Falando sobre como o trabalho do centro para monitorar e responder a ataques cibernéticos (SOC) de dentro para fora, já falamos sobre os engenheiros de
primeira e
segunda linha e sobre os
analistas . Em seguida, mencionamos casualmente os gerentes de serviço. Esses são funcionários do SOC responsáveis pelo cliente pela qualidade dos serviços prestados. Esta definição curta realmente oculta o seguinte: o gerente de serviço determina a implementação prática do serviço no site do cliente, deve estar pronto a qualquer momento para atender a chamada ou notificação do cliente do engenheiro de monitoramento sobre um incidente crítico, montar uma equipe de resposta ou investigação e ir ao site.
Na maioria das vezes, os gerentes de serviço JSOC Solar são homens com mais de 30 anos que
viram espécies com experiência diversificada em segurança da informação: do design de sistemas de segurança da informação aos processos de auditoria. Certifique-se de ter as habilidades de transferência de
aves para técnicas
humanas para negócios e vice-versa.
O que e a quem o gerente de serviço deve
O gerente de serviço não exige conhecimento aprofundado de ferramentas específicas de proteção de informações no nível de um engenheiro operacional. Mas há uma visão ampla no campo da SPI e seus fabricantes, conhecimento mínimo de protocolos de rede e requisitos para objetos de informação específicos, como AWS KBR, etc. - obrigatório. E como um requisito obrigatório - um entendimento
conhecido e tradicional de
baobá, conhecido como baobá, que é necessário proteger, antes de tudo, não hosts, mas processos de negócios. Em teoria, todo mundo sabe disso, mas, na prática, nem todo mundo é capaz de seguir esse princípio.
Por que esse conjunto de critérios? O gerenciador de serviços é uma única janela para o cliente. Juntamente com o analista, eles formam um grupo que se comunica diretamente com o cliente. Uma espécie de front office na forma como imaginamos. É o gerente de serviço que determina como as tarefas do cliente serão resolvidas no nível do aplicativo. Tais detalhes, em regra, não são enunciados no contrato.
É bom que o cliente tenha uma compreensão clara do que deseja obter do serviço (nessa linha, meus colegas sorriram). Na realidade, esse fenômeno é quase tão raro quanto uma chuva de meteoros. E aqui simplesmente não pode prescindir de uma pessoa que forneça o desenvolvimento da segurança da informação na estrutura do projeto. Para cada cliente específico, ele identifica dados e processos críticos, bem como os meios de sua automação; potenciais pontos de comprometimento no nível da infraestrutura e organização da interação entre sistemas e pessoas. E isso é apenas na fase de lançamento do serviço. E então chegam os dias de trabalho, durante os quais o gerente de serviço constantemente mantém o dedo no pulso da infraestrutura do cliente. É necessário lembrar e levar em consideração vários fatores: o tipo de empresa, o equipamento de rede e o SZI usado, o número e os tipos de subcontratados, os níveis de acesso a informações confidenciais e muito, muito mais.
Uma pergunta perfeitamente lógica: por que é tão difícil? Afinal, você pode conectar os sistemas do cliente ao SOC como fontes de informação e parar por aqui. Provavelmente alguém sabe, mas nossa experiência mostra que o que é adequado para um banco não é aplicável a uma planta ou a uma empresa de leasing. Sim, e dentro dos bancos não existe uma abordagem idêntica à segurança, apesar de ser uma das indústrias mais regulamentadas em nosso país. E nas fábricas, geralmente há um horror silencioso: um monte de protocolos proprietários, um número proibitivo de subcontratados conectando remotamente a elementos de infraestrutura (geralmente sem revelar esse fato ao cliente). E com todo esse conhecimento é necessário trabalhar.
Como mencionado acima, em cada contrato, formamos uma equipe de analistas e gerentes que estão na linha de frente. As equipes não são permanentes e variam de cliente para cliente. Como regra, um gerente de serviço atende de três a seis clientes, dependendo do tamanho do contrato e do nível de maturidade do SI. E essas são três ou seis infraestruturas diferentes, várias
confissões de abordagens à segurança da informação e outros "encantos" da diversidade de espécies. Para ser justo, vale a pena dizer que temos vários clientes grandes aos quais foi designado um gerente de serviços pessoais que trabalha apenas com eles (mas isso não é mais fácil para ele).
Uma abordagem individual do cliente não é uma palavra grande, mas uma das tarefas na prestação do serviço. Mesmo empresas diferentes do mesmo setor de infraestrutura têm abordagens diferentes de segurança, políticas de SI e processos de negócios que, não importa como queremos unificar o serviço, na realidade, essa abordagem levará a palavrões e menor proteção ao cliente (em outras palavras, será hacky trabalho). No entanto, ainda é necessário encontrar um equilíbrio entre os desejos do cliente, geralmente estranhos, e a real utilidade de uma ação específica.
Por exemplo, existe um segmento convidado de WiFi isolado sem acesso a recursos internos, mas o cliente deseja que, se corrigirmos o lançamento da RAT (Ferramenta de Acesso Remoto), ele receberá uma notificação com o nível máximo de criticidade. No entanto, de fato, após o recebimento dessa notificação, o cliente não faz nada, porque ele não tem playbooks e não possui recursos suficientes para responder. E a satisfação de tais desejos aumenta a carga dos engenheiros de resposta e não beneficia nenhum dos participantes do processo. Como resultado, não recebemos nada além de "obrigações socialistas", ou seja, O alto processo de resposta e investigação a incidentes não funciona.
Ou vice-versa: o cliente, devido a algumas superstições obscuras, não deseja monitorar seu sistema de cobrança (que é o principal sistema comercial e, em geral, CII). E temos que, metodicamente, de fato, explicar com os dedos por que devemos proteger esse segmento. Cada uma de nossas SMs tem uma tonelada de histórias semelhantes e, se você as publicar, recebe um bom livro como esse.
E do outro lado da moeda estão os processos Solar JSOC: monitorando e identificando diretamente incidentes, análises, arquitetura, análise forense, etc. etc. Toda essa empresa grande e heterogênea funciona para os clientes. Como em qualquer coletivo vivo, ele possui seus próprios vetores de desenvolvimento, preferências e comunicações pessoais. E isso não deve afetar a prestação do serviço. Isso também é uma dor de cabeça da SM: é necessário redistribuir recursos para resolver um problema, priorizar a implementação para que não afete outros clientes. Uma lição chata é obtida.
O sono é para os fracos
Diferentemente da maioria dos funcionários da Solar JSOC, o gerente de serviço "trabalha 24 horas por dia": sem pausas para a noite, o dia de folga e o almoço. Todos os outros serviços têm atendentes. Isso não significa que o gerente de serviço, como um escravo da galera, esteja confinado à versão moderna dos remos - uma mesa e um computador. É apenas a pessoa que deve atender a chamada do cliente ou de nossos serviços internos a qualquer hora do dia ou da noite. Em nosso entendimento, o termo “resposta” oculta a seguinte sequência de ações (somos para a abordagem do processo): reconhecer a pergunta / problema, decidir outras ações e conectar os serviços necessários na empresa, verificando o resultado.
Os motivos das chamadas podem ser diferentes - engraçados e não muito. O motivo mais comum e "favorito" para as SMs é lançado ao lado dos forensers. Eles encontram uma nova exploração, avaliam-na em termos de possíveis ameaças e a iniciam nos gerentes de serviço (como
foi recentemente com o BlueKeep-2).
E então - uma discoteca! Cada uma das SMs, por precaução, analisa os dossiês dos clientes (embora a maioria se lembre da infraestrutura de cor), o chefe desses caras maravilhosos gera um texto de alerta, que é enviado aos clientes por todos os canais disponíveis.
Nas chamadas noturnas, há outra história comum. No início do contrato, o cliente geralmente pede que os incidentes em vários cenários das pessoas responsáveis sejam notificados por voz a qualquer hora do dia ou da noite. Portanto, quando um alerta é acionado, o oficial de serviço de monitoramento acorda o SM e fornece a ele todas as informações necessárias sobre o incidente. Em seguida, o SM acorda a parte responsável e transfere as informações para ele já. Mesmo que o cliente tenha seu próprio serviço de resposta, trabalhando dia e noite, isso não nos impede de levantar a pessoa responsável da cama. As chamadas ocorrem em paralelo com uma notificação ao cliente sobre o incidente. Como regra, depois de alguns meses, quando o cliente está convencido de que o serviço é realmente 24 horas e ele paga em vão, somos solicitados a interromper tal prática.
Mas há sérias razões para não dormir à noite. Isso inclui claramente um ataque à infraestrutura do cliente. Uma situação tão rara, mas não excepcional, também acontece: uma ligação toca à noite e eles solicitam assistência no local físico do aparelho. Ao longo dos anos de existência do JSOC Solar, o esquema foi executado: "no ritmo de uma valsa", uma equipe é montada, na qual o SM atua como coordenador e cai amigavelmente para o cliente. Às vezes acontece que dirigimos diante das pessoas responsáveis que lançaram essa cadeia.
Registros - para os fortes em espírito
Além de uma noite sem dormir nessas situações, há outro ponto negativo enorme: todos os participantes do processo já podem dormir o suficiente e o gerente de serviço precisa escrever um relatório preliminar sobre a situação, indicando o momento das ações concluídas, descrever as ações em si e seus resultados. Os relatórios não são um tributo às formalidades, mas um documento real, que é então desmontado para identificar erros ou, inversamente, decisões bem-sucedidas. Absolutamente toda a experiência de todos os especialistas em Solar JSOC é levada em consideração, independentemente da posição em que eles trabalham.
Em geral, os relatórios são parte integrante do trabalho de um gerente de serviços. Existem muitos relatórios. Não, não é assim. HÁ MUITO. Para todos os gostos e cores: desde as atas das reuniões em que o desenvolvimento do serviço é registrado até os relatórios regulares aos clientes. Muitas vezes, os relatórios são acompanhados de apresentações para a alta gerência, que quer saber sobre o dinheiro gasto, mas não está pronto para se aprofundar no serviço específico. Consequentemente, a apresentação deve confirmar inteligentemente que o valor gasto não é em vão e que o serviço é realmente útil. E tudo isso é feito absolutamente para todos os clientes pelas mãos de homens acima de 30 anos. Sim, existe um certo nível de automação, mas ainda não aprendemos a criar apresentações no modo automático.
Em geral, uma boa SM pode trabalhar com qualquer público: lucidez é tudoMas o principal é diferente
Muitas vezes você pode ouvir que o gerente de serviço é uma posição de tiro e um trabalho infernal sem a possibilidade de desenvolvimento. Essa é uma falácia muito forte. Um de nossos SMs diz que "o resultado do trabalho é sempre visível, ou seja, você não trabalha na lata de lixo, e isso é sempre legal".
Falaremos sobre onde o gerente de serviço está se desenvolvendo e como obter um CISO completo. Até agora, apenas - dias úteis pelo buraco da fechadura.
