Kami telah berbicara tentang tugas SDM dan model pengembangan karyawan di Solar JSOC untuk beberapa waktu sekarang. Tentunya Anda berhasil membaca sebuah artikel tentang
bagaimana siswa tahun ketiga sampai ke pusat pemantauan dan respons , atau
bagaimana seorang insinyur memompa pengalaman untuk gerakan vertikal dalam struktur Solar JSOC (dari baris pertama ke yang kedua). Tidak jauh dari situ ada materi tentang pengembangan vertikal lebih lanjut dari para analis dan bagaimana seorang manajer layanan dapat berubah menjadi CISO yang lengkap. Tetapi untuk sekarang saya ingin berbicara tentang hal lain.
Ikan selalu mencari tempat yang lebih dalam, dan manusia - tempat yang lebih baik. Pernyataan umum ini cukup jelas mencerminkan aspirasi karyawan dan kandidat. Hanya kata "lebih baik" untuk masing-masing dari mereka yang memiliki maknanya sendiri. Ini tidak selalu terkait dengan kondisi keuangan, nilai / raspberry, atau waktu perjalanan dari rumah ke kantor.
Sering terjadi bahwa seorang karyawan hanya bosan dengan tugas-tugas saat ini dan berusaha tidak terlalu banyak untuk "memompa" pengalaman, mis. untuk melakukan hal yang sama, tetapi lebih dalam daripada menemukan tantangan baru dalam arah terkait. Dalam kasus seperti itu, kami melakukan yang terbaik untuk membantunya mendapatkan panggilan baru dan tidak menerima pengembangan "vertikal", tetapi "horisontal" di dalam Solar JSOC. Satu-satunya kesulitan adalah tidak ketinggalan momen ini, serta memberi seseorang "peralatan" yang diperlukan untuk menaklukkan puncak baru.
Berikut adalah beberapa kasus yang akan kami coba sampaikan.
Tangan panas, hati dingin
Kehidupan tim kami dimulai dengan baris pertama. Tetapi, seperti yang telah kami sebutkan beberapa kali, baris pertama adalah dua. Yang pertama berfokus pada mengambil log, menganalisis dan menganalisis insiden, mengubahnya menjadi laporan analitis atau positif palsu.
Pekerjaan ini berkecepatan sangat tinggi (dalam sehari, saluran pertama kami menggerogoti hampir seribu lima ratus kecurigaan atas suatu insiden), tetapi pada saat yang sama ini agak berlainan. Pertama-tama, itu membutuhkan ketekunan, konsentrasi dan kejernihan pikiran yang berkelanjutan (ini mungkin juga mengapa pekerjaan pemantauan menarik jenis kelamin perempuan - itu adalah di baris pertama bahwa sebagian besar perempuan adalah).
Ada beberapa nuansa di sini. Pertama, bagaimanapun juga, bekerja dengan kayu gelondongan dan memulihkan suatu kejadian seringkali meninggalkan perasaan singkat dan tidak lengkap. Ada suatu proses, tetapi tidak ada hasil yang dapat Anda sentuh atau rasakan di ujung jari Anda. Dan keinginan untuk "merasakan" hasil pekerjaan seseorang terkadang sangat penting bagi seorang penjaga keamanan.
Kedua, seperti yang telah disebutkan, pekerjaan yang didorong oleh SLA sedang berlangsung dan dengan kecepatan tinggi. Jika jiwa membutuhkan kemampuan untuk secara saksama dan santai mempelajari tugas teknik yang rumit, tekanan waktu yang konstan dapat mengganggu.
Ini mungkin tidak selalu jelas bahkan untuk karyawan itu sendiri, tetapi dari luar terlihat dengan mata telanjang, terutama jika:
- Seorang insinyur yang kuat melakukan analisis dan investigasi insiden berkualitas sangat tinggi, tetapi secara teratur gagal dalam menentukan waktu yang ditentukan oleh SLA, terutama untuk insiden tersingkat.
- Sejalan dengan tugas utama, insinyur tertarik untuk bekerja dengan tugas-tugas internal untuk meningkatkan efisiensi infrastruktur atau mulai menulis skrip pada lutut untuk mengotomatiskan tugas pekerjaannya.
Secara umum, dimulai dengan dimulainya wawancara, kami memperhatikan bagaimana ia berpikir dan apa yang mendorong kolega masa depannya - apakah ia siap untuk bekerja sesuai dengan algoritme dan secara ketat mengikuti instruksi, atau lebih memilih beberapa pencarian bebas dan penelitian independen.
Jika spesifik pekerjaan pemantauan menjadi masalah bagi seseorang, ini tidak berarti bahwa dia perlu pergi mencari tempat baru. Bagi kami, ini adalah sinyal bahwa, setelah melewati api dan air pemantauan, ia dapat mencoba sendiri di pipa tembaga administrasi dan mengambil kebijakan manajemen langsung dan "memutar" berbagai kelenjar, peralatan keamanan, dan sistem keamanan informasi. Dan "transisi transfer" semacam itu bukan pengecualian dari aturan untuk kita atau sesuatu yang tidak berkembang.
Bagaimana cara kerjanya? Untungnya, untuk semua perbedaan dalam pekerjaan tim, dua baris pertama memiliki dasar yang sama mengenai teknologi jaringan. Plus, untuk insinyur pemantauan, fungsi dan kemampuan alat keamanan cukup transparan - mereka bekerja dengan log mereka setiap hari. Karena itu, biasanya cukup bagi seorang insinyur untuk memompa tiga keterampilan untuk menerjemahkan:
- Untuk mempelajari fungsionalitas dan antarmuka alat keamanan yang harus Anda gunakan setiap hari (antivirus, proksi, firewall, VPN).
- Untuk meningkatkan keterampilan dalam mengelola peralatan jaringan dengan bantuan peralatan laboratorium internal dan eksternal untuk mendapatkan bantuan dalam manajemen, termasuk dalam perencanaan kerja.
- Pelajari cara mendiagnosis masalah dan kegagalan peralatan pelindung dengan menganalisis selusin kasus praktis dari basis pengetahuan kami.
Dan satu hal lagi: frasa tentang hati yang dingin dalam judul paragraf tidak diberikan sebagai lelucon. Bekerja dengan sistem kritis yang tinggi tidak mentoleransi keributan dan emosi "Dan sekarang saya akan melakukan segalanya dengan cepat!" Ini adalah tindakan yang sangat seimbang dan rasional dengan penilaian konsekuensi potensial, pengembangan prosedur aplikasi perubahan (RFC) dan perencanaan jendela teknologi.
Kekhususan kegiatan tersebut, dan suasana dalam tim, meninggalkan jejak pada mentalitas para pejuang dari garis administrasi pertama, memaksa mereka untuk berpikir setiap menit tentang konsekuensi dari pekerjaan yang dilakukan, perubahan yang dibuat dan fakta bahwa tidak mungkin untuk dimasukkan ke dalam kotak peraturan dan deskripsi pekerjaan Procrustean.
Seorang ahli matematika seharusnya tidak berpikir, seorang ahli matematika harus berpikir
Ada skenario terbalik, ketika pada tahap tertentu tangan spesialis mulai bosan dengan perangkat keras dan menyiapkan peralatan dan peralatan pelindung, tetapi tidak ada keinginan untuk bergerak ke arah manajemen atau manajemen orang. Pada saat-saat seperti itu, Anda biasanya ingin melihat sistem keamanan klien sedikit dari luar, mulai menggunakan vektor ancaman, skenario untuk mengidentifikasi dan menanggapi mereka, melihat infrastruktur yang sedikit lebih luas, tidak terbatas pada ruang lingkup alat perlindungan dan sistem terkait. Dan ini sering mendorong seseorang untuk bergerak ke arah analitik kejadian dan bekerja dengan skenario untuk mengidentifikasi mereka.
Klien kami adalah bantuan yang sangat kuat dalam membentuk vektor pergerakan spesialis seperti itu. Khususnya, tugas yang kami selesaikan dari tugas manajemen keamanan ujung ke ujung, yaitu, kami terlibat tidak hanya dalam memantau dan menganalisis insiden, tetapi juga mengelola alat keamanan.
Bagaimana pelanggan memengaruhi proses kepegawaian internal kami? Terutama karena dua alasan:
- Platform SIEM itu sendiri, selain mendeteksi insiden, adalah alat yang sangat baik untuk Manajemen Log dan analitik posterior. Bagian dari tugas yang terkait dengan operasi - mendiagnosis penyebab beban pada saluran, menentukan daftar alamat eksternal yang digunakan dalam aplikasi, memulihkan rantai perubahan dalam kebijakan dan konfigurasi - seringkali jauh lebih cepat dan lebih efisien dalam SIEM. Oleh karena itu, semua insinyur, mulai dengan garis administrasi pertama, mendapatkan akses untuk membaca log sistem pelanggan. Cukup cepat, ini mengarahkan pikiran yang bertanya pada keinginan untuk membuat otomatisasi mikro untuk dirinya sendiri, template laporan, dll. Dengan demikian, insinyur tersebut terlibat dalam area yang berdekatan dan kadang-kadang merasa lebih menarik.
- Bagian kedua, yang tak kalah penting dari kehidupan kita adalah penyelidikan insiden atipikal atau respons terhadap serangan kompleks. Dalam hal ini, terutama jika skor berlangsung selama beberapa menit, semua orang melakukan segalanya, dan administrator juga terlibat dalam brainstorming dengan metode analisis, penyangkalan, dan penghapusan konsekuensi dari serangan itu. Stimulasi otak seperti itu untuk analitik dan pencarian koneksi implisit juga dengan cepat mengkristal dalam diri karyawan kesadaran akan kenyamanan dan daya tarik tugas-tugas tersebut.
Bagaimana staf bergerak dalam transfer ini? Biasanya, pelatihan dan terjemahan dilakukan dalam tiga bidang:
- Pengalaman dalam analisis log dan investigasi insiden. Tentu saja, contoh-contoh laboratorium banyak membantu, tetapi kehidupan penyedia MDR mengeluarkan kasus-kasus baru yang menarik setiap minggu, di mana Anda dapat menguji dan memompa keterampilan Anda. Selain itu, seperti yang telah saya katakan, para ahli administrasi juga memiliki pengalaman dasar dengan log.
- Bekerja dengan SIEM untuk membuat atau menyesuaikan konten. Bahasa “burung” untuk menulis aturan korelasi dalam SIEM yang berbeda tidak langsung diberikan kepada anak-anak. Tetapi sekali lagi, pengalaman dengan log dan pembuatan laporan dasar sangat mempersingkat rute ini.
- Nah, keterampilan untuk menyebarkan platform, menghubungkan dan mengkonfigurasi sumber untuk administrator apa pun sudah lama dikenal. Hanya satu produk lagi dalam portofolio.
Transisi semacam itu memunculkan analis yang sangat kuat, karena pengalaman tempur dengan peralatan pelindung secara signifikan membantu mereka dalam menafsirkan majalah dan dalam mengembangkan rekomendasi yang lebih spesifik dan sederhana untuk merespons dan menghilangkan konsekuensi dari serangan.
Tidak akan pernah ada kesempatan kedua untuk membuat kesan pertama
Kisah yang benar-benar terpisah dalam pekerjaan Solar JSOC adalah kegiatan dukungan penjualan, dan terutama proyek percontohan. Proyek percontohan haruslah kualitas klasik dari layanan yang disediakan:
- Waktu uji coba selalu ketat dan terbatas, oleh karena itu, langkah kerja untuk menghubungkan layanan dari pelanggan dan kami harus maksimal.
- Pilot harus menunjukkan kemampuan dan proses kami sepenuhnya sehingga pelanggan dapat mengevaluasi penerapan layanan kami untuk diri mereka sendiri secara obyektif dan tanpa hiasan (jika tidak, pada tahap penyediaan layanan, banyak masalah dapat timbul di kedua sisi).
- Dalam waktu singkat dan dalam skala uji coba terbatas, kita harus “menggali” sejumlah insiden dan kerentanan infrastruktur yang akan menjelaskan kepada bisnis manfaat sebenarnya dari layanan ini.
Proyek-proyek semacam itu membutuhkan analis presale yang bertanggung jawab atas mereka dengan serangkaian kualitas yang sangat tidak biasa: di satu sisi, sistematis untuk mengelola sumber daya dan tenggat waktu dengan semestinya, dan pada saat yang sama, beberapa kecerobohan dan kehausan akan pencapaian, untuk melakukan ini dari waktu ke waktu di depan harapan . Di satu sisi, demonstrasi manfaat layanan memerlukan proses perendaman substansial dalam layanan dan pengalaman dalam mendukung penjualan. Di sisi lain, penggalian insiden membutuhkan keahlian keamanan informasi yang luar biasa dalam bekerja dengan kayu gelondongan, dan hanya bakat untuk potensi kemacetan dalam sistem perlindungan pelanggan.
Sebuah kasus telah membawa kami pada metode yang memungkinkan untuk mengolah dan memilih personil tersebut. Kami sangat yakin bahwa tanpa pemahaman teknis tentang SOC, pengalaman dengan log dan SIEM, keterampilan pra-penjualan dalam kasus kami agak tidak berarti. Tapi begitu salah satu kandidat menempatkan seluruh situasi di atas kepalanya.
Dia terlatih dengan baik sebagai presale - seperti yang dikatakan salah satu pewawancara, "Saya tidak membutuhkannya sama sekali, tetapi saya hampir membelinya." Dia benar-benar "membakar" bisnisnya dan dipenuhi dengan keinginan untuk tumbuh dan berkembang. Tetapi, sayangnya, pengetahuan teknisnya jauh dari subjek SIEM dan subsistem SOC lainnya.
Namun demikian, atas kehendak layanan SDM, kandidat datang untuk bekerja bersama kami dan mulai bergabung dengan tim. Dan secara tak terduga, menjadi jelas bahwa keinginan untuk tumbuh dan berkembang dalam hubungannya dengan lingkungan yang tepat, ketika proses dan tugas SOC diserap di ruang merokok, saat makan siang, dan hanya di shift di kantor, memberikan hasil yang baik. Secara harfiah dalam satu setengah bulan, dia sudah mengambil kendali atas proyek percontohan pertama, tidak hanya sebagai manajer dan pengontrol waktu, tetapi dengan pelaksanaan tugas teknis yang hampir otonom. Sekarang ia berhasil mengimplementasikan pilot dari segala kategori kompleksitas yang sudah berperan sebagai pelatih bermain.
Sebagai hasilnya, kami menemukan pendekatan dua sisi untuk tugas yang sangat tidak standar dalam menumbuhkan personel seperti analisis presale dari layanan Solar JSOC:
- "Penyerbukan" tim presale dengan pengetahuan teknis dan semangat hidup dalam operasi keamanan siber,
- cari di antara teknisi untuk orang-orang yang ingin mentransfer dari spesialis teknis ke peran yang lebih dekat ke arah komersial.
Kedua pendekatan ini bermanfaat dan menjanjikan tidak hanya bagi kami, sebagai tim yang berkembang di pusat pemantauan, tetapi juga bagi karyawan yang menerima opsi lain untuk pengembangan karier.
Tentu saja, ini tidak semua opsi untuk memindahkan karyawan dalam Solar JSOC. Ada kasus ketika insinyur dari kelompok administrasi, bosan dengan komunikasi yang berkelanjutan dengan klien dan memiliki keinginan untuk berkonsentrasi pada operasi sesuatu "miliknya", pindah ke arsitek infrastruktur JSOC kami. Insinyur lini pertama kadang-kadang membangkitkan hasrat untuk analisis tingkat rendah dan bekerja dengan Assembler (tanda-tanda pertama forenser pemula). Pejuang berpengalaman dari lini pertama dan kedua, bosan dengan teknik, secara bertahap bergeser ke tugas manajer layanan dan komunikasi dengan pelanggan, atau menjadi pemimpin tim lokal.
Seperti yang telah disebutkan dalam
artikel pertama siklus, hal utama dalam diri seseorang bukanlah “kelancaran jari” atau “rasa terbakar” dalam mencari kebahagiaan sesaat, tetapi fokus pada pengembangan diri sendiri, kemampuan untuk mencari dan menemukan cakrawala baru untuk diri sendiri. Selanjutnya, tugas kita sudah - jangan ketinggalan saat ketika internal, dasar untuk orang ini perlu memahami dan sampai ke dasar beberapa aktivitas profil tidak cukup akan menang atas kebutuhan untuk menyelesaikan masalah operasi saat ini.
Pada saat ini, penting untuk memberi seseorang kesempatan untuk mengambil langkah berikutnya, untuk menawarkan pilihan yang akan memungkinkannya melakukan apa yang sebenarnya dilakukan oleh jiwa. Dan ke arah mana itu tidak begitu penting: ada beberapa tujuan cemerlang, dan selalu ada cukup tugas di perusahaan besar.