从中心到内部谈论网络监控和响应网络攻击(SOC)中心的工作,我们已经讨论过
第一 线和
第二线工程师以及
分析师 。 然后,我们随便提到服务经理。 这些是SOC员工,他们对客户对所提供服务的质量负责。 这个简短的定义实际上隐藏了以下内容:服务经理确定客户站点上服务的实际实施,应随时准备接听客户的电话或监控工程师有关重大事件的通知,组建响应或调查团队并前往站点。
在大多数情况下,Solar JSOC服务管理人员都是30多岁的人,他们已经
看到了在信息安全方面具有丰富经验的物种:从设计信息安全系统到审核过程。 确保具有从
鸟类到人类技术再到商业,反之亦然的技能。
服务经理应归于谁?
服务经理不需要操作工程师一级的特定信息保护工具的深入知识。 但是,在SPI及其制造商的领域中存在广阔的前景,对网络协议的最低了解以及对特定信息对象(例如AWS KBR等)的要求。 -必填。 并且作为强制性要求-既定又扎根的
猴面包树了解到,有必要首先保护主机而不是主机,但必须保护业务流程。 从理论上讲,每个人都知道这一点,但实际上,并不是每个人都可以遵循这一原则。
为什么要这样一套标准? 服务管理器是客户端的单个窗口。 他们与分析师一起组成直接与客户沟通的团队。 我们想象中的一种形式的前台。 服务经理确定如何在应用程序级别解决客户任务。 通常,此类细节不在合同中阐明。
如果客户清楚地知道他想从服务中获得什么(这是我的同事笑了,这是很好的)。 实际上,这种现象几乎与流星雨一样罕见。 在这里,离不开在项目框架内提供信息安全开发的人员。 他为每个特定客户确定关键数据和流程,以及它们的自动化方式。 在基础架构和组织系统与人员之间的交互方面,潜在的折衷点。 而且这只是在启动服务的阶段。 然后是工作日,在此期间,服务经理不断关注客户基础架构的发展。 有必要记住并考虑很多因素:业务类型,使用的网络设备和SZI,分包商的数量和类型,对敏感信息的访问级别等等。
一个完全合乎逻辑的问题:为什么这么难? 毕竟,您可以将客户的系统作为信息源连接到SOC,然后在此处停止。 可能有人这样做,但是我们的经验表明,适用于银行的内容不适用于工厂或租赁公司。 是的,尽管事实上这是我国监管最严格的行业之一,但银行内部没有完全相同的安全保护方法。 在工厂中,通常会有一种安静的恐惧:一堆专有协议,大量的分包商远程连接到基础设施元素(通常没有向客户透露这一事实)。 有了所有这些知识,就有必要工作。
如上所述,根据每份合同,我们都组成一线分析师和经理团队。 团队不是永久性的,因客户而异。 通常,一位服务经理根据合同规模和IS成熟度为三到六位客户提供服务。 这些是三,六个不同的基础设施,各种信息安全方法的
表白以及其他物种多样性的“魅力”。 公平地说,值得一提的是,我们已经为许多大型客户分配了一位只能与他们一起工作的个人服务经理(但这对他来说并不容易)。
对客户的个性化解决方案并不是口口相传,而是提供服务的任务之一。 即使是同一基础设施行业的不同公司,在安全性,IS策略和业务流程方面也有不同的方法,无论我们如何统一服务,实际上,这种方法都会导致亵渎和降低对客户的保护(换句话说,这很容易工作)。 同时,仍然有必要在客户的愿望(通常是奇怪的)与一项或另一项措施的实际用途之间找到平衡。
例如,有一个隔离的WiFi来宾段,无法访问内部资源,但是客户希望,如果我们修复RAT(远程访问工具)的启动,他将收到具有最高严重性级别的通知。 但是,实际上,在收到这样的通知后,客户什么也不做,因为 他没有剧本,也没有足够的资源来回应。 满足此类需求会增加响应工程师的负担,并且不会使流程中的任何参与者受益。 结果,除了增加的“社会主义义务”,我们什么也没有得到。 高事件响应和调查过程不起作用。
反之亦然:由于迷信有些晦涩,客户不想监视其计费系统(这是主要的业务系统,通常是CII)。 实际上,我们必须有条不紊地用手指解释为什么我们应该保护这一部分。 我们每个SM都有大量类似的故事,如果您发布它们,就会得到类似的好书。
硬币的另一面是Solar JSOC流程:直接监视和识别事件,分析,体系结构,取证等。 等 所有这些颇有规模的杂牌公司都为客户服务。 就像在世的任何集体一样,它都有自己的发展载体,偏好和个人交流。 并且这不应影响服务的提供。 这也是SM的头疼:必须重新分配资源以解决问题,确定实施的优先顺序,以免影响其他客户。 获得了无聊的教训。
睡觉是w夫
与大多数Solar JSOC员工不同,服务经理“全天候工作”:晚上,休息日和午餐时间不休息。 所有其他服务都有服务员。 这并不意味着服务管理器就像厨房的奴隶一样,仅限于现代版本的船桨-桌子和计算机。 正是这个人必须在白天或黑夜的任何时间接听来自客户或我们内部服务的电话。 在我们的理解中,术语“答案”隐藏了以下操作序列(我们用于过程方法):识别问题/问题,对进一步的操作做出决定,并在公司内部连接所需的服务,检查结果。
拨打电话的原因可能有所不同-很有趣,但不是很。 SM的最常见和“最喜欢的”原因是在取证者方面提出的。 他们发现了一个新漏洞,并根据可能的威胁对其进行了评估,并将其启动到服务管理器中(与BlueKeep-2一样)。
然后-迪斯科! 为了以防万一,每个SM都会查看客户的档案(尽管大多数SM会牢记基础设施),这些好家伙的头会生成警报文本,并通过所有可用渠道发送给客户。
对于夜间通话,还有另一个共同的故事。 合同开始时,客户经常要求在白天或晚上的任何时间通过语音通知负责人在许多情况下的事件。 因此,当触发警报时,监视值班人员会唤醒SM,并向他提供有关该事件的所有必要信息。 接下来,SM唤醒负责方并将其信息转移给他。 即使客户有自己的全天候响应服务,这也不会阻止我们将负责人抬起床。 呼叫与向客户发出有关事件的通知同时进行。 通常,几个月后,当客户确信该服务确实是全天候的并且他徒劳地付款时,我们被要求停止这种做法。
但是有严重的理由不晚上睡觉。 这些显然包括对客户基础架构的攻击。 这种罕见但非同寻常的情况也会发生:晚上响起电话,他们要求通过手机在物理站点上寻求帮助。 在Solar JSOC成立后的几年中,该计划一直在试行:“以华尔兹的步伐”成立了一个团队,由SM担任协调员,并友好地落在客户手中。 有时,我们会在发起此链的负责人面前开车前去。
记录-精神坚强
除了在这种情况下不眠之夜外,还有一个很大的缺点:该过程中的所有参与者都已经可以睡足了,服务经理需要针对这种情况编写一份初步报告,以指示完成操作的时间,描述操作本身及其结果。 报告不是对形式的致敬,而是真实的文档,然后将其分解以识别错误或成功的决策。 绝对会考虑所有Solar JSOC专家的所有经验,无论他们工作的职位如何。
通常,报告是服务经理工作的组成部分。 有很多报道。 不,不是那样。 有很多。 对于每种口味和颜色:从记录服务进一步发展的会议记录到定期向客户报告。 在很多情况下,报告都伴随着高层管理人员的介绍,高层管理人员想知道所花的钱,但还不准备深入研究特定的服务。 因此,演示文稿应清晰地确认花费的金额没有白费,并且该服务确实有用。 所有这些工作都是完全由30岁以上的人为所有客户完成的。是的,有一定程度的自动化,但是我们还没有学会如何以自动模式创建演示文稿。
通常,优秀的SM可以与任何受众共事:清晰就是我们的一切但主要的不同
很多时候,您会听到服务经理是射击位置和地狱工作,而没有发展的可能。 这是一个很强的谬论。 我们的一位经理说:“工作的结果总是可见的,也就是说,您不用垃圾桶工作,这总是很酷的。”
我们将讨论服务经理在哪里发展以及如何从中发展出成熟的CISO。 到目前为止,只有-钥匙孔里的工作日。
