🔋 🔕 👩‍🎨 远程站点上的SOC。有什么值得考虑的？ 📎 🧕🏻 🧜🏼

一名SOC分析师决定将他转移到家里工作时，提出了一个神圣的问题：“我与女友和她的猫一起住在odnushka，我（作为猫，不是女孩）对它过敏。同时，我们只有一张桌子在吃饭，在平凡的时候，我的女孩在桌子上布置图纸，她是服装的时装设计师。您要我在哪里放置3台可以让我临时下班的显示器？”好吧，由于这只是将SOC（安全运营中心）员工转移到远程站点时出现的众多问题之一，因此我决定分享我们的经验；特别考虑现在，对于我们的一位客户，我们只是从头开始设计一个网络安全监控中心（SOC），他决定随时随地换鞋，并要求考虑到项目中来自他的分析师和事件调查专家在家里工作的可能性。

在大流行中，许多公司搬迁或被要求将部分员工转移到远程工作。这和SOC专家一筹莫展。但是，应该立即指出，根据其要求，国内监管机构禁止专家将为客户提供服务的SOC外包给在家工作，因为获得IS监控许可的条件之一（而商业SOC是一种许可的活动类型）不仅是规定的地址。服务，还有其信息系统的认证，这也使得不可能紧急迁移到远程站点（也不是紧急站点）。诚然，在我们的国家，法律是IS虚无主义，是暂时拒绝进行检查，您可以忽略这种细微差别-在这种情况下，业务需求以及人们生命和健康的维护更为重要。特别是考虑到网络犯罪分子并没有减少他们的活动这一事实。此外，他们把冠状病毒的主题升为高潮，并开始攻击在家中的用户，这些用户被留在自己的设备上，变得比平时更脆弱。因此，远程站点上的SOC（或信息安全监视）主题对于许多公司而言变得非常重要。好吧，由于思科帮助构建和审核了大量SOC，并且我们自己的SOC致力于“虚拟SOC”模型已有10多年的历史，因此，我们已经积累了许多要分享的技巧。他们将冠状病毒的主题扬起了旗号，并开始攻击在家中的用户，这些用户被留在自己的设备上，变得比平时更加脆弱。因此，远程站点上的SOC（或信息安全监视）主题对于许多公司而言变得非常重要。好吧，由于思科帮助构建和审核了大量SOC，并且我们自己的SOC致力于“虚拟SOC”模型已有10多年的历史，因此，我们已经积累了许多要分享的技巧。他们将冠状病毒的主题扬起了旗号，并开始攻击在家中的用户，这些用户被留在自己的设备上，变得比平时更加脆弱。因此，远程站点上的SOC（或信息安全监视）主题对于许多公司而言变得非常重要。好吧，由于思科帮助构建和审核了大量SOC，并且我们自己的SOC致力于“虚拟SOC”模型已有10多年的历史，因此，我们已经积累了许多要分享的技巧。并且我们自己的SOC致力于“虚拟SOC”模型已有10多年的历史了，我们已经积累了许多技巧，我们希望与大家分享。并且我们自己的SOC致力于“虚拟SOC”模型已有10多年的历史了，我们已经积累了许多技巧，我们希望与大家分享。

但是，我不想从远程监视和事件调查的技术功能入手，我们将在下面讨论它们，而从我们经常忘记的内容开始。将部分或全部SOC分析人员从家里转移到远程办公的主要问题与人为因素有关。即使您已经构建了所有流程，并且该工具包允许您远程连接到SIEM或SOAR控制台，也可以从远程用户的计算机远程收集工件，但正是这些人可能成为SOC中最薄弱的一环。

正念和压力

根据研究，转移到家庭作业会导致生产率降低15％（一个人可以花更多时间执行公务，但这有效吗？）压力和不适感（如果孩子到处乱跑，邻居突然决定修理），以及妻子在同一房间做罗宋汤或朋友在同一房间做瑜伽时无法专心致志，导致注意力下降。而梦想如此呢？在办公室工作时，您仍然可以以某种方式与他打交道，但是在家里，看到一张温暖诱人的床和一个亲人的床在那儿睡觉，要困难得多。尽管事实上，任何人晚上的表现都非常糟糕。

因此，衡量SOC专家的有效性变得非常重要。远程工作很轻松，并非所有人都为此做好了准备。 SOC员工需要在远程工作时更改其行为。他们的经理需要监视每个分析师的绩效，当他们超出界限值时，应及时做出回应。这与平庸的“突发事件的平均上班时间”或“突发事件的平均响应时间/本地化时间”无关，而在于在已开发的剧本框架内衡量每个阶段或任务。假设您有一本用于分析可疑用户活动及其平均响应时间的剧本（从SIEM中收到信号并冻结AD中的帐户的那一刻起，将一个节点放入隔离VLAN并搜索其他节点和用户，这可能与受害者有关）大约需要28分钟。您查看有关远程工作事件的统计信息，您会发现该指标在19分钟至37分钟的范围内略有跳跃，但平均而言，与更改分析人员的工作方式之前的28分钟相同。一切似乎都还可以。

但是，如果您有机会监视剧本的所有各个步骤/任务，那么您会发现，与传统的1-3分钟（用于识别指标），1-3分钟（在TI平台中进行检查），1-2分钟（用于决策）相比， 3分钟冻结帐户等后，您的分析师在收到警报后立即将用户及其站点隔离，甚至未经检查将事件发送到下一级，交给L2分析师。而且，在大约9-10分钟内，还不清楚分析师在做什么。他要么去厨房倒咖啡，要么决定在电视上看新闻，或者也许他只是去阳台散步。但是您的事件特定指标已得到满足。因此，当切换到远程工作时，有必要查看现有指标以评估SOC的有效性。

顺便说一下，在上述情况下，另一种解决方案可以是引入自动化工具，该自动化工具消除了大多数手动任务，并使剧本中的内容自动化。但是，无论远程工作如何，都可以做到这一点-SOAR平台仅用于使SOC分析人员的工作自动化，不仅可以加速调查和对事件的响应过程，而且还具有衡量与他们合作的有效性的工具。因此，顺便说一句，思科已经开发了一个新的免费信息安全管理平台-Cisco SecureX，其任务是自动化许多Cisco解决方案（以及其他制造商的数百种解决方案）的管理，包括事件响应流程。

团队合作

SOC几乎总是团队合作。在典型的SOC中，其专家在狭窄的空间中并排工作，当他们被迫转为远程工作时，SOC往往不准备就绪，会立即出现困难。顺便说一句，立法的要求也促进了这一点，如我上面提到的，该要求将SOC视为某个房间中的许可活动。在俄罗斯，虚拟或移动SOC的概念不是很被接受，尤其是在提供监视信息安全性和事件响应的服务时（当然，出于您自己的目的，您可以使用它们的任何可用体系结构来构建SOC）。远程团队合作是您仍然需要适应的新挑战。在SOC的这方面要寻找什么。

时间表

查看并可能修改您的轮班时间表。每位分析师不仅必须知道他的角色和工作时间表，而且还必须知道其他团队成员的角色和时间表，以便能够联系合适的专家或在由于某种原因而没有上班的情况下代替他（除了入院后，您将因违反强制性自我隔离/经典矛盾法/刚在附近的池塘中散步而违反规则而被行政拘留15天。顺便说一句，如果您的分析师在乡间别墅里工作，突然断电或互联网中断了，那么他当然不需要记录虚拟的“等待时间”，但是他必须准备好用远程工作站的恢复时间来代替它。但是，除了上述原因之外，还有很多事情需要考虑-邻居被洪水淹没，起火，紧急情况将亲人带到医院等。第一线和第二线的分析师首先必须考虑到所有这些问题，对于他们而言，永久性地留在工作场所是最重要的。

指导

在SOC层次结构较低级别的人员轮换相当多的情况下，他们对新员工进行了经验丰富的同事指导。他们提供建议，照料和支持。以及如何在远程站点上进行呢？如何帮助初学者留给自己的设备？答案很简单-正确而持续的交流！！！

沟通计划

远程工作中的通信成为其有效性的最重要要素。此外，交流不仅是对特定事件进行调查的一部分，而且“就是那样”。一天几次，聚会15分钟，交流意见和想法；在压力很大的情况下互相支持（无论谁说什么，但当前的情况恰恰是压力，对我们的能力产生负面影响）。我们的SOC分析人员一直都有这种做法，但是普通员工直到最近才引入了“虚拟喝咖啡休息时间”的做法。经验表明，许多人确实缺乏与同事之间的沟通。甚至内向的分析师也不例外。

如果您已经有一个沟通计划，则应该对其进行分析，并很有可能对其进行审查。它至少应包括：

, , — e-mail , . /wiki SOC, ( ).
. , , , . , ? ? ( , IVR), , ?
, , , , « » « ». . Cisco, , Cisco Webex Teams, , . , .
- , . , , SOC, . grid card, , .
FAQ - RACI , / /use case.
, war room CSIRT , . , , , . « ?», . .
. , , SOC, , -? ? ? , , — .

?

在调查期间，最有价值的资源是时间。不要浪费。远程调查员可以互相重复工作。他们可以在不同的群体和交流方式中重复相同的讨论。通常在事件内部进行通信的Messenger，例如Whatsapp，并不适合完成此任务，因为在那里很难搜索和处理文档和工件。特别是在一次聊天中，您遇到了太多不同的事件，并且它们之间的混乱开始了。为每个事件创建单独的聊天可以解决问题，但是我不能称这为方便之路。尽管如此，信使并不是为执行此任务而设计的。此外，您很难将服务聊天与个人聊天分开，并且您还将依赖于外部管理服务器，如果任何政府机构再次开始与有条件的Telegram斗争，或者如果Messenger制造商禁止同时发布多个组/聊天，则可能会中断外部服务器的运行假新闻。

为了在事件框架内进行有效的通信，您使用的解决方案应该能够组织聊天，文件共享和对桌面的远程访问。例如，使用Webex Teams，您可以为其中的每个事件创建一个单独的空间，您不仅可以收集所有必要的证据，还可以与事件中涉及的所有参与者进行交流。而且由于具有编写聊天机器人并将Webex Teams与安全工具集成的功能，您可以立即检查并丰富收到的工件。

如果您不使用Webex Teams，则可以在以下链接上实现类似的想法：用于特定事件的单独的Slack通道（以及可以用作所有事件的索引的公共通信通道），用于讨论的Zoom室（您必须有一个付费帐户，如果您对此服务的持续IB问题不感到困惑），请在Confluence页面中收集笔记。然后，将事件摘要信息输入到IRP中，这对于许多Jira或专业的事件管理解决方案来说都是熟悉的。

白板集思广益

您的SOC中有头脑风暴委员会吗？我认为有。对于远程工作，您可能需要白板-可以通过各种通信方式使用此功能。您可以远程绘制图纸并与同事共享想法。而且，如果您使用看板来控制团队任务，那么您将需要在远程使用它们-例如，如果您没有公司解决方案，请使用Trello。但是，当使用基于云的解决方案进行团队合作时，请不要忘记配置适当的访问权限，以使外部人员不会了解您的安全问题，也无法干预调查和响应过程。

遥控室

您决定SOC分析师可以远程工作。您不仅知道如何从技术上，而且从心理上和组织上做到这一点。但是，您是否问过自己，您的SOC分析人员是否有自己的公寓或住在旅馆里？您的一线分析师是谁？在SOC工作多年并在Sparrow Hills赚取自己的顶层公寓的高级专家？还是这些最近的学生和妈妈，爸爸以及更年轻的兄弟姐妹住在一起？在您的SOC中，您可以为他们提供一个工作场所和三个监视器来监视“大海捞针”。您的分析师在家中可以放置三台或至少两台显示器吗？并且，如果他的兄弟在PlayStation中与他相距一米，并用“燃烧橡胶”或“垂死的僵尸”的声音分散他的注意力？如果分析人员由于空间不足而无法在家工作，您将需要更改轮班的组成和时间表。

确保分析人员的工作便利和舒适也很重要。在公司SOC中，您可以花费大量的精力和资源来选择合适的照明，隔音，混响，空调，舒适的椅子等。但可惜的是，在家里，我们常常没有这种奢侈品。因此，我们需要更密切地监视分析人员的绩效在离开远程站点之前（当然，如果您收集了这些数据）和之后如何改变。在对它们进行分析之后，得出适当的结论。否则，远程SOC会变成一个“南瓜”-似乎在那里，但是它不能解决问题，因为分析师根本无法在自己的公寓里工作。

并且不要忘记，足够敏感的信息在其中流通的房间的物理安全性也很重要。

SOC架构

在大流行中，您的安全事件将增加。首先，您将必须主动监视您的VPN群集或远程访问群集，通过这些群集用户可以连接到公司网络内的应用程序和数据，或者可以将用户流量“转发”到外部云服务。其次，如果IT服务已决定暂时或已经永久将某些数据和某些应用程序的处理转移到云中，则可能需要监视云环境。最后，您将拥有一个由各种系统组成的不断发展的动物园，其用户在家中将开始生成安全事件并需要对其进行分析。但这还不是全部。

远程连接到SOC

SIEM，IRP / SOAR，票务，TI平台...它们是否能够通过安全连接从远程控制台连接到它们（现在使用Cloud SOC / SIEM的用户有多幸运，内置功能在哪里？）如果没有，那么您需要考虑通过RDP / VDI进行远程访问或通过VPN转发的其他连接方法的选项（在这里应该考虑实现移动或虚拟SOC的可能性）。最后，您可以拥有一个特殊的虚拟机LiveCD或LiveUSB来使用SOC工具。尽管我们几乎看不到最后的选择-当需要将公司应用程序和与亲戚一起工作的家庭应用程序分开时，用户可以使用家庭计算机完成工作。

我们认为，从访问控制和使用敏感信息的角度来看，VDI（也可以通过VPN）将是最好的选择，但如果配置正确，则直接访问也是完全可行的选择。在这两种情况下，不仅有必要使用多因素身份验证，而且还必须确保检查连接的PC分析是否符合信息安全性要求（已安装的补丁程序，密码保护设置，防病毒或EDR等）。如果外围有Cisco ASA或网络内部部署了Cisco ISE，则可以对它们进行检查。我们建议您在连接到公司SOC的计算机上禁用拆分隧道。这样会更安全；以及远程站点上的普通用户。

并且不要忘记澄清是否需要更改公司方边界设备的ACL才能访问IB的圣灵？更改ACL的一般步骤是什么？是否需要很长时间的审批流程，甚至需要在应用程序上手写签名？现在，最好在无法收集签名并在老板之间运行的情况下，修改您的所有政策和说明，以考虑其工作能力。而且，即使您拥有电子文档管理系统，该系统如何适应问题的迅速解决？

远程PC的远程调查

调查人员习惯于这样的事实，即他们可以来找事件相关的员工，并从他的计算机中删除所有日志/内存转储/其他工件。但是如何远程进行呢？有人使用IT专家熟悉的远程管理，有人使用RDP，有人使用Skype for Business或其他工具。最重要的是不要忘记正确配置这些工具的保护功能，并与员工就远程连接的IT / IS员工的身份验证过程达成共识（当然，不要忘记法律方面的内容，这将在后面进行讨论）。有人使用免费的GRR，osquery，内置的Sysmon或Autorun实用程序或商业EnCase（Cisco AMP for Endpoints的用户无需担心-他们拥有像Cisco Orbital这样的工具，可以进行远程调查）。在某些情况下，您可以教用户运行必要的脚本，该脚本本身将收集必要的证据并将其安全地传输到SOC进行分析。重要的是您必须自己决定，这些工具必须预先安装（对于公司设备，将它们与所有应用程序一起预安装在公司OS映像上没有问题），或者在出现任何问题时必须安装它们。但是，在后一种情况下，存在这样的风险，即这样做会使攻击者知道已检测到他的活动，并且他可以“离开”受害者，同时擦除自己留下的所有痕迹。这是一个棘手的问题，当然，最好在“岸上”解决，而不是在调查远程事件的过程中。他本人将收集必要的证据并将其安全地转移到SOC进行分析。重要的是您必须自己决定，这些工具必须预先安装（对于公司设备，将它们与所有应用程序一起预安装在公司OS映像上没有问题），或者在出现任何问题时必须安装它们。但是，在后一种情况下，这样做有可能使攻击者知道已检测到他的活动，并且可以“离开”受害者，同时擦除自己留下的所有痕迹，这是有风险的。这是一个困难的问题，当然，最好在“岸上”解决，而不是在调查远程事件的过程中。他本人将收集必要的证据并将其安全地转移到SOC进行分析。重要的是您必须自己决定，这些工具必须预先安装（对于公司设备，将它们与所有应用程序一起预安装在公司OS映像上没有问题），或者在出现任何问题时都需要安装它们。但是，在后一种情况下，存在这样的风险，即这样做会使攻击者知道已检测到他的活动，并且他可以“离开”受害者，同时擦除自己留下的所有痕迹。这是一个棘手的问题，当然，最好在“岸上”解决，而不是在调查远程事件的过程中。这些工具必须预先安装（对于公司设备，将它们与所有应用程序一起预安装在公司OS映像上没有问题），否则，必须先安装它们。但是，在后一种情况下，存在这样的风险，即这样做会使攻击者知道已检测到他的活动，并且他可以“离开”受害者，同时擦除自己留下的所有痕迹。这是一个棘手的问题，当然，最好在“岸上”解决，而不是在调查远程事件的过程中。这些工具必须预先安装（对于公司设备，将它们与所有应用程序一起预安装在公司OS映像上没有问题），否则，必须先安装它们。但是，在后一种情况下，存在这样的风险，即这样做会使攻击者知道已检测到他的活动，并且他可以“离开”受害者，同时擦除自己留下的所有痕迹。这是一个棘手的问题，当然，最好在“岸上”解决，而不是在调查远程事件的过程中。当然，最好是在岸上解决，而不是在调查远程事件的过程中。当然，最好是在岸上解决，而不是在调查远程事件的过程中。

我想我将以单独的材料提供有关远程调查和证据收集的信息，但是现在，我仅提及一些需要准备在远程调查中回答的问题：

如何访问家庭，移动和公司远程设备？在家用设备的动物园条件下，这个问题并不像看起来那样简单。对于移动设备尤其如此，这可能还需要调查措施。
如何访问信息安全的日志和数据以及我们需要远程设备上的哪些常规日志和工件？如何有选择地收集它们？
您是否需要管理远程访问来调查和响应，例如服务帐户，sudo，SSH密钥？我是否需要对家用路由器上的ACL进行更改以进行远程访问（以及是否由服务提供商提供和管理）？
是否有必要修改用于调查和证据工具的申请白名单？
如何远程安装调查和证据收集工具？
如何跟踪关闭电源后何时打开远程设备进行调查？
您将如何与受害者沟通？

这些问题的答案在很大程度上取决于现有的基础架构，所用设备，系统和应用软件的公司标准的可用性以及员工使用个人设备在家工作的权利。

外包服务提供商

也许在大流行中，您决定临时使用外包SOC和MDR提供程序的服务。而且，您现在可以从中获得折扣：-)但是，了解您当前的外包合同或合同中有多少考虑了分析师的远程工作，这一点更为重要。MSSP / MDR / TIP / CERT / FinCERT / GosSOPKA是否接受您员工发出的来自其个人电话或电子邮件地址的消息？他们是否阻止访问不来自公司IP地址？是否可以使用拆分隧道从外部提供商而不通过公司VPN连接到仪表板？

法律要求

由于FSTEC的局限性，我已经写过关于商业SOC不可能进行远程操作的文章。但是，在远程操作SOC时，必须记住许多主题。你知道一个新鲜的笑话吗？ “我的孩子们在家学习。我要求学校管理部门为新的窗帘，粉刷墙壁和家具维修捐赠资金” ：-)因此，在许多国家/地区，有一种做法是员工开始要求雇主将使用公寓和家用计算机作为工作工具的补偿。我认为在俄罗斯这还没有威胁到我们，但是这个例子本身就具有指示性。

不可能向SOC员工提供通过个人计算机执行的正式职责（尽管....），但是普通员工可以轻松地从家用设备连接到公司资源。因此，产生了一个合法的问题-雇主在进行调查，收集文物等时，可以在什么法律基础上使用雇员的远程和个人计算机？您是否有关于公司在雇佣合同或附加合同中监督员工的权利的条款？是否有详细的规定，规定在这种监视框架内哪些可能发生和哪些不能完成？否则，您将违反适用法律，并且当您尝试访问个人设备时，员工拥有将您发送给您的全部权利。这同样适用于在家用计算机上安装DLP代理或时间跟踪工具。

并且不要忘记您的SOC可能属于某些国际信息安全管理标准的范围（例如，在俄罗斯，一些SOC已通过ISO 27001认证）。考虑如何使用远程SOC审核您？您不会带领审核员进入员工公寓。还是会？

结论

这些是关于在设计，审核和制定计划以改进IS监控中心（包括俄罗斯和独联体国家）时必须处理的内容的草图。这并不是说所有这些技巧都不可行，或者需要大量的财务，时间和人力成本。其中许多很容易实现。最主要的是不要让这些问题刹车，因为忽略它们不仅会增加调查远程工作中事件的时间，甚至会导致跳过事件。另外，不要以为当前的流行病只是暂时现象，很快一切都会解决。如果组织认真考虑业务连续性，并且知道如何向前几步计算情况，那么我们将理解COVID-19只是一个信号；有迹象表明，明年冬天可能会再次发生这种情况。因此，“必须在夏天准备雪橇”。无论如何，上述技巧在普通SOC寿命中也不是多余的。

威胁。顺便说一句，不要忘记在分析人员返回那里之前对主要的SOC场所进行消毒。

远程站点上的SOC。有什么值得考虑的？