Saat ini, bahkan pencarian sepintas tentang hh.ru memberikan sekitar 90 lowongan yang berbeda dalam tugas dan fungsionalitas dengan kata ajaib "analis" dan ketentuan pembayaran yang cukup baik. Di depan banyak kandidat, data besar dan pembelajaran mesin langsung mengambang, gaji mulai menari jauh di atas pasar dan menggoda dengan nol. Jadi siapa analis pusat pemantauan yang "bertanggung jawab untuk memastikan bahwa pelanggan tidak diretas"? Apa yang mereka lakukan dan apa yang perlu Anda ketahui dan dapat mencapai posisi ini?
Dalam
artikel sebelumnya, kami mengatakan bahwa daftar tugas utama analis dari 3 baris meliputi:
- Analisis kegiatan abnormal untuk mengidentifikasi insiden.
- Menanggapi insiden kritis yang tidak biasa dari Pelanggan mereka.
- Partisipasi dalam penyelidikan insiden IS tidak dicatat oleh pemantauan
- Inspeksi teknis, koneksi dan adaptasi sumber acara.
- Kembangkan skenario deteksi insiden baru.
Singkatnya, analis bertanggung jawab atas aspek teknis pemantauan ancaman cyber Pelanggan. Sumber tidak mengirim log, acara tidak diuraikan, skrip tidak berfungsi atau dipalsukan, mereka melewatkan serangan - analis yang ditugaskan untuk Pelanggan bertanggung jawab atas segalanya.
Namun, ini tidak berarti bahwa semua analis Solar JSOC berwarna abu-abu atau botak pada usia 30 tahun. Tidak semua. Hanya peran ini menyiratkan tuntutan tinggi pada pemainnya. Mari kita coba untuk menggambarkan mereka secara lebih rinci. Kami akan segera menarik perhatian pada fakta bahwa dalam artikel ini kami sengaja tidak fokus pada kompetensi teknis yang kami harapkan dari kandidat untuk peran analis Solar JSOC. Banyak yang telah dikatakan tentang teknologi, tetapi, seperti yang disebutkan dalam seri artikel kami, SOC adalah manusia.
Berjuang dan mencari
Kami tidak akan fokus pada itu, tetapi Anda tidak dapat mengatakan beberapa kata tentang SIEM :) Dalam uraian tugas mereka sering menulis: "Pengalaman dengan sistem SIEM". Di satu sisi, semuanya jelas: SIEM adalah mesin SOC, tanpa itu, layanan, seperti yang mereka katakan, "tidak akan pergi". (Beberapa ahli memiliki keberatan dan pendapat mereka sendiri, memiliki hak untuk hidup, teori membangun SOC tanpa SIEM, tapi tetap saja ini bukan topik artikel kami.)
Namun, pada kenyataannya, di balik kata-kata ini ada sesuatu yang lebih dari kemampuan untuk melihat log dari sistem TI tertentu.
Analis harus dapat memodelkan vektor serangan berdasarkan pada jumlah minimum informasi tentang infrastruktur pelanggan. Tentu saja, ketika Pelanggan terhubung, kami mendapatkan darinya informasi lengkap tentang subnet L2-L3, daftar server dan AWP dengan peran mereka, unggahan dari AD dan SCCM, dll. Dan di antara spesialis Solar JSOC bahkan ada legenda bahwa pernah ada Pelanggan yang memberikan semua informasi ini terkini ... Tapi, sayangnya, ini tidak selalu terjadi, dan Anda harus bekerja dengan apa yang kami miliki. Dan ini berarti Anda harus dapat menilai kecukupan sumber yang terhubung dan menerima acara untuk menyediakan layanan berkualitas tinggi untuk memantau dan mengidentifikasi insiden IS. Jelas, untuk ini, seorang spesialis harus memiliki latar belakang yang kuat pada teknologi TI utama yang digunakan untuk membangun infrastruktur khas perusahaan.
Secara paralel, analis harus dapat menggunakan sumber-sumber lama untuk menyelesaikan tugas-tugas baru (dalam hal ini, baca-non-inti). Misalnya, salah satu Bank Pelanggan kami, yang memiliki jaringan ATM yang dikembangkan di seluruh negeri, memiliki masalah akut: solusi antivirus yang digunakan tidak memungkinkan kami untuk mengevaluasi kelengkapan cakupan ATM ini dengan perangkat lunak antivirus. Namun, kami memiliki firewall tingkat kernel yang terhubung, dan kami tahu di mana ATM layanan pemrosesan berinteraksi. Dengan menggunakan log ini, analis yang bertanggung jawab dapat menyiapkan daftar alamat IP ATM yang memasuki pemrosesan, dan pada saat yang sama, database pusat kendali solusi anti-virus tidak mengandung informasi tentang agen mereka. Selama beberapa bulan kerja intensif bersama, kami berhasil mengurangi daftar ATM tersebut dari beberapa ratus menjadi unit, dan tugas inventaris, awalnya atom, akhirnya diluncurkan secara berkelanjutan.
Temukan dan jangan menyerah
Sangat berguna bagi analis adalah sifat korosif dan perhatian terhadap detail. Investigasi insiden yang tidak dicatat oleh skrip Solar JSOC yang berjalan adalah pekerjaan rutin yang sangat rumit dengan ribuan atau bahkan jutaan peristiwa dari berbagai sumber. Dan di sini hal yang paling sulit adalah menemukan utas dengan menarik yang mana, akan mungkin untuk mengurai seluruh jalinan insiden.
Misalnya, kami memiliki kasus ketika analis menyelidiki entri yang tidak sah ke dalam infrastruktur Pelanggan dan tidak dapat mengelola untuk menemukan titik kompromi yang asli. Untuk mengatasi masalah tersebut, kami harus membuat laporan bulanan tentang koneksi jaringan yang masuk dan keluar dengan partisipasi dari alamat IP yang tergabung dalam kumpulan alamat eksternal Pelanggan. Dan hanya setelah analisis yang panjang dari laporan ini, adalah mungkin untuk menemukan koneksi keluar yang tidak lazim dari server web uji ke alamat IP dari Belanda, yang akhirnya berubah menjadi aktivitas Reverse Shell, diluncurkan oleh penyerang pada server yang dikompromikan.
Bagian dari tugas analis memerlukan komunikasi langsung dengan pelanggan. Kadang-kadang informasi dari itu harus ditarik secara harfiah oleh kutu, misalnya, ketika permintaan tiba dalam bentuk "apa yang mencurigakan dari workstation ini dan itu minggu lalu?". Bahkan, setelah serangkaian pertanyaan terkemuka, ternyata karyawan yang bekerja di stasiun kerja ini mengeluh kepada rekannya dari divisi IS di ruang merokok bahwa ada file yang hilang di desktopnya. Dan petugas keamanan kemudian memutuskan untuk bertanya kepada SOC eksternal apa hubungannya, tetapi kata-kata dari pertanyaan itu terlalu kabur. Dan ini terjadi setiap saat. Sulit untuk melebih-lebihkan kemampuan terkenal untuk bekerja dalam tim, yaitu dalam hubungannya dengan manajer layanan. Untuk memberikan layanan berkualitas tinggi, penting bahwa keduanya menarik tim dalam satu arah, dan tidak seperti dalam satu dongeng terkenal.
Karakternya gigih, Nordik
Secara terpisah, perlu dicatat sifat karakter yang menjadi begitu akrab di semua resume yang tidak ada yang memperhatikannya. Ini tentang ketahanan terhadap stres. Solar JSOC menyediakan layanan 24-oleh-7, yang berarti bahwa semua analis mengambil bagian dalam panggilan 24 jam, siap kapan saja, siang atau malam, untuk bergabung dalam penyelidikan insiden penting. Pada saat yang sama, seperti yang ditunjukkan oleh
statistik , sebagian besar insiden kritis terjadi tepat setelah jam kerja. Kemampuan untuk bangun beberapa kali dalam semalam datang ke permukaan, dan otak harus mulai dan siap untuk menerima informasi yang paling penting hampir secara instan.
Investigasi semua insiden yang direkam dilakukan oleh para insinyur dari garis pemantauan pertama. Tugas analis adalah untuk terhubung selama eskalasi, serta memantau kualitas investigasi insiden yang dilakukan oleh baris pertama. Selain itu, insinyur sering meminta analis untuk membantu menafsirkan peristiwa atau menilai kekritisan insiden tersebut. Ini berarti bahwa analis harus memandu kolega juniornya, memantau kemajuan pada kualitas penyelidikan dan memberikan umpan balik kepada pemimpin tim lini pertama.
Selain itu, Pelanggan sering meminta untuk memberikan informasi ini atau itu tentang peristiwa. Analis harus mengevaluasi tugas, menafsirkannya dengan benar, dan meneruskannya ke insinyur lini pertama untuk implementasi, secara keseluruhan atau sebagian, tergantung pada tingkat kesulitan dalam menyelesaikan tugas. Penting untuk tidak mengunci semua kegiatan teknis pada diri Anda dan mendelegasikan tugas otonom ke baris pertama dalam waktu sebagai sumber daya yang dapat diukur. Sebagai contoh dari tugas-tugas tersebut, seseorang dapat mengutip permintaan seperti "perlu membongkar informasi tentang aktivitas karyawan N pada host tertentu" atau "permintaan untuk memberikan informasi tentang interaksi jaringan dengan alamat xxxx untuk bulan lalu". Seperti yang Anda lihat, permintaannya cukup sederhana, tetapi penerapannya dalam SIEM membutuhkan waktu tertentu, dan itu layak dilakukan pada baris pertama.
"... biarkan mereka mengajariku"
Bagaimana Solar JSOC diisi ulang? Saya berharap semuanya sederhana, seperti dalam gambar, tetapi sayang sekali.
Jika Anda tidak mempertimbangkan untuk mempekerjakan orang dari luar, serta transisi horizontal, maka analis akan tumbuh dengan cara yang paling alami dari seorang insinyur respons (detail lebih lanjut tentang peran ini dalam geng JSOC dapat dibaca di
sini dan di
sini ). "Dan hanya ini yang logis," seperti kata karakter terkenal itu.
Insinyur respons kemungkinan besar tumbuh dari garis pemantauan pertama, yang berarti bahwa ia melewati jalur yang sulit untuk menyelidiki aliran insiden yang sedang berlangsung, bermanuver antara Scylla False Positive dan Charybdis False Negative. Selain itu, insinyur telah memperoleh keterampilan investigasi yang lebih kompleks, kerja mendalam dengan SIEM, menghubungkan sumber acara, serta memecahkan masalah spesifik Pelanggan. Secara umum, ia menguasai fondasi yang diperlukan untuk pertumbuhan lebih lanjut.
Tetapi apakah ini cukup untuk masuk ke analitik? Ini pertanyaan yang sulit. Dan biasanya tidak ada jawaban universal untuk itu. Minimal, analis, dibandingkan dengan insinyur respons, memiliki tanggung jawab baru - interaksi dengan Pelanggan. Ini akan tampak seperti hal sepele bagi banyak orang, tetapi latihan telah menunjukkan bahwa ini jauh dari kasus. Banyak dari orang-orang, yang tenggelam dalam TI, harus bekerja keras untuk mengatasi rasa takut dan belajar bagaimana berkomunikasi dengan orang-orang yang kami sediakan layanan. Beberapa sangat tertekan oleh beban tanggung jawab. Secara psikologis sulit bagi orang lain untuk menerima bahwa tidak akan ada lagi kawan senior dalam posisi analis yang akan memeriksa ulang setelah Anda dan menunjukkan kesalahan. Bagi banyak orang, terlalu banyak stres - ketika Anda melakukan tugas yang tidak biasa, yang masing-masing merupakan tantangan bagi keterampilan Anda, ketika beberapa solusi berturut-turut berubah menjadi jalan buntu. Banyak yang kemudian menyerah begitu saja. Jadi kualitas manusia memainkan peran penting di sini.
Sebagai tugas terjemahan untuk posisi analis, kami biasanya menawarkan dua jenis tugas. Salah satunya adalah tugas mengembangkan konten JSOC, misalnya, mengembangkan blok skrip untuk mendeteksi vektor serangan baru. Dari segar - implementasi mendeteksi serangan pada Active Directory, khususnya DCShadow.
Selain bekerja dengan konten, analis selama proses penerjemahan ditunjuk bertanggung jawab untuk dua atau tiga Pelanggan Solar JSOC: memeriksa infrastruktur mereka, sumber-sumber yang terhubung dan peristiwa yang diterima dari mereka, memverifikasi kelengkapan sistem yang terhubung dan ruang lingkup skrip yang sedang berjalan, dan hasil untuk mengontrol insiden yang terdeteksi dan kualitas pekerjaan insinyur lini pertama. tentang insiden ini. Setelah penerimaan, semua pertanyaan mengenai sisi teknis layanan untuk Pelanggan ini masuk ke area tanggung jawab analis baru.
Tim analisis memiliki peringkat posting. Analis junior mengasumsikan peran baru untuk dirinya sendiri dan terlibat dalam tugas-tugas khas. Analis adalah kekuatan pemogokan utama JSOC, menutup kumpulan tugas utama. Saya juga ingin mengatakan tentang peran analis senior. Sesuai namanya, analis senior mengatasi tugas utamanya dengan sempurna, sementara ia memiliki pemahaman tentang manajemen layanan Solar JSOC, mampu menilai risiko bisnis, memiliki tingkat komunikasi yang tinggi, dan jika perlu dapat bekerja di luar arsitektur layanan non-standar, dll. Jadi, dalam diri karyawan seperti itu, kami memiliki unit tempur otonom yang dapat menggantikan manajer layanan untuk periode ketidakhadirannya tanpa kehilangan kualitas.
Tapi apa yang terjadi di sebelah karyawan yang naik tangga bernama Analis? Tangga pengembangan Solar JSOC tidak berakhir di sana.
Anda dapat fokus pada pengembangan dan "menggali lebih dalam", meningkatkan pengetahuan dan keterampilan seorang analis di pusat pemantauan, secara bertahap menjadi ahli yang lazim yang tidak lagi peduli dengan tingkat kompleksitas tugas.
Anda dapat mengoptimalkan pekerjaan analis, serta mengawasi orang-orang yang mulai bekerja di posisi ini. Dengan kata lain, secara bertahap maju ke peran pemimpin tim lokal.
Dan Anda dapat mencoba untuk bergabung dengan jajaran manajer klasik dan menanggung beban seorang manajer layanan, mengambil tugas-tugas sulit seperti memantau kepatuhan SLA, mengelola layanan Solar JSOC, berinteraksi dengan Pelanggan dalam hal tingkat layanan yang diberikan.
Kami mencoba untuk membantu setiap karyawan memutuskan vektor pengembangan yang paling cocok untuknya dan menemukan dirinya dalam struktur Solar JSOC.
