Автор: Роман Одегов, руководитель отдела оперативного обнаружения киберугроз в BI.ZONE
Наш отдел оперативного обнаружения киберугроз в классической модели SOC совмещает всю функциональность L1 и часть функций L2. Но чтобы не усложнять, дальше будем говорить только об L1 SOC. Основные обязанности – круглосуточный мониторинг алертов, оповещение об инцидентах, выдача первичных рекомендаций и первичное реагирование.
Чтобы равномерно распределить нагрузку и обеспечить своевременное реагирование, мы ввели разделение на роли: аналитик в смене, старший аналитик, ответственный смены.
Аналитик в смене – основной ресурс для обработки алертов. Дополнительно в смене среди аналитиков мы выделили роли для работы с запросами клиентов: взаимодействие по спецпроектам, прием звонков, обработка ответов заказчиков по инцидентам.
Старший аналитик также обрабатывает ответы заказчиков по инцидентам, но в приоритете у него решение технических или сложных вопросов, реализация исключений в правилах, постанализ инцидентов, а также индивидуальные задачи, направленные на улучшение работы L1 SOC.
Ответственный смены управляет ее работой и следит за процессами. На нем контроль нагрузки, распределение аналитиков по дополнительным ролям, эскалация технических проблем. Каждый аналитик грейда Middle периодически выполняет роль ответственного. Так обеспечивается ротация ролей внутри смены.
Таким образом, внутри каждой смены образуется полноценная команда с четким распределением зон ответственности: у каждого аналитика есть понятные роль и требования к выполнению задач на ближайшую смену.
Опыт первых лет функционирования нашего SOC показал, что работа в режиме "два через два" (12 часов с графиком "день–ночь–отсыпной–выходной") негативно сказывается на производительности специалистов.
Мы оптимизировали график смен благодаря наличию команд в Москве, Казани и Красноярске. Разница в 4 часа позволила нам организовать рабочую неделю аналитиков из пяти 8-часовых смен и двух выходных. В Москве и Казани смены с 9:00 до 18:00 и с 18:00 до 3:00, а в Красноярске – с 7:00 до 16:00 и с 13:00 до 22:00 по местному времени. Судя по обратной связи от аналитиков, такой график переносится лучше, чем "два через два". Более комфортные условия положительно влияют на качество работы и эмоциональное состояние.
А чтобы аналитики не выгорали в потоке алертов, обычные смены перемежаются со сменами развития. В это время аналитики занимаются совершенствованием технических навыков. Рабочая неделя состоит из четырех обычных смен и одной смены развития.
Один руководитель приходится на группу численностью до пятнадцати аналитиков. Такое соотношение оказалось оптимальным. Руководитель в этом случае способен эффективно работать как с каждым аналитиком в отдельности, так и на уровне групповых активностей.
Важно, чтобы в рамках группы проходили очные встречи – как неформальные, так и связанные с работой. Это влияет на сплоченность команды, укрепляет доверие, позволяет отдохнуть от регулярных задач. Поэтому в группу мы объединяем аналитиков в пределах одной локации.
Руководитель группы регулярно проводит встречи один на один с каждым аналитиком. Они позволяют вовремя реагировать на проблемы, например выявлять выгорание на ранней стадии, и обмениваться обратной связью. Это важный инструмент взаимодействия, который способствует профессиональному и личностному развитию сотрудника. У руководителей групп есть встречи один на один с руководителем отдела. Последний периодически также проводит личные встречи с аналитиками, чтобы поддерживать прозрачные взаимоотношения в отделе и получать обратную связь о руководителях групп.
Еще одна регулярная активность – внутренние семинары, на которых аналитики прокачивают навыки публичных выступлений и делятся опытом в расследовании интересных инцидентов, разбирают новые или сложные правила детектирования. На семинарах также обсуждаются ошибки, особенности внутренних процессов, сложные ситуации при обработке ответов клиентов.
Организовать прозрачный процесс помогают карьерные треки, которые состоят из матрицы компетенций, базы знаний, критериев роста, правил перехода. Мы составляем индивидуальный план развития (ИПР) для каждого аналитика, в который закладываем проработку проседающих зон компетенции, а также получение навыков из направления, в которое сотрудник хотел бы в будущем перейти. Затем определяем, через какое время он должен достичь целей ИПР. На промежуточных встречах руководитель и аналитик фиксируют результаты и при необходимости корректируют процесс. По итогам выполнения ИПР мы подводим итоги и принимаем решение о повышении или переводе.
Одна из основ любого SOC – это люди. В управленческих решениях мы концентрируемся на улучшениях для аналитиков: создаем комфортную среду для достижения целей, ценим доверие, открытость и ответственность. Такой подход позволяет выстраивать эффективные процессы в L1 SOC и успешно решать задачи, которые стоят перед командой.
Реклама: ООО "БИЗон". ИНН 9701036178. Erid: 2SDnjemYrib