🙈 👉🏽 ☀️ SOC على موقع بعيد. ما الذي يستحق التفكير فيه؟ 🤸 👎🏽 ㊗️

سأل أحد المحللين في شركة نفط الجنوب ، عندما قرروا نقله إلى العمل من المنزل ، سؤالًا مقدسًا: "أعيش في odnushka مع صديقتي وقطتها ، والتي أنا (كقط ، وليس فتاة) لدي حساسية من. في الوقت نفسه ، لدينا طاولة واحدة فقط ، نأكل فيها ، وفي أوقات غير عادية ، تضع ابنتي رسومات عليها ، وهي مصممة أزياء مصممة ملابس. وأين تطلب مني أن أضع 3 شاشات سمح لي بالتقاطها مؤقتًا من العمل؟ " حسنًا ، نظرًا لأن هذا ليس سوى أحد الأسئلة العديدة التي تظهر عند نقل موظفي SOC (مركز العمليات الأمنية) إلى موقع بعيد ، فقد قررت مشاركة تجربتنا ؛ النظر بشكل خاصأنه الآن بالنسبة لأحد عملائنا ، نحن فقط نقوم بتصميم مركز مراقبة الأمن السيبراني (SOC) من البداية وقرر تغيير حذائه أثناء التنقل وطلب أن يأخذ في الاعتبار إمكانية عمل المحللين والمتخصصين في التحقيق في الحوادث من المنزل في المشروع.

في جائحة ، انتقلت العديد من الشركات أو طُلب منها نقل جزء من موظفيها إلى العمل عن بعد. صحن هذا وخبراء شركة نفط الجنوب لم يمر. ومع ذلك ، تجدر الإشارة على الفور إلى أن المنظمين المحليين ، وفقًا لمتطلباتهم ، يحظرون على المتخصصين الاستعانة بمصادر خارجية لشركات SOC التي تقدم خدمات لعملائها من العمل من المنزل ، نظرًا لأن أحد شروط الحصول على ترخيص لرصد نظم المعلومات (و SOC التجارية هي نوع مرخص من النشاط) لم يكن فقط عنوان الحكم الخدمات ، ولكن أيضًا التصديق على نظام المعلومات الخاص بها ، مما يجعل من المستحيل أيضًا الانتقال الطارئ إلى موقع بعيد (وليس موقعًا طارئًا أيضًا). صحيح ، في دولتنا ، عدمية داعش القانونية ورفض مؤقت لإجراء عمليات التفتيش ،يمكنك تجاهل هذا الفارق الدقيق - متطلبات العمل والحفاظ على حياة الناس وصحتهم أكثر أهمية في هذه الحالة. خاصة بالنظر إلى حقيقة أن المجرمين الإلكترونيين لم يقللوا من نشاطهم. علاوة على ذلك ، رفعوا موضوع الفيروس التاجي إلى العلم وبدأوا في مهاجمة المستخدمين في المنزل ، الذين تركوا لأجهزتهم الخاصة وأصبحوا رابطًا أضعف من المعتاد. لذلك ، يصبح موضوع SOC (أو مراقبة أمن المعلومات) على موقع بعيد وثيق الصلة بالعديد من الشركات. حسنًا ، نظرًا لأن Cisco ساعدت في بناء وتدقيق عدد كبير من SOCs ، وعملت SOC الخاصة بنا على نموذج "SOC الافتراضي" لأكثر من 10 سنوات ، قمنا بتجميع عدد من النصائح التي نود مشاركتها.رفعوا موضوع الفيروس التاجي إلى العلم وبدأوا في مهاجمة المستخدمين في المنزل ، الذين تركوا لأجهزتهم الخاصة وأصبحوا رابطًا أضعف من المعتاد. لذلك ، يصبح موضوع SOC (أو مراقبة أمن المعلومات) على موقع بعيد وثيق الصلة بالعديد من الشركات. حسنًا ، نظرًا لأن Cisco ساعدت في بناء وتدقيق عدد كبير من SOCs ، وعملت SOC الخاصة بنا على نموذج "SOC الافتراضي" لأكثر من 10 سنوات ، قمنا بتجميع عدد من النصائح التي نود مشاركتها.رفعوا موضوع الفيروس التاجي إلى العلم وبدأوا في مهاجمة المستخدمين في المنزل ، الذين تركوا لأجهزتهم الخاصة وأصبحوا رابطًا أضعف من المعتاد. لذلك ، يصبح موضوع SOC (أو مراقبة أمن المعلومات) على موقع بعيد وثيق الصلة بالعديد من الشركات. حسنًا ، نظرًا لأن Cisco ساعدت في بناء وتدقيق عدد كبير من SOCs ، وعملت SOC الخاصة بنا على نموذج "SOC الافتراضي" لأكثر من 10 سنوات ، قمنا بتجميع عدد من النصائح التي نود مشاركتها.وتعمل SOC الخاصة بنا على نموذج "SOC الافتراضي" لأكثر من 10 سنوات ، وقد جمعنا عددًا من النصائح التي نود مشاركتها.وتعمل SOC الخاصة بنا على نموذج "SOC الافتراضي" لأكثر من 10 سنوات ، وقد جمعنا عددًا من النصائح التي نود مشاركتها.

لكني أود ألا أبدأ بالسمات التكنولوجية للمراقبة عن بُعد والتحقيق في الحوادث ، سنتحدث عنها أدناه ، ولكن بما ننسى غالبًا. المشكلة الرئيسية في نقل جزء أو كل محللي شركة نفط الجنوب إلى العمل عن بعد من المنزل تتعلق بالعامل البشري. حتى إذا قمت ببناء جميع العمليات ، وتسمح لك مجموعة الأدوات بالاتصال عن بُعد بوحدة التحكم SIEM أو SOAR وكذلك جمع القطع الأثرية عن بعد من أجهزة الكمبيوتر الخاصة بالمستخدمين البعيدين ، فإن الأشخاص الذين يمكن أن يصبحوا أضعف رابط في SOC هو الذي ترك أماكنه المحددة.

اليقظة والتوتر

وفقًا للدراسات ، يؤدي الانتقال إلى الواجبات المنزلية إلى انخفاض في الإنتاجية بنسبة 15٪ (يمكن للشخص قضاء المزيد من الوقت في أداء الواجبات الرسمية ، ولكن هل هي فعالة؟). الإجهاد والانزعاج (إذا كان الأطفال يركضون ، وقرر أحد الجيران فجأة إجراء إصلاحات خارج الجدار) ، بالإضافة إلى عدم القدرة على التركيز عندما تطبخ الزوجة البرش أو يمارس أحد الأصدقاء اليوجا في نفس الغرفة ، قلل الانتباه. وما الحلم الذي يستدعي ذلك؟ أثناء العمل في المكتب ، لا يزال بإمكانك التعامل معه بطريقة أو بأخرى ، ولكن البقاء في المنزل ، ورؤية سرير دافئ وجذاب مع شخص عزيز ينام هناك ، يكون الأمر أكثر صعوبة. وهذا على الرغم من حقيقة أن أداء أي شخص في الليل يقع ببساطة بشكل كارثي.

لذلك ، يصبح من المهم جدًا قياس فعالية أخصائيي SOC. العمل عن بعد مريح وليس الجميع مستعدًا لذلك. يحتاج موظفو شركة نفط الجنوب إلى تغيير سلوكهم عند العمل عن بعد. ويحتاج مديروهم إلى مراقبة أداء كل محلل وعندما يتجاوزون حدود الحدود ، يستجيبون في الوقت المناسب. ولا يتعلق الأمر بمتوسط "متوسط وقت أخذ الحادث إلى العمل" أو "متوسط وقت الاستجابة / توطين الحادث" ، ولكن حول قياس كل مرحلة أو مهمة في إطار كتاب التشغيل المطور. لنفترض أن لديك دليل تشغيل لتحليل نشاط المستخدم المريب ومتوسط وقت الاستجابة له (منذ لحظة تلقي إشارة في SIEM وتجميد حساب في AD ، ووضع عقدة في شبكة محلية ظاهرية في شبكة VLAN والبحث عن العقد والمستخدمين الآخرين ،والتي قد تكون مرتبطة بالضحية) تستغرق حوالي 28 دقيقة. يمكنك إلقاء نظرة على الإحصائيات الخاصة بالحوادث التي تم العمل بها عن بعد ، وترى أن هذا المؤشر يقفز قليلاً في النطاق من 19 إلى 37 دقيقة ، ولكن في المتوسط ، هو نفس 28 دقيقة قبل التغيير في وضع تشغيل المحللين. يبدو كل شيء على ما يرام.

ولكن إذا أتيحت لك الفرصة لمراقبة جميع الخطوات / المهام الفردية لكتاب التشغيل ، فسترى أنه بدلاً من الدقائق التقليدية 1-3 لتحديد المؤشرات ، 1-3 دقائق للتحقق منها في منصة TI ، 1-2 دقائق لاتخاذ قرار ، 3 دقائق لتجميد الحساب ، وما إلى ذلك ، المحلل الخاص بك فور تلقي الإنذار يضع المستخدم وموقعه في الحجر الصحي ، أو حتى دون التحقق يرسل الحادث إلى المستوى التالي ، إلى محللي L2. ولمدة 9-10 دقائق ، ليس من الواضح على الإطلاق ما كان يفعله المحلل. إما أنه ذهب إلى المطبخ لصب القهوة بنفسه ، أو قرر مشاهدة الأخبار على شاشة التلفزيون ، أو ربما ذهب للتنزه ، إلى الشرفة. ولكن يتم استيفاء المقاييس الخاصة بك الحادث. لذلك ، عند التحول إلى العمل عن بعد ، من الضروري مراجعة المقاييس الحالية لتقييم فعالية SOC.

في الحالة الموصوفة ، بالمناسبة ، يمكن أن يكون الحل الآخر هو إدخال أدوات الأتمتة التي تقضي على معظم المهام اليدوية وأتمتة ما هو مكتوب في كتيب التشغيل. ولكن يمكن القيام بذلك بغض النظر عن العمل عن بعد - تم تصميم منصات SOAR فقط لأتمتة عمل محللي SOC وليس فقط تسريع عملية التحقيق والاستجابة للحوادث ، ولكن لديها أيضًا أداة لقياس فعالية العمل معهم. لذلك ، بالمناسبة ، طورت Cisco نظامًا أساسيًا جديدًا ومجانيًا لإدارة أمن المعلومات - Cisco SecureX ، وتتمثل مهمتها في أتمتة إدارة العديد من حلول Cisco (ومئات غيرها من الشركات المصنعة الأخرى) ، بما في ذلك عملية الاستجابة للحوادث.

العمل بروح الفريق الواحد

شركة نفط الجنوب هي دائما تقريبا العمل الجماعي. في شركة نفط الجنوب النموذجية ، يعمل اختصاصوها جنبًا إلى جنب في الأماكن الضيقة وعندما يضطرون إلى التحول إلى العمل عن بعد ، تنشأ صعوبات على الفور تكون شركة نفط الجنوب غير جاهزة لها في الغالب. بالمناسبة ، يتم تسهيل ذلك أيضًا بمتطلبات التشريع ، التي تعتبر SOC نشاطًا مرخصًا في غرفة معينة ، كما ذكرت أعلاه. إن مفهوم SOCs الافتراضية أو المتنقلة في روسيا غير مقبول للغاية ، خاصة عند تقديم خدمات لرصد أمن المعلومات والاستجابة للحوادث (لأغراضك الخاصة ، بالطبع ، يمكنك بناء SOCs باستخدام أي من بنيتها المتاحة). يعد العمل الجماعي عن بُعد تحديًا جديدًا لا تزال بحاجة إلى التعود عليه. ما الذي تبحث عنه في هذا الجانب من SOC.

جدول

مراجعة وربما مراجعة جدول المناوبات الخاص بك. يجب أن يعرف كل محلل ليس فقط دوره وجدول عمله ، ولكن أيضًا دور وجدول أعضاء الفريق الآخرين حتى يتمكنوا من الاتصال بالأخصائي المناسب أو استبداله إذا لم يأت إلى العمل لسبب ما (بالإضافة إلى الدخول إلى المستشفى ، يمكنك ببساطة أن تحتجز إداريًا لمدة 15 يومًا لانتهاك قواعد العزل الذاتي الإلزامي / التناقض الكلاسيكي / عندما ذهبت للتنزه في بركة قريبة). بالمناسبة ، إذا كان المحلل الخاص بك يعمل في منزل ريفي فجأة وانقطع التيار الكهربائي أو الإنترنت ، فهو بالطبع لا يحتاج إلى تسجيل "تغيب عن المدرسة" افتراضي ، ولكن يجب أن يكون مستعدًا لاستبداله بوقت الاسترداد لمحطة العمل البعيدة الخاصة به.ولكن بالإضافة إلى الأسباب المذكورة أعلاه ، قد يكون هناك الكثير من الأشياء التي يجب أخذها في الاعتبار - الجيران الذين غمرهم الماء ، النار ، من الضروري اصطحاب شخص عزيز إلى المستشفى ، إلخ. وكل هذا يجب أن يؤخذ في الاعتبار أولاً وقبل كل شيء لمحللي الخط الأول والثاني ، الذين تكون الإقامة الدائمة في مكان العمل هي الأكثر صلة.

الإرشاد

في ظل ظروف التناوب المرتفع إلى حد ما للموظفين في المستويات الدنيا من التسلسل الهرمي لـ SOC ، فإن توجيه الزملاء الأكثر خبرة حول الوافدين الجدد منتشر على نطاق واسع. إنهم يساعدون بالمشورة ، الاعتناء ، الدعم. وكيف نفعل ذلك على موقع بعيد؟ كيفية مساعدة مبتدئ ترك لأجهزته الخاصة؟ الجواب بسيط - التواصل الصحيح والمستمر !!!

خطة الاتصالات

تصبح الاتصالات في العمل عن بعد أهم عناصر فعاليتها. علاوة على ذلك ، فإن الاتصالات ليست فقط جزءًا من التحقيق في حادث معين ، ولكنها أيضًا "تمامًا مثل ذلك". بضع مرات في اليوم للتجمع لمدة 15 دقيقة وتبادل وجهات النظر والأفكار. ندعم بعضنا البعض في موقف مرهق (ومن يقول أي شيء ، لكن الوضع الحالي هو بالضبط الضغط الذي يؤثر سلبًا على قدراتنا وقدراتنا). لطالما كان محللو SOC لدينا لديهم ذلك ، لكن الموظفين العاديين أدخلوا ممارسة "استراحات القهوة الافتراضية" مؤخرًا فقط. كما تظهر التجربة ، يفتقر الكثير من الناس إلى التواصل مع الزملاء ؛ وحتى المحللون الانطوائيون ليسوا استثناء.

إذا كان لديك بالفعل خطة اتصالات ، فيجب عليك تحليلها ، وعلى الأرجح ، مراجعتها. يجب أن يتضمن على الأقل:

, , — e-mail , . /wiki SOC, ( ).
. , , , . , ? ? ( , IVR), , ?
, , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
- , . , , SOC, . grid card, , .
FAQ - RACI , / /use case.
, war room CSIRT , . , , , . « ?», . .
. , , SOC, , -? ? ? , , — .

?

أثناء التحقيق ، فإن المورد الأكثر قيمة هو الوقت. لا تضيعوا وذلك. يمكن للمحققين عن بعد تكرار عمل بعضهم البعض. يمكنهم تكرار نفس المناقشات في مجموعات ووسائل اتصال مختلفة. السعاة الذين يتم استخدامهم غالبًا للتواصل في الحادث ، على سبيل المثال ، Whatsapp ، ليسوا مناسبين جدًا لهذه المهمة ، نظرًا لأنه من الصعب جدًا البحث والعمل مع المستندات والأدوات هناك ؛ خاصة عندما يكون لديك في دردشة واحدة العديد من الحوادث المختلفة ويبدأ الارتباك بينهما. يمكن أن يؤدي إنشاء محادثات منفصلة لكل حادثة إلى حل المشكلة ، ولكن لا يمكنني اعتبار هذا المسار مناسبًا. ومع ذلك ، لم يتم تصميم الرسل لهذه المهمة. بالإضافة إلى ذلك ، سيكون من الصعب عليك فصل الدردشات الخاصة بالخدمة عن الدردشات الشخصية ،وستصبح أيضًا معتمدًا على خوادم الإدارة الخارجية ، والتي قد تتعطل تشغيلها إذا بدأت أي وكالة حكومية مرة أخرى في النضال مع Telegram الشرطي ، أو إذا فرضت الشركة المصنعة للرسالة حظرًا على النشر المتزامن لعدة مجموعات / محادثات ، قتال بأخبار مزيفة.

للاتصال الفعال في إطار الحادث ، يجب أن يكون الحل الذي تستخدمه قادرًا على تنظيم الدردشات ومشاركة الملفات والوصول عن بُعد إلى سطح المكتب. على سبيل المثال ، باستخدام Webex Teams ، يمكنك إنشاء مساحة منفصلة لكل حادثة فيها ، حيث لا يمكنك فقط جمع كل الأدلة اللازمة ، ولكن أيضًا التواصل مع جميع المشاركين المشاركين في الحادثة. وبسبب القدرة على كتابة برامج الدردشة الآلية ودمج فرق Webex مع أدوات الأمان ، يمكنك على الفور فحص وإثراء العناصر المستلمة.

إذا كنت لا تستخدم Webex Teams ، فيمكن تنفيذ فكرة مشابهة ، على سبيل المثال ، على الرابط التالي: قناة سلاك منفصلة لحادث معين (وقناة اتصال مشتركة ، والتي يمكن استخدامها كنوع من الفهرس لجميع الحوادث) ، غرفة التكبير للمناقشة (أنت يجب أن يكون هناك حساب مدفوع لهذا وإذا لم تكن مرتبكًا بسبب مشاكل IB المستمرة لهذه الخدمة) وصفحة Confluence لجمع الملاحظات. بعد ذلك ، يتم إدخال معلومات ملخص الحادث في IRP ، والتي يمكن أن تكون مألوفة للعديد من حلول Jira أو المتخصصة في إدارة الحوادث.

اللوح الأبيض للعصف الذهني

هل لديك لوحة للعصف الذهني في SOC؟ أعتقد ذلك. للعمل عن بُعد ، قد تحتاج إلى السبورة البيضاء - فهذه الوظيفة متوفرة في وسائل الاتصال المختلفة. يمكنك رسم الأفكار ومشاركتها عن بعد مع الزملاء. وإذا كنت تستخدم لوحات kanban للتحكم في مهام الفريق ، فستحتاج إليها على جهاز التحكم عن بعد ، على سبيل المثال ، Trello إذا لم يكن لديك حل مؤسسي. ولكن عند استخدام الحلول المستندة إلى السحابة للعمل الجماعي ، لا تنسى تكوين حقوق الوصول المناسبة بحيث لا يتعرف الغرباء على مشكلات الأمان ولا يمكنهم التدخل في عملية التحقيق والاستجابة.

غرفة نائية

لقد قررت أن محللي SOC سيعملون عن بعد. وأنت تعرف كيف تفعل ذلك ليس فقط من الناحية الفنية ، ولكن أيضًا من الناحية النفسية والتنظيمية. ولكن ، هل سألت نفسك ، هل محللو SOC لديك شقتهم الخاصة أو يعيشون في نزل؟ من هم محللو الخط الأول؟ متخصصون من الدرجة العالية يعملون لسنوات عديدة في شركة نفط الجنوب ويكسبون السقيفة الخاصة بهم في تلال سبارو؟ أو هل يعيش هؤلاء الطلاب مؤخرًا مع أمهات وأبي وأشقائي؟ في SOC ، يمكنك تزويدهم بمكان عمل وثلاث شاشات لمراقبة "الإبرة في كومة القش". هل محللك لديه مكان لـ 3 أو شاشتين على الأقل في المنزل؟ وإذا قطع شقيقه مترًا منه في PlayStation وصرفه بأصوات "حرق المطاط" أو "الموتى الزومبي"؟ إذا كان المحلل غير قادر على العمل من المنزل بسبب ضيق المساحة ،ستحتاج إلى إجراء تغييرات على تكوين وجدول التحولات.

من المهم أيضًا ضمان راحة وراحة العمل للمحللين. في شركة SOC ، يمكنك إنفاق الكثير من الجهد والموارد لاختيار الإضاءة المناسبة ، وعزل الضوضاء ، والصدى ، وتكييف الهواء ، والكراسي المريحة ، وما إلى ذلك. ولكن في المنزل في كثير من الأحيان ، للأسف ، لا نملك مثل هذه الكماليات. وبالتالي ، نحتاج إلى أن نراقب عن كثب كيف تغير أداء المحللين قبل (إذا قمت بجمعهم بالطبع) وبعد مغادرتهم إلى موقع بعيد. وبعد تحليلها ، استخلص النتائج المناسبة. خلاف ذلك ، سوف تتحول شركة نفط الجنوب البعيدة إلى "اليقطين" - يبدو أنها موجودة ، لكنها لا تحل مشكلتها ، لأن المحللين ببساطة غير قادرين على العمل في شققهم الخاصة.

ولا تنس أن الأمان المادي للغرفة التي يتم فيها تداول المعلومات الحساسة بما فيه الكفاية مهم أيضًا.

هندسة SOC

في حالة الوباء ، ستزداد الأحداث الأمنية. أولاً ، سيكون عليك مراقبة مجموعة VPN الخاصة بك أو مجموعات الوصول عن بُعد التي سيقوم المستخدمون من خلالها بالاتصال بالتطبيقات والبيانات داخل شبكة الشركة أو الذين سيقومون "بإعادة توجيه" حركة المستخدم إلى الخدمات السحابية الخارجية. ثانيًا ، قد تحتاج إلى مراقبة البيئات السحابية إذا قررت خدمة تكنولوجيا المعلومات نقل معالجة بعض البيانات وبعض التطبيقات إلى السحابة بشكل مؤقت أو بالفعل. وأخيرًا ، لديك حديقة حيوانات متزايدة من أنظمة مختلفة في المنزل مع المستخدمين الذين سيبدأون في إنشاء أحداث أمنية والتي ستحتاج إلى التحليل. لكن هذا ليس كل شيء.

اتصال عن بعد بـ SOC

SIEM ، IRP / SOAR ، التذاكر ، منصة TI ... هل لديهم القدرة على الاتصال بهم من وحدة تحكم عن بعد عبر اتصال آمن (كم هم محظوظون الذين يستخدمون SOCs / SIEMs السحابية الآن ، أين هي الوظيفة المدمجة)؟ إذا لم يكن الأمر كذلك ، فأنت بحاجة إلى التفكير في الخيار مع الوصول عن بعد عبر RDP / VDI أو طرق الاتصال الأخرى التي تتم إعادة توجيهها عبر VPN (في هذا المكان ، حان الوقت للتفكير في إمكانية تنفيذ هاتف محمول أو SOC افتراضي). في النهاية ، يمكن أن يكون لديك جهاز افتراضي خاص أو LiveCD أو LiveUSB للعمل مع أدوات SOC ؛ على الرغم من أننا لم نر تقريبًا الخيارات الأخيرة - بل يتم إجراؤها للمستخدمين للعمل من أجهزة الكمبيوتر المنزلية ، عندما يكون من الضروري فصل تطبيقات الشركة والتطبيقات المنزلية التي يعمل بها أقاربك.

في رأينا ، سيكون VDI (ولكن أيضًا عبر VPN) هو الخيار الأفضل من وجهة نظر التحكم في الوصول والعمل مع المعلومات الحساسة ، ولكن الوصول المباشر إذا تم تكوينه بشكل صحيح هو أيضًا خيار يعمل بشكل كامل. في كلتا الحالتين ، من الضروري ليس فقط استخدام المصادقة متعددة العوامل ، ولكن تأكد أيضًا من التحقق من تحليلات جهاز الكمبيوتر المتصل للتأكد من امتثالها لمتطلبات أمن المعلومات (التصحيحات المثبتة ، وإعدادات حماية كلمة المرور ، ووجود مضاد للفيروسات أو EDR ، وما إلى ذلك). إذا كان لديك Cisco ASA على المحيط أو تم نشر Cisco ISE داخل الشبكة ، فيمكنك ترتيب مثل هذا الفحص عليها. نوصي بتعطيل تقسيم الأنفاق على أجهزة الكمبيوتر المتصلة بـ SOC للشركة. سيكون أكثر أمانًا ؛ وللمستخدمين العاديين على موقع بعيد أيضًا.

ولا تنس توضيح ما إذا كانت التغييرات في ACL لمعدات الحدود على جانب الشركة مطلوبة للوصول إلى قدس أقداس البكالوريا الدولية؟ ما هو الإجراء العام لإجراء تغييرات على ACL؟ هل سيستغرق الأمر عملية موافقة طويلة ، بل وسيتطلب التوقيع بخط اليد على الطلب؟ الآن سيكون من الجيد مراجعة جميع سياساتك وتعليماتك من أجل القدرة على العمل في ظروف استحالة جمع التوقيعات والركض بين الرؤساء. وحتى إذا كان لديك نظام إلكتروني لإدارة المستندات ، ما مدى ملاءمته للحل الفوري للمشكلات؟

التحقيق عن بعد على أجهزة الكمبيوتر عن بعد

اعتاد المحققون على حقيقة أنه يمكنهم القدوم إلى الموظف المتورط في الحادث وإزالة جميع السجلات / تفريغ الذاكرة / وغيرها من القطع الأثرية من جهاز الكمبيوتر الخاص به. ولكن كيف تفعل ذلك عن بعد؟ يستخدم شخص ما Admin Remote أو مألوف لمتخصصي تكنولوجيا المعلومات أو شخص RDP أو شخص Skype for Business أو أدوات أخرى. الشيء الرئيسي هو عدم نسيان تكوين وظيفة الحماية لهذه الأدوات بشكل صحيح والاتفاق مع الموظفين على إجراء المصادقة لموظفي IT / IS الذين يتصلون عن بُعد (حسنًا ، لا تنسى الجوانب القانونية ، كما سيتم مناقشتها لاحقًا). يستخدم شخص ما GRR أو osquery أو Sysmon المدمج أو Autorun Utility أو EnCase التجاري (لا يحتاج مستخدمو Cisco AMP for Endpoints إلى القلق - لديهم أداة مثل Cisco Orbital تسمح بالتحقيق عن بُعد).في بعض الحالات ، يمكنك تعليم المستخدمين تشغيل النص البرمجي اللازم ، والذي سيقوم بجمع الأدلة اللازمة ونقله بأمان إلى SOC لتحليله. من المهم بالنسبة لك أن تقرر بنفسك ، يجب تثبيت هذه الأدوات مقدمًا (بالنسبة لأجهزة الشركة ، لا توجد مشكلة في التثبيت المسبق على صورة نظام التشغيل للشركة مع جميع التطبيقات) أو يجب تثبيتها في حالة حدوث أي مشاكل. ومع ذلك ، في الحالة الأخيرة ، هناك خطر يتمثل في قيامنا بذلك بإخطار المهاجم بأنه تم الكشف عن نشاطه وأنه يمكنه "ترك" ضحيته ، ومحو جميع الآثار التي تركها بنفسه في نفس الوقت. هذا سؤال صعب ، بالطبع ، من الأفضل حله "على الشاطئ" ، وليس في عملية التحقيق في حادث بعيد.الذي سيقوم بنفسه بجمع الأدلة اللازمة ونقله بأمان إلى شركة نفط الجنوب لتحليله. من المهم بالنسبة لك أن تقرر بنفسك ، يجب تثبيت هذه الأدوات مقدمًا (بالنسبة لأجهزة الشركة ، لا توجد مشكلة في التثبيت المسبق لها على صورة نظام تشغيل الشركة مع جميع التطبيقات) أو يجب تثبيتها في حالة حدوث أي مشاكل. ومع ذلك ، في الحالة الأخيرة ، هناك خطر يتمثل في قيامنا بذلك بإخطار المهاجم بأنه تم الكشف عن نشاطه وأنه يمكنه "ترك" ضحيته ، ومحو جميع الآثار التي تركها بنفسه في نفس الوقت. هذا سؤال صعب ، بالطبع ، من الأفضل حله "على الشاطئ" ، وليس في عملية التحقيق في حادث بعيد.الذي سيقوم بنفسه بجمع الأدلة اللازمة ونقله بأمان إلى شركة نفط الجنوب لتحليله. من المهم بالنسبة لك أن تقرر بنفسك ، يجب تثبيت هذه الأدوات مقدمًا (بالنسبة لأجهزة الشركة ، لا توجد مشكلة في التثبيت المسبق لها على صورة نظام تشغيل الشركة مع جميع التطبيقات) أو يجب تثبيتها في حالة حدوث أي مشاكل. ومع ذلك ، في الحالة الأخيرة ، هناك خطر يتمثل في قيامنا بذلك بإخطار المهاجم بأنه تم الكشف عن نشاطه وأنه يمكنه "ترك" ضحيته ، ومحو جميع الآثار التي تركها بنفسه. هذا سؤال صعب ، بالطبع ، من الأفضل حله "على الشاطئ" ، وليس في عملية التحقيق في حادث بعيد.يجب تثبيت هذه الأدوات مقدمًا (بالنسبة لأجهزة الشركة ، لا توجد مشكلة في التثبيت المسبق لها على صورة نظام تشغيل الشركة مع جميع التطبيقات) أو يجب تثبيتها في حالة حدوث أي مشاكل. ومع ذلك ، في الحالة الأخيرة ، هناك خطر يتمثل في قيامنا بذلك بإخطار المهاجم بأنه تم الكشف عن نشاطه وأنه يمكنه "ترك" ضحيته ، ومحو جميع الآثار التي تركها بنفسه في نفس الوقت. هذا سؤال صعب ، بالطبع ، من الأفضل حله "على الشاطئ" ، وليس في عملية التحقيق في حادث بعيد.يجب تثبيت هذه الأدوات مقدمًا (بالنسبة لأجهزة الشركة ، لا توجد مشكلة في التثبيت المسبق لها على صورة نظام تشغيل الشركة مع جميع التطبيقات) أو يجب تثبيتها في حالة حدوث أي مشاكل. ومع ذلك ، في الحالة الأخيرة ، هناك خطر يتمثل في قيامنا بذلك بإخطار المهاجم بأنه تم الكشف عن نشاطه وأنه يمكنه "ترك" ضحيته ، ومحو جميع الآثار التي تركها بنفسه. هذا سؤال صعب ، بالطبع ، من الأفضل حله "على الشاطئ" ، وليس في عملية التحقيق في حادث بعيد.بالطبع ، من الأفضل حل "الشاطئ" بدلاً من التحقيق في حادثة بعيدة.بالطبع ، من الأفضل حل "الشاطئ" بدلاً من التحقيق في حادثة بعيدة.

أعتقد أنني سأعود بمواد منفصلة عن التحقيق عن بعد وجمع الأدلة ، ولكن في الوقت الحالي سأذكر فقط عددًا من الأسئلة التي يجب أن تكون مستعدًا للإجابة عنها أثناء التحقيق عن بُعد:

كيفية الوصول إلى الأجهزة البعيدة المنزل والجوال والشركات؟ في حالة حديقة الحيوان للأجهزة المنزلية ، هذا السؤال ليس بالبساطة التي يبدو عليها. ينطبق هذا بشكل خاص على الأجهزة المحمولة ، والتي قد تتطلب أيضًا إجراءات تحقيق.
كيفية الوصول إلى السجلات والبيانات الخاصة بأمن المعلومات وما هي السجلات والتحف العامة على الأجهزة البعيدة التي نحتاجها؟ كيفية جمعها بشكل انتقائي؟
هل تحتاج إلى وصول إداري بعيد للتحقيق والرد ، على سبيل المثال ، حسابات الخدمة ، sudo ، مفاتيح SSH؟ هل أحتاج إلى إجراء تغييرات على قوائم ACL على أجهزة التوجيه المنزلية للوصول عن بُعد (وإذا تم توفيرها وإدارتها بواسطة مزود الخدمة)؟
هل من الضروري تعديل اللائحة البيضاء الخاصة بطلبات تشغيل أدوات التحقيق والأدلة؟
كيفية تثبيت أدوات للتحقيق وجمع الأدلة عن بعد؟
كيف تتعقب عندما يتم إيقاف تشغيل الأجهزة البعيدة للتحقيق؟
كيف ستتواصل مع الضحية؟

تعتمد إجابات هذه الأسئلة بشكل كبير على البنية التحتية المتاحة ، وتوفر معايير الشركة للأجهزة المستخدمة ، وبرمجيات النظام والتطبيق ، وكذلك حق الموظفين في استخدام الأجهزة الشخصية للعمل من المنزل.

مقدمي خدمات الاستعانة بمصادر خارجية

ربما في حالة الوباء ، قررت استخدام خدمات SOC الخارجية وموفر MDR مؤقتًا. علاوة على ذلك ، يمكنك الحصول على خصومات منها الآن :-) ولكن الأهم من ذلك بكثير أن نفهم إلى أي مدى تأخذ عقودك الحالية أو عقود الاستعانة بمصادر خارجية الحالية في الاعتبار العمل عن بُعد لمحللك؟ تقبل MSSP / MDR / TIP / CERT / FinCERT / GosSOPKA رسائل من موظفيك ، من هواتفهم الشخصية أو عناوين بريدهم الإلكتروني؟ هل يمنعون الوصول ليس من عناوين IP الخاصة بالشركات؟ هل من الممكن الاتصال بلوحات العدادات من المزودين الخارجيين ليس من خلال VPN للشركات ، باستخدام الأنفاق المقسمة؟

المتطلبات القانونية

لقد كتبت بالفعل عن استحالة التشغيل عن بعد لشركة نفط الجنوب التجارية بسبب قيود FSTEC. ولكن هناك عدد من المواضيع التي يجب تذكرها عند تشغيل SOC عن بعد. هل تعرف نكتة جديدة؟ "أطفالي يدرسون في المنزل. أطلب من إدارة المدرسة التبرع بالمال للستائر الجديدة وطلاء الجدران وإصلاح الأثاث ”:-) لذلك هناك ممارسة في عدد من البلدان حيث يبدأ الموظفون في المطالبة بتعويض من صاحب العمل لاستخدام الشقة والكمبيوتر المنزلي كأدوات عمل. أعتقد أن هذا في روسيا لا يهددنا حتى الآن ، لكن المثال نفسه يدل على ذلك.

من غير المحتمل أن يُعرض على موظفي شركة نفط الجنوب أداء واجباتهم الرسمية من أجهزة الكمبيوتر الشخصية (على الرغم من ...) ، ولكن يمكن للموظفين العاديين الاتصال بسهولة بموارد الشركة من الأجهزة المنزلية. وبالتالي ، يطرح سؤال شرعي - على أي أساس قانوني يحصل صاحب العمل على الوصول إلى الكمبيوتر البعيد والشخصي للموظف عند إجراء التحقيقات ، وجمع القطع الأثرية ، وما إلى ذلك؟ هل لديك بند حول حق الشركة في مراقبة الموظف في عقد العمل أو في اتفاقية إضافية إليه؟ هل هناك لائحة تفصيلية حول ما هو ممكن وما لا يمكن القيام به في إطار هذا الرصد؟ إذا لم يكن الأمر كذلك ، فأنت تنتهك القانون المعمول به وللموظف الحق الكامل في إرسالك عندما تحاول الوصول إلى جهازك الشخصي. وينطبق الشيء نفسه على تثبيت وكلاء DLP أو أدوات تتبع الوقت على أجهزة الكمبيوتر المنزلية.

ولا تنس أن SOC الخاص بك قد يقع ضمن نطاق بعض معايير إدارة الأمن الدولية (على سبيل المثال ، في روسيا اجتازت العديد من SOC بالفعل شهادة ISO 27001). فكر في كيفية تدقيقك مع SOC عن بعد؟ لن تقود المدققين إلى شقق الموظفين. أم أنت؟ ..

استنتاج

هذه تخطيطات حول ما يتعين علينا التعامل معه عند تصميم ومراجعة وتطوير الخطط لتحسين مراكز مراقبة IS ، بما في ذلك في روسيا ودول رابطة الدول المستقلة. هذا لا يعني أن كل هذه النصائح ليست مجدية أو تتطلب تكاليف مالية وبشرية وبشرية كبيرة. العديد من هذه سهلة التنفيذ. الشيء الرئيسي هو عدم ترك هذه المشاكل تنزلق على الفرامل ، لأن تجاهلها يمكن أن يؤدي ليس فقط إلى زيادة وقت التحقيق في الحوادث أثناء العمل عن بعد ، ولكن حتى تخطيها. أيضا ، لا تعتقد أن الوباء الحالي هو ظاهرة مؤقتة وقريبا كل شيء سوف يعمل. إذا كانت المنظمة تفكر بجدية في استمرارية العمل وتعرف كيفية حساب الموقف بعدة خطوات إلى الأمام ، فسوف نفهم أن COVID-19 مجرد علامة ؛ علامة على أن الوضع قد يتكرر في الشتاء المقبل.لذلك ، "يجب تحضير الزلاجات في الصيف". على أي حال ، لن تكون النصائح الموضحة أعلاه زائدة في حياة SOC العادية أيضًا.

التهديد. وبالمناسبة ، لا تنسَ تعقيم مباني شركة نفط الجنوب الرئيسية قبل عودة المحللين إلى هناك.

SOC على موقع بعيد. ما الذي يستحق التفكير فيه؟