Hoje, mesmo uma pesquisa superficial no hh.ru oferece cerca de 90 vagas diferentes em tarefas e funcionalidades com a palavra mágica "analista" e condições de pagamento razoáveis. Diante dos olhos de muitos candidatos, o big data e o aprendizado de máquina flutuam imediatamente, o salário começa a dançar muito acima do mercado e flertar com zeros. Então, quem são os analistas do centro de monitoramento que são "responsáveis por garantir que o cliente não seja invadido"? O que eles fazem e o que você precisa saber e ser capaz de chegar a essa posição?
Em
artigos anteriores, dissemos que a lista das principais tarefas do analista da linha 3 inclui:
- Análise de atividades anormais para identificar incidentes.
- Responder a incidentes críticos atípicos de seus clientes.
- Participação na investigação de incidentes de SI não registrados pelo monitoramento
- Inspeção técnica, conexão e adaptação de fontes de eventos.
- Desenvolva novos cenários de detecção de incidentes.
Em resumo, o analista é responsável pelos aspectos técnicos do monitoramento das ameaças cibernéticas do Cliente. A fonte não envia logs, o evento não analisa, o script não funciona ou forja, eles perdem o ataque - o analista designado ao Cliente é responsável por tudo.
No entanto, isso não significa que todos os analistas do Solar JSOC são pardos ou carecas aos 30 anos. Nem todos. Apenas esse papel implica em altas demandas para seu executor. Vamos tentar descrevê-los um pouco mais detalhadamente. Vamos chamar imediatamente a atenção para o fato de que, neste artigo, deliberadamente não focamos nas competências técnicas que esperamos do candidato para o cargo de analista Solar JSOC. Muito já foi dito sobre tecnologia, mas, como o nome da série de nossos artigos diz, SOC são pessoas.
Lutar e procurar
Não focaremos nisso, mas você não pode dizer algumas palavras sobre o SIEM :) Na descrição do trabalho, eles costumam escrever: "Experiência com o sistema SIEM". Por um lado, tudo está claro: o SIEM é um mecanismo SOC, sem ele, um serviço, como se costuma dizer, “não vai”. (Alguns especialistas têm objeções e, tendo direito à vida, teorias sobre a construção do SOC sem o SIEM, mas ainda não é esse o tema do nosso artigo.)
No entanto, por trás dessas palavras, há algo mais do que a capacidade de examinar os logs de um sistema de TI específico.
O analista deve ser capaz de modelar vetores de ataque com base na quantidade mínima de informações sobre a infraestrutura do cliente. Obviamente, quando o Cliente se conecta, obtemos dele informações completas sobre as sub-redes L2-L3, uma lista de servidores e AWPs com suas funções, uploads do AD e SCCM, etc. E entre os especialistas em JSOC Solar, existe até a lenda de que havia um Cliente que forneceu todas essas informações atualizadas ... Mas, infelizmente, esse nem sempre é o caso, e você precisa trabalhar com o que temos. E isso significa que você precisa avaliar a adequação das fontes conectadas e dos eventos recebidos para fornecer um serviço de alta qualidade para monitorar e identificar incidentes de SI. Obviamente, para isso, um especialista deve ter uma sólida experiência nas principais tecnologias de TI usadas para construir uma infraestrutura típica da empresa.
Paralelamente, o analista deve poder usar fontes antigas para resolver novas tarefas (neste caso, leitura - não essencial). Por exemplo, um de nossos bancos de clientes, que possui uma rede desenvolvida de caixas eletrônicos em todo o país, teve um problema grave: a solução antivírus usada não nos permitiu avaliar a abrangência da cobertura desses caixas eletrônicos com software antivírus. No entanto, tínhamos um firewall no nível do kernel conectado e sabíamos com quais caixas eletrônicos de serviço de processamento interagem. Usando esses logs, o analista responsável conseguiu preparar uma lista de endereços IP de caixas eletrônicos que estão entrando no processamento e, ao mesmo tempo, o banco de dados do centro de controle da solução antivírus não contém informações sobre seus agentes. Durante vários meses de trabalho intensivo conjunto, conseguimos reduzir a lista desses caixas eletrônicos de várias centenas para unidades, e a tarefa de inventário, originalmente atômica, acabou sendo lançada continuamente.
Encontre e não desista
Extremamente útil para o analista é a corrosividade e a atenção aos detalhes. Investigar incidentes que não foram registrados pelo pool de scripts Solar JSOC em execução é um trabalho de rotina muito complicado, com milhares ou até milhões de eventos de várias fontes. E aqui a coisa mais difícil é encontrar um fio puxando o qual, será possível desvendar todo o emaranhado de incidentes.
Por exemplo, tivemos um caso em que um analista investigou uma entrada não autorizada na infraestrutura do Cliente e não conseguiu encontrar o ponto original de comprometimento. Para resolver o problema, tivemos que criar um relatório mensal sobre as conexões de rede recebidas e enviadas com a participação de endereços IP pertencentes ao pool de endereços externos do Cliente. E somente após uma longa análise deste relatório, foi possível encontrar conexões de saída atípicas de um servidor Web de teste para um endereço IP da Holanda, que acabou sendo uma atividade do Reverse Shell, lançada por um invasor em um servidor comprometido.
Parte das tarefas do analista requer comunicação direta com o cliente. Às vezes, as informações precisam ser puxadas literalmente por ticks, por exemplo, quando uma solicitação chega na forma de "o que suspeitava de tal e qual estação de trabalho na semana passada?". De fato, depois de uma série de perguntas importantes, o funcionário que trabalhou nesta estação de trabalho reclamou com seu colega da divisão IS na sala de fumantes que um arquivo estava faltando em sua área de trabalho. E o oficial de segurança decidiu perguntar ao SOC externo com o que estava conectado, mas a redação da pergunta era muito vaga. E isso acontece o tempo todo. É difícil superestimar a notória capacidade de trabalhar em equipe, nomeadamente em conjunto com um gerente de serviço. Para prestar serviços de alta qualidade, é importante que ambos puxem a equipe em uma direção e não em uma fábula famosa.
O personagem é persistente, nórdico
Separadamente, vale a pena notar um traço de caráter que se tornou tão familiar em todos os currículos que ninguém presta atenção nele. É sobre resistência ao estresse. O Solar JSOC fornece um serviço 24 horas por dia, 7 dias por semana, o que significa que todos os analistas participam de chamadas ininterruptas, prontas a qualquer hora, dia ou noite, para participar da investigação de um incidente importante. Ao mesmo tempo, como mostram as
estatísticas , uma parte considerável dos incidentes críticos ocorre precisamente após o expediente. A capacidade de acordar várias vezes por noite vem à tona, e o cérebro deve começar e estar pronto para perceber as informações mais importantes quase instantaneamente.
A investigação de todos os incidentes registrados é realizada pelos engenheiros da primeira linha de monitoramento. A tarefa do analista é conectar-se durante a escalação e monitorar a qualidade da investigação de incidentes trabalhados pela primeira linha. Além disso, os engenheiros recorrem frequentemente ao analista para ajudar a interpretar eventos ou avaliar a criticidade do incidente. Isso significa que o analista deve orientar seus colegas mais novos, monitorar o progresso na qualidade da investigação e dar feedback ao líder da equipe de primeira linha.
Além disso, o Cliente geralmente pede para fornecer essa ou aquela informação sobre os eventos. O analista deve avaliar a tarefa, interpretá-la corretamente e passá-la aos engenheiros de primeira linha para implementação, no todo ou em parte, dependendo do nível de dificuldade em concluir a tarefa. É importante não bloquear todas as atividades técnicas e delegar tarefas autônomas à primeira linha no tempo como um recurso escalável. Como exemplo de tais tarefas, pode-se citar solicitações como “é necessário descarregar informações sobre a atividade do funcionário N em determinados hosts” ou “solicitação para fornecer informações sobre a interação da rede com o endereço xxxx do último mês”. Como você pode ver, os pedidos são bastante simples, mas sua implementação no SIEM requer uma certa quantidade de tempo, e é bastante viável pela primeira linha.
"... que eles me ensinem"
Como o JSOC Solar é reabastecido? Eu gostaria que tudo fosse simples, como na foto, mas infelizmente.
Se você não considerar contratar pessoas de fora, bem como uma transição horizontal, o analista crescerá da maneira mais natural de um engenheiro de resposta (mais detalhes sobre esse papel na turma do JSOC podem ser lidos
aqui e
aqui ). "E só isso é lógico", como o famoso personagem disse.
O engenheiro de resposta provavelmente cresceu da primeira linha de monitoramento, o que significa que ele passou por um caminho difícil para investigar o fluxo contínuo de incidentes, manobrando entre Scylla False Positive e Charybdis False Negative. Além disso, o engenheiro já adquiriu as habilidades de investigações mais complexas, um trabalho aprofundado com o SIEM, conectando fontes de eventos e resolvendo problemas específicos dos Clientes. Em geral, ele dominou as bases necessárias para um crescimento maior.
Mas isso é suficiente para entrar em análises? Esta é uma pergunta difícil. E geralmente não há resposta universal para isso. No mínimo, o analista, em comparação com o engenheiro de resposta, tem uma nova responsabilidade - interação com o Cliente. Isso vai parecer um pouco para muitos, mas a prática mostrou que isso está longe de ser o caso. Muitos dos caras, imersos em TI, precisam trabalhar duro para superar o medo e aprender a se comunicar com as pessoas que prestam o serviço. Alguns são muito pressionados pelo ônus da responsabilidade. É psicologicamente difícil para outros aceitarem que não haverá mais camaradas seniores na posição de analista que verificarão novamente você e apontarão erros. Para muitos, é muito estressante - quando você executa tarefas atípicas, cada uma das quais é um desafio para suas habilidades, quando várias soluções consecutivas se tornam um beco sem saída. Muitos simplesmente desistem. Portanto, as qualidades humanas desempenham um papel importante aqui.
Como tarefas de tradução para o cargo de analista, geralmente oferecemos dois tipos de tarefas. Uma delas é a tarefa de desenvolver conteúdo JSOC, por exemplo, desenvolver um bloco de scripts para detectar novos vetores de ataque. De novo - a implementação de detecção de ataques no Active Directory, em particular o DCShadow.
Além de trabalhar com o conteúdo, o analista durante o processo de tradução é nomeado responsável por dois ou três clientes JSOC Solar: examina sua infraestrutura, fontes conectadas e os eventos recebidos deles, verifica a integridade dos sistemas conectados e o escopo dos scripts em execução, e continua a controlar os incidentes detectados e a qualidade do trabalho dos engenheiros de primeira linha nesses incidentes. Após a aceitação, todas as perguntas sobre o lado técnico do serviço para este Cliente entram na área de responsabilidade do novo analista.
A equipe de análise possui uma classificação de postagens. O analista júnior assume um novo papel para si mesmo e está envolvido em tarefas típicas. O analista é a principal força de ataque do JSOC, fechando o pool de tarefas principal. Eu também gostaria de dizer sobre o papel de analista sênior. Como o nome indica, o analista sênior lida perfeitamente com suas principais tarefas, embora tenha uma idéia de gerenciar serviços JSOC Solar, seja capaz de avaliar riscos de negócios, tenha um alto nível de comunicação e seja capaz de elaborar a arquitetura de um serviço atípico, se necessário, etc. Assim, na pessoa de tal funcionário, temos uma unidade de combate autônoma que pode substituir o gerente de serviço pelo período de sua ausência sem perda de qualidade.
Mas o que acontece ao lado do funcionário que subiu uma escada chamada Analista? A escada de desenvolvimento Solar JSOC não termina aí.
Você pode se concentrar no desenvolvimento e "aprofundar", aprimorando seus conhecimentos e habilidades de um analista em um centro de monitoramento, tornando-se gradualmente um especialista inveterado que não se importa mais com o nível de complexidade das tarefas.
Você pode otimizar o trabalho dos analistas, bem como supervisionar os profissionais que estão começando a trabalhar nessa posição. Em outras palavras, avance gradualmente para o papel de líder da equipe local.
E você pode tentar se juntar às fileiras dos gerentes clássicos e assumir o ônus de um gerente de serviços, assumindo tarefas difíceis como monitorar a conformidade com o SLA, gerenciar o serviço JSOC Solar, interagir com o Cliente em termos do nível de serviço fornecido.
Estamos tentando ajudar cada funcionário a decidir sobre o vetor de desenvolvimento mais adequado para ele e a se encontrar na estrutura Solar JSOC.
