Get best of the week

SOC em um site remoto. No que vale a pena pensar?

Um analista do SOC, quando decidiu transferi-lo para o trabalho de casa, fez uma pergunta sacramental: “Moro em odnushka com minha namorada e seu gato, aos quais eu (como gato, não como menina) sou alérgico. Ao mesmo tempo, temos apenas uma mesa, na qual comemos e, em tempos extraordinários, minha garota faz desenhos nela, ela é designer de moda, designer de roupas. E onde você ordena que eu coloque três monitores que me foram autorizados a pegar temporariamente no trabalho? ” Bem, como essa é apenas uma das muitas perguntas que surgem ao transferir funcionários do SOC (Security Operations Center) para um site remoto, decidi compartilhar nossa experiência; especialmente considerandoque agora, para um de nossos clientes, estamos apenas projetando um centro de monitoramento de segurança cibernética (SOC) do zero e ele decidiu trocar de sapatos em movimento e pediu para levar em consideração a possibilidade de trabalho de seus analistas e especialistas em investigação de incidentes em casa, no projeto.

imagem
Em uma pandemia, muitas empresas se mudaram ou foram obrigadas a transferir parte de seus funcionários para o trabalho remoto. A tigela deste e especialistas em SOC não passou. No entanto, deve-se notar imediatamente que os reguladores domésticos, por suas exigências, proibiram especialistas de terceirizar SOCs que prestam serviços a seus clientes de trabalhar em casa, uma vez que uma das condições para obter uma licença para monitoramento de SI (e um SOC comercial é um tipo de atividade licenciado) não era apenas o endereço da provisão serviços, mas também a certificação de seu sistema de informações, o que também impossibilita uma transição de emergência para um site remoto (e não de emergência). É verdade que, em nosso estado, o niilismo de SI legal e uma recusa temporária de realizar inspeções,você pode ignorar essa nuance - os requisitos dos negócios e a preservação da vida e da saúde das pessoas são muito mais importantes nesse caso. Especialmente considerando o fato de que os cibercriminosos não reduziram sua atividade. Além disso, eles levaram o tema do coronavírus para a bandeira e começaram a atacar usuários em casa, que foram deixados por conta própria e se tornaram um elo ainda mais fraco do que o habitual. Portanto, o tópico SOC (ou monitoramento de segurança da informação) em um site remoto se torna bastante relevante para muitas empresas. Bem, desde que a Cisco ajudou a criar e auditar um número considerável de SOCs, e nosso próprio SOC trabalha no modelo "SOC virtual" há mais de 10 anos, acumulamos várias dicas que gostaríamos de compartilhar.eles levaram o tema do coronavírus para a bandeira e começaram a atacar usuários em casa, que foram deixados por conta própria e se tornaram um elo ainda mais fraco do que o habitual. Portanto, o tópico SOC (ou monitoramento de segurança da informação) em um site remoto se torna bastante relevante para muitas empresas. Bem, desde que a Cisco ajudou a criar e auditar um número considerável de SOCs, e nosso próprio SOC trabalha no modelo "SOC virtual" há mais de 10 anos, acumulamos várias dicas que gostaríamos de compartilhar.eles levaram o tema do coronavírus para a bandeira e começaram a atacar usuários em casa, que foram deixados por conta própria e se tornaram um elo ainda mais fraco do que o habitual. Portanto, o tópico SOC (ou monitoramento de segurança da informação) em um site remoto se torna bastante relevante para muitas empresas. Bem, desde que a Cisco ajudou a criar e auditar um número considerável de SOCs, e nosso próprio SOC trabalha no modelo "SOC virtual" há mais de 10 anos, acumulamos várias dicas que gostaríamos de compartilhar.e nosso próprio SOC trabalha no modelo "virtual virtual" há mais de 10 anos, acumulamos várias dicas que gostaríamos de compartilhar.e nosso próprio SOC trabalha no modelo "virtual virtual" há mais de 10 anos, acumulamos várias dicas que gostaríamos de compartilhar.

Mas gostaria de começar não com os recursos tecnológicos de monitoramento remoto e investigação de incidentes, falaremos sobre eles abaixo, mas com o que geralmente esquecemos. O principal problema na transferência de parte ou de todos os analistas do SOC para o teletrabalho de casa está relacionado ao fator humano. Mesmo se você construiu todos os processos, e o kit de ferramentas permite que você se conecte remotamente ao console SIEM ou SOAR e também colete artefatos remotamente de computadores de usuários remotos, são as pessoas que podem se tornar o elo mais fraco do SOC que deixou seus lugares estabelecidos.

Atenção e estresse


Segundo os estudos, a transferência para a lição de casa leva a uma redução de produtividade em 15% (uma pessoa pode gastar mais tempo no desempenho de tarefas oficiais, mas é eficaz?). Estresse e desconforto (se as crianças estão correndo e um vizinho decidiu repentinamente fazer reparos), bem como a incapacidade de se concentrar quando uma esposa cozinha borsch ou um amigo pratica ioga na mesma sala, leva a uma diminuição da atenção. E o sonho que acena? Enquanto trabalha no escritório, você ainda pode lidar com ele de alguma forma, mas estar em casa, vendo uma cama quente e atraente com um ente querido dormindo lá, é muito mais difícil. E isso apesar do fato de que o desempenho de qualquer pessoa durante a noite cai de maneira desastrosa.

imagem

Portanto, torna-se muito importante medir a eficácia dos especialistas em SOC. O trabalho remoto é relaxante e nem todos estão prontos para isso. Os funcionários do SOC precisam mudar seu comportamento ao trabalhar remotamente. E seus gerentes precisam monitorar o desempenho de cada analista e, quando ultrapassam os valores-limite, respondem em tempo hábil. E não se trata do banal "tempo médio de levar um incidente para o trabalho" ou "tempo médio de resposta / localização de um incidente", mas de medir cada estágio ou tarefa dentro da estrutura do manual desenvolvido. Suponha que você tenha um manual para analisar atividades suspeitas do usuário e o tempo médio de resposta para ela (a partir do momento em que um sinal é recebido no SIEM e congelando uma conta no AD, colocando um nó na VLAN de quarentena e procurando outros nós e usuários,que pode estar relacionado à vítima) leva cerca de 28 minutos. Você analisa as estatísticas dos incidentes trabalhados remotamente e vê que esse indicador salta um pouco na faixa de 19 a 37 minutos, mas, em média, são os mesmos 28 minutos antes da mudança no modo de operação dos analistas. Tudo parece estar bem.

Mas se você tivesse a oportunidade de monitorar todas as etapas / tarefas individuais do manual, veria que, em vez dos 1 a 3 minutos tradicionais para identificar indicadores, 1 a 3 minutos para verificá-los na plataforma de TI, 1 a 2 minutos para tomar uma decisão 3 minutos para congelar a conta etc., seu analista imediatamente após receber o alarme coloca o usuário e o site em quarentena, ou mesmo sem verificação envia o incidente para o próximo nível, para analistas L2. E, por cerca de 9 a 10 minutos, não está claro o que o analista estava fazendo. Ou ele foi à cozinha tomar café, ou decidiu assistir o noticiário na TV, ou talvez apenas tenha ido dar uma volta até a varanda. Mas suas métricas específicas de incidentes são atendidas. Portanto, ao mudar para o trabalho remoto, é necessário revisar as métricas existentes para avaliar a eficácia do SOC.

No caso descrito, a propósito, outra solução poderia ser a introdução de ferramentas de automação que eliminam a maioria das tarefas manuais e automatizam o que está escrito no manual. Mas isso pode ser feito independentemente do trabalho remoto - as plataformas SOAR são projetadas apenas para automatizar o trabalho dos analistas do SOC e não apenas acelerar o processo de investigação e resposta a incidentes, mas também possuem uma ferramenta para medir a eficácia do trabalho com eles. Portanto, a propósito, a Cisco desenvolveu uma plataforma de gerenciamento de segurança da informação nova e gratuita - Cisco SecureX, cuja tarefa é automatizar o gerenciamento de muitas soluções da Cisco (e centenas de outros fabricantes), incluindo o processo de resposta a incidentes.

imagem

Trabalho em equipe


O SOC é quase sempre trabalho em equipe. Em um SOC típico, seus especialistas trabalham lado a lado em espaços apertados e, quando são forçados a mudar para o trabalho remoto, surgem imediatamente dificuldades para as quais o SOC geralmente não está pronto. A propósito, isso também é facilitado pelos requisitos da legislação, que considera o SOC como uma atividade licenciada em uma determinada sala, como mencionei acima. O conceito de SOCs virtuais ou móveis na Rússia não é muito aceito, especialmente ao fornecer serviços para monitorar a segurança das informações e a resposta a incidentes (para seus próprios fins, é claro, você pode criar SOCs usando qualquer uma das arquiteturas disponíveis). O trabalho em equipe remoto é um novo desafio ao qual você ainda precisa se acostumar. O que procurar neste aspecto do SOC.

Cronograma


Revise e, possivelmente, revise sua programação de turnos. Cada analista deve conhecer não apenas sua função e seu cronograma de trabalho, mas também o papel e o cronograma de outros membros da equipe para poder entrar em contato com o especialista certo ou substituí-lo se, por algum motivo, ele não vier ao trabalho (além de Na admissão no hospital, você pode simplesmente ficar sob prisão administrativa por 15 dias por violar as regras de auto-isolamento obrigatório / oxímoro clássico / quando você acabou de dar um passeio em um lago próximo). A propósito, se o seu analista estiver trabalhando em uma casa de campo e de repente ele tiver cortado a eletricidade ou a Internet, é claro que ele não precisa registrar uma "evasão virtual", mas ele deve estar preparado para substituí-la pelo tempo de recuperação de sua estação de trabalho remota.Mas, além das razões acima, pode haver muitas coisas que devem ser levadas em consideração - os vizinhos inundaram, um incêndio, é urgente levar um ente querido ao hospital, etc. E tudo isso deve ser levado em consideração, antes de tudo, para os analistas de primeira e segunda linha, para os quais a permanência permanente no local de trabalho é a mais relevante.

imagem

Mentoria


Sob condições de uma rotação bastante alta de pessoal nos níveis mais baixos da hierarquia do SOC, a orientação de colegas mais experientes sobre os recém-chegados é difundida neles. Eles ajudam com conselhos, cuidados e apoio. E como fazer isso em um site remoto? Como ajudar um iniciante a deixar a si próprio? A resposta é simples - comunicação correta e constante !!!

Plano de comunicação


As comunicações no trabalho remoto tornam-se os elementos mais importantes de sua eficácia. Além disso, as comunicações não são apenas parte da investigação de um incidente específico, mas também "exatamente assim". Algumas vezes por dia para se reunir por 15 minutos e trocar pontos de vista, idéias; apoiar-se mutuamente em uma situação estressante (e quem diz alguma coisa, mas a situação atual é precisamente o estresse que afeta negativamente nossas capacidades e habilidades). Nossos analistas de SOC sempre tiveram isso, mas funcionários comuns introduziram a prática de “coffee breaks virtuais” apenas recentemente. Como mostra a experiência, muitas pessoas realmente não têm comunicação com os colegas; e até analistas introvertidos não são exceção.

Se você já possui um plano de comunicação, analise-o e, provavelmente, revise-o. Deve incluir pelo menos:

  • , , — e-mail , . /wiki SOC, ( ).
  • . , , , . , ? ? ( , IVR), , ?
  • , , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
  • - , . , , SOC, . grid card, , .
  • FAQ - RACI , / /use case.
  • , war room CSIRT , . , , , . « ?», . .
  • . , , SOC, , -? ? ? , , — .

?


Durante uma investigação, o recurso mais valioso é o tempo. Não desperdice. Investigadores remotos podem duplicar o trabalho um do outro. Eles podem repetir as mesmas discussões em diferentes grupos e meios de comunicação. Os mensageiros, geralmente usados ​​para se comunicar como parte de um incidente, por exemplo, o Whatsapp, não são muito adequados para essa tarefa, pois é muito difícil pesquisar e trabalhar com documentos e artefatos; especialmente quando em um bate-papo, você tem muitos incidentes diferentes e a confusão entre eles começa. Criar bate-papos separados para cada incidente pode resolver o problema, mas não posso chamar esse caminho de conveniente. Ainda assim, os mensageiros não foram projetados para esta tarefa. Além disso, será difícil separar bate-papos de serviço dos pessoais,e você também se tornará dependente de servidores de gerenciamento externos, cuja operação poderá ser interrompida se alguma agência governamental começar a lutar novamente com o telegrama condicional ou se o fabricante do messenger introduzir uma proibição de postagem simultânea em vários grupos / bate-papos. com notícias falsas.

Para uma comunicação eficaz na estrutura do incidente, a solução usada deve poder organizar bate-papos, compartilhamento de arquivos e acesso remoto à área de trabalho. Por exemplo, usando o Webex Teams, você pode criar um espaço separado para cada incidente, onde você pode não apenas coletar todas as evidências necessárias, mas também se comunicar com todos os participantes envolvidos no incidente. E devido à capacidade de escrever chatbots e integrar Webex Teams com ferramentas de segurança, você pode verificar e enriquecer imediatamente os artefatos recebidos.

imagem

Se você não usar o Webex Teams, uma ideia semelhante poderá ser implementada, por exemplo, no seguinte link: um canal Slack separado para um incidente específico (e um canal de comunicação comum, que pode ser usado como uma espécie de índice para todos os incidentes), a sala Zoom para discussão (você deve haver uma conta paga para isso e se você não ficar confuso com os constantes problemas de IB desse serviço) e a página Confluence para coletar notas. Em seguida, as informações de resumo do incidente são inseridas no IRP, que pode ser familiar para muitas soluções Jira ou especializadas de gerenciamento de incidentes.

imagem

Quadro branco para brainstorming


Você tem um quadro de brainstorming no seu SOC? Eu acho que sim. Para trabalhos remotos, pode ser necessário um quadro branco - essa função está disponível em vários meios de comunicação. Você pode desenhar e compartilhar idéias remotamente com colegas. E se você usou os quadros Kanban para controlar as tarefas da equipe, precisará deles no controle remoto - use, por exemplo, o Trello se você não tiver uma solução corporativa. Porém, ao usar soluções baseadas em nuvem para o trabalho em equipe, não se esqueça de configurar os direitos de acesso apropriados para que pessoas de fora não aprendam sobre seus problemas de segurança e não possam intervir no processo de investigação e resposta.

imagem

Sala remota


Você decidiu que os analistas do SOC trabalhariam remotamente. E você sabe como fazer isso não apenas tecnicamente, mas também psicologicamente e organizacionalmente. Mas, você se perguntou: seus analistas de SOC têm um apartamento próprio ou moram em um albergue? Quem são seus analistas de primeira linha? Especialistas de alta classe trabalhando por muitos anos no SOC e ganhando sua própria cobertura na Sparrow Hills? Ou esses alunos moram mais recentemente com a mãe, o pai e os irmãos mais novos? No seu SOC, você pode fornecer a eles um local de trabalho e três monitores para monitorar "a agulha no palheiro". O seu analista tem espaço para 3 ou pelo menos dois monitores em casa? E se o irmão o afasta um metro dele no PlayStation e o distrai com os sons de "borracha queimada" ou "zumbis moribundos"? Se o analista não puder trabalhar em casa devido à falta de espaço,Você precisará fazer alterações na composição e no cronograma dos turnos.

Também é importante garantir a conveniência e o conforto do trabalho dos analistas. No SOC corporativo, você pode gastar muito esforço e recursos para escolher a iluminação certa, isolamento de ruído, reverb, ar condicionado, cadeiras confortáveis ​​etc. Mas em casa, muitas vezes, infelizmente, não possuímos tais luxos. E, portanto, precisamos monitorar mais de perto como o desempenho dos analistas mudou antes (se, é claro, você os coletou) e depois de partir para um site remoto. E depois de analisá-los, tire as conclusões apropriadas. Caso contrário, o SOC remoto se transformará em uma “abóbora” - parece estar lá, mas não resolve o problema, pois os analistas simplesmente não conseguem trabalhar em seus próprios apartamentos.

imagem

E não esqueça que a segurança física da sala na qual circulam informações suficientemente sensíveis também é importante.

Arquitetura SOC


Em uma pandemia, seus eventos de segurança aumentarão. Em primeiro lugar, você precisará monitorar ativamente seu cluster VPN ou clusters de acesso remoto por meio dos quais os usuários se conectarão a aplicativos e dados na rede corporativa ou que "encaminharão" o tráfego do usuário para serviços em nuvem externos. Em segundo lugar, pode ser necessário monitorar os ambientes em nuvem se o serviço de TI decidir transferir temporária ou já permanentemente o processamento de alguns dados e aplicativos para as nuvens. E, finalmente, você tem um zoológico crescente de vários sistemas que estão em casa com usuários que começarão a gerar eventos de segurança e que precisarão ser analisados. Mas isso não é tudo.

Conexão remota ao SOC


SIEM, IRP / SOAR, bilhética, plataforma de TI ... Eles têm a capacidade de se conectar a eles de um console remoto por uma conexão segura (qual a sorte dos que usam SOCs / SIEMs na nuvem agora, onde está a função interna)? Caso contrário, é necessário pensar na opção com acesso remoto via RDP / VDI ou outros métodos de conexão encaminhados via VPN (neste momento, é hora de pensar na possibilidade de implementar um SOC móvel ou virtual). No final, você pode ter uma máquina virtual especial, LiveCD ou LiveUSB para trabalhar com ferramentas SOC; embora quase nunca tenhamos visto as últimas opções - é melhor para os usuários trabalharem em seus computadores domésticos, quando é necessário separar aplicativos corporativos e domésticos com os quais seus parentes trabalham.

Em nossa opinião, o VDI (mas também via VPN) seria a melhor opção do ponto de vista do controle de acesso e do trabalho com informações confidenciais, mas o acesso direto, se configurado corretamente, também é uma opção totalmente funcional. Em ambos os casos, é necessário não apenas usar a autenticação multifator, mas também verificar a análise do PC de conexão quanto à conformidade com os requisitos de segurança da informação (patches instalados, configurações de proteção por senha, presença de antivírus ou EDR, etc.). Se você possui um Cisco ASA no perímetro ou um Cisco ISE é implantado dentro da rede, você pode organizar essa verificação neles. Recomendamos que você desabilite o tunelamento dividido em computadores que se conectam ao SOC corporativo. Será muito mais seguro; e também para usuários comuns em um site remoto.

E não esqueça de esclarecer se são necessárias alterações na ACL do equipamento de fronteira do lado da empresa para acessar o santo dos santos do IB? Qual é o procedimento geral para fazer alterações na ACL? Vai demorar um longo processo de aprovação e até exigir uma assinatura manuscrita no aplicativo? Agora, seria uma boa ideia revisar todas as suas políticas e instruções, tendo em vista a capacidade de trabalho delas, nas condições de impossibilidade de coletar assinaturas e executar entre chefes. E mesmo se você tiver um sistema eletrônico de gerenciamento de documentos, quão bem ele é adaptado à pronta resolução de problemas?

Investigação remota em PCs remotos


Os investigadores estão acostumados ao fato de poderem procurar o funcionário envolvido no incidente e remover todos os registros / despejo de memória / e outros artefatos do computador. Mas como fazer isso remotamente? Alguém usa o Admin Remoto, familiar aos especialistas em TI, alguém com RDP, alguém com Skype for Business ou outras ferramentas. O principal é não esquecer de configurar corretamente a funcionalidade de proteção dessas ferramentas e concordar com os funcionários sobre o procedimento de autenticação para que os funcionários de TI / IS se conectem remotamente (bem, não se esqueça dos aspectos legais, como será discutido mais adiante). Alguém usa GRR gratuito, osquery, utilitário interno Sysmon ou Autorun ou EnCase comercial (os usuários do Cisco AMP for Endpoints não precisam se preocupar - eles possuem uma ferramenta como o Cisco Orbital que permite investigação remota).Em alguns casos, você pode ensinar os usuários a executar o script necessário, que por si só coletará as evidências necessárias e o transferirá com segurança ao SOC para análise. É importante que você decida por si mesmo: essas ferramentas devem ser instaladas com antecedência (para dispositivos corporativos, não há problema em pré-instalá-las na imagem corporativa do SO com todos os aplicativos) ou precisam ser instaladas em caso de problemas. No último caso, no entanto, existe o risco de que, ao fazer isso, avisaremos o atacante de que sua atividade foi detectada e que ele pode "deixar" sua vítima, apagando simultaneamente todos os traços deixados por ele. Essa é uma pergunta difícil, que, é claro, é melhor resolvida “em terra”, e não no processo de investigação de um incidente remoto.quem ele próprio coletará as evidências necessárias e as transferirá com segurança ao SOC para análise. É importante que você decida por si mesmo: essas ferramentas devem ser instaladas com antecedência (para dispositivos corporativos, não há problema em pré-instalá-las na imagem corporativa do SO com todos os aplicativos) ou precisam ser instaladas em caso de problemas. No último caso, no entanto, existe o risco de que, ao fazer isso, avisaremos o atacante de que sua atividade foi detectada e que ele pode "deixar" sua vítima, apagando simultaneamente todos os traços deixados por ele. Essa é uma pergunta difícil, que, é claro, é melhor resolvida “em terra”, e não no processo de investigação de um incidente remoto.quem ele próprio coletará as evidências necessárias e as transferirá com segurança ao SOC para análise. É importante que você decida por si mesmo: essas ferramentas devem ser instaladas com antecedência (para dispositivos corporativos, não há problema em pré-instalá-las na imagem corporativa do SO com todos os aplicativos) ou precisam ser instaladas em caso de problemas. No último caso, no entanto, existe o risco de que, ao fazer isso, avisaremos o atacante de que sua atividade foi detectada e que ele pode "deixar" sua vítima, apagando simultaneamente todos os traços deixados por ele. Essa é uma pergunta difícil, que, é claro, é melhor resolvida “em terra”, e não no processo de investigação de um incidente remoto.essas ferramentas devem ser instaladas com antecedência (para dispositivos corporativos, não há problema em pré-instalá-las na imagem corporativa do SO com todos os aplicativos) ou devem ser instaladas em caso de problemas. No último caso, no entanto, existe o risco de que, ao fazer isso, avisaremos o atacante de que sua atividade foi detectada e que ele pode "deixar" sua vítima, apagando simultaneamente todos os traços deixados por ele. Essa é uma pergunta difícil, que, é claro, é melhor resolvida “em terra”, e não no processo de investigação de um incidente remoto.essas ferramentas devem ser instaladas com antecedência (para dispositivos corporativos, não há problema em pré-instalá-las na imagem corporativa do SO com todos os aplicativos) ou devem ser instaladas em caso de problemas. No último caso, no entanto, existe o risco de que, ao fazer isso, avisaremos o atacante de que sua atividade foi detectada e que ele pode "deixar" sua vítima, apagando simultaneamente todos os traços deixados por ele. Essa é uma pergunta difícil, que, é claro, é melhor resolvida “em terra”, e não no processo de investigação de um incidente remoto.Obviamente, é melhor resolver "em terra", em vez de investigar um incidente remoto.Obviamente, é melhor resolver "em terra", em vez de investigar um incidente remoto.

imagem

Penso que voltarei com material separado sobre investigação remota e coleta de evidências, mas, por enquanto, mencionarei várias perguntas que você precisa estar pronto para responder em uma investigação remota:

  • Como acessar dispositivos remotos domésticos, móveis e corporativos? Na condição de zoológico de dispositivos domésticos, essa pergunta não é tão simples quanto parece. Isso é especialmente verdadeiro para dispositivos móveis, que também podem exigir medidas de investigação.
  • Como acessar os logs e dados da segurança das informações e quais logs e artefatos gerais precisamos em dispositivos remotos? Como colecioná-los seletivamente?
  • Você precisa de acesso remoto administrativo para investigar e responder, por exemplo, contas de serviço, sudo, chaves SSH? Preciso fazer alterações nas ACLs nos roteadores domésticos para acesso remoto (e se elas forem fornecidas e gerenciadas pelo provedor de serviços)?
  • É necessário alterar as listas brancas de aplicativos para a operação de ferramentas de investigação e evidência?
  • Como instalar remotamente ferramentas para investigação e coleta de evidências?
  • Como rastrear quando dispositivos remotos desligados são ativados para investigação?
  • Como você vai se comunicar com a vítima?

As respostas a essas perguntas são altamente dependentes da infraestrutura existente, da disponibilidade de padrões corporativos para os dispositivos utilizados, do sistema e do software de aplicativos, bem como do direito dos funcionários de usar dispositivos pessoais para trabalhar em casa.

Prestadores de serviços de terceirização


Talvez em uma pandemia, você decida usar temporariamente os serviços de um SOC terceirizado e de um provedor de MDR. Além disso, você pode obter descontos com eles agora :-) Mas é muito mais importante entender quanto seu contrato ou contratos de terceirização atual leva em consideração o trabalho remoto de seus analistas? MSSP / MDR / DICA / CERT / FinCERT / GosSOPKA aceita mensagens de seus funcionários, de seus telefones pessoais ou endereços de e-mail? Eles bloqueiam o acesso não a partir de endereços IP corporativos? É possível conectar-se aos painéis de provedores externos, não por meio de uma VPN corporativa, usando o tunelamento dividido?

Requerimentos legais


Eu já escrevi sobre a impossibilidade de operação remota de um SOC comercial devido às limitações do FSTEC. Mas há vários tópicos que devem ser lembrados ao operar remotamente o SOC. Você conhece uma piada nova? “Meus filhos estudam em casa. Peço à administração da escola que doe dinheiro para novas cortinas, paredes de pintura e consertos de móveis ”:-) Em vários países, existe uma prática em que os funcionários começam a exigir uma indenização do empregador por usar o apartamento e o computador doméstico como ferramentas de trabalho. Penso que na Rússia isso ainda não nos ameaça, mas o exemplo em si é bastante indicativo.

É improvável que os funcionários do SOC sejam oferecidos para desempenhar suas funções oficiais em computadores pessoais (embora ....), mas os funcionários comuns podem se conectar facilmente aos recursos corporativos a partir de dispositivos domésticos. E, portanto, surge uma pergunta legítima - em que base legal o empregador obtém acesso ao computador remoto e pessoal do funcionário ao conduzir investigações, coletar artefatos etc.? Você tem uma cláusula sobre o direito da empresa de monitorar um funcionário em um contrato de trabalho ou em um contrato adicional? Existe um regulamento detalhado sobre o que é possível e o que não pode ser feito no âmbito desse monitoramento? Caso contrário, você estará violando a lei aplicável e o funcionário terá todo o direito de enviá-lo quando tentar acessar seu dispositivo pessoal. O mesmo se aplica à instalação de agentes DLP ou ferramentas de rastreamento de tempo nos computadores domésticos.

E não esqueça que seu SOC pode estar no escopo de alguns padrões internacionais de gerenciamento de segurança da informação (por exemplo, na Rússia, vários SOCs já passaram pela certificação ISO 27001). Considere como você será auditado com seu SOC remoto? Você não conduzirá auditores para os apartamentos dos funcionários. Ou você vai ..

Conclusão


Estes são esboços sobre o que devemos lidar ao projetar, auditar e desenvolver planos para melhorar os centros de monitoramento de SI, inclusive na Rússia e nos países da CEI. Isso não quer dizer que todas essas dicas não sejam viáveis ​​ou exijam custos financeiros, de tempo e humanos significativos. Muitos deles são fáceis de implementar. O principal é não deixar esses problemas pisarem no freio, uma vez que ignorá-los pode levar não apenas a aumentar o tempo para investigar incidentes durante o trabalho remoto, mas também para ignorá-los. Além disso, não pense que a pandemia atual é um fenômeno temporário e logo tudo dará certo. Se a organização pensar seriamente na continuidade dos negócios e souber calcular a situação várias etapas adiante, entenderemos que o COVID-19 é apenas um sinal; um sinal de que a situação pode se repetir no próximo inverno.Portanto, "trenós devem ser preparados no verão". De qualquer forma, as dicas descritas acima também não serão supérfluas na vida comum do SOC.

Ameaça. E, a propósito, não esqueça de higienizar as principais instalações do SOC antes que os analistas voltem para lá.

More articles:


All Articles