🛀🏼 👨🏾‍🔧 🌵 SOC sur un site distant. À quoi vaut-il penser? 🍳 👩🏿‍🍳 🆘

Un analyste du SOC, lorsqu'ils ont décidé de le transférer au travail à domicile, a posé une question sacramentelle: «Je vis à Odnushka avec ma petite amie et son chat, auxquels je (en tant que chat, pas en tant que fille) suis allergique. En même temps, nous n'avons qu'une seule table, où nous mangeons, et dans des moments extraordinaires, ma fille y dessine des dessins, elle est créatrice de mode-créatrice de vêtements. Et où m'ordonnez-vous de placer 3 moniteurs que j'ai été autorisé à retirer temporairement du travail? » Eh bien, comme ce n'est qu'une des nombreuses questions qui se posent lors du transfert d'employés SOC (Security Operations Center) vers un site distant, j'ai décidé de partager notre expérience; surtout compte tenuqu'en ce moment, pour l'un de nos clients, nous sommes en train de concevoir un centre de surveillance de la cybersécurité (SOC) à partir de zéro et il a décidé de changer ses chaussures en déplacement et a demandé de prendre en compte la possibilité de travail de ses analystes et spécialistes des enquêtes sur les incidents à domicile dans le projet.

Lors d'une pandémie, de nombreuses entreprises ont déménagé ou ont dû transférer une partie de leurs employés vers un travail à distance. Le bol de cela et les experts SOC ne sont pas passés. Cependant, il convient de noter tout de suite que les régulateurs nationaux, par leurs exigences, interdisaient aux spécialistes d'externaliser les SOC qui fournissent des services à leurs clients de travailler à domicile, car l'une des conditions pour obtenir une licence pour la surveillance des SI (et un SOC commercial est un type d'activité sous licence) n'était pas seulement l'adresse de la disposition services, mais aussi la certification de son système d'information, ce qui rend également impossible une transition d'urgence vers un site distant (et non une urgence non plus). Certes, dans notre état, le nihilisme légal de l'EI et un refus temporaire de mener des inspections,vous pouvez ignorer cette nuance - les exigences des entreprises et la préservation de la vie et de la santé des gens sont beaucoup plus importantes dans ce cas. Surtout si l'on considère que les cybercriminels n'ont pas réduit leur activité. De plus, ils ont soulevé le thème du coronavirus et ont commencé à attaquer les utilisateurs à la maison, qui ont été livrés à eux-mêmes et sont devenus un lien encore plus faible que d'habitude. Par conséquent, le sujet du SOC (ou surveillance de la sécurité des informations) sur un site distant devient très pertinent pour de nombreuses entreprises. Eh bien, depuis que Cisco a aidé à créer et à auditer un nombre considérable de SOC et que notre propre SOC travaille sur le modèle de «SOC virtuel» depuis plus de 10 ans, nous avons accumulé un certain nombre de conseils que nous aimerions partager.ils ont soulevé le thème du coronavirus au drapeau et ont commencé à attaquer les utilisateurs à la maison, qui ont été livrés à eux-mêmes et sont devenus un lien encore plus faible que d'habitude. Par conséquent, le sujet du SOC (ou surveillance de la sécurité des informations) sur un site distant devient très pertinent pour de nombreuses entreprises. Eh bien, depuis que Cisco a aidé à créer et à auditer un nombre considérable de SOC et que notre propre SOC travaille sur le modèle de «SOC virtuel» depuis plus de 10 ans, nous avons accumulé un certain nombre de conseils que nous aimerions partager.ils ont soulevé le thème du coronavirus au drapeau et ont commencé à attaquer les utilisateurs à la maison, qui ont été livrés à eux-mêmes et sont devenus un lien encore plus faible que d'habitude. Par conséquent, le sujet du SOC (ou surveillance de la sécurité des informations) sur un site distant devient très pertinent pour de nombreuses entreprises. Eh bien, depuis que Cisco a aidé à créer et à auditer un nombre considérable de SOC et que notre propre SOC travaille sur le modèle de «SOC virtuel» depuis plus de 10 ans, nous avons accumulé un certain nombre de conseils que nous aimerions partager.et notre propre SOC travaille sur le modèle du «SOC virtuel» depuis plus de 10 ans, nous avons accumulé un certain nombre de conseils que nous aimerions partager.et notre propre SOC travaille sur le modèle du «SOC virtuel» depuis plus de 10 ans, nous avons accumulé un certain nombre de conseils que nous aimerions partager.

Mais je voudrais commencer non par les caractéristiques technologiques de la surveillance à distance et des enquêtes sur les incidents, nous en parlerons ci-dessous, mais par ce que nous oublions souvent. Le principal problème du transfert d'une partie ou de la totalité des analystes SOC au télétravail à domicile est lié au facteur humain. Même si vous avez construit tous les processus et que la boîte à outils vous permet de vous connecter à distance à la console SIEM ou SOAR et également de collecter à distance des artefacts à partir d'ordinateurs d'utilisateurs distants, ce sont les personnes qui peuvent devenir le maillon le plus faible du SOC qui ont quitté leurs places établies.

Pleine conscience et stress

Selon les études, le transfert aux devoirs entraîne une baisse de la productivité de 15% (une personne peut consacrer plus de temps aux tâches officielles, mais est-ce efficace?). Le stress et l'inconfort (si les enfants courent partout et qu'un voisin décide soudain de faire des réparations), ainsi que l'incapacité de se concentrer lorsqu'une femme cuisine du bortsch ou qu'un ami pratique le yoga dans la même pièce, entraînent une diminution de l'attention. Et le rêve qui vous fait signe? Pendant que vous travaillez au bureau, vous pouvez toujours traiter avec lui d'une manière ou d'une autre, mais être à la maison, voir un lit chaud et séduisant avec un être cher qui y dort, c'est beaucoup plus difficile. Et cela malgré le fait que les performances de toute personne la nuit tombent simplement de manière désastreuse.

Par conséquent, il devient très important de mesurer l'efficacité des spécialistes SOC. Le travail à distance est relaxant et tout le monde n'y est pas prêt. Les employés de SOC doivent changer leur comportement lorsqu'ils travaillent à distance. Et leurs managers doivent surveiller les performances de chaque analyste et lorsqu'ils dépassent les valeurs limites, réagir en temps opportun. Et il ne s'agit pas du «temps moyen de mise en œuvre d'un incident» banal ou du «temps moyen de réponse / localisation d'un incident», mais de mesurer chaque étape ou tâche dans le cadre du manuel développé. Supposons que vous ayez un manuel pour analyser l'activité des utilisateurs suspects et le temps de réponse moyen (à partir du moment où un signal est reçu dans SIEM et jusqu'au gel d'un compte dans AD, en plaçant un nœud dans un VLAN de quarantaine et en recherchant d'autres nœuds et utilisateurs,qui pourrait être lié à la victime) cela vous prend environ 28 minutes. Vous regardez les statistiques sur les incidents de télétravail et vous voyez que cet indicateur saute un peu dans la fourchette de 19 à 37 minutes, mais en moyenne c'est le même 28 minutes qu'il était avant le changement de mode de fonctionnement des analystes. Tout semble aller bien.

Mais si vous aviez la possibilité de surveiller toutes les étapes / tâches individuelles du livre de jeu, vous verriez qu'au lieu des 1 à 3 minutes traditionnelles pour identifier les indicateurs, 1 à 3 minutes pour les vérifier sur la plateforme TI, 1 à 2 minutes pour prendre une décision, 3 minutes pour figer le compte, etc., votre analyste immédiatement après avoir reçu l'alarme met l'utilisateur et son site en quarantaine, ou même sans vérification envoie l'incident au niveau suivant, aux analystes L2. Et, pendant environ 9-10 minutes, il n'est pas du tout clair ce que faisait l'analyste. Soit il est allé dans la cuisine pour se servir du café, soit il a décidé de regarder les informations à la télévision, ou peut-être qu'il est juste allé se promener, sur le balcon. Mais vos mesures spécifiques aux incidents sont respectées. Par conséquent, lors du passage au travail à distance, il est nécessaire de réviser les mesures existantes pour évaluer l'efficacité du SOC.

Dans le cas décrit, au fait, une autre solution pourrait être l'introduction d'outils d'automatisation qui éliminent la plupart des tâches manuelles et automatisent ce qui est écrit dans le playbook. Mais cela pourrait être fait indépendamment du travail à distance - les plates-formes SOAR sont juste conçues pour automatiser le travail des analystes SOC et non seulement accélérer le processus d'enquête et de réponse aux incidents, mais également disposer d'un outil pour mesurer l'efficacité du travail avec eux. Par conséquent, en passant, Cisco a développé une nouvelle plate-forme de gestion de la sécurité des informations gratuite - Cisco SecureX, dont la tâche est d'automatiser la gestion de nombreuses solutions Cisco (et des centaines d'autres d'autres fabricants), y compris le processus de réponse aux incidents.

Travail en équipe

SOC est presque toujours un travail d'équipe. Dans un SOC typique, ses spécialistes travaillent côte à côte dans des espaces exigus et lorsqu'ils sont obligés de passer à un travail à distance, des difficultés surgissent immédiatement pour lesquelles le SOC n'est souvent pas prêt. Soit dit en passant, cela est également facilité par les exigences de la législation, qui considèrent le SOC comme une activité autorisée dans une certaine pièce, comme je l'ai mentionné ci-dessus. Le concept de SOC virtuels ou mobiles en Russie n'est pas très accepté, en particulier lors de la fourniture de services de surveillance de la sécurité des informations et de la réponse aux incidents (pour vos propres besoins, vous pouvez bien sûr créer des SOC en utilisant l'une de leurs architectures disponibles). Le travail d'équipe à distance est un nouveau défi auquel vous devez encore vous habituer. Que rechercher dans cet aspect du SOC.

Programme

Passez en revue et éventuellement révisez votre horaire de travail. Chaque analyste doit connaître non seulement son rôle et son calendrier de travail, mais également le rôle et le calendrier des autres membres de l'équipe afin de pouvoir contacter le bon spécialiste ou le remplacer si, pour une raison quelconque, il n'est pas venu travailler (en plus de l'admission à l'hôpital, vous pouvez simplement obtenir une arrestation administrative pendant 15 jours pour avoir enfreint les règles d'auto-isolement obligatoire / oxymore classique / lorsque vous venez de vous promener sur un étang à proximité). Soit dit en passant, si votre analyste travaille dans une maison de campagne et qu'il a soudainement eu de l'électricité ou l'Internet coupé, alors bien sûr, il n'a pas besoin d'enregistrer un «absentéisme» virtuel, mais il doit être prêt à le remplacer par le temps de récupération de son poste de travail distant.Mais en plus des raisons ci-dessus, il peut y avoir beaucoup de choses à prendre en compte - les voisins inondés, un incendie, il est urgent d'emmener un être cher à l'hôpital, etc. Et tout cela doit être pris en compte tout d'abord pour les analystes de première et deuxième ligne, pour qui un séjour permanent sur le lieu de travail est le plus pertinent.

Le mentorat

Dans des conditions de rotation assez élevée du personnel aux niveaux inférieurs de la hiérarchie SOC, le mentorat de collègues plus expérimentés par rapport aux nouveaux arrivants y est très répandu. Ils aident avec des conseils, s'occupent, soutiennent. Et comment le faire sur un site distant? Comment aider un débutant laissé à lui-même? La réponse est simple - une communication correcte et constante !!!

Plan de communication

Les communications dans le travail à distance deviennent les éléments les plus importants de son efficacité. De plus, les communications ne font pas seulement partie de l'enquête sur un incident particulier, mais aussi «juste comme ça». Quelques fois par jour pour se réunir pendant 15 minutes et échanger des vues, des idées; se soutenir mutuellement dans une situation stressante (et quiconque dit quoi que ce soit, mais la situation actuelle est précisément le stress qui affecte négativement nos capacités et nos capacités). Nos analystes SOC l'ont toujours fait, mais les employés ordinaires n'ont introduit la pratique des «pauses café virtuelles» que récemment. Comme le montre l'expérience, de nombreuses personnes manquent vraiment de communication avec leurs collègues; et même les analystes introvertis ne font pas exception.

Si vous avez déjà un plan de communication, vous devez l'analyser et, très probablement, le réviser. Il doit comprendre au moins:

, , — e-mail , . /wiki SOC, ( ).
. , , , . , ? ? ( , IVR), , ?
, , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
- , . , , SOC, . grid card, , .
FAQ - RACI , / /use case.
, war room CSIRT , . , , , . « ?», . .
. , , SOC, , -? ? ? , , — .

?

Lors d'une enquête, la ressource la plus précieuse est le temps. Ne le gaspille pas. Les enquêteurs à distance peuvent dupliquer le travail de chacun. Ils peuvent répéter les mêmes discussions dans différents groupes et moyens de communication. Les messagers, qui sont souvent utilisés pour communiquer dans le cadre d'un incident, par exemple Whatsapp, ne conviennent pas très bien à cette tâche, car il est très difficile d'y rechercher et de travailler avec des documents et des artefacts; surtout lorsque dans un chat vous avez trop d'incidents différents et que la confusion entre eux commence. La création de chats séparés pour chaque incident pourrait résoudre le problème, mais je ne peux pas appeler ce chemin commode. Pourtant, les messagers ne sont pas conçus pour cette tâche. En outre, il vous sera difficile de séparer les chats de service des chats personnels,et vous deviendrez également dépendant de serveurs de gestion externes, dont le fonctionnement peut être perturbé si une agence gouvernementale commence à nouveau à lutter avec le télégramme conditionnel, ou si le fabricant du messager introduit une interdiction de publication simultanée dans plusieurs groupes / chats, combats avec de fausses nouvelles.

Pour une communication efficace dans le cadre de l'incident, la solution que vous utilisez doit être capable d'organiser des chats, le partage de fichiers et l'accès à distance au bureau. Par exemple, en utilisant Webex Teams, vous pouvez créer un espace séparé pour chaque incident, où vous pouvez non seulement collecter toutes les preuves nécessaires, mais aussi communiquer avec tous les participants impliqués dans l'incident. Et en raison de la possibilité d'écrire des chatbots et d'intégrer des équipes Webex avec des outils de sécurité, vous pouvez immédiatement vérifier et enrichir les artefacts reçus.

Si vous n'utilisez pas Webex Teams, une idée similaire peut être mise en œuvre, par exemple, sur le lien suivant: un canal Slack distinct pour un incident spécifique (et un canal de communication commun, qui peut être utilisé comme une sorte d'index pour tous les incidents), la salle Zoom pour la discussion (vous il doit y avoir un compte payant pour cela et si vous n'êtes pas confus par les problèmes constants de l'IB de ce service) et la page Confluence pour la collecte des notes. Ensuite, les informations récapitulatives des incidents sont saisies dans l'IRP, qui peut être familier à de nombreuses solutions Jira ou spécialisées de gestion des incidents.

Tableau blanc pour le brainstorming

Avez-vous un forum de brainstorming dans votre SOC? Je pense que oui. Pour le travail à distance, vous pouvez avoir besoin d'un tableau blanc - une telle fonction est disponible dans divers moyens de communication. Vous pouvez dessiner et partager des idées à distance avec des collègues. Et si vous avez utilisé des tableaux kanban pour contrôler les tâches de l'équipe, vous en aurez besoin sur la télécommande - utilisez, par exemple, Trello si vous n'avez pas de solution d'entreprise. Mais lorsque vous utilisez des solutions basées sur le cloud pour le travail d'équipe, n'oubliez pas de configurer les droits d'accès appropriés afin que les tiers ne soient pas informés de vos problèmes de sécurité et ne puissent pas intervenir dans le processus d'enquête et de réponse.

Pièce isolée

Vous avez décidé que les analystes SOC travailleraient à distance. Et vous savez comment faire cela non seulement techniquement, mais aussi psychologiquement et organisationnellement. Mais, vous êtes-vous demandé si vos analystes SOC ont leur propre appartement ou vivent dans une auberge? Qui sont vos analystes de première ligne? Des spécialistes de haut niveau travaillant depuis de nombreuses années au SOC et gagnant leur propre penthouse sur les Sparrow Hills? Ou ces étudiants vivent-ils plus récemment avec maman, papa et des frères et sœurs plus jeunes? Dans votre SOC, vous pouvez leur fournir un lieu de travail et trois moniteurs pour surveiller «l'aiguille dans la botte de foin». Votre analyste a-t-il une place pour 3 ou au moins deux moniteurs à la maison? Et si son frère le coupe à un mètre de lui sur la PlayStation et le distrait avec les sons de "caoutchouc brûlant" ou de "zombies mourants"? Si l'analyste est incapable de travailler à domicile en raison d'un manque d'espace,Vous devrez modifier la composition et le calendrier des quarts de travail.

Il est également important de garantir la commodité et le confort de travail des analystes. Dans le SOC d'entreprise, vous pouvez dépenser beaucoup d'efforts et de ressources pour choisir le bon éclairage, l'isolation acoustique, la réverbération, la climatisation, des chaises confortables, etc. Mais souvent à la maison, hélas, nous ne possédons pas de tels luxes. Et par conséquent, nous devons surveiller de plus près comment les performances des analystes ont changé avant (si, bien sûr, vous les avez collectées) et après votre départ pour un site distant. Et après les avoir analysés, tirez les conclusions appropriées. Sinon, le SOC distant deviendra une «citrouille» - il semble être là, mais il ne résout pas son problème, car les analystes sont tout simplement incapables de travailler dans leurs propres appartements.

Et n'oubliez pas que la sécurité physique de la pièce dans laquelle circulent des informations suffisamment sensibles est également importante.

Architecture SOC

En cas de pandémie, vos événements de sécurité augmenteront. Tout d'abord, vous devrez surveiller activement votre cluster VPN ou vos clusters d'accès à distance par le biais desquels les utilisateurs se connecteront aux applications et aux données du réseau d'entreprise ou qui «transmettront» le trafic des utilisateurs aux services cloud externes. Deuxièmement, vous devrez peut-être surveiller les environnements cloud si le service informatique a décidé de transférer temporairement ou déjà de manière permanente le traitement de certaines données et de certaines applications vers les clouds. Et enfin, vous avez un zoo croissant de divers systèmes qui sont à la maison avec des utilisateurs qui commenceront à générer des événements de sécurité et qui devront être analysés. Mais ce n'est pas tout.

Connexion à distance au SOC

SIEM, IRP / SOAR, billetterie, plateforme TI ... Ont-ils la possibilité de s'y connecter depuis une console distante via une connexion sécurisée (quelle chance ont ceux qui utilisent maintenant les SOC / SIEM cloud, où est la fonction intégrée)? Sinon, vous devez réfléchir à l'option avec un accès à distance via RDP / VDI ou d'autres méthodes de connexion transmises via VPN (à cet endroit, il est temps de réfléchir à la possibilité de mettre en œuvre un SOC mobile ou virtuel). Au final, vous pouvez avoir une machine virtuelle spéciale, LiveCD ou LiveUSB pour travailler avec les outils SOC; bien que nous n'ayons presque jamais vu les dernières options - il est plutôt fait pour les utilisateurs de travailler à partir de leurs ordinateurs personnels, quand il est nécessaire de séparer les applications d'entreprise et celles à domicile avec lesquelles vos proches travaillent.

À notre avis, VDI (mais aussi via VPN) serait la meilleure option du point de vue du contrôle d'accès et du travail avec des informations sensibles, mais un accès direct s'il est correctement configuré est également une option complètement fonctionnelle. Dans les deux cas, il est nécessaire non seulement d'utiliser l'authentification multifacteur, mais également de vérifier la conformité des analyses du PC de connexion avec les exigences de sécurité des informations (correctifs installés, paramètres de protection par mot de passe, présence d'antivirus ou d'EDR, etc.). Si vous avez un Cisco ASA sur le périmètre ou un Cisco ISE est déployé à l'intérieur du réseau, vous pouvez organiser une telle vérification sur eux. Nous vous recommandons de désactiver le tunneling fractionné sur les ordinateurs se connectant au SOC de l'entreprise. Ce sera beaucoup plus sûr; et pour les utilisateurs ordinaires sur un site distant aussi.

Et n'oubliez pas de préciser si des modifications de l'ACL de l'équipement frontalier côté entreprise sont nécessaires pour accéder au saint des saints d'IB? Quelle est la procédure générale pour apporter des modifications à l'ACL? Cela prendra-t-il un long processus d'approbation et nécessitera-t-il même une signature manuscrite sur la demande? Maintenant, ce serait une bonne idée de réviser toutes vos politiques et instructions en vue de leur capacité de travail dans les conditions d'impossibilité de collecter des signatures et de courir entre les patrons. Et même si vous disposez d'un système de gestion électronique des documents, est-il bien adapté à la résolution rapide des problèmes?

Enquête à distance sur des PC distants

Les enquêteurs sont habitués à ce qu'ils puissent venir voir l'employé impliqué dans l'incident et supprimer tous les journaux / vidages de mémoire / et autres artefacts de son ordinateur. Mais comment le faire à distance? Quelqu'un utilise Remote Admin, familier aux informaticiens, à quelqu'un RDP, à Skype Entreprise ou à d'autres outils. L'essentiel est de ne pas oublier de configurer correctement la fonctionnalité de protection de ces outils et de s'entendre avec les employés sur la procédure d'authentification pour les employés IT / IS se connectant à distance (enfin, n'oubliez pas les aspects juridiques, comme nous le verrons plus loin). Quelqu'un utilise GRR gratuit, osquery, Sysmon intégré ou Autorun Utility, ou EnCase commercial (les utilisateurs de Cisco AMP for Endpoints n'ont pas à s'inquiéter - ils ont un outil comme Cisco Orbital qui permet une enquête à distance).Dans certains cas, vous pouvez apprendre aux utilisateurs à exécuter le script nécessaire, qui collectera lui-même les preuves nécessaires et les transférera en toute sécurité vers le SOC pour analyse. Il est important que vous décidiez par vous-même, ces outils doivent être installés à l'avance (pour les appareils d'entreprise, il n'y a aucun problème à les préinstaller sur l'image du système d'exploitation de l'entreprise avec toutes les applications) ou ils doivent être installés en cas de problème. Dans ce dernier cas, cependant, il y a un risque que nous informions l'agresseur que son activité a été détectée et qu'il peut «quitter» sa victime, en effaçant simultanément toutes les traces laissées par lui-même. Il s'agit d'une question difficile, qui, bien sûr, est mieux résolue «à terre», et non en cours d'enquête sur un incident à distance.qui recueillera lui-même les preuves nécessaires et les transférera en toute sécurité au SOC pour analyse. Il est important que vous décidiez par vous-même, ces outils doivent être installés à l'avance (pour les appareils d'entreprise, il n'y a aucun problème à les préinstaller sur l'image du système d'exploitation de l'entreprise avec toutes les applications) ou ils doivent être installés en cas de problème. Dans ce dernier cas, cependant, il y a un risque que nous informions l'agresseur que son activité a été détectée et qu'il peut «quitter» sa victime, en effaçant simultanément toutes les traces laissées par lui-même. Il s'agit d'une question difficile, qui, bien sûr, est mieux résolue «à terre», et non en cours d'enquête sur un incident à distance.qui recueillera lui-même les preuves nécessaires et les transférera en toute sécurité au SOC pour analyse. Il est important que vous décidiez par vous-même, ces outils doivent être installés à l'avance (pour les appareils d'entreprise, il n'y a aucun problème à les préinstaller sur l'image du système d'exploitation de l'entreprise avec toutes les applications) ou ils doivent être installés en cas de problème. Dans ce dernier cas, cependant, il y a un risque que nous informions l'agresseur que son activité a été détectée et qu'il peut «quitter» sa victime, en effaçant simultanément toutes les traces laissées par lui-même. Il s'agit d'une question difficile, qui, bien sûr, est mieux résolue «à terre», et non en cours d'enquête sur un incident à distance.ces outils doivent être installés à l'avance (pour les appareils d'entreprise, il n'y a aucun problème à les préinstaller sur l'image du système d'exploitation de l'entreprise avec toutes les applications) ou ils doivent être installés en cas de problème. Dans ce dernier cas, cependant, il y a un risque que nous informions l'agresseur que son activité a été détectée et qu'il peut «quitter» sa victime, en effaçant simultanément toutes les traces laissées par lui-même. Il s'agit d'une question difficile, qui, bien sûr, est mieux résolue «à terre», et non en cours d'enquête sur un incident à distance.ces outils doivent être installés à l'avance (pour les appareils d'entreprise, il n'y a aucun problème à les préinstaller sur l'image du système d'exploitation de l'entreprise avec toutes les applications) ou ils doivent être installés en cas de problème. Dans ce dernier cas, cependant, il y a un risque que nous informions l'agresseur que son activité a été détectée et qu'il peut «quitter» sa victime, en effaçant simultanément toutes les traces laissées par lui-même. Il s'agit d'une question difficile, qui, bien sûr, est mieux résolue «à terre», et non en cours d'enquête sur un incident à distance.Bien sûr, il vaut mieux résoudre «à terre» plutôt que d'enquêter sur un incident à distance.Bien sûr, il vaut mieux résoudre «à terre» plutôt que d'enquêter sur un incident à distance.

Je pense que je reviendrai avec des documents distincts sur les enquêtes à distance et la collecte de preuves, mais pour l'instant, je vais mentionner un certain nombre de questions auxquelles vous devez être prêt à répondre dans une enquête à distance:

Comment accéder aux appareils distants domestiques, mobiles et d'entreprise? Dans l'état du zoo des appareils domestiques, cette question n'est pas aussi simple qu'il y paraît. Cela est particulièrement vrai pour les appareils mobiles, qui peuvent également nécessiter des mesures d'enquête.
Comment accéder aux journaux et aux données de la sécurité des informations et de quels journaux et artefacts généraux sur les appareils distants avons-nous besoin? Comment les collecter sélectivement?
Avez-vous besoin d'un accès administratif à distance pour enquêter et répondre, par exemple, les comptes de service, sudo, les clés SSH? Dois-je apporter des modifications aux listes de contrôle d'accès sur les routeurs domestiques pour l'accès à distance (et si elles sont fournies et gérées par le fournisseur de services)?
Est-il nécessaire de modifier les listes blanches de demandes pour le fonctionnement des outils d'enquête et de preuve?
Comment installer à distance des outils d'enquête et de collecte de preuves?
Comment suivre lorsque les appareils distants hors tension sont allumés pour enquête?
Comment allez-vous communiquer avec la victime?

Les réponses à ces questions dépendent fortement de l'infrastructure existante, de la disponibilité des normes d'entreprise pour les appareils utilisés, du système et des logiciels d'application, ainsi que du droit des employés d'utiliser des appareils personnels pour travailler à domicile.

Fournisseurs de services d'externalisation

Peut-être qu'en cas de pandémie, vous décidez d'utiliser temporairement les services d'un SOC externalisé et d'un fournisseur de MDR. De plus, vous pouvez en bénéficier dès maintenant :-) Mais il est beaucoup plus important de comprendre dans quelle mesure votre ou vos contrats d'externalisation actuels prennent en compte le travail à distance de vos analystes? MSSP / MDR / TIP / CERT / FinCERT / GosSOPKA accepte les messages de vos employés, de leur téléphone personnel ou de leur adresse e-mail? Bloque-t-il l'accès non à partir des adresses IP de l'entreprise? Est-il possible de se connecter à des tableaux de bord de fournisseurs externes et non via un VPN d'entreprise, en utilisant le tunneling fractionné?

Exigences légales

J'ai déjà écrit sur l'impossibilité du fonctionnement à distance d'un SOC commercial en raison des limites du FSTEC. Mais il y a un certain nombre de sujets à retenir lors de l'utilisation à distance du SOC. Connaissez-vous une nouvelle blague? «Mes enfants étudient à la maison. Je demande à l'administration de l'école de donner de l'argent pour de nouveaux rideaux, la peinture des murs et la réparation des meubles ”:-) Donc, dans un certain nombre de pays, il existe une pratique où les employés commencent à demander une compensation à l'employeur pour l'utilisation de l'appartement et de l'ordinateur à la maison comme outils de travail. Je pense qu'en Russie, cela ne nous menace pas encore, mais l'exemple lui-même est assez indicatif.

Il est peu probable que les employés de SOC se voient proposer d'exécuter leurs fonctions officielles à partir d'ordinateurs personnels (bien que ...), mais les employés ordinaires peuvent facilement se connecter aux ressources de l'entreprise à partir d'appareils domestiques. Et par conséquent, une question légitime se pose - sur quelle base juridique l’employeur a-t-il accès à l’ordinateur distant et personnel de l’employé lorsqu’il mène des enquêtes, collecte des artefacts, etc.? Avez-vous une clause sur le droit de l'entreprise de contrôler un employé dans un contrat de travail ou dans un accord complémentaire à celui-ci? Existe-t-il une réglementation détaillée sur ce qui est possible et ce qui ne peut pas être fait dans le cadre d'un tel suivi? Sinon, vous violez la loi applicable et l'employé a le droit de vous envoyer lorsque vous essayez d'accéder à votre appareil personnel. Il en va de même pour l'installation d'agents DLP ou d'outils de suivi du temps sur les ordinateurs personnels.

Et n'oubliez pas que votre SOC peut entrer dans le champ d'application de certaines normes internationales de gestion de la sécurité de l'information (par exemple, en Russie, plusieurs SOC ont déjà passé la certification ISO 27001). Considérez comment vous serez audité avec votre SOC distant? Vous ne conduirez pas les auditeurs dans les appartements des employés. Ou voulez-vous? ..

Conclusion

Ce sont des croquis de ce que nous devons traiter lors de la conception, de l'audit et du développement de plans pour améliorer les centres de surveillance des SI, y compris en Russie et dans les pays de la CEI. Cela ne veut pas dire que tous ces conseils ne sont pas réalisables ou nécessitent des coûts financiers, humains et humains importants. Beaucoup d'entre eux sont faciles à mettre en œuvre. L'essentiel est de ne pas laisser ces problèmes glisser sur les freins, car les ignorer peut non seulement augmenter le temps d'enquête sur les incidents pendant le travail à distance, mais même les ignorer. Aussi, ne pensez pas que la pandémie actuelle est un phénomène temporaire et bientôt tout ira bien. Si l'organisation pense sérieusement à la continuité des opérations et sait calculer la situation en plusieurs étapes, nous comprendrons que COVID-19 n'est qu'un signe; un signe que la situation pourrait se répéter l'hiver prochain.Par conséquent, "les traîneaux doivent être préparés en été". Dans tous les cas, les conseils décrits ci-dessus ne seront pas non plus superflus dans la vie SOC ordinaire.

Menace. Et au fait, n'oubliez pas de désinfecter les principaux locaux du SOC avant que les analystes n'y retournent.

SOC sur un site distant. À quoi vaut-il penser?