根据定义,安全运营中心(SOC)是一个组织检测、分析、响应的团队,报告和预防企业网络中的网络安全事件。通常需要监控并分析基础架构以及安全产品中的异常以及安全告警。
我们将在这里讨论理想SOC聘用的特征。我们会考察与候选人的意识、背景和技能有关的素质,每项素质将在下面依次列出。
自我意识
不论职位高低,SOC的所有潜在雇员中所需要的最重要的素质也许就是他们对工作的热情。入侵监控和响应不仅仅是“工作”,人们要轮班工作8或12个小时,赚取薪水,然后离开。而当提到“网络”,我们更需要热情、好奇心和对知识的渴望。尽管运营中存在各种内在压力和挑战,但这种激情促使他们日复一日地重返工作岗位。这种热情,加上理智和其他软技能,促使新入职员工成为我们所谓的“摇滚明星分析师”。经验丰富的摇滚明星分析师可以做到以下全部或大部分:
-
从看似良性的审计日志或IDS警报集中找出潜在的入侵
-
构建新的工具和技术,从而将人力密集型任务压缩为可以在短时间内完成的工作
-
收集不同的数据(例如系统日志或硬盘映像)、构建事件时间表,并对潜在入侵的处置进行评估
-
使用网络协议分析工具了解各种线索,以识别跨开放源代码互连(OSI)网络协议栈的所有七个层的流量的含义及暗示
-
剖析恶意软件,并对其攻击媒介和可能的目的形成有效的了解
-
识别系统错误配置,并与系统所有者合作纠正错误配置
-
与SOC成员及合作的SOC建立发展关系,共享最佳实践,工具和技巧
-
站在对手的立场和角度上查看网络和支持的任务的结构,并评估在何处值得关注
人才吸引人才,仅仅一些摇滚明星分析师就可以推动SOC突飞猛进。同时,SOC的入门级职位通常注重重复性和结构性工作,而更高级的职位则需要不同的思维方式:
-
强烈的直觉和思考能力
-
考虑大局时注重细节
-
接受新事物的能力以及强烈的求知欲
-
有自动化脚本的能力
SOC聘用经理的一种策略是找到适合成为摇滚明星分析师的人,他们有能力学会可以做到这些的程序和工具。
分析师必须可以自由分析。的确,Tier1的分析师在日常工作中拥有更多机会来发现和升级潜在的入侵。但是,上层人士必须花费大量时间来寻找“看起来不正确”的活动,并弄清它们的真实含义和处理方法。使分析人员负担过多的进程和程序,将削弱他们识别和评估最具破坏性入侵的能力。
个人背景
CND(Computer Network Defense)分析需要对网络和系统的运行方式有一个全面的了解——在实践中,而不仅仅是理论上。尽管很难精通所有领域,但分析师通常可以回答以下问题:
-
如何安装和配置Linux或Windows系统?
-
正常的DNS流量是什么样的?
-
如何正确设计网络外围DMZ?
-
交换机配置有什么问题?
-
如何使用流行的脚本和编程语言完成常见任务?
理想的候选人应该拥有IT和网络安全的一般“素养”,以及至少在与CND相关的一个或两个领域(称为“ T形人”)的深入知识。通常通过以下三个方面的组合获得:
-
IT、计算机科学(CS)、电气或计算机工程、网络安全或相关领域的正式培训
-
在IT运营、系统/网络管理或软件开发方面积累的在职经验
-
系统管理、软件编码、CND和漏洞评估/渗透测试的自学,通常是在候选人的业余时间完成的
随着专门针对信息安全、取证、密码学和恶意软件分析的本科和研究生课程的数量不断增加,我们看到越来越多的申请人专门针对其安全操作职业(无论是本科生还是研究生)量身定制了标准的教育水平。
这就是说,绝对没有必要让正式的IT学位或5年的IT经验成为新任分析师的普遍要求。一些SOC专注于评估候选人的实际IT经验,对知识的渴望以及跳脱思维的能力。入职时间不长但具有扎实解决问题能力的候选人可以先分配给Tire 1,并随着他们的技能发展而成长为更高级的职位。
应聘者可能以前曾担任过几个职位:服务台、ISSO或ISSE、IT /网络安全策略编写及合规、软件和系统开发以及系统管理。在上述任何一种情况下,评估候选人的技术知识的广度和深度,同化和使用新信息的能力以及对IT运营现实的赞赏,都非常重要。
个人技能
成熟的SOC应该有一个强大的培训计划,该培训计划可以使新兵更快地完成SOC用于执行其任务的TTP。具有系统管理或渗透测试背景的候选人通常可以在几周或几个月内掌握CND的详细信息。尽管很容易专注于使用各种CND工具的经验,但作为工作资格,这仅仅只占到三分之一的比例。许多经验丰富的SOC负责人认为,了解一种工具的工作方式以及它告诉分析师的信息比一种特定工具的工作方式的语义更为重要。
经验丰富的CND分析师应该能够展示出以下大多数方面的常识,并且至少在一个或两个领域具有深刻的理解:
-
Linux / UNIX系统管理、以及网络(路由器和交换机)、Web服务器、防火墙或DNS管理
-
使用各种FOSS IDS / IPS,NetFlow和协议收集和分析工具,例如Snort,Suricata,Bro 65,Argus 66,SiLK 67,tcpdump和WireShark
-
整个TCP / IP或OSI网络协议栈的工作知识,包括主要协议,例如IP、Internet控制消息协议(ICMP)、TCP、用户数据报协议(UDP),简单邮件传输协议(SMTP),邮局协议3( POP3),超文本传输协议(HTTP),文件传输协议(FTP)和SSH
-
流行的加密算法和协议的工作知识,例如高级加密标准(AES)、Rivest,Shamir和Adleman(RSA)、MessageDigest算法(5)(MD5)、安全哈希算法(SHA),Kerberos、安全套接字层/传输 层安全性(SSL / TLS)和Diffe Hellman
-
安全工程和体系结构工作-大型分布式系统的安全功能分析和工程
-
使用某些COTS NIDS / NIPS或HIDS / HIPS工具,例如McAfee IntruShield和ePolicy Orchestrator(EPO)或Hewlett-Packard(HP)TippingPoint
-
使用各种日志聚合和SIEM工具,例如ArcSight或Splunk
-
具有漏洞评估和渗透测试工具的经验,例如Metasploit,CORE Impact,Immunity Canvas或Kali Linux
-
对于从事恶意软件逆向工程的人员,(1)了解Intel x86和可能的其他流行体系结构中的汇编代码,(2)使用ThreatTrack ThreatAnalyzer和FireEye AX 等恶意软件分析框架,以及(3) 使用各种有助于恶意软件分析的实用程序,例如SysInternals,和用于反编译和检查恶意软件的工具套件(其中不少是IDA Pro)
-
有编程和脚本语言以及文本操作工具的经验,最著名的是Perl,但也包括sed和awk,grep,Ruby和Python
-
对于从事取证工作的人员,具有Windows和其他操作系统内部知识以及基础的文件系统知识,并可以使用媒体取证和分析工具(例如AccessData FTK或EnCase Forensic)
此外,候选人甄选过程还应包含候选人的软技能:
-
书面与口头交流
-
在高节奏、高压力的环境中快速成长的能力
-
强大的团队合作精神
-
能够向其他分析师提供在职培训和知识共享
-
积极主动,具有强大的时间管理能力
-
具有强烈的诚信意识和对使命的认同感
CND与一般IT和网络运营之间肯定存在很多重叠。CND运营商必须能够使用通用IT语言。正如我们所讨论的,能够像对手那样思考并搜寻异常和恶意活动的能力使他们与一般IT人群区分开。因此,期望在CND和非CND位置之间轮换人员是不合理的。SOC人员配备的短暂增加通常是为了响应事件。与其直接将人员转移到SOC本身,不如通常是更好地利用现有IT人员中的其他IT人员(例如使用TA),或寻求合作伙伴或上级SOC的帮助。
CND和一般IT运营人员共享广泛的背景和技能;但是,这些工作人员职位不可互换。
可能并且鼓励员工在各种初级职位之间轮换,例如Tier1分析和漏洞扫描。但是,随着我们的排位上升,加速时间会增加。例如,只需一周的在职培训,就可以将一级分析师迁移到网络扫描。但是,将Tier2分析师迁移到红队(或撤回)通常需要更长的时间。
小结
为了完成我们的讨论,以下是一些聘请合格的分析师的提示:
-
考虑所有资质,包括正规教育和专业证书、培训、自学和在职经验。
-
个性化定制面试过程,该过程侧重于通过开放式问题进行“开箱即用”的思考,并考察一些基本的背景技能,例如对TCP / IP协议的理解,UNIX系统管理和编程。
-
寻找具有各种相关技能(例如软件开发、漏洞评估/渗透测试和高级系统管理)的人员,他们可以快速适应CND操作。
-
在面试中注重个人特点,候选人对“网络”充满热情,具有较强的沟通能力,渴望与团队紧密合作,能够适应快速节奏的工作环境,对知识有很强的求知欲。
-
利用工资结构或合同模型支持当前和计划的SOC工作各个领域的任务和经验水平的差异。
-
依靠现有摇滚明星资源中的人脉,其中是否有对CND感兴趣的朋友,即使他们在IT方面的经验并非以安全性为重点。
-
聘请主管或管理职位时,请确保具有管理证书的人员也能将IT(最好是CND)的实践经验带到桌面。
-
利用每位新员工必须在聘用后的一定时间内通过技术资格或“检查”的流程;这样可以确保所有员工都可以根据其工作职能使用基本水平的技术能力进行操作
*参考来源:《Ten Strategies of a World-Class Cybersecurity Operations Center 》,胖头鱼编译,转载请注明出处
Share this content:
Comments are closed