Каков оптимальный состав команды Центра ГосСОПКА

Каков оптимальный состав команды Центра ГосСОПКА

С выходом №187–ФЗ многие субъекты КИИ начали создавать собственные центры Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы РФ (ГосСОПКА). Для этого недостаточно пройти классический путь закупки железа, лицензий и аттестации. ГосСОПКА фокусируется на непрерывном совершенствовании процессов, и ключевой (а также наиболее затратной) частью здесь являются кадры. Эксперт компании «Ростелеком-Солар» делится опытом — как найти оптимальный состав команды Центра ГосСОПКА.

 

 

  1. Введение
  2. Первая линия
  3. Вторая линия
  4. Третья линия
  5. Выводы

 

Введение

В 2012 г. Solar JSOC был первым коммерческим SOC (Security Operations Center, центр мониторинга и реагирования на кибератаки) в России, а в 2018 г. одним из первых заключил соглашение о взаимодействии с Национальным координационным центром по компьютерным инцидентам (НКЦКИ, ФСБ). Семилетняя практика оказания сервисов по мониторингу и управлению ИБ, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков — все это заставило нас достаточно глубоко проработать вопросы кадровой «алхимии». Разумеется, на этом пути мы искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания. В частности, в нашем случае команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов, который, как известно, растет от года к году.

В данном материале мы представляем минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора. Такой вариант подойдет организациям с высоким уровнем зрелости процессов ИБ, подпадающим под действие Федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 N 187-ФЗ.

 

Первая линия

Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу первой линии — их должно быть не меньше 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.

В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты. Первый — у субъекта КИИ масштабная архитектура и требуется постоянная доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесет денежные и/или репутационные потери и при этом высок риск ущерба окружающей среде и людям. Здесь потребуется нанять 6 человек, которые обеспечат посменную работу 24х7.

Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ — формируют правила функционирования и контролируют их исполнение. В этом случае можно ограничиться тремя специалистами с режимом работы 12/7 и возможностью ночных вызовов при необходимости.

Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.

 

Таблица 1. Первая линия защиты Центра ГосСОПКА

Специалист Обязанности Требования к квалификации Режим Кол-во
1 Специалист по мониторингу
  • Обработка типовых инцидентов из HelpDesk, IRP, SIEM или от пользователей;
  • типовые отчеты по результатам рассмотрения;
  • мониторинг состояния источников;
  • ретроспективные проверки (при поступлении новых индикаторов компрометации)
  • Системное администрирование (Linux/macOS/Windows);
  • знание различных СЗИ;
  • знание модели OSI;
  • знание принципов защиты e-mail, мониторинга сети и реагирования на инциденты;
  • опыт агрегации и анализа логов от множества гетерогенных СЗИ
24х7 6
2 Специалист по обслуживанию СЗИ ГосСОПКА
  • Мониторинг и диагностика проблем эксплуатируемого оборудования и ПО;
  • плановое регламентное техобслуживание СЗИ;
  • внеплановое обслуживание СЗИ;
  • обслуживание внутренней инфраструктуры Центра;
  • оперативное реагирование в случае многочисленных срабатываний False Positive
  • Системное администрирование (Linux/Mac/Windows);
  • знание различных СЗИ
24х7 6
12х7+ вызов в ночь 3
8х5 1

 

Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.

 

Вторая линия

На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам постоянно, но без которых ваш SOC вряд ли сможет соответствовать гордому званию Центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.

Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.

Центр ГосСОПКА обязан регулярно оценивать защищенность информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.

В штате мы оставляем только одного специалиста по оценке защищенности, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищенности, обработка уязвимостей и контроль патч-менеджмента.

Также если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки программного обеспечения, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — логично привлечь здесь внешнюю экспертизу.

Кроме этого, в зрелом SOC еще и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.

 

Таблица 2. Вторая линия защиты Центра ГосСОПКА

Специалист Обязанности Требования к квалификации Режим Кол-во
3 Специалист по ликвидации последствий КИ
  • Реагирование на сложные инциденты;
  • контроль взаимодействия СЗИ с SIEM
  • анализ аномальных активностей для выявления инцидентов;
  • расследования по DDoS;
  • оперативное реагирование в случае многочисленных срабатываний False Positive
Как в первой линии, плюс:
  • знание скриптовых языков (Python, Bash, Powershell);
  • осведомленность в управлении уязвимостями и номерах CVE;
  • управление логами и патч-менеджмент в семействах ОС Windows и Linux;
  • сертификаты или знания, соответствующие: CISSP, CEH и т.д.;
  • особое внимание на SIEM-системы
8х5 с вызовом в ночь/выходные 2
12х7+вызов в ночь 3
4 Специалист по оценке защищенности
  • Сканирования на уязвимости и compliance
  • Настройка профилей сканирования
  • Анализ уязвимостей по отчетам сканера безопасности
  • Наполнение базы CMDB
Работа с инструментами инвентаризации, средствами контроля защищенности 8х5 1
5 DevSecOps/QA специалист Статический и динамический анализ исходного кода ПО Построение appsec CI/CD, работа со статическими и динамическими анализаторами кода, Fuzzing Субподряд
6 Пентестеры/ Redteam
  • Тесты на проникновение
  • Разработка IOC по результатам проведенных исследований
  • Проведение внутренних и внешних пентестов по всем стадиям killchain;
  • владение инструментальными средствами обнаружения и эксплуатации уязвимостей;
  • обход IDS/IPS/и т. п.;
  • владение OSINT;
  • Bash, Powershell, Python;
  • знание методик проведения тестов
Субподряд
7 Специалист по установлению причин КИ
  • Reverse-инжиниринг образцов вредоносных файлов;
  • форензика дампов сетевого трафика, ОЗУ, слепков дисков;
  • host-based-форензика
  • Расследование инцидентов;
  • сбор и анализ свидетельств, взаимодействие с правоохранительными органами (работа с системами форензики, реверс-инженерией и т. д.)
Субподряд

 

Третья линия

Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.

Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS\IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.

За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).

Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.

Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.

 

Таблица 3. Третья линия защиты Центра ГосСОПКА

Специалист Обязанности Требования к квалификации Режим Кол-во
8 Технический эксперт
  • Внутренние технологические работы по развертыванию стендов;
  • тестирование новых продуктов для Центра;
  • оперативное реагирование в случае многочисленных ложных срабатываний сценариев;
  • анализ качества контента, формирование требований на доработку;
  • проведение Case Review, анализ качества разбора кейсов 1 линией;
  • сводная аналитика срабатываний False Positive, рекомендации по устранению
Эксперты по своей специализации (вредоносные программы, настройка СЗИ, применение специализированных технических средств и т. п.) 8х5 2
9 Методолог (аудитор ИБ)
  • Разработка и поддержание в актуальном состоянии организационно-распорядительной ИБ-документации (политики, регламенты, инструкции);
  • организация и контроль соблюдения требований законодательства и отраслевых стандартов ИБ;
  • участие в подготовке и заключении договоров; анализ применимости и выполнимости требований контрагентов с точки зрения ИБ; анализ договоров с точки зрения соответствия политикам и стандартам безопасности;
  • разработка и обеспечение программы повышения ИБ-осведомленности в компании;
  • инвентаризация и классификация информационных активов со стороны описания в документации
Эксперт в области complience и разработки методических документов.Опыт в разработке моделей угроз и нарушителя, методических рекомендаций 8х5 1
10 Аналитик-архитектор
  • Разработка коннектора;
  • адаптация сценариев к особенностям функционирования ИС;
  • разработка сценариев для новых источников;
  • оптимизация сценариев;
  • разработка сценариев при поступлении Threat Intelligence;
  • эмуляция атак и разработка сценариев по их детектированию
В совершенстве владеть процессом и средствами обеспечения (SIEM) по своему направлению:
  • Vulnerability Assessment;
  • Continuous diagnostics and mitigation.

Умение адаптировать IOC от систем Threat Intelligence к ИС субъекта ГосСОПКА

8х5 1
11 Руководитель
  • Общее руководство и оркестрация;
  • повышение осведомленности сотрудников субъекта ГосСОПКА;
  • проведение «киберучений»
Руководство коллективом.
Опыт в ИБ от 10 лет.
Знание нормативных документов ФСБ и ФСТЭК России
8х5 1

 

Выводы

Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного Центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.

Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую (группу реагирования из 5 человек) и аналитику третьей линии заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.

Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до 8. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике все-таки взяли в штат. Общая численность команды Центра ГосСОПКА в этой компании составила 20 человек.

В конечном счете штатный состав Центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав излишних капительных вложений. И такие примеры тоже есть в нашей практике — в частности, один из клиентов отдал нам все операционные функции по работе Центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).

Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:

  • два сотрудника, которые принимают сообщения от группы мониторинга JSOC и реагируют на инциденты в соответствии с нашими рекомендациями;
  • один специалист по сканированию уязвимостей;
  • менеджер по управлению сервисом.

На этом все. В следующих публикациях мы расскажем о технических средствах, лицензиях, субподрядах и процессах, которые должны быть в Центре ГосСОПКА.

Полезные ссылки: 
Anti-Malware TelegramПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru