Alquimia de pessoal: qual é a composição ideal da equipe do centro GosSOPKA?

Este artigo é útil para quem trabalha em uma empresa reconhecida como objeto de infraestrutura de informações críticas (CII), o que significa que é obrigada a cumprir os requisitos do no 187-FZ e a construir o centro do Serviço Estadual de Proteção e Certificação Social (sistema estadual de detecção, prevenção e eliminação das conseqüências de ataques de computador) que atenda aos requisitos do Serviço Federal de Segurança da Rússia .

Em um artigo anterior , abordamos os princípios básicos deste tópico e falamos sobre os requisitos do FSB para equipamentos técnicos que devem ser usados ​​no centro do Serviço Estadual de Seguridade Social e Certificação. No entanto, esses requisitos (quase pela primeira vez) se aplicam não apenas aos meios técnicos de proteção, mas também à implementação de processos específicos para monitorar, responder e investigar incidentes de SI. Portanto, hoje falaremos sobre quais recursos humanos você precisará para garantir todos esses processos.

Primeiro, algumas palavras sobre por que damos dicas sobre esse tópico. Em essência, o centro GosSOPKA é um pequeno centro interno para monitorar e responder a ataques cibernéticos
(Security Operations Center), com apenas tarefas e responsabilidades adicionais. A prática de sete anos de prestação desses serviços, mais de uma centena das maiores empresas sob proteção, bem como a experiência de criação de centros GosSOPKA para clientes, nos ajudaram a tempo de aprofundar bastante as questões da "alquimia" de pessoal. E, é claro, ao longo do caminho, procuramos regularmente opções para otimizar os custos da equipe, mantendo o alto nível de serviço necessário.

Em particular, a equipe deve ser capaz de suportar um SLA bastante difícil: os especialistas em JSOC da Solar têm apenas 10 minutos para detectar um ataque e apenas 30 minutos para responder e proteger. Ao mesmo tempo, os padrões de pessoal desenvolvidos por nós nos permitem escalar a equipe, dependendo do volume real de incidentes no cliente (e, acredite, não está diminuindo de ano para ano).

Neste material, resumimos nossas realizações e fornecemos a configuração mínima da estrutura organizacional e de pessoal do SOC, na qual ele poderá cumprir todas as funções necessárias do centro GosSOPKA e cumprir as recomendações regulamentares do regulador.

Primeira linha

Como mostra a prática, a proteção nessa linha requer um mínimo de 7 especialistas - considerando que a maioria deles trabalha em turnos, fornecendo um modo 24x7. Estes são, em particular, especialistas em monitoramento - deve haver pelo menos 6 pessoas. Nesse caso, você não apenas exerce controle 24 horas por dia sobre os sistemas corporativos, mas também pode fornecer informações sobre incidentes de computador ao FSB o mais tardar 24 horas, de acordo com o pedido nº 367 de 24/07/2014.

No caso de especialistas em serviços do SZI GosSOPKA, são possíveis diferentes opções.

A primeira é que o assunto do KII possui uma arquitetura em larga escala e é necessário garantir a disponibilidade constante de serviços críticos e, devido ao desligamento / inacessibilidade / interrupção do trabalho da ISS, a organização sofrerá perdas monetárias e / ou de reputação e, ao mesmo tempo, haverá um alto risco de danos ao meio ambiente e às pessoas. Nesse caso, você precisa contratar 6 pessoas que fornecerão turnos 24x7.

Outra opção: o assunto possui a mesma arquitetura em larga escala e serviços críticos que exigem disponibilidade constante, enquanto todas as operações com equipamentos são realizadas por serviços de TI, e o departamento de segurança da informação determina as regras de funcionamento e monitora sua implementação. Nesse caso, você pode limitar-se a três especialistas trabalhando no modo 12/7 e a possibilidade de chamadas noturnas, se necessário.

Se o assunto da Agência Estadual de Proteção Social não considerar crítico o risco de violação da disponibilidade de objetos KII por mais de 18 horas, é possível manter o equipamento de proteção com a ajuda de 1 especialista no modo 8x5.

Especialista	Responsabilidades	Requisitos de qualificação	Mode	Qtde
Especialista em monitoramento	Manipulação de incidentes típicos do HelpDesk, IRP, SIEM ou de usuários. Relatórios típicos sobre os resultados da revisão. Monitorando o status das fontes. Verificações retrospectivas (após o recebimento de novos indicadores de comprometimento).	Administração do sistema (Linux / Mac / Windows). Conhecimento de vários SZI. Conhecimento do modelo OSI. Conhecimento dos princípios de proteção de email, monitoramento de rede e resposta a incidentes. A experiência de agregação e análise de logs de uma variedade de SIS heterogêneos.	24x7	6
Especialista em Serviços	Monitoramento e diagnóstico de problemas de equipamentos e softwares operacionais. Manutenção de rotina agendada do SZI. Serviço não programado da SZI. Manutenção da infraestrutura interna do centro Resposta rápida no caso de múltiplos falsos positivos positivos.	Administração do sistema (Linux / Mac / Windows). Conhecimento de vários SZI.	24x7	6
			12x7 + ligação à noite	3
			8x5	1

É importante entender que, apesar do volume significativamente menor de incidentes noturnos, os eventos mais importantes e críticos ocorrem apenas à noite e quando o turno da manhã começa, eles já estão perdendo sua relevância. No entanto, é o alinhamento do modo de operação 24x7 que causa dificuldades para a maioria dos SOCs: nem todo especialista deseja trabalhar em turnos. Um funcionário raro será motivado por um trabalho de qualidade por um longo tempo, especialmente se houver poucos incidentes em sua infraestrutura. Tudo isso significa que você terá que resolver sistematicamente os problemas de rotatividade de pessoal, selecionando e treinando continuamente novos especialistas.

Segunda linha

Nesta fase, como regra, não se pode prescindir da ajuda de um contratado experiente - a menos que, é claro, você conte dinheiro e não pretenda se transformar em uma empresa de serviço completo de IB. De fato, além de especialistas na eliminação das consequências de incidentes com computadores e na avaliação da segurança, a segunda linha inclui posições bastante específicas. Esses especialistas são muito caros, dos quais você não precisa em período integral, mas sem o qual é improvável que o seu SOC atenda ao orgulhoso título do centro SOSOPKA - pentesters, especialistas forenses e especialistas em análise de código. Como resultado, o número mínimo de funcionários na segunda linha é de 3 a 4 funcionários, dependendo do nível de tarefas.

Entre eles estão especialistas em resposta a incidentes com computadores, funcionários experientes de primeira linha que sabem lidar com incidentes não típicos e fornecem assistência de primeira linha em caso de dificuldades.

O Centro GosSOPKA é obrigado a avaliar regularmente a segurança dos recursos de informação em sua área de responsabilidade, mas nem toda organização pode pagar uma equipe de pentesters, o que manteria os colegas em um tom constante. Além disso, de acordo com as recomendações metodológicas, o teste de penetração deve ser realizado duas vezes por ano - externo e interno. Esse problema foi encerrado com êxito por um contratado externo experiente, cujos especialistas trabalham com muitos clientes diferentes, o que significa que eles melhoram regularmente suas habilidades em condições de "combate".

No estado, recomendamos que você deixe apenas um especialista em avaliação de segurança, cujas principais responsabilidades serão um inventário de recursos de informação, preenchendo e mantendo o banco de dados CMDB atualizado, trabalhando com um scanner de segurança, processando vulnerabilidades e monitorando o gerenciamento de patches.

Além disso, se a implementação do ciclo de vida do desenvolvimento de software seguro for relevante para o assunto de KII, a análise estática e dinâmica do código-fonte poderá ser usada para identificar vulnerabilidades. Ao mesmo tempo, um especialista em appsec é necessário apenas em um número muito limitado de casos para KII - é lógico atrair conhecimento externo aqui.

Além disso, o SOC maduro também possui especialistas em identificar as causas de incidentes com computadores. Como regra, também é toda uma equipe de engenheiros, necessária apenas várias vezes por ano, e recomendamos não se sobrecarregar com o conteúdo, mas concluir acordos com empresas envolvidas em forense continuamente.

Especialista	Responsabilidades	Requisitos de qualificação	Mode	Qtde
Especialista em TC	Respondendo a incidentes complexos. Monitorando a interação do SZI com o SIEM. Análise de atividades anormais para identificar incidentes. Investigações de ataques DDoS. Resposta rápida no caso de múltiplos falsos positivos positivos.	O mesmo que na primeira linha, mais: Conhecimento de linguagens de script (Python, Bash, Powershell). Consciência de gerenciar vulnerabilidades e números de CVE. Gerenciamento de log e gerenciamento de patches nas famílias Windows e Linux. Certificados ou conhecimentos em conformidade com CISSP / CEH. Atenção particular aos sistemas SIEM	8x5 com chamada noturna / fim de semana	2
			12x7 + ligação à noite	3
Assessor de segurança	Verificando vulnerabilidades e conformidade. Configure perfis de digitalização. Análise de vulnerabilidade baseada em relatórios de verificador de segurança. Preenchendo o CMDB base.	Trabalhe com ferramentas de inventário, controles de segurança	8x5	1
Especialista em DevSecOps- / QA	Análise estática e dinâmica do código fonte do software	Construindo o appsec CI / CD, trabalhando com analisadores de código estáticos e dinâmicos, Fuzzing	Subcontratação
Pentesters / Redteam	Testes de penetração. Desenvolvimento de IoC baseado em pesquisa.	Condução de protestos internos e externos para todos os estágios do killchain. Posse de ferramentas para detectar e explorar vulnerabilidades. Desvio de IDS / IPS, etc. Propriedade da OSINT. Bash, PowerShell, Python. Conhecimento dos métodos de teste.	Subcontratação
Identificador de causa do computador	Engenharia reversa de amostras de malware. Análise forense de despejos de tráfego de rede, RAM, instantâneos de disco. Análise forense baseada em host.	Investigação de incidentes. Coleta e análise de evidências, interação com órgãos policiais (trabalho com sistemas forenses, engenharia reversa, etc.)	Subcontratação

Terceira linha

A solução das principais tarefas estratégicas e da administração de nível superior, implementadas pela terceira linha, deve ser acumulada de lado. A composição mínima dessa unidade é de 5 especialistas.

Esses são, em particular, especialistas técnicos - engenheiros especializados, responsáveis ​​por sua área de especialização. O pessoal dos grandes centros deve incluir especialistas em todas as áreas necessárias (WAF, ITU, IDS / IPS, CIP, etc.). Nos limitaremos a dois especialistas técnicos que devem fornecer suporte especializado a especialistas da 1ª e 2ª linhas.

O metodologista (auditor de SI), um especialista na área de atos legais regulamentares e os requisitos dos reguladores (FSTEC, FSB, Banco Central, ILV), é responsável por avaliar a conformidade do nível de segurança da organização com as disposições da lei.

O arquiteto-analista está desenvolvendo novos conectores, scripts SIEM, atualizando regras e políticas de ferramentas de proteção de acordo com os dados da Threat Intelligence, analisando respostas de Falso Positivo, analisando anomalias.

O chefe do centro GosSOPKA deve, sem dúvida, ter um conhecimento profundo da estrutura regulatória e ter pelo menos 10 anos de experiência prática no setor de segurança da informação.

Especialista	Responsabilidades	Requisitos de qualificação	Mode	Qtde
Perito técnico	Trabalho tecnológico interno na implantação de stands. Testando novos produtos para o centro. Resposta rápida no caso de vários falsos positivos. Análise da qualidade do conteúdo, formação de requisitos para revisão. Realização de revisão de casos, análise da qualidade da análise de casos por 1 linha. Análise agregada de positivos Falso Positivo, recomendações para eliminação.	Especialistas em sua área de especialização (malware, ajustes, uso de meios técnicos especializados, etc.),	8x5	2
Metodologista (auditor de SI)	Desenvolvimento e manutenção da documentação organizacional e administrativa de segurança da informação (políticas, regulamentos, instruções). Organização e controle da conformidade com requisitos legais e padrões da indústria de segurança da informação. Participação na preparação e celebração de contratos; análise da aplicabilidade e viabilidade dos requisitos da contraparte em termos de segurança da informação; análise de contratos em termos de conformidade com políticas e padrões de segurança. Desenvolvimento e manutenção de um programa de conscientização de segurança da informação na empresa. Inventário e classificação de ativos de informações do lado da descrição na documentação.	Um especialista em conformidade e desenvolvimento de papel metodológico. Experiência no desenvolvimento de modelos de ameaças e intrusos, recomendações metodológicas.	8x5	1
Arquiteto Analista	Desenvolvimento de conectores. Adaptação de cenários aos recursos do funcionamento do IP. Script para novas fontes. Otimização de scripts. Desenvolvimento de cenário após o recebimento da Threat Intelligence. Emulação de ataques e desenvolvimento de cenários para sua detecção	Domínio do processo e meios de apoio (SIEM) em sua direção: Avaliação de vulnerabilidade. Diagnóstico e mitigação contínuos. A capacidade de adaptar a IoC dos sistemas de Threat Intelligence ao IP do sujeito	8x5	1
Supervisor	Direção geral e orquestração. Aumentar a conscientização dos funcionários da entidade estadual SOSPKA. Realização de "ordens cibernéticas".	Gerenciamento de equipe Experiência em segurança da informação a partir de 10 anos Conhecimento de documentos regulatórios do FSB e FSTEC	8x5	1

Falando de prática

Todas essas recomendações servem como ponto de partida e não como um guia preciso para a ação. Obviamente, quando você cria seu próprio centro, recebe sua própria equipe. Haverá mais especialistas em uma linha, menos na outra, papéis ligeiramente diferentes aparecerão na terceira, ou eles continuarão aumentando / diminuindo.

Por exemplo, para um de nossos clientes, construímos um SOC, onde deixamos as funções da 1ª linha de monitoramento no modo 24x7, e o cliente contratou a segunda linha (uma equipe de resposta de 5 pessoas) e as análises da terceira por conta própria. Além disso, a organização já tinha um chefe de segurança da informação (chefiou o SOC), além de um metodologista e um departamento de TI, que também estava envolvido no inventário.

Outro cliente adicionou à primeira linha as funções de chefe do grupo de monitoramento e dos responsáveis ​​pela interação com os usuários, além de aumentar o número de especialistas em monitoramento para oito. Na segunda linha, três funcionários foram responsáveis ​​pela eliminação das consequências, mas o especialista forense foi contratado. O número total da equipe do centro GosSOPKA nesta empresa era de 20 pessoas.

Por fim, a equipe do centro depende dos principais vetores de desenvolvimento do seu SOC, que são determinados e ajustados durante a análise de incidentes. Ao mesmo tempo, especialmente nos estágios iniciais, é aconselhável usar os recursos do provedor de serviços para o dimensionamento "teste" de licenças e pessoal. Nesse caso, você poderá avaliar com mais precisão os requisitos de recursos, evitando investimentos de capital desnecessários. Por exemplo, um dos clientes nos deu todas as funções operacionais do centro e deixou para trás apenas a interação com o NCCSC (envio de relatórios sobre incidentes).

Se falamos sobre nosso esquema padrão para adotar a infraestrutura do cliente para monitoramento, geralmente, do lado do cliente, existem:

• Dois funcionários que recebem mensagens da equipe de monitoramento Solar JSOC e respondem a incidentes de acordo com nossas recomendações.
• Um especialista em verificação de vulnerabilidades.
• Gerente de Gerenciamento de Serviços.

Mas todo mundo tem seu próprio jeito de construir o centro da Agência Estadual de Proteção Social, e esperamos que este artigo tenha ajudado você a decidir a sua.