Geekly articles weekly

Alkimia personel: apa komposisi optimal tim pusat GosSOPKA?

gambar

Artikel ini bermanfaat bagi mereka yang bekerja di perusahaan yang diakui sebagai subjek infrastruktur informasi kritis (CII), yang berarti wajib memenuhi persyaratan No. 187-FZ dan membangun pusat Layanan Perlindungan Sosial dan Sertifikasi Negara (sistem negara untuk mendeteksi, mencegah dan menghilangkan konsekuensi dari serangan komputer) yang memenuhi persyaratan Layanan Keamanan Federal Rusia. .

Dalam artikel sebelumnya , kami menyentuh dasar-dasar topik ini dan berbicara tentang persyaratan FSB untuk peralatan teknis yang harus digunakan di pusat Layanan Jaminan Sosial dan Sertifikasi Negara. Namun, persyaratan ini (hampir untuk pertama kalinya) berlaku tidak hanya untuk sarana teknis perlindungan, tetapi juga untuk implementasi proses spesifik untuk memantau, merespons dan menyelidiki insiden IS. Karena itu, hari ini kita akan berbicara tentang sumber daya manusia apa yang Anda perlukan untuk memastikan semua proses ini.

Pertama, beberapa kata tentang mengapa kami memberikan tips tentang topik ini. Pada dasarnya, pusat GosSOPKA adalah pusat internal kecil untuk memantau dan menanggapi serangan dunia maya
(Pusat Operasi Keamanan), dengan hanya tugas dan tanggung jawab tambahan. Praktek tujuh tahun dalam menyediakan layanan semacam itu, lebih dari seratus perusahaan terbesar yang dilindungi, serta pengalaman menciptakan pusat-pusat GosSOPKA untuk pelanggan, membantu kami dalam waktu untuk menyelesaikan masalah "alkimia" personel secara lebih mendalam. Dan, tentu saja, di sepanjang jalan kami secara teratur mencari opsi untuk mengoptimalkan biaya staf sambil mempertahankan tingkat layanan yang tinggi.

Secara khusus, tim harus mampu menahan SLA yang cukup tangguh: Spesialis Solar JSOC hanya memiliki 10 menit untuk mendeteksi serangan dan hanya 30 menit untuk merespons dan melindungi. Pada saat yang sama, standar personel yang kami kembangkan memungkinkan kami untuk mengukur tim tergantung pada volume insiden aktual pada pelanggan (dan, percayalah, itu tidak menurun dari tahun ke tahun).

Dalam materi ini, kami merangkum pencapaian kami dan memberikan konfigurasi minimum struktur organisasi dan kepegawaian SOC, di mana ia akan dapat memenuhi semua fungsi yang diperlukan dari pusat GosSOPKA dan mematuhi rekomendasi peraturan regulator.

Baris pertama


Seperti yang diperlihatkan oleh praktik, perlindungan pada baris ini membutuhkan minimal 7 spesialis - mengingat fakta bahwa sebagian besar dari mereka bekerja secara bergiliran, menyediakan mode 24x7. Ini, khususnya, spesialis pemantauan - setidaknya harus ada 6 orang. Dalam hal ini, Anda tidak hanya menjalankan kontrol sepanjang waktu atas sistem perusahaan, tetapi Anda juga dapat memberikan informasi tentang insiden komputer kepada FSB selambat-lambatnya 24 jam sesuai dengan urutan No. 367 dari 07.24.2018.

Dalam hal spesialis layanan untuk SZI GosSOPKA berbagai opsi dimungkinkan.

Yang pertama adalah bahwa subjek KII memiliki arsitektur skala besar, dan perlu untuk memastikan ketersediaan layanan kritis yang konstan, dan karena penutupan / tidak dapat diaksesnya / gangguan pekerjaan ISS, organisasi akan menanggung kerugian moneter dan / atau reputasi, dan pada saat yang sama ada risiko tinggi kerusakan lingkungan dan manusia. Dalam hal ini, Anda perlu merekrut 6 orang yang akan menyediakan shift kerja 24x7.

Pilihan lain: subjek memiliki arsitektur skala besar yang sama dan layanan kritis yang membutuhkan ketersediaan konstan, sementara semua operasi dengan peralatan dilakukan oleh layanan TI, dan departemen keamanan informasi menentukan aturan fungsi dan memantau implementasinya. Dalam hal ini, Anda dapat membatasi diri pada tiga spesialis yang bekerja dalam mode 12/7 dan kemungkinan panggilan malam jika perlu.

Jika subjek Badan Perlindungan Sosial Negara tidak menganggap risiko pelanggaran terhadap ketersediaan objek KII selama 18+ jam menjadi kritis, dimungkinkan untuk memelihara peralatan pelindung dengan bantuan 1 spesialis dalam mode 8x5.

Spesialis

Tanggung jawab

Persyaratan kualifikasi

Mode

Jumlah

Spesialis pengawasan


  • Menangani insiden khas dari HelpDesk, IRP, SIEM atau dari pengguna.
  • Laporan khas tentang hasil ulasan.
  • Memantau status sumber.
  • Pemeriksaan retrospektif (setelah menerima indikator kompromi baru).

  • Administrasi Sistem (Linux / Mac / Windows).
  • Pengetahuan tentang berbagai SZI.
  • Pengetahuan tentang model OSI.
  • Pengetahuan tentang prinsip-prinsip perlindungan email, pemantauan jaringan dan respons insiden.
  • Pengalaman agregasi dan analisis log dari berbagai SIS heterogen.

24x7

6

Spesialis Layanan


  • Pemantauan dan diagnostik masalah-masalah peralatan dan perangkat lunak yang beroperasi.
  • Perawatan rutin terjadwal SZI.
  • Layanan SZI yang tidak terjadwal.
  • Pemeliharaan infrastruktur internal pusat
  • Respons yang cepat jika terjadi beberapa kesalahan positif positif.

  • Administrasi Sistem (Linux / Mac / Windows).
  • Pengetahuan tentang berbagai SZI.

24x7

6

12x7 + panggilan di malam hari

3


8x5


1



Penting untuk dipahami bahwa meskipun volume insiden yang secara signifikan lebih kecil di malam hari, peristiwa paling penting dan kritis terjadi hanya pada malam hari dan pada saat shift pagi dimulai, mereka sudah kehilangan relevansinya. Namun, itu adalah penyelarasan dari mode operasi 24x7 yang menyebabkan kesulitan bagi sebagian besar SOC: tidak semua spesialis ingin bekerja secara bergiliran. Karyawan langka akan termotivasi untuk pekerjaan berkualitas untuk waktu yang lama, terutama jika ada beberapa insiden di infrastruktur Anda. Semua ini berarti bahwa Anda harus secara sistematis menyelesaikan masalah pergantian staf, terus memilih dan melatih spesialis baru.

Baris kedua


Pada tahap ini, sebagai suatu peraturan, seseorang tidak dapat melakukannya tanpa bantuan kontraktor berpengalaman - kecuali, tentu saja, Anda menghitung uang dan tidak bermaksud untuk berubah menjadi perusahaan IB layanan penuh. Memang, selain spesialis dalam menghilangkan konsekuensi dari insiden komputer dan dalam menilai keamanan, baris kedua mencakup posisi yang agak spesifik. Ini adalah spesialis yang sangat mahal yang Anda tidak perlu penuh waktu, tetapi tanpanya SOC Anda tidak mungkin dapat memenuhi gelar bangga sebagai pusat SOSOPKA - pentester, pakar forensik, pakar analisis kode. Akibatnya, jumlah minimum staf di baris kedua adalah 3-4 karyawan, tergantung pada tingkat tugas.

Di antara mereka adalah spesialis respon insiden komputer, karyawan lini pertama yang berpengalaman yang tahu bagaimana menangani insiden non-tipikal dan memberikan bantuan lini pertama jika terjadi kesulitan.

Pusat GosSOPKA berkewajiban untuk secara teratur mengevaluasi keamanan sumber daya informasi dalam bidang tanggung jawabnya, tetapi tidak setiap organisasi dapat membeli tim pentesternya sendiri, yang akan membuat kolega tetap dalam nada yang konstan. Selain itu, menurut rekomendasi metodologis, pengujian penetrasi harus dilakukan dua kali setahun - eksternal dan internal. Masalah ini cukup berhasil ditutup oleh kontraktor eksternal berpengalaman, yang spesialisnya bekerja dengan banyak pelanggan yang berbeda, yang berarti bahwa mereka secara teratur meningkatkan keterampilan mereka dalam kondisi "pertempuran".

Di negara bagian, kami menyarankan agar Anda meninggalkan hanya satu spesialis penilaian keamanan, yang tanggung jawab utamanya adalah inventaris sumber informasi, mengisi dan menjaga basis data CMDB, bekerja dengan pemindai keamanan, memproses kerentanan dan memantau manajemen patch.

Juga, jika implementasi siklus hidup pengembangan perangkat lunak yang aman relevan untuk subjek KII, analisis statis dan dinamis dari kode sumber dapat digunakan untuk mengidentifikasi kerentanan. Pada saat yang sama, spesialis aplikasiec hanya diperlukan dalam jumlah kasus yang sangat terbatas untuk KII - masuk akal untuk menarik keahlian eksternal di sini.

Selain itu, SOC yang matang juga memiliki spesialis dalam mengidentifikasi penyebab insiden komputer. Sebagai aturan, ini juga merupakan seluruh tim insinyur, yang diperlukan hanya beberapa kali dalam setahun, dan kami sarankan untuk tidak membebani diri Anda dengan isinya, tetapi untuk menyimpulkan perjanjian dengan perusahaan yang bergerak dalam bidang forensik secara berkelanjutan.

Spesialis


Tanggung jawab


Persyaratan kualifikasi


Mode


Jumlah


Spesialis CT


  • Menanggapi insiden kompleks.
  • Memantau interaksi SZI dengan SIEM.
  • Analisis kegiatan abnormal untuk mengidentifikasi insiden.
  • Investigasi serangan DDoS.
  • Respons yang cepat jika terjadi beberapa kesalahan positif positif.

Sama seperti di baris pertama, plus:


  • Pengetahuan bahasa scripting (Python, Bash, Powershell).
  • Kesadaran mengelola kerentanan dan nomor CVE.
  • Manajemen log dan manajemen tambalan di keluarga Windows dan Linux.
  • Sertifikat atau pengetahuan yang sesuai dengan CISSP / CEH.
  • Perhatian khusus pada sistem SIEM

8x5 dengan panggilan malam / akhir pekan


2


12x7 + panggilan di malam hari


3


Penilai Keamanan


  • Memindai kerentanan dan kepatuhan.
  • Konfigurasikan profil pindai.
  • Analisis kerentanan berdasarkan laporan pemindai keamanan.
  • Mengisi CMDB dasar.

Bekerja dengan alat inventaris, kontrol keamanan


8x5


1


Spesialis DevSecOps- / QA

Analisis statis dan dinamis kode sumber perangkat lunak

Membangun appsec CI / CD, bekerja dengan penganalisa kode statis dan dinamis, Fuzzing

Subkontrak


Pentester / Redteam


  • Tes penetrasi.
  • Pengembangan IoC berdasarkan penelitian.

  • Melakukan pentest internal dan eksternal untuk semua tahap killchain.
  • Memiliki alat untuk mendeteksi dan mengeksploitasi kerentanan.
  • Bypass IDS / IPS, dll.
  • Kepemilikan OSINT.
  • Bash, Powershell, Python.
  • Pengetahuan tentang metode pengujian.

Subkontrak


Pengidentifikasi Penyebab Komputer


  • Membalikkan rekayasa sampel malware.
  • Forensik kesedihan lalu lintas jaringan, RAM, snapshot disk.
  • Forensik berbasis host.

  • Investigasi insiden.
  • Pengumpulan dan analisis bukti, interaksi dengan lembaga penegak hukum (bekerja dengan sistem forensik, rekayasa terbalik, dll.)

Subkontrak


Baris ketiga


Solusi dari tugas-tugas strategis utama dan manajemen tingkat atas, yang diimplementasikan oleh lini ketiga, harus diakumulasikan di sisinya. Komposisi minimum unit tersebut adalah 5 spesialis.

Ini, khususnya, ahli teknis - insinyur spesialisasi, bertanggung jawab atas bidang keahlian mereka. Staf pusat besar harus mencakup spesialis di semua bidang yang diperlukan (WAF, ITU, IDS / IPS, CIP, dll.). Kami akan membatasi diri untuk dua ahli teknis yang harus memberikan dukungan ahli untuk spesialis dari baris 1 dan 2.

Metodolog (auditor SI), seorang ahli di bidang tindakan hukum pengaturan dan persyaratan regulator (FSTEC, FSB, Bank Sentral, ILV), bertanggung jawab untuk menilai kepatuhan tingkat keamanan organisasi dengan ketentuan hukum.

Analis-arsitek sedang mengembangkan konektor baru, skrip SIEM, memperbarui aturan dan kebijakan alat perlindungan sesuai dengan data Threat Intelligence, menganalisis tanggapan False Positive, menganalisis anomali.

Kepala pusat GosSOPKA tidak diragukan lagi harus memiliki pengetahuan mendalam tentang kerangka kerja peraturan dan memiliki setidaknya 10 tahun pengalaman praktis dalam industri keamanan informasi.

Spesialis

Tanggung jawab

Persyaratan kualifikasi

Mode

Jumlah

Pakar teknis


  • Pekerjaan teknologi internal tentang penempatan tegakan.
  • Menguji produk baru untuk pusat.
  • Respons yang cepat jika terjadi banyak kesalahan positif.
  • Analisis kualitas konten, pembentukan persyaratan untuk revisi.
  • Melakukan Review Kasus, analisis kualitas analisis kasus dengan 1 baris.
  • Analisis agregat positif False Positive, rekomendasi untuk eliminasi.

Para ahli di bidang spesialisasi mereka (malware, tweak, penggunaan cara teknis khusus, dll.),


8x5


2


Metodolog (auditor SI)


  • Pengembangan dan pemeliharaan dokumentasi keamanan informasi organisasi dan administrasi (kebijakan, peraturan, instruksi).
  • Organisasi dan kontrol kepatuhan dengan persyaratan hukum dan standar industri keamanan informasi.
  • Partisipasi dalam persiapan dan penutupan kontrak; analisis penerapan dan kelayakan persyaratan rekanan dalam hal keamanan informasi; analisis kontrak dalam hal kepatuhan dengan kebijakan dan standar keamanan.
  • Pengembangan dan pemeliharaan program kesadaran keamanan informasi di perusahaan.
  • Inventarisasi dan klasifikasi aset informasi dari sisi deskripsi dalam dokumentasi.

Seorang ahli dalam kepatuhan dan pengembangan kertas metodologis.


Pengalaman dalam mengembangkan model ancaman dan pengganggu, rekomendasi metodologis.


8x5


1


Arsitek Analis


  • Pengembangan konektor.
  • Mengadaptasi skenario dengan fitur-fitur fungsi IP.
  • Scripting untuk sumber baru.
  • Optimasi skrip.
  • Pengembangan skenario setelah menerima Ancaman Intelijen.
  • Persaingan serangan dan pengembangan skenario untuk deteksi mereka

Penguasaan proses dan sarana pendukung (SIEM) dalam arahnya:

  • Penilaian Kerentanan.
  • Diagnosis dan mitigasi berkelanjutan.

Kemampuan untuk mengadaptasi IoC dari sistem Threat Intelligence ke IP subjek

8x5


1


Pengawas


  • Arahan umum dan orkestrasi.
  • Meningkatkan kesadaran karyawan tentang entitas SOSPKA negara.
  • Melakukan "cyber-order".

  • Manajemen tim
  • Pengalaman dalam keamanan informasi dari 10 tahun
  • Pengetahuan tentang dokumen peraturan FSB dan FSTEC

8x5


1



Bicara soal latihan


Semua rekomendasi ini berfungsi sebagai titik awal daripada panduan yang akurat untuk bertindak. Tentu saja, ketika Anda membuat pusat Anda sendiri, Anda akan mendapatkan staf Anda sendiri. Akan ada lebih banyak spesialis di satu baris, lebih sedikit di yang lain, peran yang sedikit berbeda akan muncul di ketiga, atau mereka akan terus naik / turun.

Misalnya, untuk salah satu pelanggan kami, kami membangun SOC, tempat kami meninggalkan fungsi garis pemantauan 1 dalam mode 24x7, dan pelanggan menyewa jalur kedua (tim respons 5 orang) dan analisis yang ketiga sendiri. Selain itu, organisasi sudah memiliki kepala keamanan informasi (dia mengepalai SOC), serta seorang metodologi dan departemen TI, yang juga terlibat dalam inventaris.

Pelanggan lain menambahkan pada baris pertama peran kepala kelompok pemantauan dan mereka yang bertanggung jawab untuk berinteraksi dengan pengguna, dan juga meningkatkan jumlah spesialis pemantauan menjadi delapan. Pada baris kedua, tiga karyawan bertanggung jawab untuk menghilangkan konsekuensi, tetapi spesialis forensik dipekerjakan. Jumlah total tim pusat GosSOPKA di perusahaan ini adalah 20 orang.

Pada akhirnya, staf pusat tergantung pada vektor kunci pengembangan SOC Anda, yang ditentukan dan disesuaikan selama analisis insiden. Pada saat yang sama, terutama pada tahap awal, disarankan untuk menggunakan kemampuan penyedia layanan untuk skala "uji" lisensi dan personel. Dalam hal ini, Anda akan dapat menilai persyaratan sumber daya dengan lebih akurat, menghindari investasi modal yang tidak perlu. Misalnya, salah satu klien memberi kami semua fungsi operasional pusat, dan hanya meninggalkan interaksi dengan NCCSC (mengirim laporan tentang insiden).

Jika kita berbicara tentang skema standar kami untuk mengadopsi infrastruktur pelanggan untuk pemantauan, maka di sisi pelanggan, sebagai aturan, ada:

  • Dua karyawan yang menerima pesan dari tim pemantauan Solar JSOC dan menanggapi insiden sesuai dengan rekomendasi kami.
  • Satu spesialis pemindaian kerentanan.
  • Manajer Manajemen Layanan.

Tetapi setiap orang memiliki caranya sendiri dalam membangun pusat Badan Perlindungan Sosial Negara, dan kami berharap artikel ini membantu Anda memutuskan milik Anda.

Source: https://habr.com/ru/post/id463675/

More articles:


All Articles