Типы аналитиков в большой команде информационной безопасности

Типы аналитиков в большой команде информационной безопасности

Типы аналитиков в большой команде информационной безопасности

В сфере информационной безопасности очень ждут развития искусственного интеллекта. Но пока этого не случилось, процесс автоматического реагирования на угрозы остается скорее полуавтоматическим. Этап детектирования постоянно совершенствуется, но вот принятие финального решения все же остается, как правило, за человеком. Влияет ли личность аналитика на качество итогового результата? Можно ли минимизировать это влияние? Резюмируя опыт компании «Инфосекьюрити», автор отвечает на эти и другие вопросы.

 

 

 

  1. Введение
  2. Основные типы аналитиков
    1. 2.1. Конвейер
    2. 2.2. Детектив
    3. 2.3. Автоматизатор
    4. 2.4. Лайфхакер
    5. 2.5. Флэш
    6. 2.6. Свой парень
    7. 2.7. Товарищ майор
  3. Как это применить на практике
  4. Выводы

 

Введение

Наше подразделение в «Инфосекьюрити» занимается DLP-системами. При этом фокус внимания у нас традиционно сосредоточен на аутсорсинге аналитического сопровождения этих систем — непосредственно та составляющая выявления рисковых событий, где все еще требуется большое количество человеческих ресурсов.

Основная задача специалистов в рамках аналитического сопровождения — как можно оперативнее выявить потенциальные инциденты среди огромного потока событий, генерируемых системой. Проверить всю информацию, структурировать, добавить отсылки на внутреннюю нормативную документацию и передать заказчику для проведения (в случае необходимости) внутреннего расследования. При этом критически важно не жертвовать качеством работы в погоне за скоростью.

За годы работы мы не просто убедились, что все аналитики разные, но и отметили для себя определенное сходство типов с командными ролями по Белбину (Belbin Team Role Inventory). К описаниям типов прикреплена роль, близкая (по нашей оценке) к наблюдаемым вариантам поведения.

 

Основные типы аналитиков

Когда-то мы начинали с малого. Чуть ли не единственной задачей было выявление фактов утечки баз данных, и занимались этим несколько человек. Подход был предельно прост: если нужно сделать много работы, то ты берешь и делаешь ее, пока не закончится. Все работали по одному принципу. Назовем его «конвейер»: увидел событие, проанализировал ситуацию, перешел к следующему. Этот подход и сформировал первый тип аналитика.

Конвейер

Скорость: 

Контролируемый объем: 

Проработка: 

Близкая командная роль: Implementer

Такое название может показаться пренебрежительным, но на самом деле это не так. Конвейер – это отличные результаты при обработке среднего потока данных. А что делать, если аналитик не успевает? Правильно, посадить к нему второго аналитика. Если потребуется — третьего. Простой, известный, универсальный подход.

Но вскоре задачи стали более масштабными и пришлось еще более активно расширять штат. Мы пошли по пути найма не умудренных опытом безопасников, а практически студентов.

«Конвейер» начал работать неоднозначно, стали выделяться несколько «неэффективных» сотрудников. Их скорость была значительно меньше, чем у коллег. Естественно, это вызывало определенные вопросы. Правда, недолго. Нет, не потому что их быстро уволили, просто определились причины их отставания. По типажу они разбились на два класса: «Автоматизатор» и «Детектив».

Детектив

Скорость: 

Контролируемый объем: 

Проработка: 

Близкая командная роль: Completer Finisher

От этой команды ничего не скроется. Все неочевидные риски они выявят и зафиксируют. Вот только не стоит ожидать, что при тщательном анализе они будут поддерживать высокую скорость. Оптимальный объем информации для них — средний. Работать с большим потоком не позволяет скорость, а на небольшом объеме выстраивать сложные взаимосвязи, как правило, и не требуется.

Автоматизатор

Скорость: 

Контролируемый объем: 

Проработка: 

Близкая командная роль: Plant

Эти ребята постоянно застревали на анализе причин и связей. Вместо принятия решения по конкретным ситуациям они пускались в размышления о причинах неправильного детектирования. Стало очевидно, что их усилия будут значительно полезнее в настройке правил контроля. Так редактирование политик перекочевало из инженерного подразделения в аналитическое. В итоге, при правильном употреблении, эти сотрудники наиболее полезны на очень больших объемах (активно фильтруют информационный поток).

Следующим был найден «лайфхакер».

Лайфхакер

Скорость: 

Контролируемый объем: 

Проработка: 

Близкая командная роль: Monitor Evaluator

Те, кто стремятся к различным вариациям упорядочивания. Знают наиболее «проблемные» признаки и активно ими оперируют. Группировка, сортировка, подсчет — все это идет в ход. Очень быстро разбирают даже крупные потоки данных, но, к сожалению, не без потери качества анализа. Самые неочевидные ситуации могут остаться без внимания, что в нашем деле совершенно недопустимо. Однако при правильном употреблении такой подход будет полезен не меньше, чем остальные.

Флэш

Скорость: 

Контролируемый объем: 

Проработка: 

Близкая командная роль: Co-ordinator

Этот вариант может получиться, если с «лайфхакера» снять обязанности по детальному разбору событий. В такой ситуации он ускоряется настолько, что достигает скорости поступления данных. Таким образом, анализирует все непосредственно на лету. Очень полезен для выявления явных проблем, требующих немедленной реакции (такое в нашем деле не редкость). Оперативно выделяет их и передает в руки более въедливых товарищей.

Свой парень

Скорость: 

Контролируемый объем: 

Проработка: 

Близкая командная роль: Teamworker

Очень хорошо показывает себя на небольших объемах данных. Знает всех в лицо, а нарушителей вплоть до времени обеденного перерыва. Выявляет нетипичные действия, как большой и модный UBA. К сожалению, данный тип очень легко превращается в следующий:

Товарищ майор

Скорость: 

Контролируемый объем: 

Проработка: 

Случай, когда любопытство побеждает профессионализм. Человек воспринимает происходящее как сериал: погружается с головой и забывает, зачем пришел. Уже не разбирает проблемные ситуации — читает все подряд.

Случались в нашей истории и такие случаи, но этот тип сотрудников у нас никогда не задерживался. Подобный подход как неэтичен, так и совершенно не оправдан экономически за счет крайне низкой эффективности. И пусть первое замечание всегда остается на совести осуществляющих контроль, но вот второе совершенно однозначно: никто не заинтересован в неэффективных кадрах.

 

Как это применить на практике

Если у вас весь поток данных анализирует один сотрудник, обратите внимания на его стиль работы. Какие у него сильные и слабые стороны? Если у вас есть на это ресурсы, кто мог бы оптимально этот тип дополнить? Если в вашей команде уже несколько человек, насколько их типы дополняют друг друга?

Мы чаще всего используем следующий подход.

Изначально на проект отправляется группа из 3 человек:

  • Конвейер (базовая работа с основным потоком, помощь коллегам в выявлении фокусов внимания).
  • Автоматизатор (оперативная донастройка детектирования, определение исключений, сокращение генерируемого потока).
  • Детектив (выявление проблемных областей, проверка полноты контроля).

Постепенно доля работы Автоматизатора снижается, и он на некоторое время оставляет проект. Работа Детектива становится эпизодической, он разбирает самые сложные ситуации. Также его присутствие позитивно сказывается на проекте, так как близость к Completer Finisher позволяет ему отслеживать общий прогресс и не допускать застоя. Конвейер становится центральным ядром проекта и обеспечивает высокое качество результатов.

Далее подключается новое действующее лицо — Флэш. В паре с Конвейером они составляют наилучшее сочетание скорости и качества. Периодически возвращается Автоматизатор, оптимизирует политики и сокращает объем ручной работы.

 

Выводы

Таким образом, командная работа имеет большое значение и в этой области. Учитывая различные подходы к аналитике и удачно их комбинируя, можно добиться значительного прогресса как в скорости реагирования, так и в точности детектирования рисковых событий.

Если же для ваших задач достаточно одного специалиста, имеет смысл определить, какой вариант будет оптимален для вас. После выбора же стоит дополнительно отметить для себя потенциально слабые стороны для последующего контроля.

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru