本文对在公认的关键信息基础结构(CII)主题的公司中工作的人员有用,这意味着它有义务满足187-FZ的要求,并建立满足俄罗斯联邦安全局要求的国家社会保护和认证服务中心(用于检测,预防和消除计算机攻击后果的国家系统) 。
在上
一篇文章中,我们谈到了该主题的基础知识,并讨论了FSB对应在国家社会保障和认证服务中心使用的技术设备的要求。 但是,这些要求(几乎是第一次)不仅适用于技术保护手段,而且还适用于监视,响应和调查IS事件的特定过程的实施。 因此,今天我们将讨论确保所有这些流程所需的人力资源。
首先,简要说明为什么我们甚至会为此主题提供提示。 本质上,GosSOPKA中心是一个小型内部中心,用于监视和响应网络攻击
(安全运营中心),仅包含其他任务和职责。 提供此类服务的七年实践,超过一百家受保护的大公司,以及为客户创建GosSOPKA中心的经验,有助于我们及时深入地解决人员“炼金术”问题。 当然,在此过程中,我们会定期寻找可优化员工成本的方案,同时保持所需的高水平服务。
特别是,团队应该能够承受相当严格的SLA:Solar JSOC专家只有10分钟即可检测到攻击,而只有30分钟可以做出响应并提供保护。 同时,我们制定的人事标准使我们能够根据客户实际发生的事件来扩大团队规模(并且相信我,这种情况每年都没有减少)。
在本材料中,我们总结了我们的成就,并给出了SOC的组织和人员结构的
最小配置,在该配置中,SOC将能够履行GosSOPKA中心的所有必要职能,并符合监管机构的监管建议。
第一行
正如实践所示,要保护这一行至少需要7位专家-鉴于他们大多数都是轮班工作,提供24x7模式。 这些尤其是监视专家-至少应有6个人。 在这种情况下,您不仅可以对企业系统进行全天候控制,而且还可以根据2018年7月24日的第367号命令在24小时内将有关计算机事件的信息提供给FSB。
对于SZI GosSOPKA的服务专家,可能有不同的选择。
首先是KII的主题具有大规模架构,并且必须确保关键服务的持续可用性,并且由于ISS的关闭/无法访问/中断其工作,该组织将蒙受金钱和/或声誉损失,同时还存在对环境和人员造成损害的高风险。 在这种情况下,您需要雇用6个人来提供24x7的轮班服务。
另一个选择:主题具有相同的大规模体系结构和关键服务,需要恒定的可用性,而设备的所有操作均由IT服务执行,信息安全部门确定运行规则并监视其实施。 在这种情况下,您可以将自己限制为三位以12/7模式工作的专家,并在必要时可以夜间打电话。
如果国家社会保护局的工作人员认为18个小时以上违反KII对象可用性的风险至关重要,则可以在1名专家的帮助下以8x5模式维护防护设备。
专科医师
| 职责范围
| 资格要求
| 模式
| 数量
|
监控专员
| - 处理来自HelpDesk,IRP,SIEM或用户的典型事件。
- 审查结果的典型报告。
- 监视源状态。
- 回顾性检查(收到新的折衷指标后)。
| - 系统管理(Linux / Mac / Windows)。
- 了解各种SZI。
- 了解OSI模型。
- 了解电子邮件保护,网络监视和事件响应的原理。
- 汇总和分析来自各种异构SIS的日志的经验。
| 24x7
| 6
|
服务专员
| - 监视和诊断操作设备和软件的问题。
- SZI的定期例行维护。
- SZI的非计划服务。
- 维护中心的内部基础设施
- 如果出现多个阳性假阳性,则及时做出反应。
| - 系统管理(Linux / Mac / Windows)。
- 了解各种SZI。
| 24x7
| 6
|
12x7 +夜间致电
| 3
|
8x5
| 1个
|
重要的是要理解,尽管晚上的事件数量明显减少,但是最重要和最重要的事件仅在晚上发生,并且在晨班开始时,它们已经失去了意义。 但是,导致大多数SOC出现问题的是24x7全天候运行模式:并非每个专家都希望轮班工作。 长期以来,稀有员工会被激励从事高质量的工作,尤其是在您的基础架构中很少发生事故的情况下。 所有这些意味着您将必须系统地解决人员流动问题,不断选择和培训新的专家。
第二行
通常,在这个阶段,没有经验丰富的承包商的帮助就无法做-当然,除非您数钱并且不打算成为提供全面服务的IB公司。 实际上,除了消除计算机事件后果和评估安全性方面的专家外,第二行还包括相当具体的职位。 这些都是非常昂贵的专家,您不需要全职,但没有它们,您的SOC不可能满足SOSOPKA中心引以为傲的称号-渗透测试人员,法医专家,代码分析专家。 结果,根据任务的级别,第二行的最少人数为3-4名员工。
其中包括计算机事件响应专家,经验丰富的一线员工,他们知道如何处理非典型事件并在遇到困难时提供一线帮助。
GosSOPKA中心有义务在其职责范围内定期评估信息资源的安全性,但是并非每个组织都能负担得起自己的渗透测试人员团队,这会使同事保持一致。 此外,根据方法学建议,渗透测试应每年进行两次(外部和内部)。 经验丰富的外部承包商已非常成功地解决了这一问题,该承包商的专家与许多不同的客户一起工作,这意味着他们可以定期提高在“战斗”条件下的技能。
在该州,我们建议您只剩下一名安全评估专家,其主要职责是信息资源清单,填充和保持CMDB数据库为最新状态,与安全扫描器一起使用,处理漏洞并监视补丁程序管理。
同样,如果安全软件开发生命周期的实现与KII主题相关,则可以使用源代码的静态和动态分析来识别漏洞。 同时,仅在非常有限的KII案例中需要一名应用安全专家-在这里吸引外部专家是合乎逻辑的。
此外,成熟的SOC还具有确定计算机事件原因的专家。 通常,这也是一个整个工程师团队,一年只需要几次,因此,我们建议您不要负担自己的内容,而要与正在进行中的法医公司签订协议。
专科医师
| 职责范围
| 资格要求
| 模式
| 数量
|
CT专家
| - 应对复杂事件。
- 监视SZI与SIEM的交互。
- 分析异常活动以识别事件。
- DDoS攻击调查。
- 如果出现多个阳性假阳性,则及时做出反应。
| 与第一行相同,再加上:
- 脚本语言知识(Python,Bash,Powershell)。
- 意识到管理漏洞和CVE编号的意识。
- Windows和Linux系列中的日志管理和补丁管理。
- 符合CISSP / CEH的证书或知识。
- 特别注意SIEM系统
| 8x5,带夜间/周末通话
| 2
|
12x7 +夜间致电
| 3
|
安全评估员
| - 扫描漏洞和合规性。
- 配置扫描配置文件。
- 基于安全扫描程序报告的漏洞分析。
- 填充基础CMDB。
| 使用库存工具和安全控制
| 8x5
| 1个
|
DevSecOps- /质量检查专家
| 静态和动态分析软件源代码
| 构建appsec CI / CD,与静态和动态代码分析器一起使用,模糊测试
| 分包
|
渗透测试者/ Redteam
| | - 对killchain的所有阶段进行内部和外部渗透测试。
- 拥有检测和利用漏洞的工具。
- IDS / IPS旁路等
- OSINT的所有权。
- Bash,Powershell,Python。
- 测试方法的知识。
| 分包
|
计算机原因标识符
| - 恶意软件样本的逆向工程。
- 网络流量转储,RAM,磁盘快照的取证。
- 基于主机的取证。
| - 调查事件。
- 证据的收集和分析,与执法机构的互动(与取证系统,逆向工程等配合)
| 分包
|
第三行
第三行实施的关键战略任务和高层管理人员的解决方案应在其方面进行积累。 该部门的最低人数为5名专家。
这些人尤其是技术专家-专业工程师,负责他们的专业领域。 大型中心的工作人员应包括所有必要领域(WAF,ITU,IDS / IPS,CIP等)的专家。 我们将限于两名技术专家,他们应为第一线和第二线的专家提供专家支持。
方法学家(IS审计师)是监管法律行为和监管机构(FSTEC,FSB,中央银行,ILV)要求方面的专家,负责评估组织的安全级别是否符合法律规定。
分析架构师正在开发新的连接器,SIEM脚本,根据威胁情报数据更新安全工具的规则和策略,分析误报响应,分析异常。
毫无疑问,GosSOPKA中心的负责人应该对监管框架有深入的了解,并在信息安全行业至少有10年的实践经验。
专科医师
| 职责范围
| 资格要求
| 模式
| 数量
|
技术专家
| - 有关展台内部技术工作的部署。
- 为中心测试新产品。
- 在出现大量误报的情况下及时做出反应。
- 分析内容的质量,形成修订要求。
- 进行案件审查,分析案件质量按1行分析。
- 汇总阳性分析假阳性,建议消除。
| 专业领域的专家(恶意软件,调整,使用专业技术手段等),
| 8x5
| 2
|
方法专家(IS审核员)
| - 开发和维护组织和行政信息安全文档(政策,法规,说明)。
- 组织和控制符合法律要求和信息安全行业标准的情况。
- 参与合同的准备和订立; 从信息安全性方面分析对手方要求的适用性和可行性; 根据安全策略和标准对合同进行分析。
- 在公司中开发和维护信息安全意识计划。
- 从文档的描述侧对信息资产进行清单和分类。
| 合规和方法论论文开发方面的专家。
在开发威胁和入侵者模型,方法建议方面的经验。
| 8x5
| 1个
|
分析师架构师
| - 连接器开发。
- 使方案适应IP的功能。
- 为新资源编写脚本。
- 脚本优化。
- 收到威胁情报后的方案开发。
- 模拟攻击并开发检测方案
| 精通其指导过程和支持手段(SIEM):
使威胁情报系统的IoC适应主题IP的能力
| 8x5
| 1个
|
主管
| - 总体方向和业务流程。
- 提高国家SOSPKA实体员工的意识。
- 执行“网络订单”。
| - 团队管理
- 10年以上信息安全经验
- 对FSB和FSTEC监管文件的了解
| 8x5
| 1个
|
说到实践
所有这些建议都只是起点,而不是准确的行动指南。 当然,当您创建自己的中心时,您将拥有自己的人员。 一个生产线中的专家会更多,其他生产线中的专家会更少,第三条中会出现稍微不同的角色,或者他们会继续提高/降低。
例如,对于我们的一个客户,我们建立了一个SOC,在其中我们以24x7模式保留了第一条监控线的功能,而第二名客户(一个5人的响应组)和第三方分析是我们自己雇用的。 此外,该组织已经有一个信息安全负责人(他是SOC的负责人),以及一名方法学家和一个IT部门,他们也参与了清单工作。
另一位客户在第一行中添加了监视组负责人和负责与用户交互的角色,并且还将监视专家的人数增加到八名。 在第二行中,三名员工负责消除后果,但聘请了法医专家。 该公司的GosSOPKA中心团队的总数为20人。
归根结底,中心的工作人员取决于SOC发展的关键载体,这些事件是在事件分析过程中确定和调整的。 同时,尤其是在初始阶段,建议使用服务提供商的功能来“测试”许可证和人员。 在这种情况下,您将能够更准确地评估资源需求,避免不必要的资本投资。 例如,一位客户给了我们中心的所有运作功能,而只留下了与NCCSC的互动(发送事件报告)。
如果我们谈论采用客户基础结构进行监控的标准方案,那么通常在客户方面,有:
- 两名员工从Solar JSOC监视团队接收消息并根据我们的建议对事件进行响应。
- 一位漏洞扫描专家。
- 服务管理经理。
但是每个人都有自己的方式来建立国家社会保护局的中心,我们希望本文能帮助您做出自己的决定。