В аутсорсинговых SOC не бывает квалифицированных кадров!

В аутсорсинговых SOC не бывает квалифицированных кадров!
"В нашем SOC работает высококвалифицированный персонал...". Примерно такие фразы можно встретить в рекламе чуть ли не каждого российского SOCа, предлагающего свои услуги заказчикам, задумывающимся о том, как выполнять требования законодательства по КИИ или нормативных актов Банка России, требующих незамедлительного оповещения регулятора об инцидентах. И каждый раз, когда я вижу эту победную реляцию о высококвалифицированных аналитиках, я порываюсь задать несколько вопросов такому SOC. Но так как меня могут побить камнями, а презентацию о том, что аналитики L1 не нужны мне до сих пор вспоминают, я решил задаться риторическими вопросами на страницах своего блога.

2-3 марта в Луисвилле проходит Blue Team Summit, на котором, в выступлении Стеф Рэнд прозвучала очень интересная цифра - среднее время, которое затрачивается на подготовку аналитика SOC, составляет 12 (!) месяцев. При этом у меня есть непубличная статистика европейских и американских SOCов, которая говорит, что средняя ротация кадров в SOC составляет около 90% в год, то есть за 12 месяцев сменяется почти весь состав аналитиков.


То есть мы уже видим некоторую нестыковку между заявлениями некоторых коммерческих SOCов и реальностью. А если посмотреть с другой точки зрения, с точки зрения бизнеса? Аналитики - это самое узкое место любого аутсорсингового SOC. И чтобы бизнес такого SOC мог расти по мере появления новых заказчиков, это узкое место должно иметь возможность почти мгновенного расширения. Ваш клиент, придя к вам за мониторингом ИБ, не может ждать, пока вы обучите за 12 месяцев нового аналитика (или даже нескольких аналитиков). И на рынке вы его не купите, так как аналитиков L2-L3 уже всех давно схантили, а L1 хантить бессмысленно (он запросит денег больше, чем стоит). Получается, что узкое место надо забивать молодняком, который готов работать за еду и который, увы, не будет блистать высокой квалификацией, но который сможет подхватывать задачи и помогать расти бизнесу.

В такой ситуации как никогда важной становится задача разработки эффективных playbook и автоматизации работы с ними и с другими задачами SOC. Тогда низкую квалификацию аналитиков SOC можно компенсировать грамотной автоматизацией и прописанными процессами, обеспечивающими движение от А до Я по наиболее короткому маршруту, недопускающим отклонений и траты драгоценного времени.

Кстати, о рутинных процессах в SOC. Профессионал не будет работать тупо методично выполнять одну и ту же работу согласно playbook. Ему очень быстро это наскучит и он либо вообще не возьмется за эту работу, либо очень быстро захочет перемен. Поэтому удел профи в SOC - это творческая работа типа threat hunting или forensics, но никак не L1-L2, коих и нужно большинство в аутсорсинговом SOCе и которые и закрывают большую часть кейсов. То есть мы опять возвращаемся к мысли, что типовые задачи SOC закрываются не профессионалами, а низкоквалифицированной рабочей силой. L1, там где работает основная масса аналитиков, это по сути конвейер, на котором каждый шаг имеет четко прогнозируемое время прохождения и предсказуемое качество. А это первые кандидаты на автоматизацию.

Вот методолог SOC - это, да, профессионал, но он нужен один, ну два, на SOC. Специалист по контролю качества SOC тоже профессионал, но и он нужен не в массовом количестве. Реверсер вредоносного кода может вообще в SOCе не дождаться, когда ему прилетит малварь для анализа. А если прилетит, то это столь редкое событие, что уж точно не требует наличия десятков специалистов. Архитектор SOC тоже птица редкая, но потому и высокооплачиваемая, Настройщиков пианино SOC тоже много не нужно. Вся массовка - это как аналитики первой и второй линии и именно их должно быть много и именно они будут низкоквалифицированной рабочей силой.

Если вам утверждают обратное и по-прежнему твердят о высокой квалификации аналитиков SOC, то стоит задуматься, понимает ли выбранный вами коммерческий SOC хоть что-то в коммерции? Какой нормальный руководитель будет нанимать высокооплачиваемых специалистов на рутинную работу, которую и робот при правильной автоматизации может выполнить? А где найти столько высокооплачиваемых профессионалов? Их в мире-то не хватает, не говоря уже о России с ее уровнем недоИБразования.

Я как-то в одной презентации по SOCам запостил скриншот одного коммерческого SOC, который как раз искал к себе аналитиков "без опыта работы", и потом на меня за эту презентацию наехали, мол, я подрываю репутацию и бизнес этого SOCа. А ведь в этом ничего такого нет - это нормальное бизнес-решение для растущего SOCа - других вариантов просто нет. Либо у вас все высококвалифицированные и дорогие и поэтому вы топчитесь на месте и уж точно не растете (а то и банкротитесь, не выдерживая конкуренции с теми, кто лучше вас понимает в бизнесе). Либо вы растете, но за счет найма "пушечного мяса", которое нахватается у вас знаний и опыта и или пойдет на повышение к вам же (а вы будете на его место искать других "студентов"), или на большую зарплату к другому работодателю. И так по кругу...
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ищем баги вместе! Но не те, что в продакшене...

Разбираем кейсы, делимся опытом, учимся на чужих ошибках

Зафиксируйте уязвимость своих знаний — подпишитесь!