Стратегия 5, Часть 3: Как минимизировать текучку кадров в SOC

Поиск и удержание талантов — одна из самых больших проблем, с которыми сталкивается руководство SOC. В операционной среде текучка кадров — это жизненное обстоятельство. Удержать талантливых аналитиков особенно сложно, потому что работа в киберсреде хорошо оплачивается, а талантливых специалистов всегда не хватает.

Сотрудники SOC приводят множество причин, по которым им хочется оставаться на текущем месте работы. Вот три, наиболее распространенных из них:

  1. Ощущение себя частью сплоченной команды высококвалифицированных мотивированных профессионалов.
  2. Работа с новыми и интересными задачами каждый день.
  3. Вера в миссию сетевой безопасности — как в ее важность, так и в уникальность.

В этом разделе мы рассмотрим эффективные методы удержания персонала, особенно топовых сотрудников. Мы также коснемся методов борьбы с текучкой кадров, которая присуща операционной среде. Дополнительную информацию по этим темам можно найти в [95], [96], [97] и [98].

7.3.1 Работайте эффективнее, а не интенсивнее

Некоторым аналитикам нравится изучать один и тот же поток данных день за днем, неделю за неделей, если они чувствуют, что «приносят пользу». Аналитики-звезды — самые ценные кадры, которые мы хотим сохранить, программируют и используют скрипты, чтобы сделать свою жизнь проще, чтобы выполнять больше задач с меньшими трудозатратами. Можно сохранить обе группы сотрудников, предоставляя возможность талантливым аналитикам делиться новыми методами работы и процедурами с остальной частью команды.

Единственный способ, при котором SOC сможет добиться всеобъемлющего и эффективного охвата мониторинга и анализа, — использовать инструменты, автоматизирующие ранние этапы мониторинга, включая сбор, анализ, хранение и сортировку событий.

Легко впасть в ежедневную рутину, когда каждый аналитик ежедневно изучает одни и те же данные одним и тем же способом без каких-либо изменений. Важно выделять в расписании сотрудников время на привнесение улучшений в работу SOC по сбору данных, например, за счет автоматизации и аналитики. Эти улучшения затем передаются аналитикам, обычно аналитикам 1-й Линии, которым нравится рутинная работа. В более крупных SOC с этим помогает выделенный персонал по настройке сигнатур, который работает со всеми членами SOC для того, чтобы найти возможности для новых или улучшенных сценариев мониторинга и реализовать их через соответствующие инструменты.

Можно достичь высокого уровня автоматизации, поддерживая современный, надежный и сильно интегрированный набор инструментов. Талантливые аналитики, т.е. те, кто могут мыслить нестандартно, рассчитывают на работу с передовым набором инструментов, который соответствует текущему спектру угроз и позволяет достичь желаемых результатов за разумное время. Например, выполнение базовых запросов к данным журнала за день должно происходить за секунды или минуты, а не часы. Использование устаревших и неэффективных инструментов — верный путь быстро растерять таланты.

Вот некоторые методы, которые могут помочь SOC снизить монотонность, заинтересовать людей и сосредоточиться на целевых кибератаках:

  • Предложите сотрудникам SOC две связанные, но разные цели:
    • Улучшение разведывательной деятельности: настройка сигнатур, выявление трендов киберразведки, разработка скриптов и аналитики.
    • Подстройка производительности и управление контентом, обеспечивающие оптимальную работу SIEM и других аналитических платформ для всех подразделений SOC.
  • Используйте возможности автоматических превентивных мер там, где это экономически оправданно и целесообразно, тем самым сводя к минимуму мелкие проблемы, которые в противном случае отнимали бы ресурсы SOC:
    • Разумное развертывание антивирусных и защитных программ на хостах и интернет-шлюзе (обсуждается далее в разделе 8.3).
    • Автоматическая «детонация» потенциально опасного контента и анализ вредоносных программ (обсуждается далее в разделе 8.2.7).
    • Технологии фильтрации интернет-контента, такие как шлюзы, веб-прокси.
    • В максимально возможной степени способствуйте совершенствованию программы кибербезопасности в клиентской организации, чтобы стратегические вопросы, задаваемые SOC, решались на должном уровне.
    • Сделайте так, чтобы обработка рутинных инцидентов была повторяемой и формализованной процедурой, занимающей минимум времени, которая может выполняться младшим персоналом.
    • Отдельные рядовые типы инцидентов, такие как просмотр нерелевантных веб-сайтов, отправляйте на обработку в другие подразделения, если это возможно.

7.3.2 Поощряйте карьерный рост

В SOC работают в основном люди, которые уже обладают и хотят получить еще больше технических навыков. Одна из наиболее желательных черт аналитика — страсть к работе — идет рука об руку с желанием брать на себя новые разнообразные задачи. Специалисты с солидным опытом в сфере ИТ, но без опыта работы в области защиты сетей могут начать работу в SOC с Линии 1, и можно предположить, что в крупных SOC за несколько лет работы они могут пройти различный карьерный путь, как показано на рисунке 16.

Рис. 16 Типичные карьерные возможности в SOC

Сотрудники с высоким уровнем личной мотивации могут подняться по этой лестнице, во многом благодаря навыкам, приобретенным в процессе работы. Тем не менее, формальное и неформальное обучение также необходимо в определенном количестве. Давайте рассмотрим некоторые ключевые возможности, которые помогут сотрудникам SOC улучшить свои навыки:

  • Неформальное обучение инструментам и методам без отрыва от работы со стороны руководителей, сотрудников и наставников, с помощью неформальных встреч и семинаров в следующих областях:
    • Фокусировка на тактике и действиях конкретного злоумышленника.
    • Глубокое погружение в архитектуру клиентской организации или зоны ответственности.
    • Продвинутое использование инструментов.
    • Кросс-тренинг по функциональным областям SOC.
    • Интересные новости киберсферы и данные киберразведки.
  • Формальное обучение с помощью внутренних учебных программ:
    • Первоначальные и периодические «аттестации», обеспечивающие соответствие квалификации персонала занимаемой должности.
    • Обучающие мероприятия, например, компьютерное обучение или презентации.
    • Сценарии обучения, в которых аналитики должны анализировать активность на реальном или абстрактном наборе данных журнала, используя те же инструменты, что и в SOC.
  • Внешнее обучение:
    • Сертификация в области защиты сетей, например SANS GIAC [99] и Offensive Security [100], которые охватывают либо навыки защиты, либо нападения.
    • Учебные курсы по специальностям, связанным с обеспечением защиты сетей:
      • Сетевая форензика и анализ вторжений.
      • Развертывание, настройка и обслуживание IDS или SIEM.
      • Исследование носителей информации.
      • Анализ вредоносных программ и обратный инжиниринг.
      • Оценка уязвимостей и тестирование на проникновение.
      • Управление операционной системой, базами данных и сетями.
  • Профессиональные конференции, такие как:
    • BlackHat — проводится в разных местах, в основном Лас-Вегас, Невада [101]
    • Defcon — проводится сразу после BlackHat, Лас-Вегас, Невада [102]
    • RSA Conference, Сан-Франциско, Калифорния [103]
    • T00rcon, Сан-Диего, Калифорния [104]
    • Shmoocon, Вашингтон, округ Колумбия [105]
    • Skydogcon, Нэшвилл, Теннесси [106]
    • Derbycon, Луисвилл, Кентукки [107]
    • Security B-Sides, в разных местах [108]
    • Layer one, Лос-Анджелес, Калифорния [109]
    • Flocon, Остин, Техас [110]
    • PhreakNIC, Нэшвилл, Теннесси [111]
    • Hackers On Planet Earth (HOPE), Нью Йорк, Нью Йорк [112]
    • Hacker Halted, Майами, Флорида [113]
    • SANSFIRE, Вашингтон, округ Колумбия [114]
    • USENIX, в разных местах [115].
  • Обучение у вендоров конкретным продуктам, их использованию или развертыванию, например:
    • Курсы обучения или сертификации по конкретным продуктам.
    • Ориентированные на продукт конференции для текущих и потенциальных клиентов, проводимые такими поставщиками, как HP, McAfee и Cisco.

Важно признать, что перекрестное обучение значительно повышает способность сотрудников расширять свои рабочие функции, понимать роли других сотрудников в SOC и выполнять дополнительные задачи в периоды нехватки персонала. Кроме того, лучшие специалисты по защите сетей хорошо разбираются в методах атак.

Дополнительную информацию о развитии аналитиков, а также ряд других полезных советов по найму и работе с аналитиками см. в [116].

7.3.3 Определите подходящий уровень процесса

Ранее уже упоминалось, но стоит повторить — для SOC крайне важно найти правильное соотношение между упорядоченностью и свободой в управлении темпами работы и распорядком дня своих аналитиков. При невыстроенных рабочих процессах не будет последовательности в работе SOC и в процессах обнаружения инцидентов и реагирования на них. В случае слишком сложных процессов и избытка бюрократии у аналитиков не будет достаточно времени или свободы, чтобы исследовать наиболее важные наводки, которые «просто подозрительно выглядят», или браться за сложные случаи, когда необходимо. Если SOC будет впадать в ту или иную крайность, персонал будет уходить.

Какие процессы оптимальны для формализации? Вот некоторые примеры:

  • Общая концепция операций, предназначенная для внутренних и внешних подразделений, где изложены основные точки входа и выхода процесса эскалации в SOC, отражающие целостность и повторяемость процедуры обработки кибер-инцидентов.
  • Ежедневные, еженедельные и ежемесячные процедуры, которые должны выполняться каждым подразделением SOC:
    • Консоли и каналы, за которыми нужно следить.
    • Профилактическое обслуживание и проверки состояния.
    • Отчеты, которые должны быть созданы и переданы внешним организациям для понимания ситуации.
    • Веб-сайты, которые нужно проверить на наличие обновленных данных кибер-разведки и новостей.
  • Стандартные рабочие инструкции, которые подробно описывают, что делается в ответ на определенные события:
    • Процедуры эскалации для четко определенных рядовых некритичных типов инцидентов, таких как утечка данных, вирусы и веб-серфинг по сторонним ресурсам.
    • Процедуры обработки для менее структурированных, необычных или критических типов инцидентов, таких как несанкционированный доступ к учетным записям с правами root и массовые заражения вредоносными программами.
    • Сбой функционирования сенсоров, потоков данных или систем.
  • Нештатные ситуации, связанные с помещением или персоналом (например, ситуации, которые инициируют событие непрерывности операций (COOP)), такие как природные катаклизмы, пожарные учения или персонал, отсутствующий по болезни.

Обратите внимание, что мы не учли, как аналитик на самом деле оценивает данные, относящиеся к безопасности, на наличие признаков злонамеренного или аномального поведения. Это наиболее важный элемент жизненного цикла обеспечения сетевой защиты и его нельзя стандартизировать. Следует отметить, что процессы SOC (особенно стандартный рабочий процесс) в большей степени ориентированы на младших сотрудников, таких как младшие системные администраторы и персонал Линии 1, занятый мониторингом консолей. Это естественно, поскольку новым членам команды требуется более структурированная и рутинная работа.

7.3.4 Замкните цикл

Давайте вспомним главные причины, которые упоминают аналитики, почему им нравится работа в SOC: командная работа и миссия. Один из лучших способов подкрепить удовольствие от работы — регулярно сообщать сотрудникам SOC о том, что их вклад важен.

Пожалуй, самый простой способ добиться этого — проводить регулярные встречи, где будут обсуждаться тактические и операционные вопросы, и чуть реже проводить ежеквартальные встречи для обсуждения более высокоуровневых проблем. Желание собрать персонал SOC вместе должно соответствовать задачам миссии. Например, в крупном SOC еженедельные или ежедневные пятиминутки должны проводиться только для руководителей подразделений SOC.

Второй способ — предоставить обратную связь всему SOC о результатах недавних инцидентов по горячим следам. При правильной реализации это позволит достигнуть сразу нескольких целей:

  • Продемонстрировать, что усилия отдельных сотрудников оказывают влияние на общую цель.
  • Признать отдельные достижения.
  • Подчеркнуть важность вклада каждого подразделения в общую цель.
  • Выделить методы, которые можно использовать по всему SOC.
  • Проинформировать команду SOC о нюансах, связанных с процедурами реагирования на инциденты.
  • Способствовать улучшению наиболее успешных процессов и технологий.
  • Предоставить артефакты, подтверждающие определенные достижения SOC, которые можно будет использовать для обоснования необходимости в расширении его ресурсов и полномочий.

Третий метод — регулярно тренировать SOC. Тренировки нужно проводить с минимальным вмешательством в работу при максимальной целостности и реалистичности испытаний. Наиболее успешные учения сетевой защиты проводятся при активном участии одного или двух доверенных агентов SOC, которые могут смоделировать реалистичные атаки, знают, как использовать сильные и слабые стороны SOC, и могут делать выводы и наблюдения в ходе учений, исходя из своей позиции в рабочем процессе. Чем сложнее и реалистичнее вторжение, например, это может быть полноценное тестирование на проникновение активов клиентских организаций или успешная фишинговая атака, тем больше оно даст возможностей для тренировки полного цикла обработки инцидентов. Результаты испытаний SOC нужно донести до руководства и аналитиков наиболее открытым доброжелательным способом, чтобы каждый смог поучиться на этих результатах и соответствующим образом скорректировать процедуры. Наконец, учения должны быть тщательно скоординированы и одобрены ИТ-специалистами с описанием набора «инъекций», скриптов, правил взаимодействия и списков контактов.

Четвертый способ — поддерживать регулярный обмен информацией между аналитиками. Эта тема много раз затрагивалась в этой книге. Регулярно делясь «боевыми историями», члены команды получают ощущение общности и принадлежности к команде. Это также помогает развеять мифы о том, что «трава зеленее» в других SOC, тогда как в действительности большинство SOC ведут схожую борьбу и решают общие проблемы.

7.3.5 Поддерживайте адекватное обеспечение персоналом

Это, пожалуй, самое простое и одновременно сложное требование для сохранения хорошей команды. Если SOC не укомплектован квалифицированным персоналом на нужных уровнях, оставшийся персонал с меньшей вероятностью продолжит работу. Причина очевидна — сотрудники будут перегружены работой и наступит выгорание. Больше подробностей по этому вопросу в разделе 7.2.

7.3.6 Оплачивайте работу

Существует мнение, что сетевая безопасность — область, в которой преобладают 20- и 30-летние. Достаточно талантливые и целеустремленные сотрудники быстро приобретут необходимый набор ИТ-навыков всего за 12-18 месяцев работы в SOC. Например, вчерашний выпускник колледжа, обладающий рвением и дипломом по вычислительной технике (Computer Science), может отработать год или два в SOC, а затем перейти на высокооплачиваемую работу с увеличением годового оклада на 20 000 долларов и более.

Высококвалифицированные члены команды с большой вероятностью уйдут из организации на более высокооплачиваемые должности, особенно если они не чувствуют, что в их текущей организации есть возможности для карьерного роста. Помощь в развитии, наставничество и самосовершенствование лишь частично помогает. Многие SOC борются за подбор и удержание нужных людей, потому что талантливых специалистов не хватает, а рынок труда работает в пользу соискателей. И это осложняется еще и тем, что многие SOC, в особенности государственные, требуют тщательной проверки специалистов, что еще больше сужает круг кандидатов.

Суть заключается в следующем: SOC должен быть в состоянии обеспечить адекватную оплату труда своим сотрудникам. Это может быть особенно сложным в государственных организациях или при найме по контракту. Руководство SOC должно обеспечить адекватный заработок специалистам и более широкую вилку заработной платы в SOC в отличие от рядовых должностей в ИТ, таких как младший системный администратор или специалист службы поддержки. И поскольку в SOC оплата труда выше, важно тщательно проверять кандидатов на наличие сильных технических навыков и развитых личных качеств.

7.3.7 Веселитесь

Как правило, мало просто приходить на работу каждый день, чувствовать, что вы вносите важный вклад в общую цель и профессионально расти. Один из отличительных признаков сильного и здорового SOC — общие позитивные эмоции на работе или вне ее. Регулярные совместные обеды с походом в ресторан или заказанная в офис пицца или фаст-фуд — хорошее начало. Подумайте на счет тимбилдинга и социальных мероприятий после работы, которые будут привлекательны для коллектива SOC, например, пейнтбол, лазертаг, картинг или игры по локальной сети. Поддержание легкой и непринужденной атмосферы в рабочей среде также является важным моментом. Это не означает, что нужно как-то особенно одеваться каждый день или позволять сотрудникам слушать музыку в наушниках. Пострелять из детских пистолетов — тоже хороший способ выпустить пар в пятницу вечером.

7.3.8 Смиритесь

Текучка кадров — это объективная данность центра мониторинга. Текучка кадров на уровне 30 процентов в год — обычное явление. Поэтому модель работы SOC должна учитывать тот факт, что немногие члены команды проработают более четырех-пяти лет. В SOC, которые нанимают сотрудников по контракту, весь персонал полностью обновляться каждые три-пять лет. Вот несколько советов:

  • Поддерживайте в актуальном состоянии набор рабочих инструкций, которые описывают каждую из обязанностей, темп работы и навыки для каждого подразделения.
  • Постоянно отслеживайте новых кандидатов, повышайте в должности лучших специалистов и выбирайте выпускников из тех высших учебных заведений, у которых хорошая репутация в плане подготовки сильных инженеров и специалистов в области информационных технологий.
  • Постоянно обучайте персонал необходимым навыкам, особенно посредством обучения на рабочем месте и сохраняйте презентации и демонстрации для последующего использования.
  • Поддерживайте как можно больше организационных и технических знаний на руководящих и управленческих должностях, компенсируя разрывы в периоды между увольнениями и приходом новых сотрудников.
Поделиться записью: