24.10.17

Три мифа о специалистах SOC #socforum

В августе я ездил в США в очередной SOC Tour (есть у нас в Cisco такая практика - показывать заказчикам, как устроена ИБ внутри нашей компании) и на встрече в том числе присутствовал Гэри Макинтайр, один из гуру SOCстроительства, автор книги про создание SOCов, приложивший руку к нескольким десяткам SOCов, которые мы помогали строить нашим заказчикам по всему миру. Так вот во время дискуссии с ним он развенчал несколько заблуждений, которые приходится часто слышать о центрах мониторинга ИБ.


В SOC работают квалифицированные специалисты

Бытует мнение, что в SOC работают обычно высококлассные специалисты, охотники за угрозами, аналитики, влет идентифицирующие APT и иные сложные атаки. Увы... Это миф. Даже в Европе уровень ротации специалистов SOC достигает... 90%. 90 процентов!!! О какой квалификации можно говорить в такой ситуации? Люди просто не успевают ее получить, уходя на другое место работы. Понятно, что эта цифра касается не всех работников, но даже на первой линии SOC такой показатель говорит, что специалист может пропускать атаки ввиду своей невысокой компетенции.

Нанимать в SOC надо специалистов по безопасности

Рустем Хайретдинов в ФБ любит упоминать, что он зарекся нанимать на работу сейла безопасников. Их мозги забиты мусором, который сначала надо вычистить, а потом уже прививать что-то нужное. Гораздо проще брать сейла из смежной области, а уж особенностям рынка ИБ научить несложно. Не буду спорить с данным тезисом; тем более что в SOC ровно та же самая ситуация :-) Брать надо не безопасников, а тех, кто обладает хорошими коммуникативными навыками, так нужными при расследовании инцидентов. Если они еще и знаниями ИБ обладают, так вообще супер. Но в первую очередь смотреть надо на то, как общается человек в коллективе, особенно в стрессовой ситуации, которые в SOC происходят регулярно.

Работа аналитика в SOC очень интересна

Вообще я люблю писать и могу делать это достаточно долго (вот в выходные даже 3 статьи накатал). Но даже я устаю от этого. А теперь представьте работу аналитика, который 8 часов в день (а есть SOCи, которые используют 12-тичасовую смену) пялится в экран и пытается найти угрозы в тысячах строк логов, потоков и других источников событий безопасности (даже при высоком уровне автоматизации ручная работа еще очень нескоро уйдет из арсенала безопасников SOC). Одна из классических проблем аналитиков SOC - демотивация. Изо дня в день видеть огромное количество событий и при этом не знать, какие из них хорошие, а какие плохие. Это классическая психологическая проблема боязни совершить ошибку в ответственном мероприятии. Этот страх отвлекает аналитика SOC от смысла выполняемых действий; он фиксируется на мелочах, упуская главное. Страх сделать ошибку заставляет аналитика перепроверять свои выводы и свою работу, что приводит к лишней трате времени и сил и снижает продуктивность специалистов SOC. Возможно и отсюда тоже вытекает высокая ротация в SOCах.

Разумеется, это всё не те проблемы, которые не имеют решения. При правильном подходе из них можно выйти победителем. Главное - задуматься о них заранее, не строя неоправданных ожиданий относительно работы в SOC. Это важно знать не только тем, кто работает в SOC (иногда, общаясь с работниками SOC, слышишь от них о названных проблемах, которые они скрывают от руководства, считая, что это именно их проблемы, в которых они уникальны), но и тем, кто только планирует строить свой SOC. Лучше заранее оценивать реалии работы центров мониторинга ИБ.