11.11.16

Один день из жизни аналитика SOC

Часто бывает, что наши ожидания расходятся с реальностью, и хорошим примером такой нестыковки является работа аналитика Security Operations Center (SOC). На самом деле, практически любой профессии присуща эта проблема, но поскольку последние пару недель я посвятил теме SOC, то и эту заметку я тоже буду иллюстрировать на примере одной из должностей центров мониторинга.


Итак, как обычно представляет свой рабочий день аналитик SOC? На что, как он думает, должно тратиться его драгоценное время? Список выглядит обычно так:
  • интересные расследования и слежение за профессиональными тенденциями и новостями, помогающими в работе
  • помощь коллегам / менторство / шефство / командная работа
  • участвовать в интересных конференциях и семинарах
  • регулярно повышать свою квалификацию на тренингах, включая и эксклюзивные
  • завершать текущие расследования в срок
  • иметь время на планирование новых расследований и гипотез для threat hunting
  • готовить необходимую документацию (отчеты и т.п.)
  • успешно достигать поставленных KPI.
Отличный список. Я вот тоже хотел бы, чтобы у меня 90% из описанного входило в повседневный график. Однако реальность обычно совсем иная и выглядит она так:
  • постоянный аврал и работа в запарке
  • постоянная спешка и срыв сроков
  • постоянные проблемы, отнимающие много времени на их решение
  • отсутствие времени на прохождение тренингов, посещение конференций и даже чтение новостей
  • регулярные звонки на самых интересных местах ночных снов и необходимость срочно решить какой-то вопрос по текущему расследованию
  • необходимость обосновывать свою работу руководству
  • участие в совещаниях ради участия в совещаниях
  • трата времени на общение с "тупыми" заказчиками
  • трата времени на общение с вендорами по поводу багов в их продуктах (например, SIEM), необходимости получения объяснений "как это работает" и т.п.
В бизнес-новелле "The Phoenix Project: A Novel About IT, DevOps, and Helping Your Business Win", написанной специалистами по безопасности и посвященной будням IT/Cybersecurity/DevOps приводится такое распределение времени у аналитика/инженера SOC. 


Особенно радует "желтая зона", описывающая авральные работы, которые только мешают деятельности аналитика SOC и последующим действиям специалистов по реагированию на инциденты. Административная работа (та же работы с электронной почтой) отнимают еще 10% времени, что в совокупности с 27-ью "авральными", 15-тью "совещательными" и 13-тью "сервисными" процентами составляет уже больше 2/3 всего рабочего времени. Вместо того, чтобы анализировать kill chain, описывать индикаторы компрометации, все, на что хватает времени и сил - зачистить систему, удалив и все следы нарушителя, а то и вовсе - переустановить ОС на атакованном узле с "чистого листа". А такое быстрое и "тупое" реагирование в свою очередь может затруднить предотвращение таких инцидентов в будущем. А как красиво все начиналось...

А теперь подумайте, сколько вам реально надо аналитиков, чтобы они занимались реальным анализом и расследованиями 100% времени? Как минимум в три раза больше, чем вы думали изначально.