25 Августа, 2015

JSOC: Как устроен центр мониторинга и реагирования на инциденты ИБ (часть 2)

Andrey Prozorov
Продолжаю рассказ о том, как устроен центр мониторинга и реагирования на инциденты ИБ (JSOC). В прошлой заметке ( часть 1 ) я рассказал о том, почему первая линия находится в Нижнем Новгороде, где именно, а также выложил несколько фотографий самого офиса.

3.Организация работы
Общая организационная схема JSOC с указание количества человек представлена на схеме ниже, общее количество человек уже перевалило за 30 и продолжает расти.
Если совсем упростить, то в Москве находится руководитель JSOC, крутые методологи и аналитики (2я линия поддержки), а в Нижнем Новгороде специалисты по мониторингу и администрированию (1я линия). Однако уже сейчас в Нижнем Новгороде есть несколько инженеров, которые могут закрывать ряд задач 2й линии.

Большинство инцидентов отрабатываются и закрываются силами 1й линии.

Как я уже говорил, в Нижнем Новгороде трудятся 16 человек: 1 руководитель, 7 специалистов по мониторингу и 8 по администрированию. Кстати, один из спецов по администрированию – очень симпатичная девушка, но политика компании, к сожалению, не позволяет выложить ее фото. Обратите внимание, что группы администрирования и мониторинга разделены. Это важно, если при настройке и эксплуатации СЗИ возникнут проблемы, то инцидент будет своевременно обнаружен и отработан по стандартным схемам.

Смены достаточно гибкие и утверждаются заранее. Есть 2 12-часовые смены (с 8 до 8), во время которых в нижегородском офисе находятся минимум 2 человека (1 из группы мониторинга и 1 из группы администрирования). Работают и днем и ночь, и в выходные и в праздничные дни. Днем добавляются инженеры "усиления" на 8 или 12 часов. Если работа идет в штатном режиме, то днем на объекте 6 (3+3) - 8 (4+4) человек и руководитель. Иногда в ночные смены выходят специалисты по администрированию, если есть критичные RFC (запросы на изменения). В любое время дня и ночи в помещении нижегородского JSOC есть кто-то из персонала.

Специалисты в московском офисе доступны с 7 до 21, причем назначаются и дежурные аналитики, которых вполне могут разбудить и ночью в случае необходимости. Кстати, аналитики 2й линии помимо прочего еще регулярно выборочно проверяют закрытые 1й линией инциденты (на правильность действий, полноту анализа и другое).

В качестве средства автоматизации процессов (управления заявкам и инцидентами) сейчас используется Kayako, перешли на него с BMC Remedy Service Desk. Решение оказалось более удобным при работе с большим количество инцидентов и запросов, приоритеты которых могут существенно отличаться для разных компаний.

4.Оборудование нижегородского JSOC
JSOC представляет собой 2 площадки (Москва и Нижний Новгород) и 2 ЦОДа в Москве (основной и резервный), общая схема выглядит так:
Я уже упоминал, что на нижегородской площадке 2 изолированных помещения. В комнате отдыха специального оборудования не много, лишь проектор и несколько мониторов. На них выводится оперативная информация по важным тикетам (заявкам) и общемировая оперативная обстановка по ИБ (интерактивная карта атак на левом экране слева и ленты RSS-ок на правом экране справа).
Внутри (в рабочем кабинете) все выглядит еще круче! Вот несколько обезличенных фотографий из недавней поездки с коллегами-безопасниками.


На больших мониторах отображается сводная аналитика по ИБ Заказчиков (решение Solar InView ), статистика по работе SIEM HP ArcSight, задачи в Service Desk (Kayako), а также изображение с камер наблюдения (вход в здание и помещения нижегородского JSOC, а также прямая трансляция из кабинета 2й линии в Москве). Аналогично и в Московский офис ведется трансляция из рабочего кабинета нижегородского JSOC, 

На стене рабочего кабинета размещены 5 часов, они показывают время в Лондоне, Москве, Екатеринбурге, Новосибирске и Владивостоке. Это удобно при работе 24*7 с распределенными по всей России площадками Заказчиков. 

На одной из фотографий можете увидеть небольшой стенд с типовыми рабочими инструкциями ("Порядок работы с заявками" и "Порядок анализа событий ИБ") и различные контакты для оперативной связи. Вообще, инструкций и рекомендаций довольно много, они выложены на внутреннем портале.

Из забавного, но удобного. Для критичных инцидентов используется звуковое оповещение, причем разное в зависимости от категории. Пока я был на площадке сирена гудела раз 15...


Вот как-то так.

В следующей заметке я выложу презентации, которые были показаны представителям компаний-заказчиков и регуляторов, которые ездили 20-21 августа 2015 для обмена опытом в JSOC. Помимо общих презентаций про актуальность аутсорсинга ИБ, подходах Solar Security к оказанию таких услуг, будет выложена и еще одна большая "JSOC изнутри". Она представляет собой сборную из трех технических презентаций про процедуры реагирования на инциденты, типовые сценарии атак, работу аналитиков (2я линия), безопасность самого JSOC и многое другое.


P.S. Все ссылки по теме:
Другие статьи: