Кадровая алхимия: каков оптимальный состав команды центра ГосСОПКА?

Эта статья пригодится тем, кто работает в компании, признанной субъектом критической информационной инфраструктуры (КИИ), а значит — обязанной выполнить требования №187-ФЗ и построить центр ГосСОПКА (Государственной системы обнаружения, предупреждения и ликвидации последствий компьютерных атак), соответствующий требованиям ФСБ России.

В прошлой статье мы затронули самые основы этой темы и рассказали о требованиях ФСБ к техническим средствам, которые должны использоваться в центре ГосСОПКА. Однако эти требования (едва ли не впервые) распространяются не только на технические средства защиты, но и на реализацию конкретных процессов мониторинга, реагирования и расследования инцидентов ИБ. Поэтому сегодня мы расскажем о том, какие кадровые ресурсы вам понадобятся, чтобы все эти процессы обеспечить.

Сначала пара слов о том, почему мы вообще раздаем советы на эту тему. По сути, центр ГосСОПКА — это небольшой внутренний центр мониторинга и реагирования на кибератаки
(Security Operations Center), только с дополнительными задачами и обязанностями. Семилетняя практика оказания таких сервисов, более сотни крупнейших компаний под защитой, а также опыт создания центров ГосСОПКА для заказчиков помогли нам в свое время достаточно глубоко проработать вопросы кадровой «алхимии». И, разумеется, на этом пути мы регулярно искали варианты оптимизации расходов на персонал при сохранении требуемого высокого уровня обслуживания.

В частности, команда должна быть в состоянии выдерживать достаточно жесткий SLA: у специалистов Solar JSOC есть всего 10 минут на детектирование атаки и всего 30 — на реагирование и защиту. При этом выработанные нами кадровые стандарты позволяют масштабировать команду в зависимости от фактического объема инцидентов у заказчика (а он год от года, поверьте, не сокращается).

В данном материале мы суммировали свои наработки и дали минимальную конфигурацию организационно-штатной структуры SOC, при которой он сможет выполнить все необходимые функции центра ГосСОПКА и соответствовать методическим рекомендациям регулятора.

Первая линия

Как показывает практика, для защиты на этом рубеже требуется минимум 7 специалистов — с учетом того, что большинство из них работает посменно, обеспечивая режим 24х7. Это, в частности, специалисты по мониторингу — их должно быть не менее 6 человек. В этом случае вы не только реализуете круглосуточный контроль над системами предприятия, но и сможете не позднее 24 часов предоставлять информацию о компьютерных инцидентах в ФСБ в соответствии с приказом № 367 от 24.07.2018.

В случае со специалистами по обслуживанию СЗИ ГосСОПКА возможны разные варианты.

Первый — у субъекта КИИ масштабная архитектура, и требуется обеспечить постоянную доступность критичных сервисов, а из-за остановки/недоступности/нарушения работы СЗИ организация понесёт денежные и/или репутационные потери, и при этом высок риск ущерба окружающей среде и людям. В этом случае потребуется нанять 6 человек которые обеспечат посменную работу 24х7.

Другой вариант: у субъекта все те же масштабная архитектура и критичные сервисы, требующие постоянной доступности, при этом все операции с оборудованием производят службы ИТ, а ИБ-подразделение определяет правила функционирования и контролирует их исполнение. В этом случае можно ограничиться тремя специалистами, работающими в режиме 12/7 и возможностью ночных вызовов при необходимости.

Если же субъект ГосСОПКА не считает критичным риск нарушения доступности объектов КИИ на 18+ часов, обслуживать средства защиты можно и силами 1 специалиста в режиме 8х5.

Специалист	Обязанности	Требования к квалификации	Режим	Кол-во
Специалист по мониторингу	Обработка типовых инцидентов из HelpDesk, IRP, SIEM или от пользователей. Типовые отчеты по результатам рассмотрения. Мониторинг состояния источников. Ретроспективные проверки (при поступлении новых индикаторов компрометации).	Системное администрирование (Linux/Mac/Windows). Знание различных СЗИ. Знание модели OSI. Знание принципов защиты e-mail, мониторинга сети и реагирования на инциденты. Опыт агрегации и анализа логов от множества гетерогенных СЗИ.	24х7	6
Специалист по обслуживанию СЗИ ГосСОПКА	Мониторинг и диагностика проблем эксплуатируемого оборудования и ПО. Плановое регламентное техобслуживание СЗИ. Внеплановое обслуживание СЗИ. Обслуживание внутренней инфраструктуры центра Оперативное реагирование в случае многочисленных срабатываний False Positive.	Системное администрирование (Linux/Mac/Windows). Знание различных СЗИ.	24х7	6
			12х7 + вызов в ночь	3
			8х5	1

Важно понимать, что несмотря на существенно меньший объем инцидентов в ночные часы, самые важные и критичные события происходят как раз ночью и к моменту старта утренней смены уже теряют свою актуальность. Однако именно выстраивание режима работы 24х7 вызывает затруднения у большинства SOC: не каждый специалист захочет работать посменно. Редкий сотрудник будет продолжительное время мотивирован на качественную работу, особенно если в вашей инфраструктуре происходит мало инцидентов. Все это означает, что вам придется планомерно решать вопросы текучки кадров, непрерывно подбирая и обучая новых специалистов.

Вторая линия

На этой ступени, как правило, уже не обойтись без помощи опытного подрядчика — если, конечно, вы считаете деньги и не намерены превращаться в ИБ-компанию полного цикла. Ведь помимо специалистов по ликвидации последствий компьютерных инцидентов и по оценке защищенности, вторая линия включает довольно специфические позиции. Это весьма дорогостоящие специалисты, которые не нужны вам fulltime, но без которых ваш SOC вряд ли сможет соответствовать гордому званию центра ГосСОПКА — пентестеры, форензеры, эксперты по анализу кода. В итоге минимальный состав собственного персонала на второй линии — 3–4 сотрудника в зависимости от уровня задач.

Среди них — специалисты по ликвидации последствий компьютерных инцидентов, опытные сотрудники, выросшие из первой линии, которые знают, как обрабатывать нетиповые инциденты и оказывать помощь первой линии при возникновении сложностей.

Центр ГосСОПКА обязан регулярно оценивать защищённость информационных ресурсов в своей зоне ответственности, однако не каждая организация может себе позволить собственную команду пентестеров, которые бы держали коллег в постоянном тонусе. Тем более, что согласно методическим рекомендациям, тестирование на проникновение должно проводиться дважды в год — внешнее и внутреннее. Этот вопрос вполне успешно закрывается силами опытного внешнего подрядчика, специалисты которого работают с множеством разных заказчиков, а значит, регулярно повышают свою квалификацию в «боевых» условиях.

В штате мы рекомендуем оставить только одного специалиста по оценке защищённости, чьими основными обязанностями будут инвентаризация информационных ресурсов, наполнение и поддержание в актуальном состоянии базы CMDB, работа со сканером защищённости, обработка уязвимостей и контроль патч-менеджмента.

Также, если для субъекта КИИ актуально внедрение жизненного цикла безопасной разработки ПО, для выявления уязвимостей может применяться статический и динамический анализ исходного кода. При этом appsec-специалист нужен только в очень ограниченном для КИИ количестве кейсов — здесь логично привлечь внешнюю экспертизу.

Кроме этого, в зрелом SOC ещё и есть специалисты по установлению причин компьютерных инцидентов. Как правило, это тоже целая команда инженеров, которая нужна всего несколько раз в год, и мы рекомендуем не обременять себя их содержанием, а заключать договоры с компаниями, которые занимаются форензикой на постоянной основе.

Специалист	Обязанности	Требования к квалификации	Режим	Кол-во
Специалист по ликвидации последствий КИ	Реагирование на сложные инциденты. Контроль взаимодействия СЗИ с SIEM. Анализ аномальных активностей для выявления инцидентов. Расследования DDoS-атак. Оперативное реагирование в случае многочисленных срабатываний False Positive.	Те же, что в первой линии, плюс: Знание скриптовых языков (Python, Bash, Powershell). Осведомлённость в управлении уязвимостями и номерах CVE. Управление логами и патч-менеджмент в семействах ОС Windows и Linux. Сертификаты или знания, соответствующие CISSP/CEH. Особое внимание на SIEM-системы	8х5 с вызовом в ночь/выходные	2
			12х7 + вызов в ночь	3
Специалист по оценке защищенности	Сканирования на уязвимости и compliance. Настройка профилей сканирования. Анализ уязвимостей по отчетам сканера безопасности. Наполнение базы CMDB.	Работа с инструментами инвентаризации, средствами контроля защищённости	8х5	1
DevSecOps-/QA-специалист	Статический и динамический анализ исходного кода ПО	Построение appsec CI/CD, работа со статическими и динамическими анализаторами кода, Fuzzing	Субподряд
Пентестеры/ Redteam	Тесты на проникновение. Разработка IoC по результатам проведенных исследований.	Проведение внутренних и внешних пентестов по всем стадиям killchain. Владение инструментальными средствами обнаружения и эксплуатации уязвимостей. Обход IDS/IPS и т.п. Владение OSINT. Bash, Powershell, Python. Знание методик проведения тестов.	Субподряд
Специалист по установлению причин компьютерных инцидентов	Reverse-инжиниринг образцов вредоносных файлов. Форензика дампов сетевого трафика, ОЗУ, слепков дисков. Host-based форензика.	Расследование инцидентов. Сбор и анализ свидетельств, взаимодействие с правоохранительными органами (работа с системами форензики, реверс-инжинирингом и т.д.)	Субподряд

Третья линия

Решение ключевых стратегических задач и верхнеуровневое управление, которые реализуются третьей линией, стоит аккумулировать на своей стороне. Минимальный состав такого блока — 5 специалистов.

Это, в частности, технические эксперты — инженеры узкой специализации, отвечающие за свою область экспертизы. В штате крупных центров должны быть выделены специалисты по всем необходимым направлениям (WAF, МСЭ, IDS/IPS, СКЗИ и т.д.). Мы же ограничимся двумя техническими экспертами, которые должны оказывать экспертную поддержку специалистам 1-й и 2-й линий.

За оценку соответствия уровня защищенности организации положениям закона отвечает методолог (аудитор ИБ) — эксперт в сфере нормативно-правовых актов и требований регуляторов (ФСТЭК, ФСБ, ЦБ, РКН).

Аналитик-архитектор занимается разработкой новых коннекторов, сценариев SIEM, обновлением правил и политик средств защиты в соответствии с данными Threat Intelligence, анализом срабатываний False Positive, анализом аномалий.

Руководитель центра ГосСОПКА должен, несомненно, обладать глубокими знаниями нормативной базы и иметь за плечами не менее 10 лет практического опыты в ИБ-отрасли.

Специалист	Обязанности	Требования к квалификации	Режим	Кол-во
Технический эксперт	Внутренние технологические работы по развертыванию стендов. Тестирование новых продуктов для центра. Оперативное реагирование в случае многочисленных ложных срабатываний сценариев. Анализ качества контента, формирование требований на доработку. Проведение Case Review, анализ качества разбора кейсов 1 линией. Сводная аналитика срабатываний False Positive, рекомендации по устранению.	Эксперты по своей специализации (вредоносное ПО, настройка СЗИ, применение специализированных технических средств и т.п.),	8х5	2
Методолог (аудитор ИБ)	Разработка и поддержание в актуальном состоянии организационно-распорядительной ИБ-документации (политики, регламенты, инструкции). Организация и контроль соблюдения требований законодательства и отраслевых стандартов ИБ. Участие в подготовке и заключении договоров; анализ применимости и выполнимости требований контрагентов с точки зрения ИБ; анализ договоров с точки зрения соответствия политикам и стандартам безопасности. Разработка и обеспечение программы повышения ИБ-осведомленности в компании. Инвентаризация и классификация информационных активов со стороны описания в документации.	Эксперт в области complience и разработки методических документов. Опыт в разработке моделей угроз и нарушителя, методических рекомендаций.	8х5	1
Аналитик-архитектор	Разработка коннектора. Адаптация сценариев к особенностям функционирования ИС. Разработка сценариев для новых источников. Оптимизация сценариев. Разработка сценариев при поступлении Threat Intelligence. Эмуляция атак и разработка сценариев по их детектированию	Владение в совершенстве процессом и средствами обеспечения (SIEM) по своему направлению: Vulnerability Assessment. Continuous diagnostics and mitigation. Умение адаптировать IoC от систем Threat Intelligence к ИС субъекта ГосСОПКА	8х5	1
Руководитель	Общее руководство и оркестрация. Повышение осведомлённости сотрудников субъекта ГосСОПКА. Проведение «киберучений».	Руководство коллективом Опыт в ИБ от 10 лет Знание нормативных документов ФСБ и ФСТЭК	8х5	1

Кстати, о практике

Все эти рекомендации служат скорее отправной точкой, нежели точным руководством к действию. Безусловно, при создании собственного центра у вас получится свое штатное расписание. В одной линии специалистов будет больше, в другой — меньше, в третьей появятся несколько иные роли или они уйдут на повышение/понижение.

Например, для одного из наших заказчиков мы построили SOC, где функции 1-й линии мониторинга в режиме 24х7 оставили за собой, а вторую линию (группу реагирования из 5 человек) и аналитику третьей заказчик нанял самостоятельно. Кроме того, в организации уже был руководитель ИБ (он и возглавил SOC), а также методолог и ИТ-подразделение, которое занималось в том числе и инвентаризацией.

Другой заказчик добавил в первую линию роли руководителя группы мониторинга и ответственных за взаимодействие с пользователями, а также увеличил количество специалистов по мониторингу до восьми. Во второй линии за ликвидацию последствий отвечало три сотрудника, а специалиста по форензике всё-таки взяли в штат. Общая численность команды центра ГосСОПКА в этой компании составила 20 человек.

В конечном счете штатный состав центра зависит от ключевых векторов развития вашего SOC, которые определяются и корректируются в процессе анализа инцидентов. При этом, особенно на начальных этапах, целесообразно использовать возможности сервис-провайдера для «тестового» масштабирования лицензий и персонала. В этом случае вы сможете точнее оценить ресурсные потребности, избежав лишних капитальных вложений. Например, один из клиентов отдал нам все операционные функции по работе центра, а за собой оставил только взаимодействие с НКЦКИ (отправку отчетов о произошедших инцидентах).

Если же говорить о нашей типовой схеме принятия инфраструктуры заказчика на мониторинг, то на стороне заказчика, как правило, есть:

• Два сотрудника, которые принимают сообщения от группы мониторинга Solar JSOC и реагируют на инциденты в соответствии с нашими рекомендациями.
• Один специалист по сканированию уязвимостей.
• Менеджер по управлению сервисом.

Но у каждого свой путь в построении центра ГосСОПКА, и мы надеемся, эта статья помогла вам определиться с вашим.