et communications personnelles. Et cela ne devrait pas affecter la prestation de service. C'est aussi le casse-tête de SM: il est nécessaire de redistribuer les ressources pour résoudre un problème, de prioriser la mise en œuvre afin qu'elle n'affecte pas les autres clients. Une leçon ennuyeuse est obtenue.
Le sommeil est pour les mauviettes
Contrairement à la plupart des employés de Solar JSOC, le responsable du service "travaille 24h / 24": sans interruption pour la nuit, le jour et le déjeuner. Tous les autres services ont des préposés. Cela ne signifie pas que le gestionnaire de services, comme un esclave d'office, est confiné à la version moderne des rames - une table et un ordinateur. C'est juste cette personne qui doit répondre à l'appel du client ou de nos services internes à toute heure du jour ou de la nuit. Selon nous, le terme «réponse» masque la séquence d'actions suivante (nous sommes pour l'approche processus): reconnaître la question / le problème, décider des actions supplémentaires et connecter les services requis au sein de l'entreprise, vérifier le résultat.
Les raisons des appels peuvent être différentes - drôles et peu nombreuses. La raison la plus courante et la «préférée» des SM est lancée du côté des forensers. Ils trouvent un nouvel exploit, l'évaluent en termes de menaces possibles et le lancent dans les gestionnaires de services (comme c'était
récemment le cas avec BlueKeep-2).
Et puis - une discothèque! Chacun des SM, juste au cas où, regarde les dossiers des clients (bien que la majorité se souvienne de l'infrastructure par cœur), le chef de ces merveilleux gars génère un texte d'alerte qui est envoyé aux clients par tous les canaux disponibles.
Avec les appels de nuit, il y a une autre histoire commune. Au début du contrat, le client demande souvent que les incidents dans un certain nombre de scénarios des personnes responsables soient notifiés par la voix à tout moment du jour ou de la nuit. En conséquence, lorsqu'une alerte est déclenchée, l'agent de surveillance surveille le SM et lui donne toutes les informations nécessaires sur l'incident. Ensuite, le SM réveille le responsable et lui transmet déjà les informations. Même si le client dispose de son propre service de réponse 24h / 24, cela ne nous empêche pas de sortir la personne responsable du lit. Les appels se produisent en parallèle avec une notification au client de l'incident. En règle générale, après quelques mois, lorsque le client est convaincu que le service est vraiment disponible 24h / 24 et qu'il le paie en vain, on nous demande de mettre fin à une telle pratique.
Mais il y a de sérieuses raisons de ne pas dormir la nuit. Celles-ci incluent clairement une attaque contre l'infrastructure du client. Une situation aussi rare mais non exceptionnelle se produit également: un appel sonne la nuit, et ils demandent de l'aide sur le site physique depuis le combiné. Au fil des années d'existence du Solar JSOC, le dispositif a été rodé: «au rythme de la valse» une équipe est constituée, au sein de laquelle le SM joue le rôle de coordinateur, et tombe amicalement auprès du client. Il arrive parfois que nous roulions devant les personnes responsables qui ont lancé cette chaîne.
Records - pour les forts d'esprit
En plus d'une nuit blanche dans de telles situations, il y a un autre inconvénient énorme: tous les participants au processus peuvent déjà dormir suffisamment et le responsable de service doit rédiger un rapport préliminaire sur la situation indiquant le calendrier des actions terminées, décrire les actions elles-mêmes et leurs résultats. Le reporting n'est pas un hommage aux formalités, mais un véritable document, qui est ensuite démonté pour identifier les erreurs ou, inversement, les décisions réussies. Absolument toute l'expérience de tous les spécialistes de Solar JSOC est prise en compte, quel que soit le poste dans lequel ils travaillent.
En général, le reporting fait partie intégrante du travail d'un gestionnaire de services. Il y a beaucoup de rapports. Non, pas comme ça. IL Y EN A BEAUCOUP. Pour tous les goûts et toutes les couleurs: des procès-verbaux des réunions au cours desquels le développement du service est enregistré, jusqu'aux rapports réguliers aux clients. Très souvent, les rapports sont accompagnés de présentations pour la haute direction, qui veut connaître l'argent dépensé, mais n'est pas prête à se plonger dans le service particulier. Par conséquent, la présentation devrait confirmer intelligiblement que le montant dépensé n'est pas en vain et que le service est vraiment utile. Et tout cela se fait absolument pour tous les clients par des hommes de plus de 30 ans. Oui, il y a un certain niveau d'automatisation, mais nous n'avons pas encore appris à créer des présentations en mode automatique.
En général, un bon SM peut fonctionner avec n'importe quel public: la lucidité est notre toutMais l'essentiel est différent
Très souvent, vous pouvez entendre que le chef de service est un poste de tir et un travail infernal sans possibilité de développement. Il s'agit d'une erreur très forte. Un de nos SM dit que "le résultat du travail est toujours visible, c'est-à-dire que vous ne travaillez pas dans la poubelle, et c'est toujours cool."
Nous parlerons de l'évolution du gestionnaire de services et de la manière de développer un CISO à part entière. Jusqu'à présent, seulement - jours ouvrables à travers le trou de serrure.
