| Слушать на Google Podcasts | Слушать на Mave | Слушать на Яндекс Музыке |
Руслан Рахметов, Security Vision
Не секрет, что дефицит квалифицированных кадров в области ИБ является одним из основных вызовов в настоящий момент - это характерно для всего мира и для всех типов компаний, однако, при построении SOC-центра персонал, очевидно, играет ключевую роль, поэтому вопрос найма, обучения, поддержки, удержания квалифицированных работников SOC стоит двойне остро. В стратегии №4 авторы MITRE обсуждают задачи по найму и обучению сотрудников, по созданию возможностей по развитию компетенций персонала, по планированию замены работников, по планированию штатного расписания SOC и масштабированию численности сотрудников.
1. Кого набирать в SOC?
У потенциальных кандидатов на членство в команде SOC может быть совершенно разный бэкграунд, опыт, образование и навыки. При этом важны не только так называемые "hard skills" (знания и навыки в предметной области по защите информации), но и "soft skills" (личностные качества, навыки эффективного общения, взаимодействия, обработки и анализа получаемой информации).
1.1. Образ мышления и soft skills
Работа в SOC-центре подразумевает высокую интенсивность труда и самоотдачу, которая невозможна без полного погружения в профессию, которая, в идеальном случае, должна быть личным увлечением работника, что поможет ему сохранять энтузиазм и воспринимать борьбу с киберпреступностью как своеобразный личный вызов и соревнование с атакующими. Другими важными личностными навыками могут быть интуиция (которая, как правило, приходит с приобретением большого эмпирического опыта), нестандартное (нешаблонное) мышление, внимание к деталям с одновременным макро-видением ситуации в целом, возможность быстрого усвоения информации, критическое и креативное мышление, стрессоустойчивость и навыки эффективной работы в условиях недостатка времени, сопричастность и лояльность миссии SOC, стойкое желание выиграть битву с киберпреступниками. Кроме этого, для члена SOC очень важно быть командным игроком, что включает в себя хорошие навыки общения, оценку интересов коллектива выше своих личных, готовность принятия ответственности и за успехи, и за неудачи, позитивное восприятие обоснованной критики, эмоциональный интеллект и управление стрессом, навыки тайм-менеджмента и управления конфликтами, инициативность, четкое мышление и однозначные высказывания при взаимодействии. Для более опытных сотрудников важно также уметь передавать свои идеи, находки, знания и навыки коллегам, строить устойчивые взаимоотношения с коллегами и работниками компании-заказчика, возможность мыслить, как атакующий, и понимать особенности бизнеса компании-заказчика, готовность к поиску новых решений и повышению эффективности защиты, желание делиться знаниями с коллегами, проводить обучения и тренинги. Кроме того, для долгосрочного успеха SOC выигрышной будет стратегия привлечения и внутреннего обучения новых талантов - ими могут быть знакомые и друзья действующих членов команды SOC.
1.2. Предыдущий опыт и навыки кандидата
С появлением специализированных, современных программ по обучению кибербезопасности в учебных заведениях, формальное требование о наличии у кандидата определенного опыта в ИТ/ИБ может быть излишним, лучше обращать внимание на опыт участия в CTF-соревнованиях, участия в развитии Open Source проектов, пройденную практику в ИБ-отрасли. На позиции в SOC кандидаты могут прийти из смежных ИБ-областей, а также кандидаты с опытом в технической поддержке, разработке ПО, системном администрировании. Однако, обращать внимание стоит не только на кандидатов, имеющих опыт в ИТ или в ИБ - авторы публикации утверждают, что на практике встречали примеры успешных работников SOC и без профильного образования, которые пришли, например, из гуманитарных профессий. Также при поиске кандидатов не питать иллюзий о том, что найдется кандидат, который будет экспертом во всех предметных областях SOC - скорее, нужно сосредоточиться на формировании команды с взаимно дополняющими друг друга знаниями и навыками. Не стоит заострять особое внимание на специфичных навыках или работе с определенными СЗИ - такой подход отсечет потенциальных успешных кандидатов по формальным признакам, лучше фокусироваться на общих технических навыках и знаниях, мышлением, стремлением к развитию, soft skills, умению работать в команде.
1.3. Руководители SOC
Задача найти грамотного руководителя для SOC является нетривиальной: кандидат должен не только быть погружен в специфику работы и операций SOC, но и обладать управленческими навыками, методами работы с персоналом, быть квалифицированным в предметной области, быть достаточно стрессоустойчивым для принятия и согласования сложных решений в условиях недостатка времени. При этом руководителю потребуется внимательно работать с конфиденциальной информацией, обучать и мотивировать персонал, видеть траекторию развития SOC, работать с руководителями компании на всех уровнях и отвечать на их вопросы, воспринимать обратную связь и непрерывно повышать квалификацию.
1.4. Общие рекомендации по найму команды SOC
При создании команды SOC следует привлекать к найму HR-специалистов, которые будут управлять процессом поиска и найма кандидатов, включая поиск резюме, размещение вакансий, выбор кандидатов для собеседований, проведение собеседований, принятие решений о приеме на работу, согласование уровня компенсации. Следует также планировать бюджет для непрерывного поиска и найма новых сотрудников, поскольку SOC будет меняться со временем, также как и сотрудники, которые будут и увольняться, и повышать компетенции для повышения своих знаний в соответствии с актуальным киберугрозам.
2. Инвестируйте в развитие своих сотрудников в SOC
Несмотря на большое количество курсов, программ повышения квалификации, новых ИБ-специализаций в учебных заведениях, компании по-прежнему сталкиваются с дефицитом квалифицированных кадров, и выходом из ситуации может стать внутреннее развитие сотрудников SOC. Кроме инвестиций в поиск и привлечение уже опытных ИБ-специалистов, окупающимися затратами будут также внутренние программы обучения, развитие сотрудников за пределами их текущих позиций, проведение внешних обучений для работников - причем такие инвестиции нужны и для начальных позиций, и для опытных сотрудников ввиду непрерывной эволюции ИБ-отрасли и изменения ландшафта киберугроз. Авторы публикации подчёркивают, что подобные инициативы требуют последовательных инвестиций времени и ресурсов, но в конечном итоге обеспечат устойчивое развитие и успех SOC в долгосрочной перспективе. Преимуществами развития внутренней экспертизы будут управляемость процесса, контроль областей, в которых требуется повышать компетенции, а также возможность внутреннего обмена знаниями и менторства со стороны опытных членов команды SOC. Предметными областями, в которых требуются компетенции, могут быть анализ сетевых вторжений, развертывание и настройка СЗИ (например, SIEM или EDR), форензика, анализ и эксплуатация уязвимостей, тестирование на проникновение, анализ ВПО и реверс-инжиниринг, управление ОС, БД и сетевым оборудованием, облачными инфраструктурами. При этом персоналу SOC важно соблюдать баланс между глубиной и широтой познаний. Например, администратор СЗИ должен глубоко знать свою предметную область и в целом иметь представление о смежных направлениях (что делают аналитики ВПО и пен-тестеры, например); также целесообразно развивать компетенции, соответствующие особенностям инфраструктуры заказчика (типы эксплуатируемых ОС, СЗИ, сетевого оборудования).
2.1. Обучение на рабочем месте, введение новых сотрудников в должность
Найм кандидатов с небольшим опытом, но с высоким потенциалом, может быть выигрышной стратегией, с учетом дефицита опытных сотрудников. Для ввода новых сотрудников в должность и их быстрое погружение в работу SOC следует разработать внутреннюю программу обучения (адаптации), которая может включать в себя как формальные, так и неформальные аспекты. План обучения может включать в себя техническое обучение работе с инструментарием SOC, интерактивное практическое обучение, теоретическая подготовка, проведение практикумов по работе с реальными или тестовыми данными для выполнения типовых действий члена команды SOC, изучение TTPs конкретных атакующих, погружение в бизнес-процессы, инфраструктуру, технологии компании-заказчика, расширенное использование инструментария SOC, изучение трендов кибератак. Обучения такого типа полезны с точки зрения передачи опыта и знаний новым сотрудником от более опытных коллег.
2.2. Проведение кросс-тренингов и ротация работников
Кросс-тренинги проводятся для различных членов команды в целях погружения в работу смежных команд/подразделений/ролей - чем больше члены команды SOC знают о функционале друг друга, тем лучше они понимают свою роль в общей работе и выполнении миссии SOC; подобное обучение также поможет временно закрыть функции заболевшего или неожиданно уволившегося работника, а также позволит избежать монотонности в работе и по-новому взглянуть на работу SOC. Ротация персонала будет особенно полезной для небольших SOC или SOC, работающих по безуровневой модели; позиции для ротации членов команды SOC могут включать в себя функционал разработки сигнатур и правил корреляции, аналитики и обработки данных о киберугрозах, администрирования и настройки СЗИ SOC, а также дежурство по принципу «аналитик дня/недели» в небольших командах. Такая ротация позволит сотрудникам лучше понять работу SOC, процессов и используемых технологий, а также понять работу коллег по SOC и оптимизировать работу в своей зоне ответственности.
2.3. Внешние обучения
Для расширения кругозора, повышения квалификации, более глубоко познания используемых технологий, а также для обмена знаниями с коллегами по индустрии целесообразно проводить внешние обучения, которые, однако, не должны быть заменой внутренних программ обучения. Авторы публикации приводят в качестве примера ряд вендорских и вендоронезависимых курсов обучения, а также перечень наиболее популярных конференций по кибербезопасности.
3. Создавайте благоприятную рабочую среду, мотивирующую работников к долгосрочному сотрудничеству
Сохранение команды квалифицированных работников SOC является одной из самых сложных задач. По сведениям авторов публикации, самыми часто озвучиваемыми причинами сохранения текущего места работы для работников SOC являются их осознание команды SOC как сплоченного, дружного коллектива высококвалифицированных, мотивированных профессионалов, а также возможность ежедневной работы с интересными задачами с высокой степенью свободы в принятии решений и глубокая вера в глобальную, уникальную и важную миссию обеспечения кибербезопасности. Кроме этого, руководителям SOC следует учитывать перечисленные ниже факторы, способствующие удержанию работников и снижению текучки кадров.
3.1. Обеспечьте справедливую материальную компенсацию на уровне рынка
Мотивированный и способный новый член команды SOC, пришедший на начальную позицию, за 1-2 года может получить необходимый опыт и затем перейти в другую компанию в погоне за более высоким уровнем оплаты. Причиной может являться неадекватный, по мнению работников, уровень оплаты их труда, который может быть ниже среднего по рынку. Также следует давать возможность высококвалифицированным сотрудникам получать адекватную заработную плату без необходимости исключительно финансово-мотивированного перехода на руководящие позиции. Однако, добившись адекватного финансового обеспечения команды, руководителям следует обратить внимание на иные факторы, повышающие коэффициент удержания сотрудников.
3.2. Поддерживайте карьерный и профессиональный рост работников
Страсть к работе, профессиональный энтузиазм и стремление к преодолению новых вызовов являются одними из самых предпочтительных личных качеств сотрудника SOC. При этом важно понять, что именно мотивирует каждого члена команды - вертикальный рост (повышение в должности, руководящие роли) или горизонтальный рост (приобретение новых компетенций, расширение профессионального кругозора). При составлении «дорожной карты» обучения сотрудника важно понимать, желает ли работник развиваться дальше в текущем направлении или хочет переключиться на другую позицию в SOC, а затем распланировать тренинги на долгосрочную перспективу для понимания сотрудником своего карьерного трека.
3.3. Поощряйте автоматизацию и развитие технических возможностей
Рутинные задачи и неоднократно повторяемые действия могут привести к демотивации членов команды SOC, поэтому важно предоставлять возможность сотрудникам развивать свои технические навыки в области автоматизации и аналитики процессов SOC. При автоматизации высвобождаются ресурсы команды, что благотворно влияет и на дальнейший прогресс автоматизации, и на заинтересованность сотрудников. Высокий уровень автоматизации действий работников SOC достигается за счет использования и поддержки актуального технического инструментария: членам команды требуется предоставить набор современных, удобных технических инструментов, которые соответствуют текущим киберугрозам.
Авторы публикации рекомендуют учесть следующие аспекты:
- Следует выстроить структуру, повторяемость и автоматизацию процессов анализа и расследования киберинцидентов, например, путем использования SOAR платформ и интерактивных средств работы аналитиков для автоматизации рутинных задач;
- Следует использовать автоматизированные средства предотвращения кибератак (в случае экономической целесообразности и применимости таких решений), например, EDR-системы, что позволяет снизить количество рутинных операций, отнимающих ресурсы команды;
- Необходимо вносить изменения в систему управления ИБ компании-заказчика для исправления стратегических проблем кибербезопасности, которые выявляются SOC-центром, что позволит избежать повторяющихся инцидентов и повысит уровень удовлетворенности работников SOC от видимых улучшений состояния киберзащищенности заказчика;
- Рекомендуется обеспечить высокий уровень автоматизации, повторяемости, шаблонизируемости реагирования на типовые киберинциденты с тем, чтобы их обработка занимала минимальное время и могла осуществляться младшими членами команды SOC;
- Рекомендуется передавать процедуры реагирования на некоторые виды типовых инцидентов другим подразделениям компании-заказчика (отдельно от SOC могут обрабатываться, например, внутренние киберугрозы, включая действия инсайдеров);
- Следует способствовать развитию функционала SOC силами самих сотрудников (включая проактивный поиск киберугроз, анализ и исследование киберугроз, развитие методов и инструментов машинного обучения для помощи при анализе инцидентов);
- Планируйте и предоставляйте возможности для внутренних инициатив по повышению профессиональных навыков, например, в рамках работ по поиску киберугроз или Purple Teaming-мероприятий (совместная работа атакующих из Red Team и защитников из Blue Team для обмена опытом).
3.4. Непрерывно взаимодействуйте и общайтесь с коллегами
Одними из главных мотиваторов для работников SOC являются командная работа и чувство сопричастности к общему важному делу, следовательно, для повышения морального духа команды важным является предоставление обратной связи работникам SOC о важности и результатах их работы. Для такого взаимодействия можно проводить регулярные встречи команды SOC - как ежедневные или еженедельные короткие планерки для обсуждения текущих задач, так и более широкие встречи каждый месяц или раз в квартал для обсуждения стратегических вопросов. Также можно давать обратную связь всему SOC по результатам обработанных инцидентов для того, чтобы каждый сотрудник понимал свой вклад в успех общего дела, для обмена знаниями и техниками работы с инцидентами, для актуализации знаний всех членов команды SOC о состоянии ландшафта обрабатываемых киберугроз, а также для улучшения работы всего SOC. Важным способом обмена информацией также являются горизонтальные связи в команде SOC, которые помогают коллегам обмениваться знаниями для достижения синергетического эффекта при работе над инцидентами.
4. Подготовьтесь к текучке кадров заранее
Для того, чтобы с минимальными потерями пройти период от увольнения сотрудника до найма нового, руководителям SOC следует заранее подготовиться к подобным ситуациям, прежде всего за счет организации тщательного документирования всех процедур реагирования и накопления базы знаний; при этом важно, чтобы ключевые сотрудники и руководители SOC обладали большим багажом знаний для закрытия «пробелов» в команде на период найма новых работников.
5. Формализуйте процедуры SOC
При формализации деятельности SOC важно соблюсти баланс между четко выстроенным структурированным подходом к реагированию и степенью творческой свободы аналитиков при работе, особенно с нетиповыми, уникальными инцидентами. Создавать стандартизированные операционные процедуры (SOP, standard operating procedure) рекомендуется для таких повторяющихся действий, как проверка данных в консолях и фидах СЗИ, контроль работоспособности технологического стека SOC, проверка актуальности информации на дашбордах и в отчетах, анализ доступности веб-ресурсов, являющихся источником информации для SOC. Важно также заранее разработать детальные SOPs для процедур эскалации как типовых, некритичных инцидентов, так и необычных, критичных инцидентов ИБ (отметим, что процедуры эскалации могут включаться в сценарии реагирования на киберинциденты).
6. Расчет количества работников SOC
Расчет необходимого числа членов команды SOC зависит от множества факторов, но в общем случае эффективность SOC больше зависит от квалификации аналитиков, зрелости процессов и уровня автоматизации в SOC. Авторы публикации указывают, что количество работников SOC может зависеть от количества защищаемых активов и пользователей компании-заказчика, размеров и географической распределенности филиалов компании-заказчика, уровня гетерогенности защищаемой инфраструктуры, от целей SOC и спектра предоставляемых заказчику услуг, от количества регистрируемых киберинцидентов, организационной модели SOC, уровня сложности и распределенности используемых технологий SOC, уровня желаемых и имеющихся компетенций персонала SOC, режима работы SOC (8x5, 12x5, 24x7 и т.д.), уровня автоматизации процессов в SOC, а также от бюджета SOC.
При расчете кадрового обеспечения конкретной функции/услуги можно руководствоваться следующими рекомендациями авторов:
1. Мониторинг и категорирование в режиме реального времени: количество работников зависит от количества поступающих событий и предупреждений, а также от уровня автоматизации процессов категорирования инцидентов.
2. Анализ и расследование инцидентов: количество работников зависит от количества регистрируемых инцидентов, квалификации аналитиков и доступного им инструментария.
3. Обработка данных о киберугрозах, поиск киберугроз: количество работников зависит от оценки уровня киберрисков компанией и возможностей компании по снижению уровня рисков путем инвестиций в данную функцию SOC.
4. Сканирование на наличие уязвимостей: количество работников зависит от количества сканируемых и контролируемых информационных систем и сложности ИТ-инфраструктуры, эффективности сканеров и сложности работы с ними.
5. Анализ уязвимостей, симуляция атак и проведение аудитов: количество работников зависит от уровня киберрисков компании, которые влияют на требуемую частоту и объемы работ.
6. Разработка и управление используемыми в SOC средствами защиты: количество работников зависит от числа инсталляций и количества сенсоров, от разнообразия используемых СЗИ, уровня автоматизации в каждом СЗИ, возможности централизованного управления СЗИ, а также от организационных требований к процессам управления технологиями.
7. Разработка и управление используемыми в SOC технологиями: количество работников зависит от сложности применяемых в SOC систем и решений, скорости предоставления новых услуг SOC заказчикам, наличия разработанных внутри SOC технологий и сложности их развития и поддержки, выполнения функций системного администрирования и разработки внутри SOC или с помощью сторонних подразделений.
8. Управление SOC: количество сотрудников руководящего звена зависит от размеров SOC, стандартов и практик компании-заказчика.