SOC — это люди. Как собрать команду в условиях кадрового голода

Говорят, в 70-х годах Геннадий Зайцев, первый президент легендарного Ленинградского рок-клуба, так сформулировал принцип отбора музыкантов: «Беглость пальцев — дело наживное. Был бы человек хороший».

Возможно, если бы мы с Геннадием Борисовичем решили за рюмкой чего-нибудь горячительного пожаловаться друг другу на сложности в подборе кадров, то обнаружили бы много общих моментов. Когда мы собирали первую команду Solar JSOC, рынка сервисов мониторинга и противодействия кибератакам фактически еще не существовало, следовательно, не было ни готовых специалистов под эти задачи, ни даже четких критериев поиска. Нам предстояло собрать команду уникумов, но до этого — много раз пробовать новое, ошибаться и снова пробовать. Именно про команду сегодня и поговорим: как это было в самом начале и к чему мы пришли в результате.

Мне доподлинно неизвестно как зародилась идея создания JSOC — может, просто случайное стечение обстоятельств, а может, собрались ребята и твердо решили: «Создаём SOC для коммерческого рынка России!» Включим перемотку и пропустим множество увлекательных эпизодов о выборе платформы, проработке идеологии построения контента, а также о невероятных приключениях в диком мире инфраструктур заказчиков.

Начнем с того момента, когда JSOC из синтетики планов и прикидок созрел для выхода на рынок и обкатки выработанных решений в бою. А для этого недостаточно технологий, идей, амбиций и гуру SIEMа и аналитики. Тут уже не обойтись без первой линии аналитиков — команды, обеспечивающей фронт основных процессов SOC.

Наша первая линия мониторинга отличается от первой линии в классическом понимании. Это не колл-центр и не девочки со скриптом маршрутизации заявки. Роль классической первой линии в нашей парадигме отводится SIEM с пирогом из профилирующих, агрегирующих и обогащающих правил. А задача первой линии JSOC — это проведение полноценных расследований инцидентов ИБ, включающих в себя фильтрацию FP, формирование аналитической справки и рекомендаций по противодействию. Также приветствуется и вольный ресёрч, особенно в ситуациях, когда в окрестности инцидента замечены нетипичные для него события.

«Любое приключение должно с чего-либо начаться…
банально, но даже здесь это правда».

Льюис Кэрролл

Когда формировался первый вариант команды, мы не совсем представляли точный профиль деятельности аналитиков, поскольку развитие событий на абсолютно новом рынке предсказать сложно. Поэтому для компенсации возможных виражей судьбы и превратностей технологических трендов решили искать ребят с широким техническим бэкграундом.

Собрать команду таких специалистов получилось достаточно быстро, и это сильно помогло нам на начальном этапе. Мы чувствовали себя готовыми к извилистому и сложному пути вывода SOC на рынок.

Однако через некоторое время мы поняли, что кое в чем просчитались: большинство нанятых специалистов оказались явно overqualified для позиции инженера первой линии, и команда v.1.0 оказалась довольно неустойчивой.

Несмотря на высокую динамику развития Solar JSOC и постоянное появление новых задач, амбиции ребят были еще выше, а итоговый список обязанностей — существенно ниже их опыта и ожиданий. Поэтому коллеги достаточно быстро выросли из первой линии — кто-то в рамках JSOC, а кто-то, увы, за его пределами.

Впрочем, «вирус» ИБ, полученный в JSOC, оказался очень стойким — несмотря на то, что команда v.1.0 была почти на 100% выходцами из чистого IT, практически все они продолжают работать уже на ниве ИБ.

Тем не менее, эта первая попытка собрать команду была для нас очень полезной.
Мы «на ходу» определились, чем же мы в конце концов занимаемся и чего ждем от сотрудников. Привыкли, что на новом рынке кратный рост и сопутствующее этому перманентное обучение кадров — норма и обыденность. Обнаружили, что готовых специалистов для работы на первой линии SOC рынок предложить не может. Уяснили, что в этих условиях просто проходить частыми граблями по резюме — утопия.

«Ученого учить — только портить».

Русская пословица

Итак, мы оказались в ситуации, при которой готовых специалистов на рынке практически нет, а число заказчиков начинает расти, что требует масштабирования команды. В определенный момент мы просто вошли в противоречие с возможностями кадрового рынка региона (первая линия Solar JSOC находится в Нижнем Новгороде).

Спасением для нас стала работа со студентами. К этому моменту у нас был небольшой опыт такой работы в московской команде Solar Security, но он не был нацелен на работу с вузом как с площадкой, организовывающей поток молодых специалистов. Мы чувствовали, что в случае с Solar JSOC потребуется более системный подход.

И здесь нам очень помогли наши же коллеги, выпускники нижегородского университета, которые вывели нас на студенческий центр карьеры ННГУ – бодрую студенческую организацию, заинтересованную в профессиональном трудоустройстве студентов. Мы стали регулярно участвовать в Днях работодателя, рассказывать студентам и недавним выпускникам технических вузов о деятельности Solar JSOC.

Тогда же мы запустили программу стажировок. Изначально она была нацелена на студентов специальности ИБ, но в настоящее время она расширена и на студентов других IT-специальностей.

Забегая вперед, скажу, что эта работа дала отличные результаты. Вот уже третий год к нам «самотеком» приходят молодые ребята, готовые пройти тестирование, стажироваться, учиться и стать инженерами первой линии. И многие выпускники наших стажировок действительно нашли в Solar JSOC свое первое место работы.

— Это слишком сложная задача для моего маленького мозга…
— Важен не размер, а умение пользоваться.

Из фольклора Solar JSOC

Мы поняли, какой же в итоге должна быть идеальная команда идеального SOC :) И этот секрет мы готовы раскрыть: команда должна быть в первую очередь Командой, как бы банально это ни звучало. И фраза Геннадия Зайцева была приведена в начале статьи не случайно. Мы подходим к подбору персонала, руководствуясь тем же принципом: «Беглость пальцев – дело наживное. Был бы человек хороший». После многократных проб и ошибок мы пришли к тому, что при поиске инженеров первой линии основной упор надо делать не на технический бэкграунд и предшествующий опыт работы. (Это, впрочем, не означает, что предыдущий опыт совершенно не важен. Разумеется, для соискателя позиции в группе техэксплуатации СЗИ приветствуются хорошие знания сетей и linux.) Мы стараемся найти ребят с “живыми мозгами”. Ребят, способных видеть веер решений, способных рассуждать, с хорошими аналитическими навыками.

Когда возник приток потенциальных кандидатов для стажировки, а впоследствии и работы, перед нами встала задача оценить обучаемость каждого кандидата. Поэтому на собеседовании мы стараемся вывести соискателей на логические рассуждения, даем логические задачки и меняем их условия, чтобы посмотреть, как человек адаптируется и подбирает оптимальный вариант решения. Такой подход помогает нам подбирать людей, с которыми приятно работать и которые очень быстро интегрируются в команду. Ну а «беглость пальцев» — дело наживное. О том, как мы ее тренируем, — чуть ниже.

В качестве вступительного испытания для прохождения стажировки мы предлагаем ребятам разобраться с подобного рода заданиями:

• Почему UDP продолжает использоваться, когда TCP гарантирует доставку данных в неизменных виде, последовательности и без потерь?
• Вам нужно написать ТЗ на keylogger. С чего начнете? По каким критериям вы бы стали агрегировать информацию для удобной работы с результатами?
• Перечислите принципиальные отличия таких Remote Administration Tool, как Microsoft Remote Desktop Connection и TeamViewer, с точки зрения контроля за доступом к критичным хостам?
• На каких из этапов APT-атаки можно встретить использование данных утилит, и как злоумышленник может их использовать?
  c:windowssystem32whoami.exe
  c:windowssyswow64netstat.exe
  c:windowssyswow64nslookup.exe

Программа стажировки включает в себя:

• Изучение основ сетевых технологий.
• Изучение особенностей логирования событий ИБ различными источниками.
• Навыки работы с HPE ArcSight.
• Разбор простых тестовых инцидентов на учебном стенде etc.

Во время стажировок наибольшее внимание уделяется тестовым инцидентам, большинство из которых создается по мотивам реальных событий из практики Solar JSOC. Кроме шаблонных, автоматически генерируемых инцидентов стажеры регулярно получают для разбора инциденты многослойные, с подковырками. Инциденты, к которым нужен особый подход, потому что в результате шаблонного расследования студенты, например, приходят к выводу, что вредоносная активность была инициирована с их же хостов из-под их собственных учеток.

Подобные челенджи значительно повышают вовлеченность в процесс обучения и расследования инцидентов, учат обращать внимание на различные «мелочи», перепроверять свои выводы, строить предположения и в дальнейшем доказывать или опровергать их.

Вовлечение в процесс расследования – самое важное на данном этапе. Заинтересовав ребят безопасностью и дав им «пощупать» инциденты с реальной историей или инциденты, участниками которых якобы являются они сами, мы мотивируем их на изучение «скучной» теории и выработку нестандартных и не описанных в методичках подходов к решению задачи.
На выходе из стажировки мы получаем ребят, наполовину готовых к работе на первой линии. Таким образом мы формируем себе кадровый резерв.

Вне зависимости от того, берем мы человека на работу по итогам собеседования или после стажировки, в начале профессионального пути инженера первой линии Solar JSOC ожидает программа обучения, на прохождение которой выделяется от 2 до 4 месяцев. Ее условно можно разделить на следующие блоки:

• Теоретический блок включает базовые знания, начиная с информации о компании и ее оргструктуре и заканчивая вводной по нормативной документации, последним трендам в ИБ, APT, Threat Intelligence.
• Практический блок закрепляет на новом уровне полученные знания и учит конкретным навыкам работы с основным инструментом первой линии – SIEM. Помимо этого, практика включает в себя такие обязательные области, как сопровождение инцидентов ИБ в тикет-системе, тонкости коммуникаций с заказчиками, воспроизведение и разбор на стенде самых интересных инцидентов и многое другое.
• Далее новичкам дают постепенно усложняющиеся допуски к продуктивной среде на основе whitelist: инженер привлекается к расследованию «боевых» инцидентов по тем сценариям, по которым он успешно сдал экзамен и к которым получил допуск.
• Поскольку наша компания, как и сама сфера ИБ, быстро развивается, покрыть все тонкости программой обучения невозможно. Поэтому на финальном этапе каждому будущему инженеру первой линии мониторинга назначается куратор из опытнейших инженеров – так сказать, «практикующих хирургов» – для изучения нюансов и контроля за работой, выполняемой на продуктивной среде.

По итогам оценки куратора и финального контрольного среза, проводимого комиссией, инженер допускается к «самостоятельному плаванию», ночным/выходным дежурствам.
Первое время большинство инженеров работает в парадигме «Для инцидента данного типа я использую такие-то инструменты, они дают необходимые данные о нем». Подобная методология позволяет в короткое время обучить человека и вывести на уровень, когда он способен приносить пользу на линии.

По мере накопления опыта ребята осознают общность инцидентов ИБ, начинают лучше понимать, какая информация и в каком разрезе будет максимально полезной заказчику для реагирования на конкретный инцидент. Постепенно они переходят к работе в парадигме «Мне необходима такая-то информация, получить ее можно многими способами, в данной ситуации предпочтителен такой-то».

Подобная перестройка подхода в совокупности с прокачкой ИБ-бэкграунда и погружением в контент SIEM готовит ребят к шагам на следующие ступеньки, где их ждут глубокие расследования высококритичных инцидентов и цепочек инцидентов ИБ или погружение вглубь SIEM-систем со всем многообразием кастомной логики.

На этом заканчиваются формальности и начинается полноценная жизнь на первой линии: для администрирования – полная сложных квестов по удовлетворению желаний заказчиков и соблюдению требований информационной безопасности; для мониторинга – состоящая из множества увлекательных историй, отраженных в логах. Иногда день на первой линии может напоминать пазл на нескольких досках длиною в дежурную смену: собираемые картинки мелькают перед инженером, меняя не только свою фактуру, но и номер тикета :)

Но, хотя театр и начинается с вешалки, а операционная жизнь SOC – с первой линии, ею она далеко не заканчивается. Люди растут, проекты масштабируются, и ролей и задач у нас внутри великое множество. Мы очень поощряем в инженерах первой линии стремление к развитию, поэтому проработали несколько «профессиональных лифтов». Определенный процент инженеров, готовых к переходу в другие линии, даже входит в KPI тимлидов линий :) Но история «возгонки экспертизы» или дальнейшего роста кадров в Solar JSOC станет частью других статей. To be continued…

Автор: SolarSecurity

Источник ^[1]