Berbicara tentang bagaimana pekerjaan pusat pemantauan dan menanggapi serangan dunia maya (SOC) dari dalam ke luar, kita telah berbicara tentang insinyur
lini pertama dan
kedua dan tentang para
analis . Lalu kami dengan santai menyebutkan manajer layanan. Ini adalah karyawan SOC yang bertanggung jawab kepada pelanggan untuk kualitas layanan yang diberikan. Definisi singkat ini sebenarnya menyembunyikan hal-hal berikut: manajer layanan menentukan implementasi praktis dari layanan di situs pelanggan, harus siap kapan saja untuk menjawab panggilan pelanggan atau pemberitahuan dari insinyur pemantau tentang insiden kritis, mengumpulkan tim respons atau investigasi dan pergi ke situs.
Untuk sebagian besar, manajer layanan Solar JSOC adalah laki-laki di atas 30 yang telah
melihat spesies dengan pengalaman beragam dalam keamanan informasi: mulai dari merancang sistem keamanan informasi hingga proses audit. Pastikan untuk memiliki keterampilan menerjemahkan dari
burung ke teknis
manusia ke bisnis dan sebaliknya.
Apa dan kepada siapa manajer layanan berhutang
Manajer layanan tidak memerlukan pengetahuan mendalam tentang alat perlindungan informasi khusus di tingkat insinyur yang beroperasi. Tetapi ada pandangan luas di bidang SPI dan produsennya, pengetahuan minimal tentang protokol jaringan dan persyaratan untuk objek informasi tertentu seperti AWS KBR, dll. - wajib. Dan sebagai persyaratan wajib - pemahaman mapan dan berakar
alias didirikan bahwa perlu untuk melindungi, pertama-tama, bukan host, tetapi proses bisnis. Secara teori, semua orang tahu tentang ini, tetapi dalam praktiknya, tidak semua orang mampu mengikuti prinsip ini.
Mengapa seperangkat kriteria seperti itu? Manajer layanan adalah satu jendela untuk klien. Bersama dengan analis mereka membentuk grup yang secara langsung berkomunikasi dengan pelanggan. Semacam kantor depan dalam bentuk seperti yang kita bayangkan. Itu adalah manajer layanan yang menentukan bagaimana tugas-tugas pelanggan akan diselesaikan pada tingkat aplikasi. Keterangan seperti itu, sebagai suatu peraturan, tidak dijabarkan dalam kontrak.
Baik jika klien memiliki pemahaman yang jelas tentang apa yang ingin ia dapatkan dari layanan (pada baris ini rekan-rekan saya menyeringai). Pada kenyataannya, fenomena ini hampir sama langka dengan hujan meteor. Dan di sini tidak bisa dilakukan tanpa seseorang yang menyediakan pengembangan keamanan informasi dalam kerangka proyek. Untuk setiap klien tertentu, ia mengidentifikasi data dan proses penting, serta sarana otomatisasi mereka; titik kompromi potensial di tingkat infrastruktur dan organisasi interaksi antara sistem dan orang. Dan ini hanya pada tahap peluncuran layanan. Dan kemudian hari kerja datang, di mana manajer layanan terus-menerus menggerakkan nadi pada infrastruktur pelanggan. Penting untuk mengingat dan mempertimbangkan banyak faktor: jenis bisnis, peralatan jaringan dan SZI yang digunakan, jumlah dan jenis subkontraktor, tingkat akses ke informasi sensitif dan banyak lagi.
Pertanyaan logis yang sempurna: mengapa begitu sulit? Bagaimanapun, Anda dapat menghubungkan sistem pelanggan ke SOC sebagai sumber informasi dan berhenti di sini. Mungkin seseorang melakukannya, tetapi pengalaman kami menunjukkan bahwa apa yang cocok untuk bank tidak berlaku untuk pabrik atau perusahaan leasing. Ya, dan di dalam bank tidak ada pendekatan keamanan yang identik, meskipun faktanya ini adalah salah satu industri yang paling banyak diatur di negara kita. Dan pabrik-pabrik pada umumnya memiliki horor yang tenang: sekelompok protokol kepemilikan, sejumlah subkontraktor penghambat yang menghubungkan secara jarak jauh dengan elemen infrastruktur (seringkali tanpa mengungkapkan fakta ini kepada pelanggan). Dan dengan semua pengetahuan ini perlu untuk bekerja.
Seperti disebutkan di atas, di bawah setiap kontrak kami membentuk tim analis dan manajer yang berada di garis depan. Tim tidak permanen dan bervariasi dari klien ke klien. Sebagai aturan, satu manajer layanan melayani tiga hingga enam pelanggan, tergantung pada ukuran kontrak mereka dan tingkat kematangan IS. Dan ini adalah tiga atau enam infrastruktur berbeda, berbagai
pengakuan pendekatan keamanan informasi dan "pesona" keanekaragaman spesies lainnya. Dalam keadilan, layak untuk mengatakan bahwa kami memiliki sejumlah klien besar yang telah dialokasikan sebagai manajer layanan pribadi yang hanya bekerja dengan mereka (tetapi ini tidak mudah baginya).
Pendekatan individual kepada pelanggan bukanlah kata-kata besar, tetapi salah satu tugas dalam menyediakan layanan. Bahkan perusahaan yang berbeda dari industri infrastruktur yang sama memiliki pendekatan yang berbeda untuk keamanan, kebijakan IS dan proses bisnis yang, tidak peduli bagaimana kita ingin menyatukan layanan, pada kenyataannya pendekatan ini akan mengarah pada kata-kata kotor dan perlindungan pelanggan yang lebih rendah (dengan kata lain, itu akan menjadi rahasia bekerja). Namun, masih perlu menemukan keseimbangan antara keinginan pelanggan, seringkali aneh, dan kegunaan nyata dari tindakan tertentu.
Misalnya, ada segmen tamu WiFi yang terisolasi tanpa akses ke sumber daya internal, tetapi pelanggan ingin kami menerima pemberitahuan dengan tingkat kekritisan maksimum jika kami memperbaiki peluncuran RAT (Alat Akses Jarak Jauh). Namun, pada kenyataannya, setelah menerima pemberitahuan seperti itu, pelanggan tidak melakukan apa-apa, karena dia tidak memiliki buku pedoman dan tidak memiliki sumber daya yang cukup untuk merespons. Dan kepuasan dari keinginan semacam itu meningkatkan beban pada insinyur respon dan tidak menguntungkan salah satu peserta dalam proses tersebut. Akibatnya, kita tidak mendapatkan apa pun selain peningkatan "kewajiban sosialis", yaitu Respons insiden tinggi dan proses investigasi tidak berfungsi.
Atau sebaliknya: pelanggan, karena beberapa takhayul yang tidak jelas, tidak ingin memantau sistem penagihannya (yang merupakan sistem bisnis utama dan, secara umum, CII). Dan kita harus menjelaskan secara metodis dengan jari kita mengapa kita harus melindungi segmen ini. Setiap SM kami memiliki banyak cerita serupa, dan jika Anda menerbitkannya, Anda akan mendapatkan buku yang bagus seperti itu.
Dan di sisi lain dari koin adalah proses Solar JSOC: memantau secara langsung dan mengidentifikasi insiden, analitik, arsitektur, forensik, dll. dll. Semua perusahaan yang cukup besar dan beraneka ragam ini bekerja untuk pelanggan. Seperti halnya dalam kumpulan makhluk hidup, ia memiliki vektor perkembangan, preferensi, dan komunikasi pribadi. Dan ini seharusnya tidak memengaruhi penyediaan layanan. Ini juga sakit kepala SM: perlu mendistribusikan ulang sumber daya untuk memecahkan masalah, untuk memprioritaskan implementasi sehingga tidak memengaruhi pelanggan lain. Pelajaran yang membosankan diperoleh.
Tidur adalah untuk para pengecut
Tidak seperti kebanyakan karyawan Solar JSOC, manajer layanan "bekerja sepanjang waktu": tanpa istirahat untuk malam, siang hari dan makan siang. Semua layanan lain memiliki petugas. Ini tidak berarti bahwa manajer layanan, seperti budak dapur, terbatas pada versi modern dayung - sebuah meja dan komputer. Hanya orang yang harus menjawab panggilan dari pelanggan atau layanan internal kami setiap saat, siang atau malam hari. Dalam pemahaman kami, istilah "jawaban" menyembunyikan urutan tindakan berikut (kami adalah untuk pendekatan proses): untuk mengenali pertanyaan / masalah, membuat keputusan tentang tindakan lebih lanjut dan menghubungkan layanan yang diperlukan dalam perusahaan, memeriksa hasilnya.
Alasan untuk panggilan mungkin berbeda - lucu dan tidak terlalu. Alasan paling umum dan "favorit" untuk SM diluncurkan di sisi forenser. Mereka menemukan exploit baru, mengevaluasinya dalam hal kemungkinan ancaman dan meluncurkannya ke manajer layanan (seperti
baru-baru ini dengan BlueKeep-2).
Dan kemudian - disko! Setiap SM, untuk berjaga-jaga, melihat pada dokumen klien (meskipun mayoritas mengingat infrastruktur dengan hati), kepala orang-orang hebat ini menghasilkan teks peringatan yang dikirim ke pelanggan melalui semua saluran yang tersedia.
Dengan panggilan malam, ada cerita umum lainnya. Pada awal kontrak, pelanggan sering meminta agar insiden dalam sejumlah skenario orang yang bertanggung jawab diberitahukan melalui suara kapan saja, siang atau malam hari. Dengan demikian, ketika peringatan dipicu, petugas jaga pemantauan membangunkan SM dan memberinya semua informasi yang diperlukan tentang insiden tersebut. Selanjutnya, SM membangunkan pihak yang bertanggung jawab dan mentransfer informasi kepadanya. Bahkan jika klien memiliki layanan responsnya sendiri, bekerja sepanjang waktu, ini tidak menghalangi kita untuk mengangkat orang yang bertanggung jawab dari tempat tidur. Panggilan terjadi secara paralel dengan pemberitahuan kepada pelanggan tentang insiden tersebut. Sebagai aturan, setelah beberapa bulan, ketika pelanggan yakin bahwa layanannya benar-benar tepat waktu dan ia membayarnya dengan sia-sia, kami diminta untuk menghentikan praktik semacam itu.
Tetapi ada alasan serius untuk tidak tidur di malam hari. Ini jelas termasuk serangan terhadap infrastruktur pelanggan. Situasi yang jarang tetapi tidak luar biasa seperti itu juga terjadi: sebuah panggilan berdering di malam hari, dan mereka meminta bantuan pada situs fisik dari handset. Selama bertahun-tahun keberadaan Solar JSOC, skema tersebut telah berjalan: "sesuai kecepatan waltz", sebuah tim dirakit, di mana SM bertindak sebagai koordinator, dan secara damai jatuh kepada klien. Terkadang kami mengemudi di depan orang-orang yang bertanggung jawab yang meluncurkan rantai ini.
Catatan - untuk yang kuat dalam roh
Selain malam tanpa tidur dalam situasi seperti itu, ada minus besar lainnya: semua peserta dalam proses sudah bisa mendapatkan tidur yang cukup, dan manajer layanan perlu menulis laporan awal tentang situasi yang menunjukkan waktu tindakan yang diselesaikan, menggambarkan tindakan itu sendiri dan hasil mereka. Pelaporan bukanlah penghargaan untuk formalitas, tetapi dokumen nyata, yang kemudian dibongkar untuk mengidentifikasi kesalahan atau, sebaliknya, keputusan yang berhasil. Benar-benar semua pengalaman dari semua spesialis Solar JSOC diperhitungkan, terlepas dari posisi di mana mereka bekerja.
Secara umum, pelaporan merupakan bagian integral dari pekerjaan manajer layanan. Ada banyak laporan. Tidak, tidak seperti itu. ADA SANGAT BANYAK. Untuk setiap selera dan warna: dari notulen rapat di mana perkembangan lebih lanjut dari layanan dicatat, hingga pelaporan rutin kepada pelanggan. Sangat sering, laporan disertai dengan presentasi untuk manajemen puncak, yang ingin tahu tentang uang yang dihabiskan, tetapi tidak siap untuk mempelajari layanan tertentu. Oleh karena itu, presentasi harus secara cerdas mengkonfirmasi bahwa jumlah yang dihabiskan tidak sia-sia dan bahwa layanan ini sangat berguna. Dan semua ini dilakukan mutlak untuk semua pelanggan oleh tangan pria di atas 30. Ya, ada tingkat otomatisasi tertentu, tetapi kami belum belajar cara membuat presentasi dalam mode otomatis.
Secara umum, SM yang baik dapat bekerja dengan audiens mana pun: kejernihan adalah segalanya bagi kamiTetapi yang utama berbeda
Sangat sering Anda dapat mendengar bahwa manajer layanan adalah posisi pemotretan dan pekerjaan infernal tanpa kemungkinan pengembangan. Ini adalah kekeliruan yang sangat kuat. Salah satu SM kami mengatakan bahwa "hasil pekerjaan selalu terlihat, yaitu, Anda tidak bekerja di tempat sampah, dan ini selalu keren."
Kami akan berbicara tentang di mana manajer layanan berkembang dan bagaimana menumbuhkan CISO sepenuhnya dari itu. Sejauh ini, hanya - hari kerja melalui lubang kunci.
