Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.

Сначала пара слов о том, почему мы вообще раздаем советы на эту тему. По сути, центр ГосСОПКА — это небольшой внутренний центр мониторинга и реагирования на кибератаки
(Security Operations Center), только с дополнительными задачами и обязанностями. Семилетняя практика оказания таких сервисов, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков помогли нам в свое время достаточно глубоко проработать вопросы кадровой «алхимии». И, разумеется, на этом пути мы регулярно искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания.

В частности, команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов Solar JSOC есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов у заказчика (а он год от года, поверьте, не сокращается).

В данном материале мы суммировали свои наработки и дали минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора.

Первая линия


Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу — их должно быть не менее 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.

В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты.

Первый — у субъекта КИИ масштабная архитектура, и требуется обеспечить постоянную доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесёт денежные и/или репутационные потери, и при этом высок риск ущерба окружающей среде и людям. В этом случае потребуется нанять 6 человек которые обеспечат посменную работу 24х7.

Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ-подразделение определяет правила функционирования и контролирует их исполнение. В этом случае можно ограничиться тремя специалистами, работающими в режиме 12/7 и возможностью ночных вызовов при необходимости.

Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.

Специалист

Обязанности

Требования к квалификации

Режим

Кол-во

Специалист по мониторингу


  • Обработка типовых инцидентов из HelpDesk, IRP, SIEM или от пользователей.
  • Типовые отчеты по результатам рассмотрения.
  • Мониторинг состояния источников.
  • Ретроспективные проверки (при поступлении новых индикаторов компрометации).

  • Системное администрирование (Linux/Mac/Windows).
  • Знание различных СЗИ.
  • Знание модели OSI.
  • Знание принципов защиты e-mail, мониторинга сети и реагирования на инциденты.
  • Опыт агрегации и анализа логов от множества гетерогенных СЗИ.

24х7

6

Специалист по обслуживанию СЗИ ГосСОПКА


  • Мониторинг и диагностика проблем эксплуатируемого оборудования и ПО.
  • Плановое регламентное техобслуживание СЗИ.
  • Внеплановое обслуживание СЗИ.
  • Обслуживание внутренней инфраструктуры центра
  • Оперативное реагирование в случае многочисленных срабатываний False Positive.

  • Системное администрирование (Linux/Mac/Windows).
  • Знание различных СЗИ.

24х7

6

12х7 + вызов в ночь

3


8х5


1



Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.

Вторая линия


На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам fulltime, но без которых ваш SOC вряд ли сможет соответствовать гордому званию центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.

Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.

Центр ГосСОПКА обязан регулярно оценивать защищённость информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.

В штате мы рекомендуем оставить только одного специалиста по оценке защищённости, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищённости, обработка уязвимостей и контроль патч-менеджмента.

Также, если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки ПО, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — здесь логично привлечь внешнюю экспертизу.

Кроме этого, в зрелом SOC ещё и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.

Специалист


Обязанности


Требования к квалификации


Режим


Кол-во


Специалист по ликвидации последствий КИ


  • Реагирование на сложные инциденты.
  • Контроль взаимодействия СЗИ с SIEM.
  • Анализ аномальных активностей для выявления инцидентов.
  • Расследования DDoS-атак.
  • Оперативное реагирование в случае многочисленных срабатываний False Positive.

Те же, что в первой линии, плюс:


  • Знание скриптовых языков (Python, Bash, Powershell).
  • Осведомлённость в управлении уязвимостями и номерах CVE.
  • Управление логами и патч-менеджмент в семействах ОС Windows и Linux.
  • Сертификаты или знания, соответствующие CISSP/CEH.
  • Особое внимание на SIEM-системы

8х5 с вызовом в ночь/выходные


2


12х7 + вызов в ночь


3


Специалист по оценке защищенности


  • Сканирования на уязвимости и compliance.
  • Настройка профилей сканирования.
  • Анализ уязвимостей по отчетам сканера безопасности.
  • Наполнение базы CMDB.

Работа с инструментами инвентаризации, средствами контроля защищённости


8х5


1


DevSecOps-/QA-специалист

Статический и динамический анализ исходного кода ПО

Построение appsec CI/CD, работа со статическими и динамическими анализаторами кода, Fuzzing

Субподряд


Пентестеры/ Redteam


  • Тесты на проникновение.
  • Разработка IoC по результатам проведенных исследований.

  • Проведение внутренних и внешних пентестов по всем стадиям killchain.
  • Владение инструментальными средствами обнаружения и эксплуатации уязвимостей.
  • Обход IDS/IPS и т.п.
  • Владение OSINT.
  • Bash, Powershell, Python.
  • Знание методик проведения тестов.

Субподряд


Специалист по установлению причин компьютерных инцидентов


  • Reverse-инжиниринг образцов вредоносных файлов.
  • Форензика дампов сетевого трафика, ОЗУ, слепков дисков.
  • Host-based форензика.

  • Расследование инцидентов.
  • Сбор и анализ свидетельств, взаимодействие с правоохранительными органами (работа с системами форензики, реверс-инжинирингом и т.д.)

Субподряд


Третья линия


Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.

Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS/IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.

За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).

Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.

Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.

Специалист

Обязанности

Требования к квалификации

Режим

Кол-во

Технический эксперт


  • Внутренние технологические работы по развертыванию стендов.
  • Тестирование новых продуктов для центра.
  • Оперативное реагирование в случае многочисленных ложных срабатываний сценариев.
  • Анализ качества контента, формирование требований на доработку.
  • Проведение Case Review, анализ качества разбора кейсов 1 линией.
  • Сводная аналитика срабатываний False Positive, рекомендации по устранению.

Эксперты по своей специализации (вредоносное ПО, настройка СЗИ, применение специализированных технических средств и т.п.),


8х5


2


Методолог (аудитор ИБ)


  • Разработка и поддержание в актуальном состоянии организационно-распорядительной ИБ-документации (политики, регламенты, инструкции).
  • Организация и контроль соблюдения требований законодательства и отраслевых стандартов ИБ.
  • Участие в подготовке и заключении договоров; анализ применимости и выполнимости требований контрагентов с точки зрения ИБ; анализ договоров с точки зрения соответствия политикам и стандартам безопасности.
  • Разработка и обеспечение программы повышения ИБ-осведомленности в компании.
  • Инвентаризация и классификация информационных активов со стороны описания в документации.

Эксперт в области complience и разработки методических документов.


Опыт в разработке моделей угроз и нарушителя, методических рекомендаций.


8х5


1


Аналитик-архитектор


  • Разработка коннектора.
  • Адаптация сценариев к особенностям функционирования ИС.
  • Разработка сценариев для новых источников.
  • Оптимизация сценариев.
  • Разработка сценариев при поступлении Threat Intelligence.
  • Эмуляция атак и разработка сценариев по их детектированию

Владение в совершенстве процессом и средствами обеспечения (SIEM) по своему направлению:

  • Vulnerability Assessment.
  • Continuous diagnostics and mitigation.

Умение адаптировать IoC от систем Threat Intelligence к ИС субъекта ГосСОПКА

8х5


1


Руководитель


  • Общее руководство и оркестрация.
  • Повышение осведомлённости сотрудников субъекта ГосСОПКА.
  • Проведение «киберучений».

  • Руководство коллективом
  • Опыт в ИБ от 10 лет
  • Знание нормативных документов ФСБ и ФСТЭК

8х5


1



Кстати, о практике


Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.

Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую линию (группу реагирования из 5 человек) и аналитику третьей заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.

Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до восьми. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике всё-таки взяли в штат. Общая численность команды центра ГосСОПКА в этой компании составила 20 человек.

В конечном счете штатный состав центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав лишних капитальных вложений. Например, один из клиентов отдал нам все операционные функции по работе центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).

Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:

  • Два сотрудника, которые принимают сообщения от группы мониторинга Solar JSOC и реагируют на инциденты в соответствии с нашими рекомендациями.
  • Один специалист по сканированию уязвимостей.
  • Менеджер по управлению сервисом.

Но у каждого свой путь в построении центра ГосСОПКА, и мы надеемся, эта статья помогла вам определиться с вашим.
Alt text