Estamos conversando sobre tarefas de RH e modelos de desenvolvimento de funcionários no Solar JSOC há algum tempo. Certamente você foi capaz de ler um artigo sobre
como um aluno do terceiro ano chega ao centro de monitoramento e resposta , ou
como um engenheiro fornece experiência para o movimento vertical na estrutura Solar JSOC (da primeira linha à segunda). Não muito longe estão os materiais sobre o desenvolvimento vertical adicional de analistas e como um gerente de serviços pode se transformar em um CISO completo. Mas, por enquanto, gostaria de falar sobre outra coisa.
O peixe está sempre procurando onde é mais profundo e o homem - onde é melhor. Esta declaração comum reflete claramente as aspirações dos funcionários e candidatos. Somente a palavra "melhor" para cada um deles tem seu próprio significado. Nem sempre está relacionado a condições financeiras, notas / framboesas ou tempo de viagem de casa para o escritório.
Muitas vezes acontece que um funcionário está simplesmente cansado das tarefas atuais e não se esforça muito para "bombear" a experiência, ou seja, fazer o mesmo, mas mais profundo do que encontrar novos desafios em direções relacionadas. Nesses casos, fazemos o possível para ajudá-lo a ganhar uma nova vocação e a receber não o desenvolvimento “vertical”, mas “horizontal” dentro do JSOC Solar. A única dificuldade é não perder esse momento, assim como dar a uma pessoa todo o "equipamento" necessário para conquistar novos picos.
Aqui estão alguns desses casos que tentaremos contar.
Mãos quentes, coração frio
A vida de nossa equipe começa com a primeira linha. Mas, como já mencionamos várias vezes, as primeiras linhas são duas. O primeiro se concentra na seleção de logs, análise e análise de incidentes, transformando-os em relatórios analíticos ou falsos positivos.
Esse trabalho é de alta velocidade (nossa primeira linha gera quase 1.500 suspeitas de um incidente por dia), mas, ao mesmo tempo, é um pouco tipificado. Antes de tudo, requer perseverança, concentração e clareza de espírito contínua (provavelmente é também por isso que o trabalho de monitoramento atrai o sexo feminino - é na primeira linha que a maioria das meninas é).
Existem várias nuances aqui. Em primeiro lugar, afinal de contas, trabalhar com registros e recuperar um incidente geralmente deixa algum sentimento de efemeridade e incompletude. Existe um processo, mas não há resultado que você possa tocar ou sentir na ponta dos dedos. E o desejo de "sentir" o resultado do trabalho é às vezes muito importante para um guarda de segurança.
Em segundo lugar, como já mencionado, o trabalho conduzido pelo SLA está em andamento e em ritmo acelerado. Se a alma requer a capacidade de se aprofundar em uma tarefa complexa de engenharia, de maneira cuidadosa e lenta, a pressão constante do tempo pode ser irritante.
Isso nem sempre pode ser óbvio até para o próprio empregado, mas de fora visivelmente a olho nu, especialmente se:
- Um engenheiro forte conduz uma análise e investigação de incidentes de alta qualidade, mas falha regularmente no tempo definido pelo SLA, especialmente para os incidentes mais curtos.
- Paralelamente às tarefas principais, o engenheiro é atraído para trabalhar com tarefas internas para melhorar a eficiência da infraestrutura ou começa a escrever scripts sobre os joelhos para automatizar suas tarefas de trabalho.
Bem, em geral, começando com o início da entrevista, prestamos atenção em como ele pensa e o que motiva seu futuro colega - se ele está pronto para trabalhar de acordo com o algoritmo e seguir rigorosamente as instruções, ou prefere alguma pesquisa livre e pesquisa independente.
Se as especificidades do trabalho de monitoramento se tornarem um problema para uma pessoa, isso não significa que ele precise procurar um novo local. Para nós, isso é um sinal de que, depois de passar pelo fogo e pela água do monitoramento, ele pode experimentar os tubos de cobre da administração e assumir as políticas diretas de gerenciamento e "torção" de uma ampla variedade de glândulas, equipamentos de segurança e sistemas de segurança da informação. E essas "transições de transferência" não são uma exceção à regra para nós ou algo não desenvolvido.
Como isso funciona? Felizmente, apesar de toda a diferença no trabalho das equipes, as duas primeiras linhas têm uma base semelhante em relação às tecnologias de rede. Além disso, para os engenheiros de monitoramento, a funcionalidade e os recursos das ferramentas de segurança são bastante transparentes - eles trabalham com seus logs diariamente. Portanto, geralmente é suficiente para um engenheiro desenvolver três habilidades para traduzir:
- Para estudar a funcionalidade e as interfaces dessas ferramentas de segurança com as quais você precisará trabalhar diariamente (antivírus, proxies, firewalls, VPNs).
- Aprimorar as habilidades na administração de equipamentos de rede com a ajuda de equipamentos de laboratório internos e externos, a fim de ganhar uma mão na gerência, inclusive no planejamento do trabalho.
- Aprenda como diagnosticar problemas e falhas de equipamentos de proteção analisando uma dúzia de casos práticos em nossa base de conhecimento.
E mais uma coisa: a frase sobre um coração frio no título do parágrafo não foi dada como uma piada. Trabalhar com sistemas de alta carga crítica não tolera barulho e emoção "E agora farei tudo de uma maneira rápida!" São ações muito equilibradas e racionais, com a avaliação de possíveis consequências, o desenvolvimento de um procedimento de aplicação de mudanças (RFC) e o planejamento da janela tecnológica.
Tais especificidades da atividade e a atmosfera da equipe deixam uma marca na mentalidade dos combatentes da primeira linha de administração, forçando-os a pensar a cada minuto sobre as consequências do trabalho que está sendo realizado, as mudanças sendo feitas e o fato de que é impossível colocar na caixa de regulamentos e descrições de cargo da Procrustean.
Um matemático não deve pensar, um matemático deve pensar
Há um cenário inverso, quando, em algum momento, as mãos do especialista começam a se cansar do hardware e da instalação de equipamentos e equipamentos de proteção, mas não há desejo de avançar na direção da gestão ou da gestão de pessoas. Nesses momentos, você geralmente deseja examinar o sistema de segurança do cliente um pouco de fora, começar a usar vetores de ameaças, cenários para identificar e responder a eles, analisar a infraestrutura um pouco mais, não se limitando ao escopo das ferramentas de proteção e sistemas relacionados. E isso geralmente leva a pessoa a avançar para a análise de incidentes e trabalhar com cenários para identificá-los.
Nossos clientes são uma ajuda muito forte na formação de tais vetores de movimentação de especialistas. Em particular, aqueles para os quais resolvemos tarefas de gerenciamento de segurança de ponta a ponta, ou seja, estamos envolvidos não apenas no monitoramento e análise de incidentes, mas também na administração de ferramentas de segurança.
Como os clientes influenciam nossos processos internos de pessoal? Principalmente por duas razões:
- A própria plataforma SIEM, além de detectar incidentes, é uma ferramenta muito boa para gerenciamento de logs e análises posteriores. Parte das tarefas associadas à operação - diagnosticar a causa da carga no canal, determinar a lista de endereços externos usados no aplicativo, restaurar a cadeia de alterações nas políticas e configurações - geralmente pode ser realizada com muito mais rapidez e eficiência no SIEM. Portanto, todos os engenheiros, começando pela primeira linha de administração, obtêm acesso à leitura dos logs dos sistemas do cliente. Rapidamente, isso leva uma mente indagadora ao desejo de criar micro-automação para si mesmo, modelos de relatório etc. Assim, o engenheiro está envolvido em uma área adjacente e às vezes acha mais interessante.
- A segunda parte não menos importante de nossas vidas é a investigação de incidentes atípicos ou a resposta a ataques complexos. Nesse caso, especialmente se a pontuação continuar por minutos, todo mundo está fazendo tudo, e os administradores também estão envolvidos no brainstorming pelo método de análise, contração e eliminação das consequências do ataque. Tal estímulo do cérebro para análises e a busca de conexões implícitas também rapidamente cristalizam em um funcionário a consciência do conforto e do fascínio de tais tarefas.
Como a equipe se move nessa transferência? Normalmente, treinamento e tradução se dividem em três áreas:
- Experiência em análise de logs e investigação de incidentes. Obviamente, exemplos de laboratório ajudam muito, mas a vida do provedor de MDR lança novos casos interessantes semanalmente, nos quais você pode testar e aprimorar suas habilidades. Além disso, como eu já disse, os especialistas em administração também têm experiência básica com logs.
- Trabalhe com o SIEM para criar ou adaptar o conteúdo. O idioma “pássaro” para escrever regras de correlação em diferentes SIEMs não é dado às crianças imediatamente. Porém, novamente, a experiência com logs e a criação básica de relatórios reduz bastante essa rota.
- Bem, as habilidades para implantar a plataforma, conectar e configurar fontes para qualquer administrador são conhecidas há muito tempo. Apenas mais um produto no portfólio.
Essas transições dão origem a analistas muito fortes, já que a experiência de combate com equipamentos de proteção os ajuda significativamente na interpretação de revistas e no desenvolvimento de recomendações mais específicas e práticas para responder e eliminar as consequências de um ataque.
Nunca haverá uma segunda chance de causar uma primeira impressão
Uma história completamente separada no trabalho do Solar JSOC são as atividades de suporte de vendas e, principalmente, projetos piloto. O projeto piloto deve ter a qualidade por excelência do serviço prestado:
- O tempo do piloto é sempre limitado e, portanto, o ritmo de trabalho na conexão de serviços do cliente e do nosso deve ser máximo.
- O piloto deve mostrar nossas capacidades e processos ao máximo, para que o cliente possa avaliar a aplicabilidade de nossos serviços para si o mais objetivamente e sem embelezamento possível (caso contrário, no estágio da prestação de serviços, muitos problemas poderão surgir dos dois lados).
- Em pouco tempo e em uma escala piloto limitada, precisamos “desenterrar” uma série de incidentes e vulnerabilidades de infraestrutura que explicarão aos negócios os benefícios reais do serviço.
Tais projetos exigem um analista predefinido responsável por eles com um conjunto extremamente incomum de qualidades: por um lado, sistemática para gerenciar adequadamente os recursos e prazos e, ao mesmo tempo, alguma imprudência e sede de realização, para fazê-lo de tempos em tempos antes das expectativas . Por um lado, uma demonstração dos benefícios do serviço requer uma imersão substancial do processo no serviço e experiência no suporte às vendas. Por outro lado, a escavação de incidentes requer uma notável experiência em segurança da informação no trabalho com logs e apenas um talento para possíveis gargalos no sistema de proteção do cliente.
Um caso nos levou a um possível método de cultivo e seleção desse pessoal. Estávamos profundamente convencidos de que, sem um entendimento técnico do SOC, experiência com logs e SIEM, as habilidades de pré-venda no nosso caso são bastante sem sentido. Mas uma vez que um dos candidatos colocou toda a situação em sua cabeça.
Ele foi bem treinado como pré-venda - como um dos entrevistadores disse: "Eu não precisava disso, mas quase o comprei". Ele realmente "queimou" seus negócios e estava cheio de um desejo de crescer e se desenvolver. Infelizmente, porém, seu conhecimento técnico estava infinitamente longe do assunto do SIEM e de outros subsistemas SOC.
No entanto, pela vontade do serviço de RH, o candidato veio trabalhar conosco e começou a se juntar à equipe. E, inesperadamente, ficou claro que o desejo de crescer e se desenvolver em conjunto com o ambiente certo, quando os processos e tarefas do SOC são absorvidos na sala de fumantes, no almoço e simplesmente nos turnos do escritório, produz um bom resultado. Literalmente em um mês e meio, ele já assumia o controle do primeiro projeto piloto, não apenas como gerente e controlador de tempo, mas com uma implementação técnica quase autônoma das tarefas. Agora ele implementa com sucesso pilotos de qualquer categoria de complexidade que já estejam no papel de treinador.
Como resultado, descobrimos uma abordagem frente e verso para uma tarefa não padronizada de aumentar o pessoal da peça, como a análise de pré-venda dos serviços Solar JSOC:
- “Polinização” da equipe de pré-venda com conhecimento técnico e espírito de vida em operações de segurança cibernética,
- procure entre os técnicos aquelas pessoas que gostariam de transferir de especialistas técnicos para uma função mais próxima da direção comercial.
Ambas as abordagens são úteis e promissoras, não apenas para nós, como uma equipe crescente do centro de monitoramento, mas também para funcionários que recebem outra opção para o desenvolvimento de carreira.
Obviamente, essas não são todas as opções para mover funcionários no Solar JSOC. Houve casos em que o engenheiro do grupo de administração, cansado da comunicação contínua com o cliente e com o desejo de se concentrar na operação de algo “próprio”, mudou-se para os arquitetos de nossa infraestrutura do JSOC. Os engenheiros de primeira linha, às vezes, despertavam uma paixão pela análise de baixo nível e trabalhavam com o Assembler (os primeiros sinais de um iniciante na pesquisa). Lutadores experientes da primeira e segunda linhas, cansados da engenharia, mudaram gradualmente para as tarefas do gerente de serviço e comunicação com o cliente, ou tornaram-se líderes de equipe locais.
Como já mencionado no
primeiro artigo do ciclo, o principal em uma pessoa não é a "fluência dos dedos" ou o olhar "ardente" em busca de felicidade momentânea, mas o foco no próprio desenvolvimento, a capacidade de buscar e encontrar novos horizontes para si mesmo. Além disso, nossa tarefa já é - não perder o momento em que o interno, básico para essa pessoa, precisa entender e chegar ao fundo de algumas atividades pouco comuns do perfil prevalecerão sobre a necessidade de resolver os problemas das operações atuais.
Nesse momento, é importante dar a uma pessoa a oportunidade de dar o próximo passo, oferecer opções que lhe permitam fazer o que a alma realmente mente. E em que direção não é tão importante: há poucos objetivos brilhantes e sempre há tarefas suficientes em uma grande empresa.