Выбрать язык


Выбрать язык | Show only


Русский | English


пятница, 9 декабря 2016 г.

Мечты аналитика SOC: теория и практика

Перед SOC Forum в Интернете тема соков так активно муссировалась, что заметка Лукацкого об одном дне из жизни аналитика SOC ожидаемо потерялась и не была мной прочитана. Но недавно мне её показали ребята на работе. Вкратце суть: перечислялись ожидания аналитика SOC от работы и реальность, с которой он столкнётся. Процент соответствия практике в заметке довольно высок, но, тем не менее, есть несколько пунктов, которые наводят на мысль, что образ аналитика был не срисован с реальных людей реальной профессии, а смоделирован на конференциях околосочной тематики.
Остановимся на спорных (на мой взгляд) моментах, о которых, судя по заметке, должны прямо мечтать те, кто идет в аналитики:
  • завершать текущие расследования в срок
  • готовить необходимую документацию (отчеты и т.п.)
  • успешно достигать поставленных KPI.

Аналитик аналитику рознь. Тот аналитик, который выполняет оперативные расследования, резко ныряя в глубину технической информации с задачей выловить нужное, не мечтает об отчетах. KPI и завершение в срок интересует в основном тех аналитиков, которые занимаются статистикой и оптимизацией, не привлекаясь к расследованиям непосредственно. Здесь, само собой, показатели отчетности в приоритете. Но это отчетность о работе, которая выполнена не ими непосредственно, а другими.
Возможно, вся нестыковка в несовпадении терминов, и аналитиками Лукацкий назвал именно оптимизаторов (хотя, тогда чего им мечтать об интересных расследованиях?), подразумевая для экспертов-расследователей другой термин. Может, подразумевался 80 level эксперта-аналитика, который подключается к работе в исключительных случаях, и поэтому параллельно занимается оптимизацией. Но я поговорю о более приземленных ситуациях.


Попробуем примерить мечты, описанные в вышеупомянутой заметке, на аналитиков, выполняющих непосредственно техническую работу.

Завершать текущие расследования в срок
Расследование расследованию рознь, многие бывают уникальными. Их сложно мерять рамками срока. Расследование, суть которого - определить путь попадания на ПК заражённого файла, и расследование, распутывающее клубок нарушений из одного случайно обнаруженного открытого порта - разные по сложности и времени. Эти задачи требуют привлечения специалистов разного уровня и профиля.
Поэтому аналитик хочет сделать свою работу хорошо, хочет получить признание как спец и заниматься высококвалифицированной работой, а быстро или нет - вопрос опыта и ситуации. Другое дело, что ситуация требует от него делать все быстро и четко, в срок.


И срок часто является мерилом квалификации. Наши далекие предки, предвидя организацию потомками SOC, придумали на этот случай поговорку "долго ли умеючи".
Готовить необходимую документацию (отчеты и т.п.)
Аналитик, занимающийся расследованиями, наоборот, зачастую хочет по минимуму составлять отчетность. В основном отчет аналитика - это лабораторный журнал, выполненный в соответствии с требованиями работодателя либо клиента, но не произведение искусства.


Конечно, кто-то, действительно, считает нужным по факту проведения успешного расследования делать презентации, докладывать руководству, но это индивидуально. И нужно отдавать себе отчет, что такие действия в итоге могут занять больше времени, чем само расследование. А свою работу работать потом все равно надо.
Поэтому коротенький емкий доклад при необходимости - золотая середина. Вспомните "Противостояние", о котором я в свое время немало написал. Никто долго на сцене не выступал, потому что пока ты выступаешь, хакеры хачат.



Успешно достигать поставленных KPI
В последнее время  об измерении показателей SOC цифрами, KPI и т.п. не говорит только ленивый. Конференции, статьи, блоги - все пестрит параметрами измерения эффективности SOC и рекламой продуктов по такому измерению. То есть, мечтает измерять цифрами SOC не тот, кто в нем трудится, а тот, кто им руководит, контролирует, продает либо покупает его услуги и т.п. Сам же аналитик SOC об этом не мечтает, когда выполняет работу (а не руководит или консультирует других, как работать).

Соответственно, отчетность нужно максимально автоматизировать, чтобы ручного заполнения требовала только экспертная часть, которую невозможно обогатить информацией из систем, а метрики KPI делать адекватными выполняемой работе.

Кстати, вывод в обсуждаемой заметке поддерживаю полностью: для качественного выполнения аналитической работы людей нужно больше, чем дают обычно.
И это я сужу не с позиции работодателя, контролера или консультанта, стоящего сбоку, а с более близкого к земле уровня. Аналитик SOC - работа высококвалифицированная и зачастую творческая. Сложное и интересное расследование подобно взрывной серии у боксера, после которой еще одну такую же серию зрители смогут увидеть только через некоторое время, но постоянно молотить в таком ритме он не может физически. Дайте ему время восстановиться - и увидите еще более красивый бой.

3 комментария:

  1. Лукацкий нарисовал прошаренного аналитика, который понимает что нужно делать что бы не подвести своего руководителя и вместе получить бонус (никакая красота не заменит выполнение KPI в корпорации). А тут какой-то оппортунист, которого придется вытаскивать за уши. Мей-би некоторое количество таких нужно, отчетность очевидно нужно автоматизировать (но в куче компаний отчеты клепаются вручную - руки не доходят до автоматизации отчетности), но одного такого мы как-то фокусно уволили, именно за отсутствие отчетности во время расследования инцидента сбоя ИТ-сек железки. Ну не умеет он работать в команде, не понимает что сервис важен для многих людей - не место ему в команде на 100 чел СИБ нашего энтерпрайза.

    ОтветитьУдалить
    Ответы
    1. Энтерпрайз настолько суровый, что требует от аналитика выполнение KPI и отчетности вплоть до увольнения за отсутствие оной, но при этом "руки не доходят" если не автоматизировать, то хотя бы оптимизировать ее.
      Ясное дело, что сотруднику нужно объяснять, на что он идет, чтобы не было недомолвок:
      - Сынок, ты пришел в крутую компанию нереального уровня, с самым совершенным в мире процессом бумажной отчетности и удобнейшей картотекой. Вот инструкция по чтению инструкции, вот сама инструкция по заполнению отчета, которую читать, вот лист бумаги для написания отчета, вот совершеннейший в мире циркуль для создания круговых диаграмм. Несовпадение цифр и угла круговой диаграммы на 2 градуса - выговор, на 5 - увольнение. У нас серьезная фирма с серьезным подходом к информационной безопасности. Помни, с какой помойки ты к нам пришел.
      - Шеф, не называйте Газпром помойкой!
      - Неважно, сынок, работай. Ты уже 4 минуты, как приступил к выполнению обязанностей, но еще ничего не сделал. Как ты восполнишь этот пробел в отчетности?
      - Понял, шеф, работаю.
      И сотрудник пойдет на условия работодателя, пусть и воспринимая циркуль как необходимое зло, но понимая, что от количества написанных от руки отчетов зависит его финансовая мотивация. Параллельно сам оптимизирует отчетность, реализовав табличку и циркуль в Excel, а также обосновав покупку принтера.
      Само собой, если подход аналитика звучит как "я крутой спец, делаю работу, а отчитывается пусть за меня кто-то другой: это бюрократия, недостойная моего уровня", то такой в компании не нужен исключительно потому, что не пригоден к работе как самостоятельная единица, но оплаты требует как самостоятельная.
      Можно запросто подсчитать, сколько времени у аналитика уйдет на заполнение автоматизированной отчетности, оптимизированной и неоптимизированной. Время в деньги перевести - не проблема.
      И подсчитать, сколько уйдет времени и денег на автоматизацию, а сколько - на оптимизацию. И сколько на этом можно будет заработать компании.
      И дело не в прошаренности или непрошаренности: работать будет каждый на тех условиях отчетности, в которые его поставят, если большая часть условий работы вообще его устраивает. А в подходе к работе аналитика у сотрудника и работодателя. Если у прошаренного на первом месте стоит закрытие расследования в срок независимо от результата, то это гонка за KPI и бонусом зачастую в ущерб работе, который очевиден не сразу.
      Если ты хочешь выжать из сотрудника больше по меркам KPI - определи их, создай ему условия и контролируй исполнение.

      Удалить
    2. Если кратко - да, энтерпрайз настолько суровый (нефтегаз), что на вакансии главспецов подавались CIO, CISO, в целом кандидатов было думаю больше чем в Газпром (в Газпром-like конторах я тоже работал). Конкретный пример - когда появляется инцидент в дело вступает регулярная отчетность (каждые 10-15 минут) в любом виде (звонок\письмо) - что делается и плановый срок решения инцидента. Отчетность поднимается от специалиста через управленческую лесенку примерно до Deputy CIO. Если специалист не дает отчетность (например, оправдываясь "важнее починить чем отчитаться") - плюхи получали все кто ниже Deputy CIO, а он сам - от бизнеса. И из всей СИБ за пару лет только он один не понимал этих проблем, и только он был выпилен из-за этого. Есть у меня и другой пример - менее пафосная контора (TMT сфера), у которой инфраструктурная ИБ и ИТ-сервис - core business. Там с одной стороны отчетности в разы меньше, куча авторассчетов и дашбордов, но с другой стороны регулярный отказ часто-часто отчитываться при крит. инциденте приведет к той же истории с увольнением.

      Удалить