| Рубрикатор |  |
 |
Реклама
| Блоги |  |
Алексей ЛУКАЦКИЙ | |
|
Один день из жизни аналитика SOC
| 11 ноября 2016 |
|
Итак, как обычно представляет свой рабочий день аналитик SOC? На что, как он думает, должно тратиться его драгоценное время? Список выглядит обычно так:
- интересные расследования и слежение за профессиональными тенденциями и новостями, помогающими в работе
- помощь коллегам / менторство / шефство / командная работа
- участвовать в интересных конференциях и семинарах
- регулярно повышать свою квалификацию на тренингах, включая и эксклюзивные
- завершать текущие расследования в срок
- иметь время на планирование новых расследований и гипотез для threat hunting
- готовить необходимую документацию (отчеты и т.п.)
- успешно достигать поставленных KPI.
- постоянный аврал и работа в запарке
- постоянная спешка и срыв сроков
- постоянные проблемы, отнимающие много времени на их решение
- отсутствие времени на прохождение тренингов, посещение конференций и даже чтение новостей
- регулярные звонки на самых интересных местах ночных снов и необходимость срочно решить какой-то вопрос по текущему расследованию
- необходимость обосновывать свою работу руководству
- участие в совещаниях ради участия в совещаниях
- трата времени на общение с "тупыми" заказчиками
- трата времени на общение с вендорами по поводу багов в их продуктах (например, SIEM), необходимости получения объяснений "как это работает" и т.п.
В бизнес-новелле "The Phoenix Project: A Novel About
IT, DevOps, and Helping Your Business Win", написанной специалистами по
безопасности и посвященной будням IT/Cybersecurity/DevOps приводится
такое распределение времени у аналитика/инженера SOC.
Особенно радует "желтая зона", описывающая авральные работы, которые только мешают деятельности аналитика SOC и последующим действиям специалистов по реагированию на инциденты. Административная работа (та же работы с электронной почтой) отнимают еще 10% времени, что в совокупности с 27-ью "авральными", 15-тью "совещательными" и 13-тью "сервисными" процентами составляет уже больше 2/3 всего рабочего времени. Вместо того, чтобы анализировать kill chain , описывать индикаторы компрометации , все, на что хватает времени и сил - зачистить систему, удалив и все следы нарушителя, а то и вовсе - переустановить ОС на атакованном узле с "чистого листа". А такое быстрое и "тупое" реагирование в свою очередь может затруднить предотвращение таких инцидентов в будущем. А как красиво все начиналось...
А теперь подумайте, сколько вам реально надо аналитиков, чтобы они занимались реальным анализом и расследованиями 100% времени? Как минимум в три раза больше, чем вы думали изначально.
Источник
Особенно радует "желтая зона", описывающая авральные работы, которые только мешают деятельности аналитика SOC и последующим действиям специалистов по реагированию на инциденты. Административная работа (та же работы с электронной почтой) отнимают еще 10% времени, что в совокупности с 27-ью "авральными", 15-тью "совещательными" и 13-тью "сервисными" процентами составляет уже больше 2/3 всего рабочего времени. Вместо того, чтобы анализировать kill chain , описывать индикаторы компрометации , все, на что хватает времени и сил - зачистить систему, удалив и все следы нарушителя, а то и вовсе - переустановить ОС на атакованном узле с "чистого листа". А такое быстрое и "тупое" реагирование в свою очередь может затруднить предотвращение таких инцидентов в будущем. А как красиво все начиналось...
А теперь подумайте, сколько вам реально надо аналитиков, чтобы они занимались реальным анализом и расследованиями 100% времени? Как минимум в три раза больше, чем вы думали изначально.
Источник
Адрес: 105082, Россия, г. Москва, 2-й Ирининский пер, д. 3
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.