Мечты аналитика SOC: теория и практика

Мечты аналитика SOC: теория и практика
Перед SOC Forum в Интернете тема соков так активно муссировалась, что заметка Лукацкого об одном дне из жизни аналитика SOC ожидаемо потерялась и не была мной прочитана. Но недавно мне её показали ребята на работе. Вкратце суть: перечислялись ожидания аналитика SOC от работы и реальность, с которой он столкнётся. Процент соответствия практике в заметке довольно высок, но, тем не менее, есть несколько пунктов, которые наводят на мысль, что образ аналитика был не срисован с реальных людей реальной профессии, а смоделирован на конференциях околосочной тематики.
Остановимся на спорных (на мой взгляд) моментах, о которых, судя по заметке, должны прямо мечтать те, кто идет в аналитики:
  • завершать текущие расследования в срок
  • готовить необходимую документацию (отчеты и т.п.)
  • успешно достигать поставленных KPI.

name='more'> Аналитик аналитику рознь. Тот аналитик, который выполняет оперативные расследования, резко ныряя в глубину технической информации с задачей выловить нужное, не мечтает об отчетах. KPI и завершение в срок интересует в основном тех аналитиков, которые занимаются статистикой и оптимизацией, не привлекаясь к расследованиям непосредственно. Здесь, само собой, показатели отчетности в приоритете. Но это отчетность о работе, которая выполнена не ими непосредственно, а другими.
Возможно, вся нестыковка в несовпадении терминов, и аналитиками Лукацкий назвал именно оптимизаторов (хотя, тогда чего им мечтать об интересных расследованиях?), подразумевая для экспертов-расследователей другой термин. Может, подразумевался 80 level эксперта-аналитика, который подключается к работе в исключительных случаях, и поэтому параллельно занимается оптимизацией. Но я поговорю о более приземленных ситуациях.


Попробуем примерить мечты, описанные в вышеупомянутой заметке, на аналитиков, выполняющих непосредственно техническую работу.

Завершать текущие расследования в срок
Расследование расследованию рознь, многие бывают уникальными. Их сложно мерять рамками срока. Расследование, суть которого - определить путь попадания на ПК заражённого файла, и расследование, распутывающее клубок нарушений из одного случайно обнаруженного открытого порта - разные по сложности и времени. Эти задачи требуют привлечения специалистов разного уровня и профиля.
Поэтому аналитик хочет сделать свою работу хорошо, хочет получить признание как спец и заниматься высококвалифицированной работой, а быстро или нет - вопрос опыта и ситуации. Другое дело, что ситуация требует от него делать все быстро и четко, в срок.


И срок часто является мерилом квалификации. Наши далекие предки, предвидя организацию потомками SOC, придумали на этот случай поговорку "долго ли умеючи".
Готовить необходимую документацию (отчеты и т.п.)
Аналитик, занимающийся расследованиями, наоборот, зачастую хочет по минимуму составлять отчетность. В основном отчет аналитика - это лабораторный журнал, выполненный в соответствии с требованиями работодателя либо клиента, но не произведение искусства.


Конечно, кто-то, действительно, считает нужным по факту проведения успешного расследования делать презентации, докладывать руководству, но это индивидуально. И нужно отдавать себе отчет, что такие действия в итоге могут занять больше времени, чем само расследование. А свою работу работать потом все равно надо.
Поэтому коротенький емкий доклад при необходимости - золотая середина. Вспомните "Противостояние" , о котором я в свое время немало написал. Никто долго на сцене не выступал, потому что пока ты выступаешь, хакеры хачат.



Успешно достигать поставленных KPI
В последнее время  об измерении показателей SOC цифрами, KPI и т.п. не говорит только ленивый. Конференции, статьи, блоги - все пестрит параметрами измерения эффективности SOC и рекламой продуктов по такому измерению. То есть, мечтает измерять цифрами SOC не тот, кто в нем трудится, а тот, кто им руководит, контролирует, продает либо покупает его услуги и т.п. Сам же аналитик SOC об этом не мечтает, когда выполняет работу (а не руководит или консультирует других, как работать).

Соответственно, отчетность нужно максимально автоматизировать, чтобы ручного заполнения требовала только экспертная часть, которую невозможно обогатить информацией из систем, а метрики KPI делать адекватными выполняемой работе.

Кстати, вывод в обсуждаемой заметке поддерживаю полностью: для качественного выполнения аналитической работы людей нужно больше, чем дают обычно.
И это я сужу не с позиции работодателя, контролера или консультанта, стоящего сбоку, а с более близкого к земле уровня. Аналитик SOC - работа высококвалифицированная и зачастую творческая. Сложное и интересное расследование подобно взрывной серии у боксера, после которой еще одну такую же серию зрители смогут увидеть только через некоторое время, но постоянно молотить в таком ритме он не может физически. Дайте ему время восстановиться - и увидите еще более красивый бой.

Alt text

Биометрическую идентификацию легко обойти с помощью deepfake, доступ к данным пользователей хакерских форумов могли получить спецслужбы, а также розыгрыш уникальной хакерской настольной игры и билета на PhDays в 11 выпуске на нашем Youtube канале.

Андрей Дугин

Практическая информационная безопасность и защита информации | Information Security and Cyber Defense in Deed