Организация работы и обработка уведомлений в SOC: три подхода

Как распределять задачи в SOC, чтобы решить проблемы нехватки ИБ-специалистов и их выгорания.

Как распределять задачи в SOC

Корпоративным центрам мониторинга информационной безопасности (SOC) становится все сложнее противостоять современным продвинутым киберугрозам. Никуда не пропадают и внутренние проблемы: нехватка кадров в сфере безопасности, профессиональное выгорание и зачастую недостаточные бюджеты. Типичный SOC состоит из аналитиков, берущих на себя первичную сортировку и разбор уведомлений, группы экспертов, анализирующих продвинутые угрозы, специалистов по работе с данными об угрозах, а также команды менеджеров. Наибольшие объемы задач приходятся на аналитиков, а значит, им необходимо организовывать свою работу с максимальной эффективностью.

Согласно данным отчета ESG, существует три подхода к организации структуры SOC и обработки уведомлений, и все они примерно одинаково популярны. Больше четверти (28%) организаций утверждают, что специалисты их SOC разделены на группы по уровню их навыков и степени ответственности. В 36% фирм сотрудники группируются по векторам атак. В оставшихся 36% компаний аналитики обрабатывают уведомления в порядке общей очереди, вне зависимости от своих навыков или типов угроз.

В этом посте мы рассмотри эти три подхода подробнее, оценим их плюсы и минусы и поговорим о лайфхаках, которые сделают работу сотрудников SOC проще и эффективнее. Однако не стоит забывать: ничто из описанного не является железным правилом, и реальные компании обычно используют смешанные подходы в зависимости от своих потребностей.

1. Классический подход

Подход, которого придерживаются 28% организаций, отражает традиционный взгляд на структуру SOC. Аналитики распределены по нескольким линиям, первая из которых обрабатывает все входящие уведомления. После первичной сортировки эта линия решает проблемы, с которыми может справиться своими силами. Если же инцидент слишком сложен и у первой линии нет инструкций, как на него реагировать (или в случае, если понятно, что атака не автоматизирована и ей в режиме реального времени управляют люди), он передается второй линии.

У этих специалистов второй линии обычно больше навыков и опыта. Они либо работают «единым фронтом», разбирая инциденты по мере появления, либо специализируются в разных областях: например, одни эксперты анализируют угрозы операционной системе (Linux или Windows), а другие — сетевые угрозы. Иногда используется и третья линия с еще более узкими специализациями. Такая система позволяет специалистам первой линии заниматься рутинными инцидентами, второй — сосредоточиться на продвинутых угрозах, а самые сложные случаи отправлять на третью линию.

В этой структуре массовый наплыв уведомлений затрагивает только первую линию, где начинающие аналитики могут оттачивать свои навыки. Более квалифицированные сотрудники второй и третьей линий в свою очередь применяют и углубляют свои специализированные знания. В таком режиме эффективность обработки уведомлений постоянно повышается за счет того, что накапливаемый опыт помогает сотрудникам справляться со все более запутанными случаями. Однако эта система не сможет работать без максимально подробных инструкций для первой линии, а значит, требует большого объема подготовительной работы по их составлению.

2. Разделение по векторам атаки, видам угроз или специализациям

Этот подход используют 36% опрошенных компаний. Он включает распределение специалистов по разным векторам атак, таким как сетевые угрозы, атаки на серверы или онлайн-приложения, внутренние угрозы и DDoS-атаки. Разделение также может проводиться по типам систем (например, рабочие места, облака или ЦОД) или степени их важности: угрозы критически важным системам передаются второй линии, а остальные обрабатываются первой.

На практике этот и предыдущий подходы часто используются вместе в гибридной модели. Например, первая линия обрабатывает все входящие уведомления и перенаправляет задачи определенного типа экспертам второй или третьей линии, работающим на соответствующем направлении.

Плюс такого подхода заключается в возможности специалиста углубиться в интересующее его поле и значительно повысить квалификацию и качество реагирования на угрозы. Однако при таком подходе в случае необходимости может быть сложно найти замену уходящему специалисту.

3. Единая очередь

Подход, используемый еще 36% организаций, заключается в работе с единым потоком обработки оповещений, без разделения специалистов на линии. Этот подход предполагает, что все эксперты имеют примерно одинаковый уровень квалификации и способны справляться с большинством инцидентов без их передачи по цепочке. Однако некоторое разделение задач все же встречается: самые запутанные случаи могут направляться специальной группе высококвалифицированных профессионалов.

Структура SOC «Лаборатории Касперского» ближе всего именно к этой модели, с одним отличием: роль первой линии выполняет искусственный интеллект. Благодаря технологиям машинного обучения он автоматически отсеивает часть ложных срабатываний, что экономит силы и время сотрудников. Кроме того, AI отмечает интересные детали в уведомлениях и упрощает работу с ними для специалистов-людей.

Вторая линия является общей и единой для всех специалистов. Если сотрудник не может обработать какой-либо из инцидентов, он может отправить его на так называемую виртуальную линию. Она называется так потому, что не существует постоянно, а создается только на время обработки подобных инцидентов. В отличие от второй линии, виртуальная не имеет фиксированной структуры: в нее можно направить незанятых специалистов второй линии или продвинутых профессионалов из третьей, которые обычно не занимаются рядовыми инцидентами, а вместо этого разрабатывают логику детектирования угроз и методы их проактивного обнаружения.

Такой подход позволяет специалистам улучшать свои навыки в более широких областях, а не замыкаться на одном направлении или задачах определенной степени сложности. Они получают разнообразный опыт, а значит, возрастает и надежность SOC в целом. К тому же работа с непривычными задачами снижает риск выгорания, которое чаще всего возникает из-за рутины. И самое главное — всегда есть возможность передать разросшуюся задачу «команде прикрытия».

С другой стороны, такой подход требует большого количества квалифицированных сотрудников, а значит, усложняет подбор команды; не стоит забывать и о расходах на разработку и внедрение технологий машинного обучения.

Еще одно решение проблемы выгорания

Есть еще один лайфхак, позволяющий сотрудникам вырваться из рутинного потока задач. В SOC «Лаборатории Касперского» у каждого аналитика ежемесячно есть два рабочих дня, в которые он не обрабатывает уведомления, а переключается на более творческие задачи. Это может быть, например, улучшение процессов, поиск угроз вручную, программирование средств автоматизации для SOC, анализ отчетов об инцидентах или подготовка списка типичных ошибок для улучшения качества карточек инцидентов, которые подготавливаются для клиентов. Или же он может потратить это время на самообразование.

Если руководитель замечает, что сотрудник стал ошибаться больше обычного, он предложит использовать один или оба эти дня, чтобы немного переключиться и очистить голову.

Такая смена деятельности позволяет аналитикам отдохнуть и снизить уровень стресса от монотонности работы по обработке уведомлений. Компания может поощрять команду бонусами за ценные улучшения процессов безопасности, предложенные в такие «самостоятельные» дни.

Модели работы SOC в разных компаниях сильно различаются в зависимости от их зрелости, бюджетов и релевантных ИБ-рисков. Но мы наблюдаем и глобальные тенденции, влияющие на типичную структуру SOC. В первую очередь речь идет о внедрении технологий автоматизации работы служб ИБ и сортировки уведомлений — например, с помощью решений SOAR. Доступ ко всем системам из одной точки значительно ускоряет обработку уведомлений. Вторая тенденция — нехватка квалифицированных кадров. В SOC требуется все больше специалистов-универсалов, способных справиться с разнообразными угрозами. Пока неизвестно, как эти тренды повлияют на существующие подходы, но очевидно одно: пришло время проанализировать состояние персонала и процессов в SOC и начать внедрять улучшения, которые не дадут киберугрозам подорвать вашу защиту.

Kaspersky expert training: Security Operations and Threat Hunting

Мы разработали новый онлайн-тренинг по кибербезопасности для экспертов: Security Operations and Threat Hunting. Одним из его создателей и ведущих является Сергей Солдатов, глава SOC «Лаборатории Касперского» и автор этой статьи. Вместе со своими коллегами он старается помочь компаниям улучшать работу центров мониторинга кибербезопасности или даже построить их с нуля. Курс также поможет командам SOC повысить уровень детектирования и проактивного поиска угроз и их расследования. Узнайте больше о курсе Security Operations and Threat Hunting на сайте Kaspersky Expert Training. Пока курс доступен только на английском языке.

Советы