Get best of the week

SOC en un sitio remoto. ¿En qué vale la pena pensar?

Un analista de SOC, cuando decidieron trasladarlo al trabajo desde su casa, hizo una pregunta sacramental: “Vivo en Odnushka con mi novia y su gato, a lo que yo (como gato, no como niña) soy alérgico. Al mismo tiempo, solo tenemos una mesa, en la que comemos, y en tiempos extraordinarios, mi niña dibuja sobre ella, es una diseñadora de moda-diseñadora de ropa. ¿Y dónde me ordenas colocar 3 monitores que me permitieron recoger temporalmente del trabajo? Bueno, dado que esta es solo una de las muchas preguntas que surgen al transferir a los empleados del SOC (Centro de Operaciones de Seguridad) a un sitio remoto, decidí compartir nuestra experiencia; especialmente teniendo en cuentaque en este momento para uno de nuestros clientes solo estamos diseñando un centro de monitoreo de seguridad cibernética (SOC) desde cero y decidió cambiar sus zapatos sobre la marcha y pidió tener en cuenta la posibilidad de trabajo de sus analistas y especialistas en investigación de incidentes desde su casa en el proyecto.

imagen
En una pandemia, muchas compañías se reubicaron o se les exigió que transfirieran parte de sus empleados al trabajo remoto. El cuenco de esto y los expertos de SOC no pasaron. Sin embargo, debe notarse de inmediato que los reguladores nacionales, por sus requisitos, prohibieron a los especialistas externalizar los SOC que brindan servicios a sus clientes para que trabajen desde su hogar, ya que una de las condiciones para obtener una licencia para el monitoreo de IS (y un SOC comercial es un tipo de actividad con licencia) no era solo la dirección de la disposición. servicios, pero también la certificación de su sistema de información, que también hace que sea imposible una transición de emergencia a un sitio remoto (y tampoco uno de emergencia). Es cierto que en nuestro estado, el nihilismo IS legal y una negativa temporal a realizar inspecciones,puede ignorar este matiz: los requisitos de los negocios y la preservación de la vida y la salud de las personas son mucho más importantes en este caso. Especialmente considerando el hecho de que los ciberdelincuentes no redujeron su actividad. Además, plantearon el tema del coronavirus a la bandera y comenzaron a atacar a los usuarios en el hogar, que se dejaron en sus propios dispositivos y se convirtieron en un enlace aún más débil de lo habitual. Por lo tanto, el tema de SOC (o monitoreo de seguridad de la información) en un sitio remoto se vuelve bastante relevante para muchas empresas. Bueno, dado que Cisco ayudó a construir y auditar un número considerable de SOC, y nuestro propio SOC ha estado trabajando en el modelo de "SOC virtual" durante más de 10 años, hemos acumulado una serie de consejos que nos gustaría compartir.plantearon el tema del coronavirus a la bandera y comenzaron a atacar a los usuarios en el hogar, que se quedaron con sus propios dispositivos y se convirtieron en un enlace aún más débil de lo habitual. Por lo tanto, el tema de SOC (o monitoreo de seguridad de la información) en un sitio remoto se vuelve bastante relevante para muchas empresas. Bueno, dado que Cisco ayudó a construir y auditar un número considerable de SOC, y nuestro propio SOC ha estado trabajando en el modelo de "SOC virtual" durante más de 10 años, hemos acumulado una serie de consejos que nos gustaría compartir.plantearon el tema del coronavirus a la bandera y comenzaron a atacar a los usuarios en el hogar, que se quedaron con sus propios dispositivos y se convirtieron en un enlace aún más débil de lo habitual. Por lo tanto, el tema de SOC (o monitoreo de seguridad de la información) en un sitio remoto se vuelve bastante relevante para muchas empresas. Bueno, dado que Cisco ayudó a construir y auditar un número considerable de SOC, y nuestro propio SOC ha estado trabajando en el modelo de "SOC virtual" durante más de 10 años, hemos acumulado una serie de consejos que nos gustaría compartir.y nuestro propio SOC ha estado trabajando en el modelo de "SOC virtual" durante más de 10 años, hemos acumulado una serie de consejos que nos gustaría compartir.y nuestro propio SOC ha estado trabajando en el modelo de "SOC virtual" durante más de 10 años, hemos acumulado una serie de consejos que nos gustaría compartir.

Pero me gustaría comenzar no con las características tecnológicas del monitoreo remoto y la investigación de incidentes, hablaremos de ellas a continuación, sino con lo que a menudo olvidamos. El principal problema al transferir parte o la totalidad de los analistas de SOC al teletrabajo desde casa está relacionado con el factor humano. Incluso si ha creado todos los procesos, y el kit de herramientas le permite conectarse de forma remota a la consola SIEM o SOAR y también recolectar de forma remota artefactos de computadoras de usuarios remotos, entonces son las personas las que pueden convertirse en el eslabón más débil en el SOC que ha dejado sus lugares establecidos.

Mindfulness y estrés


Según los estudios, la transferencia a la tarea lleva a una disminución de la productividad en un 15% (una persona puede dedicar más tiempo a realizar tareas oficiales, pero ¿es efectiva?). El estrés y la incomodidad (si los niños corren y un vecino repentinamente decidió hacer reparaciones fuera de la pared), así como la incapacidad para concentrarse cuando la esposa cocina borsch o un amigo practica yoga en la misma habitación, reduce la atención. ¿Y el sueño que llama así? Mientras trabajas en la oficina, puedes tratar con él de alguna manera, pero estar en casa, ver una cama cálida y atractiva con un ser querido durmiendo allí, es mucho más difícil. Y esto a pesar del hecho de que el rendimiento de cualquier persona por la noche cae simplemente desastrosamente.

imagen

Por lo tanto, se vuelve muy importante medir la efectividad de los especialistas en COS. El trabajo remoto es relajante y no todos están preparados para ello. Los empleados de SOC deben cambiar su comportamiento cuando trabajan de forma remota. Y sus gerentes necesitan monitorear el desempeño de cada analista y cuando van más allá de los valores límite, responden de manera oportuna. Y no se trata del banal "tiempo promedio de llevar un incidente al trabajo" o "tiempo promedio de respuesta / localización de un incidente", sino de medir cada etapa o tarea dentro del marco del libro de jugadas desarrollado. Suponga que tiene un libro de jugadas para analizar la actividad sospechosa del usuario y el tiempo de respuesta promedio (desde el momento en que se recibe una señal en SIEM y hasta congelar una cuenta en AD, colocar un nodo en la VLAN de cuarentena y buscar otros nodos y usuarios,que podría estar relacionado con la víctima) le lleva unos 28 minutos. Observa las estadísticas sobre incidentes trabajados a distancia y ve que este indicador salta un poco en el rango de 19 a 37 minutos, pero en promedio son los mismos 28 minutos que fueron antes del cambio en el modo de operación de los analistas. Todo parece estar bien.

Pero si tuviera la oportunidad de monitorear todos los pasos / tareas individuales del libro de jugadas, vería que en lugar de los tradicionales 1-3 minutos para identificar indicadores, 1-3 minutos para verificarlos en la plataforma TI, 1-2 minutos para tomar una decisión, 3 minutos para congelar la cuenta, etc., su analista inmediatamente después de recibir la alarma pone al usuario y su sitio en cuarentena, o incluso sin verificar envía el incidente al siguiente nivel, a los analistas L2. Y, durante aproximadamente 9-10 minutos, no está nada claro lo que estaba haciendo el analista. O iba a la cocina a servirse un café, o decidía ver las noticias en la televisión, o tal vez salía a caminar al balcón. Pero se cumplen las métricas específicas de su incidente. Por lo tanto, cuando se cambia al trabajo remoto, es necesario revisar las métricas existentes para evaluar la efectividad del SOC.

En el caso descrito, por cierto, otra solución podría ser la introducción de herramientas de automatización que eliminen la mayoría de las tareas manuales y automaticen lo que está escrito en el libro de jugadas. Pero esto podría hacerse independientemente del trabajo remoto: las plataformas SOAR están diseñadas para automatizar el trabajo de los analistas de SOC y no solo acelerar el proceso de investigación y respuesta a incidentes, sino que también tienen una herramienta para medir la efectividad del trabajo con ellos. Por lo tanto, por cierto, Cisco ha desarrollado una nueva y gratuita plataforma de administración de seguridad de la información: Cisco SecureX, cuya tarea es automatizar la administración de muchas soluciones de Cisco (y cientos más de otros fabricantes), incluido el proceso de respuesta a incidentes.

imagen

Trabajo en equipo


SOC es casi siempre trabajo en equipo. En un SOC típico, sus especialistas trabajan codo con codo en espacios reducidos y cuando se ven obligados a cambiar a trabajo remoto, surgen dificultades inmediatas para las cuales el SOC a menudo no está listo. Por cierto, esto también se ve facilitado por los requisitos de la legislación, que consideran el SOC como una actividad autorizada en una habitación determinada, como mencioné anteriormente. El concepto de SOC virtuales o móviles en Rusia no es muy aceptado, especialmente cuando se brindan servicios para monitorear la seguridad de la información y la respuesta a incidentes (por supuesto, para sus propios fines, puede construir SOC utilizando cualquiera de sus arquitecturas disponibles). El trabajo en equipo remoto es un nuevo desafío al que aún debe acostumbrarse. Qué buscar en este aspecto del SOC.

Calendario


Revise y posiblemente revise su horario de turnos. Cada analista debe conocer no solo su rol y su horario de trabajo, sino también el rol y el horario de otros miembros del equipo para poder contactar al especialista adecuado o reemplazarlo si, por alguna razón, no ha venido a trabajar (además de admisión al hospital, simplemente puede ser arrestado por 15 días por violar las reglas de autoaislamiento obligatorio / oxímoron clásico / cuando acaba de dar un paseo en un estanque cercano). Por cierto, si su analista está trabajando en una casa de campo y de repente se cortó la electricidad o Internet, entonces, por supuesto, no necesita registrar un "absentismo escolar" virtual, pero debe estar preparado para reemplazarlo con el tiempo de recuperación de su estación de trabajo remota.Pero además de las razones anteriores, puede haber muchas cosas que deben tenerse en cuenta: los vecinos se inundaron, un incendio, es urgente llevar a un ser querido al hospital, etc. Y todo esto debe tenerse en cuenta en primer lugar para los analistas de primera y segunda línea, para quienes una permanencia permanente en el lugar de trabajo es lo más relevante.

imagen

Mentoring


Bajo condiciones de una rotación bastante alta de personal en los niveles más bajos de la jerarquía SOC, la tutoría de colegas más experimentados sobre los recién llegados está muy extendida en ellos. Ayudan con consejos, cuidado, apoyo. ¿Y cómo hacerlo en un sitio remoto? ¿Cómo ayudar a un principiante a dejar sus propios dispositivos? La respuesta es simple: ¡comunicación correcta y constante!

Plan de comunicaciones


Las comunicaciones en el trabajo remoto se convierten en los elementos más importantes de su efectividad. Además, las comunicaciones no son solo parte de la investigación de un incidente en particular, sino también "así como así". Un par de veces al día para reunirse durante 15 minutos e intercambiar puntos de vista, ideas; apoyarse mutuamente en una situación estresante (y quien dice algo, pero la situación actual es precisamente el estrés que afecta negativamente nuestras capacidades y capacidades). Nuestros analistas de SOC siempre han tenido esto, pero los empleados comunes han introducido la práctica de los "descansos para tomar café virtuales" recientemente. Como lo demuestra la experiencia, muchas personas realmente carecen de comunicación con sus colegas; e incluso los analistas introvertidos no son la excepción.

Si ya tiene un plan de comunicaciones, debe analizarlo y, muy probablemente, revisarlo. Debe incluir al menos:

  • , , — e-mail , . /wiki SOC, ( ).
  • . , , , . , ? ? ( , IVR), , ?
  • , , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
  • - , . , , SOC, . grid card, , .
  • FAQ - RACI , / /use case.
  • , war room CSIRT , . , , , . « ?», . .
  • . , , SOC, , -? ? ? , , — .

?


Durante una investigación, el recurso más valioso es el tiempo. No lo desperdicies. Los investigadores remotos pueden duplicar el trabajo del otro. Pueden repetir las mismas discusiones en diferentes grupos y medios de comunicación. Los mensajeros que a menudo se utilizan para comunicarse dentro del incidente, por ejemplo, Whatsapp, no son muy adecuados para esta tarea, ya que es muy difícil buscar y trabajar con documentos y artefactos allí; especialmente cuando en un chat tienes demasiados incidentes diferentes y comienza la confusión entre ellos. Crear chats separados para cada incidente podría resolver el problema, pero no puedo considerar conveniente este camino. Aún así, los mensajeros no están diseñados para esta tarea. Además, será difícil para usted separar los chats de servicio de los personales,y también se volverá dependiente de servidores de administración externos, cuya operación puede verse interrumpida si alguna agencia gubernamental nuevamente comienza a luchar con el Telegram condicional, o si el fabricante del mensajero introduce una prohibición de publicación simultánea en varios grupos / chats, luchando con noticias falsas

Para una comunicación efectiva dentro del marco del incidente, la solución que use debe poder organizar chats, compartir archivos y acceso remoto al escritorio. Por ejemplo, utilizando Webex Teams, puede crear un espacio separado para cada incidente en él, donde no solo puede recopilar toda la evidencia necesaria, sino también comunicarse con todos los participantes involucrados en el incidente. Y debido a la capacidad de escribir chatbots e integrar Webex Teams con herramientas de seguridad, puede verificar y enriquecer de inmediato los artefactos recibidos.

imagen

Si no utiliza Webex Teams, puede implementarse una idea similar, por ejemplo, en el siguiente enlace: un canal Slack separado para un incidente específico (y un canal de comunicación común, que puede usarse como una especie de índice para todos los incidentes), la sala Zoom para discusión (usted debe haber una cuenta paga para esto y si no está confundido por los constantes problemas de IB de este servicio) y la página Confluence para recopilar notas. Luego, la información de resumen del incidente se ingresa en el IRP, que puede ser familiar para muchos Jira o soluciones especializadas de gestión de incidentes.

imagen

Pizarras para lluvia de ideas


¿Tiene una junta de lluvia de ideas en su SOC? Creo que si. Para el trabajo remoto, es posible que necesite una pizarra blanca; esta función está disponible en varios medios de comunicación. Puede dibujar y compartir ideas de forma remota con colegas. Y si usó tableros kanban para controlar las tareas del equipo, los necesitará en forma remota; use, por ejemplo, Trello si no tiene una solución corporativa. Pero cuando utilice soluciones basadas en la nube para el trabajo en equipo, no olvide configurar los derechos de acceso adecuados para que los extraños no conozcan sus problemas de seguridad y no puedan intervenir en el proceso de investigación y respuesta.

imagen

Sala remota


Decidió que los analistas de SOC trabajarían de forma remota. Y sabes cómo hacer esto no solo técnicamente, sino también psicológica y organizativamente. Pero, se preguntó, ¿sus analistas de SOC tienen su propio departamento o viven en un albergue? ¿Quiénes son sus analistas de primera línea? ¿Especialistas de clase alta que trabajan durante muchos años en el SOC y se ganan su propio ático en Sparrow Hills? ¿O estos estudiantes más recientes viven con mamá, papá y hermanos menores? En su SOC, puede proporcionarles un lugar de trabajo y tres monitores para controlar "la aguja en el pajar". ¿Tiene su analista un lugar para 3 o al menos dos monitores en casa? ¿Y si su hermano le corta un metro en PlayStation y lo distrae con los sonidos de "goma quemada" o "zombis moribundos"? Si el analista no puede trabajar desde casa debido a la falta de espacio,Deberá realizar cambios en la composición y el horario de los turnos.

También es importante garantizar la comodidad y el confort del trabajo para los analistas. En el SOC corporativo, puede gastar mucho esfuerzo y recursos para elegir la iluminación adecuada, el aislamiento de ruido, la reverberación, el aire acondicionado, las sillas cómodas, etc. Pero en casa a menudo, por desgracia, no poseemos tales lujos. Y, por lo tanto, necesitamos monitorear más de cerca cómo ha cambiado el desempeño de los analistas antes (si, por supuesto, los recopiló) y después de irse a un sitio remoto. Y después de analizarlos, saque las conclusiones apropiadas. De lo contrario, el SOC remoto se convertirá en una "calabaza", parece estar allí, pero no resuelve su problema, ya que los analistas simplemente no pueden trabajar en sus propios apartamentos.

imagen

Y no olvide que la seguridad física de la habitación en la que circula información suficientemente sensible también es importante.

Arquitectura SOC


En una pandemia, sus eventos de seguridad aumentarán. En primer lugar, tendrá que monitorear activamente su clúster VPN o clústeres de acceso remoto a través del cual los usuarios se conectarán a aplicaciones y datos dentro de la red corporativa o quienes "reenviarán" el tráfico de usuarios a servicios externos en la nube. En segundo lugar, es posible que necesite monitorear los entornos de la nube si el servicio de TI ha decidido transferir temporal o ya permanentemente el procesamiento de algunos datos y algunas aplicaciones a las nubes. Y finalmente, tiene un zoológico en crecimiento de varios sistemas que están en casa con usuarios que comenzarán a generar eventos de seguridad y que deberán analizarse. Pero eso no es todo.

Conexión remota a SOC


SIEM, IRP / SOAR, tickets, plataforma de TI ... ¿Tienen la capacidad de conectarse a ellos desde una consola remota a través de una conexión segura (qué suerte tienen los que ahora usan SOC / SIEM en la nube, ¿dónde está la función incorporada)? De lo contrario, debe pensar en la opción con acceso remoto a través de RDP / VDI u otros métodos de conexión enviados a través de VPN (en este lugar, es hora de pensar en la posibilidad de implementar un SOC móvil o virtual). Al final, puede tener una máquina virtual especial, LiveCD o LiveUSB para trabajar con herramientas SOC; aunque casi nunca vimos las últimas opciones, se hace más bien para que los usuarios trabajen desde las computadoras de su hogar, cuando es necesario separar las aplicaciones corporativas y las del hogar con las que trabajan sus familiares.

En nuestra opinión, VDI (pero también a través de VPN) sería la mejor opción desde el punto de vista del control de acceso y trabajar con información confidencial, pero el acceso directo si está configurado correctamente también es una opción completamente funcional. En ambos casos, es necesario no solo usar la autenticación multifactor, sino también asegurarse de verificar el análisis de la PC de conexión para cumplir con los requisitos de seguridad de la información (parches instalados, configuración de protección de contraseña, presencia de antivirus o EDR, etc.). Si tiene un ASA de Cisco en el perímetro o un ISE de Cisco está implementado dentro de la red, puede organizar dicha verificación en ellos. Recomendamos que deshabilite el túnel dividido en las computadoras que se conectan al SOC corporativo. Será mucho más seguro; y para usuarios comunes en un sitio remoto también.

¿Y no se olvide de aclarar si se requieren cambios en la ACL del equipo fronterizo en el lado de la empresa para acceder al lugar santísimo del IB? ¿Cuál es el procedimiento general para realizar cambios en la ACL? ¿Tomará un largo proceso de aprobación e incluso requerirá una firma manuscrita en la solicitud? Ahora sería una buena idea revisar todas sus políticas e instrucciones con miras a su capacidad de trabajo en las condiciones de imposibilidad de recolectar firmas y correr entre jefes. E incluso si tiene un sistema de gestión de documentos electrónicos, ¿qué tan bien se adapta a la pronta resolución de problemas?

Investigación remota en PC remotas


Los investigadores están acostumbrados al hecho de que pueden acudir al empleado involucrado en el incidente y eliminar todos los registros / volcado de memoria / y otros artefactos de su computadora. ¿Pero cómo hacerlo de forma remota? Alguien usa Remote Admin, familiar para especialistas de TI, alguien RDP, alguien Skype for Business u otras herramientas. Lo principal es no olvidar configurar correctamente la funcionalidad de protección de estas herramientas y acordar con los empleados sobre el procedimiento de autenticación para los empleados de TI / IS que se conectan de forma remota (bueno, no se olviden de los aspectos legales, como se discutirá más adelante). Alguien utiliza GRR gratuito, osquery, Sysmon o Utilidad de ejecución automática incorporada, o EnCase comercial (los usuarios de Cisco AMP para Endpoints no deben preocuparse: tienen una herramienta como Cisco Orbital que permite la investigación remota).En algunos casos, puede enseñar a los usuarios a ejecutar el script necesario, que a su vez recopilará la evidencia necesaria y la transferirá de forma segura al SOC para su análisis. Es importante que decida usted mismo, estas herramientas deben instalarse con anticipación (para dispositivos corporativos no hay ningún problema en preinstalarlas en la imagen del SO corporativo con todas las aplicaciones) o deben instalarse en caso de algún problema. En el último caso, sin embargo, existe el riesgo de que al hacerlo le hagamos saber al atacante que su actividad ha sido detectada y que puede "dejar" a su víctima, borrando simultáneamente todos los rastros que haya dejado. Esta es una pregunta difícil, que, por supuesto, se resuelve mejor "en tierra", y no en el proceso de investigar un incidente remoto.quién mismo recopilará la evidencia necesaria y la transferirá de manera segura al SOC para su análisis. Es importante que decida usted mismo, estas herramientas deben instalarse con anticipación (para dispositivos corporativos no hay ningún problema en preinstalarlas en la imagen del SO corporativo con todas las aplicaciones) o deben instalarse en caso de algún problema. En el último caso, sin embargo, existe el riesgo de que al hacerlo le hagamos saber al atacante que su actividad ha sido detectada y que puede "dejar" a su víctima, borrando simultáneamente todos los rastros que haya dejado. Esta es una pregunta difícil, que, por supuesto, se resuelve mejor "en tierra", y no en el proceso de investigar un incidente remoto.quién mismo recopilará la evidencia necesaria y la transferirá de manera segura al SOC para su análisis. Es importante que decida usted mismo, estas herramientas deben instalarse con anticipación (para dispositivos corporativos no hay ningún problema en preinstalarlas en la imagen del SO corporativo con todas las aplicaciones) o deben instalarse en caso de algún problema. En el último caso, sin embargo, existe el riesgo de que al hacerlo le hagamos saber al atacante que su actividad ha sido detectada y que puede "dejar" a su víctima, borrando simultáneamente todos los rastros que haya dejado. Esta es una pregunta difícil, que, por supuesto, se resuelve mejor "en tierra", y no en el proceso de investigar un incidente remoto.Estas herramientas deben instalarse de antemano (para dispositivos corporativos no hay problema en preinstalarlas en la imagen del sistema operativo corporativo con todas las aplicaciones) o deben instalarse en caso de cualquier problema. En el último caso, sin embargo, existe el riesgo de que al hacerlo le hagamos saber al atacante que su actividad ha sido detectada y que puede "dejar" a su víctima, borrando simultáneamente todos los rastros que haya dejado. Esta es una pregunta difícil, que, por supuesto, se resuelve mejor "en tierra", y no en el proceso de investigar un incidente remoto.Estas herramientas deben instalarse de antemano (para dispositivos corporativos no hay problema en preinstalarlas en la imagen del sistema operativo corporativo con todas las aplicaciones) o deben instalarse en caso de cualquier problema. En el último caso, sin embargo, existe el riesgo de que al hacerlo le hagamos saber al atacante que su actividad ha sido detectada y que puede "dejar" a su víctima, borrando simultáneamente todos los rastros que haya dejado. Esta es una pregunta difícil, que, por supuesto, se resuelve mejor "en tierra", y no en el proceso de investigar un incidente remoto.Por supuesto, es mejor resolver "en tierra", que en el proceso de investigar un incidente remoto.Por supuesto, es mejor resolver "en tierra", que en el proceso de investigar un incidente remoto.

imagen

Creo que volveré con material separado sobre investigación remota y recolección de evidencia, pero por ahora solo mencionaré una serie de preguntas que debe estar listo para responder en una investigación remota:

  • ¿Cómo acceder a dispositivos remotos domésticos, móviles y corporativos? En el estado zoológico de los dispositivos domésticos, esta pregunta no es tan simple como parece. Esto es especialmente cierto para los dispositivos móviles, que también pueden requerir medidas de investigación.
  • ¿Cómo acceder a los registros y datos de la seguridad de la información y qué registros generales y artefactos en dispositivos remotos necesitamos? ¿Cómo recogerlos selectivamente?
  • ¿Necesita acceso remoto administrativo para investigar y responder, por ejemplo, cuentas de servicio, sudo, claves SSH? ¿Debo realizar cambios en las ACL en los enrutadores domésticos para acceso remoto (y si el proveedor de servicios las proporciona y administra)?
  • ¿Es necesario modificar las listas blancas de las aplicaciones para el funcionamiento de las herramientas de investigación y evidencia?
  • ¿Cómo instalar de forma remota herramientas para la investigación y la recopilación de pruebas?
  • ¿Cómo rastrear cuando los dispositivos remotos apagados se encienden para la investigación?
  • ¿Cómo se comunicará con la víctima?

Las respuestas a estas preguntas dependen en gran medida de la infraestructura existente, la disponibilidad de estándares corporativos para los dispositivos utilizados, el sistema y el software de aplicación, así como el derecho de los empleados a usar dispositivos personales para trabajar desde casa.

Proveedores de servicios de outsourcing


Quizás en una pandemia, usted decida usar temporalmente los servicios de un proveedor externo de servicios de salud y un proveedor de MDR. Además, ahora puede obtener descuentos de ellos :-) ¿Pero es mucho más importante comprender cuánto tienen en cuenta su contrato o contratos de outsourcing actuales el trabajo remoto de sus analistas? ¿MSSP / MDR / TIP / CERT / FinCERT / GosSOPKA aceptan mensajes de sus empleados, de sus teléfonos personales o direcciones de correo electrónico? ¿Bloquean el acceso no desde las direcciones IP corporativas? ¿Es posible conectarse a paneles de proveedores externos no a través de una VPN corporativa, utilizando túneles divididos?

Requerimientos legales


Ya escribí sobre la imposibilidad de la operación remota de un SOC comercial debido a las limitaciones del FSTEC. Pero hay una serie de temas que deben recordarse cuando se opera SOC de forma remota. ¿Conoces un chiste nuevo? “Mis hijos estudian en casa. Le pido a la administración de la escuela que done dinero para nuevas cortinas, pintar paredes y reparar muebles ”:-) Así que en varios países existe una práctica en la que los empleados comienzan a exigir una compensación al empleador por usar el departamento y la computadora de su casa como herramientas de trabajo. Creo que en Rusia esto todavía no nos amenaza, pero el ejemplo en sí mismo es bastante indicativo.

Es poco probable que a los empleados de SOC se les ofrezca realizar sus tareas oficiales desde computadoras personales (aunque ...), pero los empleados comunes pueden conectarse fácilmente a recursos corporativos desde dispositivos domésticos. Y por lo tanto, surge una pregunta legítima: ¿sobre qué base legal obtiene el empleador acceso a la computadora remota y personal del empleado cuando realiza investigaciones, recolecta artefactos, etc.? ¿Tiene una cláusula sobre el derecho de la compañía a monitorear a un empleado en un contrato de trabajo o en un acuerdo adicional? ¿Existe una regulación detallada sobre lo que es posible y lo que no se puede hacer en el marco de dicho monitoreo? De lo contrario, está violando la ley aplicable y el empleado tiene todo el derecho de enviarlo cuando intente acceder a su dispositivo personal. Lo mismo se aplica a la instalación de agentes DLP o herramientas de seguimiento de tiempo en computadoras domésticas.

Y no olvide que su SOC puede estar dentro del alcance de algún estándar internacional de gestión de seguridad de la información (por ejemplo, en Rusia, varios SOC ya han pasado la certificación ISO 27001). ¿Considera cómo será auditado con su SOC remoto? No conducirá a los auditores a los apartamentos de los empleados. ¿O lo harás? ..

Conclusión


Estos son bocetos sobre lo que tenemos que enfrentar al diseñar, auditar y desarrollar planes para mejorar los centros de monitoreo de SI, incluso en Rusia y los países de la CEI. Esto no quiere decir que todos estos consejos no sean factibles o requieran costos financieros, de tiempo y humanos significativos. Muchos de estos son fáciles de implementar. Lo principal es no dejar que estos problemas resbalen, ya que ignorarlos puede conducir no solo a aumentar el tiempo para investigar incidentes durante el trabajo remoto, sino incluso a omitirlos. Además, no piense que la pandemia actual es un fenómeno temporal y pronto todo saldrá bien. Si la organización piensa seriamente en la continuidad del negocio y sabe cómo calcular la situación varios pasos adelante, entenderemos que COVID-19 es solo una señal; Una señal de que la situación puede repetirse el próximo invierno.Por lo tanto, "los trineos deben prepararse en el verano". En cualquier caso, los consejos descritos anteriormente tampoco serán superfluos en la vida ordinaria de SOC.

Amenaza. Y, por cierto, no olvides desinfectar las instalaciones principales de SOC antes de que los analistas regresen allí.

More articles:


All Articles