我们在Solar JSOC讨论人力资源任务和员工发展模型已有一段时间了。 当然,您能够读到一篇文章,内容
涉及三年级学生如何到达监视和响应中心 ,或者
工程师如何为 Solar JSOC结构中的
垂直运动 (从第一行到第二行)注入
经验 。 与分析师的进一步垂直发展有关的材料以及服务经理如何转变为成熟的CISO的工作不远。 但是现在我想谈谈别的事情。
鱼一直在寻找更深的地方,而男人则在寻找更好的地方。 这一共同声明很清楚地反映了员工和候选人的愿望。 他们每个人只有“更好”一词才有其自身的含义。 它决不总是与财务状况,等级/覆盆子或从家到办公室的旅行时间有关。
经常会发生这样的情况:员工只是对当前的工作感到厌倦,而没有付出太多的努力来“积累”经验,即 做到这一点,但比在相关方向上发现新挑战更深刻。 在这种情况下,我们会尽力帮助他获得新的职业,而不是在Solar JSOC内部获得“垂直”发展,而是“水平”发展。 唯一的困难是不要错过这一刻,以及为一个人征服新的高峰提供所有必要的“设备”。
以下是我们尝试说明的几种情况。
热手,心冷
我们团队的生活始于第一线。 但是,正如我们已经多次提到的,第一行是两行。 第一个重点是选择日志,分析和分析事件,将其转变为分析报告或误报。
这项工作的速度非常快(我们的第一行每天可以处理近1,500起事件的嫌疑),但同时也有些代表。 首先,这需要毅力,专心和持续的头脑清晰(这也可能就是为什么监测工作吸引女性的原因-在一开始的情况下,女孩最多。)
这里有一些细微差别。 首先,毕竟,使用原木并恢复事件通常会产生一些短暂和不完整的感觉。 有一个过程,但没有触手可及的结果。 对于保安人员来说,“感受”工作成果的愿望有时非常重要。
第二,正如已经提到的那样,由SLA推动的工作正在进行中并且进展很快。 如果灵魂需要沉思和悠闲地研究复杂的工程任务的能力,那么恒定的时间压力可能会令人讨厌。
即使对于员工本人来说,这也可能并不总是显而易见的,但是从外面用肉眼明显可见,尤其是在以下情况下:
- 一个强大的工程师会对事件进行非常高质量的分析和调查,但是通常会在SLA定义的时间范围内失败,尤其是对于最短的事件。
- 与主要任务并行的是,吸引工程师从事内部任务以提高基础架构的效率,或者开始在膝盖上编写脚本以使其工作任务自动化。
好吧,总的来说,从面试开始,我们会关注他的想法以及他未来的同事的动力-他是否准备好按照算法工作并严格遵循指示,还是喜欢免费搜索和独立研究。
如果监视工作的细节对一个人来说是个问题,这并不意味着他需要去寻找新的地方。 对我们来说,这是一个信号,表明他已经通过监视的大水和水,可以在行政部门的铜管中试一试,并承担各种腺体,安全设备和信息安全系统的直接管理和“扭曲”政策。 这种“转移过渡”也不是我们的规则或未开发的规则的例外。
如何运作? 幸运的是,尽管团队的工作有所不同,但前两行在网络技术方面有着相似的基础。 另外,对于监控工程师而言,安全工具的功能和功能是非常透明的-他们每天都会处理其日志。 因此,工程师通常只需具备以下三种技能即可翻译:
- 要研究您每天必须使用的那些安全工具(防病毒,代理,防火墙,VPN)的功能和接口。
- 在内部和外部实验室设备的帮助下,提高管理网络设备的技能,以帮助进行管理,包括工作计划。
- 通过分析我们知识库中的许多实际案例,学习如何诊断保护设备的问题和故障。
还有一件事:该段标题中关于冷漠的一句话并没有开玩笑。 使用关键的高负载系统不能容忍大惊小怪和情绪化,“现在,我将快速完成所有工作!” 这些是非常平衡和合理的行动,具有潜在后果的评估,变更应用程序(RFC)的开发以及技术窗口的计划。
活动的这些细节以及团队中的气氛在第一线的战斗人员的心态上留下了印记,迫使他们每分钟都在思考工作的结果,所做的更改以及不可能放入Procrustean法规和职位描述框中的事实。
数学家不应该思考,数学家不应该思考
相反的情况是,在某个阶段,专家的手开始对硬件,设置设备和保护性设备感到厌倦,但是却不希望转向管理或人员管理。 在这种情况下,您通常希望从外部稍微看一下客户的安全系统,开始使用威胁向量,识别和响应它们的方案,对基础架构进行更广泛的考察,而不仅限于保护工具和相关系统的范围。 这通常会促使人们转向事件分析并使用场景进行识别。
我们的客户在形成专家移动的载体方面提供了非常有力的帮助。 尤其是那些我们要解决的端到端安全管理任务,即我们不仅参与监视和分析事件,而且还管理安全工具。
客户如何影响我们的内部人员配备流程? 主要有两个原因:
- 除检测事件外,SIEM平台本身也是用于日志管理和后验分析的非常好的工具。 与操作相关的部分任务(诊断通道负载的原因,确定应用程序中使用的外部地址列表,恢复策略和配置的更改链)通常可以在SIEM中更快,更高效地完成。 因此,从第一行管理开始,所有工程师都可以读取客户系统的日志。 足够快地,这使一个好奇的人想到了为其自身,报告模板等创建微型自动化的愿望。 因此,工程师涉足相邻区域,有时会觉得更有趣。
- 第二,我们生活中同样重要的部分是对非典型事件的调查或对复杂攻击的反应。 在这种情况下,尤其是分数持续数分钟时,每个人都在做所有事情,并且管理员还可以通过分析,抵消和消除攻击后果的方法来进行头脑风暴。 这种对大脑进行刺激以进行分析和寻找隐性联系的方式,也使员工迅速意识到了对此类任务的舒适性和吸引力。
员工如何进行此项调动? 通常,培训和翻译在三个方面进行:
- 具有日志分析和事件调查的经验。 当然,实验室示例对您有很大帮助,但是MDR提供者的生活每周都会抛出新的有趣案例,您可以在这些案例上测试和提高自己的技能。 而且,正如我已经说过的,行政专家也具有日志的基本经验。
- 与SIEM合作创建或修改内容。 不会立即向儿童提供用于在不同SIEM中编写关联规则的“鸟”语言。 但是同样,日志和基本报表构建的经验大大缩短了这条路线。
- 好了,对于任何管理员来说,部署平台,连接和配置源的技能早已为人所熟悉。 产品组合中只有一种产品。
这种过渡产生了非常强大的分析人员,因为防护装备的战斗经验极大地帮助了他们解释杂志,并为应对和消除攻击的后果制定了更加具体,务实的建议。
永远不会有第二次机会留下深刻的印象
Solar JSOC工作中一个完全独立的故事是销售支持活动,尤其是试点项目。 试点项目应该是所提供服务的精髓:
- 试点时间总是很紧且很有限,因此,将客户和我们的服务连接起来的工作速度应该最大。
- 试点人员应充分展示我们的能力和流程,以便客户可以客观地评估我们的服务是否适用,而无需点缀(否则,在提供服务的阶段,双方都可能会遇到很多麻烦)。
- 在短时间内,在有限的试验规模内,我们必须“挖掘”许多事件和基础架构漏洞,这些事件和基础设施漏洞将向企业解释该服务的实际好处。
此类项目需要负责其工作的售前分析师具备极其不同的品质:一方面,系统性以适当地管理资源和截止日期,同时又有些鲁ck和渴望成就,以时不时地做到这一点。 一方面,要证明服务的优势,就需要将流程大量地投入到服务中,并需要有支持销售的经验。 另一方面,挖掘事件既需要在处理日志方面出色的信息安全专业知识,也需要具备保护客户保护系统中潜在瓶颈的能力。
一个案例使我们找到了培养和选拔此类人员的可能方法。 我们深信,如果没有对SOC的技术了解,原木和SIEM的经验,那么我们的售前技能就毫无意义。 但是,一旦一位候选人将整个局势推向了现实。
他接受过预售方面的培训,就像一位面试官所说的那样:“我根本不需要它,但我几乎买了它。” 他确实“烧掉”了自己的生意,并充满了成长和发展的愿望。 但是,不幸的是,他的技术知识与SIEM和其他SOC子系统的知识有着无限的距离。
尽管如此,在人力资源服务的意愿下,候选人还是与我们一起工作并开始加入团队。 出乎意料的是,很明显,将SOC的过程和任务吸收到吸烟室,午餐时间以及仅在办公室轮班工作时,与正确的环境结合成长和发展的愿望会产生良好的效果。 从字面上看,在一个半月的时间里,他已经控制了第一个试点项目,不仅是作为经理和时间控制器,而且几乎是完全自主地执行任务。 现在,他已经成功地担任了扮演教练一职的各种复杂程度的飞行员。
结果,我们找到了解决非标准任务的双向方法,以增加诸如Solar JSOC服务的售前分析之类的零散人员:
- 售前团队对网络安全运营具有技术知识和生活精神的“投票”,
- 在技术人员中搜索那些想从技术专家转到更接近商业方向的人员。
这两种方法不仅对我们(作为一个不断增长的监控中心团队),而且对于获得职业发展另一种选择的员工都是有用且有希望的。
当然,这些并不是在Solar JSOC内部移动员工的全部选择。 在某些情况下,管理团队的工程师厌倦了与客户的不断沟通,并希望将精力集中在“他自己的”东西的操作上,而将他们转移到我们的JSOC基础架构的架构师那里。 一线工程师有时会激起对低级分析的热情,并与Assembler一起工作(这是初学者鉴识器的第一个迹象)。 一线和二线经验丰富的战士厌倦了工程,逐渐转移到服务经理的任务和与客户的沟通,或者成为当地团队的领导者。
正如周期的
第一篇文章中已经提到的那样,一个人的主要目的不是为了寻求短暂的幸福而“手指流畅”或“燃烧”,而是专注于自己的发展,为自己寻找和发现新视野的能力。 此外,我们的任务已经是-不要错过当此人的内部基本知识需要理解并深入了解某些不太全面的活动时,将胜过解决当前运营问题的需要。
此时此刻,重要的是给一个人机会,采取下一步,提供选择,使他能够做真正的灵魂。 而且在哪个方向上并不那么重要:目标很少,大型公司中总是有足够的任务。