2-3 марта в Луисвилле проходит Blue Team Summit, на котором, в выступлении Стеф Рэнд прозвучала очень интересная цифра — среднее время, которое затрачивается на подготовку аналитика SOC, составляет 12 (!) месяцев. При этом у меня есть непубличная статистика европейских и американских SOCов, которая говорит, что средняя ротация кадров в SOC составляет около 90% в год, то есть за 12 месяцев сменяется почти весь состав аналитиков.
То есть мы уже видим некоторую нестыковку между заявлениями некоторых коммерческих SOCов и реальностью. А если посмотреть с другой точки зрения, с точки зрения бизнеса? Аналитики — это самое узкое место любого аутсорсингового SOC. И чтобы бизнес такого SOC мог расти по мере появления новых заказчиков, это узкое место должно иметь возможность почти мгновенного расширения. Ваш клиент, придя к вам за мониторингом ИБ, не может ждать, пока вы обучите за 12 месяцев нового аналитика (или даже нескольких аналитиков). И на рынке вы его не купите, так как аналитиков L2-L3 уже всех давно схантили, а L1 хантить бессмысленно (он запросит денег больше, чем стоит). Получается, что узкое место надо забивать молодняком, который готов работать за еду и который, увы, не будет блистать высокой квалификацией, но который сможет подхватывать задачи и помогать расти бизнесу.
В такой ситуации как никогда важной становится задача разработки эффективных playbook и автоматизации работы с ними и с другими задачами SOC. Тогда низкую квалификацию аналитиков SOC можно компенсировать грамотной автоматизацией и прописанными процессами, обеспечивающими движение от А до Я по наиболее короткому маршруту, недопускающим отклонений и траты драгоценного времени.
Кстати, о рутинных процессах в SOC. Профессионал не будет работать тупо методично выполнять одну и ту же работу согласно playbook. Ему очень быстро это наскучит и он либо вообще не возьмется за эту работу, либо очень быстро захочет перемен. Поэтому удел профи в SOC — это творческая работа типа threat hunting или forensics, но никак не L1-L2, коих и нужно большинство в аутсорсинговом SOCе и которые и закрывают большую часть кейсов. То есть мы опять возвращаемся к мысли, что типовые задачи SOC закрываются не профессионалами, а низкоквалифицированной рабочей силой. L1, там где работает основная масса аналитиков, это по сути конвейер, на котором каждый шаг имеет четко прогнозируемое время прохождения и предсказуемое качество. А это первые кандидаты на автоматизацию.
Вот методолог SOC — это, да, профессионал, но он нужен один, ну два, на SOC. Специалист по контролю качества SOC тоже профессионал, но и он нужен не в массовом количестве. Реверсер вредоносного кода может вообще в SOCе не дождаться, когда ему прилетит малварь для анализа. А если прилетит, то это столь редкое событие, что уж точно не требует наличия десятков специалистов. Архитектор SOC тоже птица редкая, но потому и высокооплачиваемая, Настройщиков пианино SOC тоже много не нужно. Вся массовка — это как аналитики первой и второй линии и именно их должно быть много и именно они будут низкоквалифицированной рабочей силой.
Если вам утверждают обратное и по-прежнему твердят о высокой квалификации аналитиков SOC, то стоит задуматься, понимает ли выбранный вами коммерческий SOC хоть что-то в коммерции? Какой нормальный руководитель будет нанимать высокооплачиваемых специалистов на рутинную работу, которую и робот при правильной автоматизации может выполнить? А где найти столько высокооплачиваемых профессионалов? Их в мире-то не хватает, не говоря уже о России с ее уровнем недоИБразования.
Я как-то в одной презентации по SOCам запостил скриншот одного коммерческого SOC, который как раз искал к себе аналитиков «без опыта работы», и потом на меня за эту презентацию наехали, мол, я подрываю репутацию и бизнес этого SOCа. А ведь в этом ничего такого нет — это нормальное бизнес-решение для растущего SOCа — других вариантов просто нет. Либо у вас все высококвалифицированные и дорогие и поэтому вы топчитесь на месте и уж точно не растете (а то и банкротитесь, не выдерживая конкуренции с теми, кто лучше вас понимает в бизнесе). Либо вы растете, но за счет найма «пушечного мяса», которое нахватается у вас знаний и опыта и или пойдет на повышение к вам же (а вы будете на его место искать других «студентов»), или на большую зарплату к другому работодателю. И так по кругу…
Алексей, вы в статье играете с терминологией и фактами запутывая читателя, а для подтверждения своих выводов вытаскиваете статистику из недоверенных источников—"у меня есть непубличная статистика". Очень удобно, вы так и существование рептилоидов докажете. :))
Рептилоиды существуют!
Не знаю, с чем Алексей играет и кого запутывает — я прочитал, все понял и почти полностью согласен. Единственное, что по моему мнению/опыту квалифицированные кадры есть, но их прячут 🙂
Проблема с кадрами описана верно. Тут скорее вопрос как каждый из SOC-провайдеров решает ее и как расставляет приоритеты кого и сколько "продать" на проект.
полностью согласен с заметкой, имею те же наблюдения и по своему опыту. L1 вообще берется с улицы и из студентов, выполняет сугубо обезьянью работу, L2 в основном перегружен но под давлением SLA которые нависают старается все быстро-быстро отрабатывать что конечно влияет на результат, L3 мне кажется адекватный вообще не пойдет в SOC MSS интересней в конечника который уделяет внимание ИБ. В итоге ни один из аналитиков не является счастливым и довольным.
А еще интересный психологический эффект, большой части заказчиков по барабану весь response и investigation, они купили для compliance(или для размазывая ответсвенности) и не хотят особо заморачиваться с response который требует от них MSS SOC. Обычно как: увидели инцидент, расследовали, убедились что он настоящий, запросили заказчика пофиксить/среагировать. И вот это "пофиксить/среагировать" многими заказчиками может делаться неделями, и конечно все в MSS SOC это видят и конечно понимают реальную мотивацию заказчика и от этого сильно снижается энтузиазм.
Или еще про L2/L3, сплошь и рядом у заказчиков нет части данных, то есть они их не отдают в SIEM (не хотят, не настроили, сложно настроить по орг или тех причинам). И вот подходит расследование, а аналитик понимает что данных какихто нет, он бежит к заказчику с горящими глазами (если недавно работает) и такой "Дайте логи такие-то.. Дайте больше инфо такой то…" а заказчику настолько пофиг и лень что сразу понятно. И вот такой L2 с горящими глазами всю правду жизни понимает через две недели, что главное это выполненное SLA и что надо заказчикам на самом деле. В итоге такие "токсичные заказчики" плохо влияют на все команды, тогда как для бизнеса MSS SOC такие заказчики наоборот самые желанные так как особо не парятся и деньги платят.
"большой части заказчиков по барабану весь response и investigation, они купили для compliance(или для размазывая ответственности)…" — вся суть ИБ консалтинга в России.
Кому нужна настоящая безопасность — делает ее сам.
Did you hear there's a 12 word phrase you can tell your crush… that will trigger intense feelings of love and instinctual appeal to you buried within his chest?
That's because hidden in these 12 words is a "secret signal" that triggers a man's impulse to love, worship and protect you with all his heart…
12 Words Will Fuel A Man's Love Instinct
This impulse is so built-in to a man's brain that it will drive him to work harder than ever before to to be the best lover he can be.
Matter of fact, fueling this all-powerful impulse is so mandatory to getting the best possible relationship with your man that once you send your man a "Secret Signal"…
…You will immediately find him open his heart and soul for you in such a way he never expressed before and he'll recognize you as the one and only woman in the world who has ever truly appealed to him.