Привет! Меня зовут Кирилл, я руковожу ИБ в Ozon. Уже 15 лет занимаюсь ИБ, успел поработать в телекоме, в медиабизнесах, участвовал в построении SOC, AppSec, строил ИБ с нуля. В общем, успел много повидать, а сегодня расскажу, как, будучи CISO, снова оказался на позиции специалиста первой линии SOC.

Мы в Ozon скрупулёзно обеспечиваем информационную безопасность компании. Многими кейсами, знаниями и практиками уже делились на Хабре, и продолжаем регулярно проводить митапы, выступать на конференциях, поскольку собрали большую команду с крутой экспертизой.

В этой статье расскажу, как мы строили первую линию SOC, зачем отправляем туда действующих сотрудников на стажировку. Какие очевидные и неочевидные выводы можно сделать, отправляя сотрудников на вторую линию, но сначала разберёмся с SOC и некоторой терминологией вокруг.

Что стоит за SOC в Ozon

Security Operations Center (SOC) — команда, которая круглосуточно защищает инфраструктуру компании от киберугроз. Обнаруживает, классифицирует и реагирует на них. Наш SOC состоит из трёх линий:

• 1 линия — оперативное реагирование по хорошо известным событиям;

• 2 линия — разбор сложных кейсов, глубокий анализ, приведение событий к состоянию, доступному для разбора 1-й линией, написание алертов, мониторингов;

• 3 линия — поддержка SIEM, threat hunting, threat intelligence.

  Отдельно выделена группа расследования инцидентов и форензики (CSIRT).

Подробнее об этом мы уже рассказывали в статье.

Исторически в Ozon были выделены только вторая и третья линии, а обработка алертов и работа с обращениями была распределена между всеми командами. Были организованы дежурства команд, в чатах отвечали по очереди, часто к нам приходили в личку. Алерты назначались сразу на команды‑исполнители, которые были ответственными за разбор.

Со временем количество обращений, рост алертов, желание обрабатывать их быстрее, качественнее и иметь управляемые метрики этого процесса привели нас в 2022 году к выделению первой линии как отдельного подразделения, которое взяло на себя все эти функции.

Как мы строили первую линию

Выделение первой линии на определённом этапе развития ИБ становится очевидным. С проникновением ИБ в бизнес‑ и технологические процессы компании количество обращений в ИБ растёт. Это приводит к тому, что централизация как минимум функции обработки обращений становится оправданным этапом развития SOC.

Так сделали и мы. Определили все «легальные» места, где мы хотим, чтобы пользователи нам писали (чат, почта и селф‑сервис‑портал) и сказали, что теперь все такие обращения обрабатывает сотрудник первой линии. Отвечает грамотно и вежливо, задаёт уточняющие вопросы на понятном обратившемуся языке, призывает другие команды ИБ или отправляет в другие поддержки, например, в хелпдеск. Иногда успокаивает. Иногда понимает, что это инцидент. Тогда идёт в CSIRT.

Что мы ещё делали с обращениями:

• следили, чтобы как можно больше обращений попадали в желаемые каналы. Тех, кто писал по старой памяти в личку, — отправляли в чат или почту. Это позволило видеть весь поток обращений, измерять его, делать на оснвании этого выводы.

• придумали метрики разбора обращения (количество, процент обработки первой линией без привлечения других команд, скорость реакции, скорость ответа 2-й линии, «долгие» обращения). Это позволило управлять скоростью обращений, ресурсом первой линии, видеть тренды в процессах обработки обращений.

• ввели категоризацию обращений — помечаем по основным типам, связанным с нашими процессами или активностями.

Чем ещё занимается первая линия

Закончив передачей всего потока обращений на первую линию, мы решили, что можно доверить ребятам и разбор алертов.

Разумеется, у нас есть алерты, которые автоматически поднимают инцидент или попадают на команду CSIRT, но таких алертов единицы, у них максимальная критичность, околонулевая вероятность ложноположительных срабатываний, и важна каждая секунда времени реакции. Все остальные алерты разбирает первая линия.

Что делает первая линия с такими алертами:

• обогащает данными;

• проверяет на ложную положительность;

• принимает решение о критичности;

• в зависимости от критичности — поднимает инцидент на нужную команду или передаёт в работу в менее срочном режиме.

Развивая первую линию дальше, мы поняли четыре важных вещи.

1. Компетенций ребят достаточно, чтобы передавать им некоторые важные рутинные процессы, по которым может быть написан плейбук.

2. Делать рутину силами первой линии эффективнее.

3. Так мы развиваем ребят‑стажёров на реальных кейсах, а не на теории и инструкциях.

4. У стажёров есть »свободные руки», когда нет обращений и алертов.

Примеры процессов, переданных на первую линию:

• валидация отчётов BugBounty;

• согласование некоторых доступов для пользователей;

• проверка легитимности обнаруженных фишинговых сайтов;

• сопровождение RISK тикетов.

Параллельно с этим в 2024 году мы запустили 24/7 смену на первой линии. Такое решение было принято в силу трёх основных причин:

1. Алерты продолжают поступать и ночью, а передача алертов на первую линию позволила будить инженеров на инциденты на порядок (в 9 раз) реже и эффективнее. На алерт сперва смотрит сотрудник первой линии, обогащает его, часть обрабатывает сам по плейбуку и, только если произошло что‑то критичное, — поднимает сотрудника другой команды;

2. Обращения поступают и ночью, а среди них может быть что‑то, что является признаком инцидента, даже начинающий ИБ‑шник может посмотреть на обращения с этой точки зрения и в случае необходимости разбудить коллег для перепроверки.

3. Режим работы 24/7 позволяет держать контекст о текущем состоянии нашей защищённости круглосуточно.

Кто такой Гэнти Гэмбуцу и при чём здесь Япония

Мне, как руководителю всего департамента ИБ, иногда не хватает погружения в процессы конкретной команды и понимания, какие рутинные задачи выполняет команда. С какими проблемами сталкивается. Отследить это на статусных встречах по ключевым проектам не получается, но это, как мне кажется, важная часть работы руководителя.

Иногда для решения задачи погружения руководителя в повседневный быт команды мы используем практику из японского менеджмента, которая называется Гэнти Гэмбуцу или Гемба. В этой практике руководитель приходит «в цех» и смотрит, как реально «на земле» работают процессы: задаёт вопросы, вникает в конкретные задачи инженеров.

Такие походы в команды подтолкнули меня к более массовому использованию Гембы. Вдохновлённые японским подходом, мы решили сделать стажировку для руководителей: скажем так, сделать им на день back to school.

Первая линия является «лицом» и глазами команды, поскольку все команды передают свои процессы туда, но, кроме этого, первая линия является для всего департамента кузницей кадров. Мы решили, что такие погружения в работу первой линии будут максимально полезны для всего департамента, и мы придумали проект стажировки на 1-й линии.

Почему проект «Стажировка» оказался таким важным 

Мы решили, что было бы здорово отправить руководителей, которые активно используют ресурсы первой линии к ним же на помощь. Чтобы они актуализировали работу внутренней кухни, поняли, с каким проблемами бизнес приходит в ИБ. Посмотрели, как на самом деле, работают процессы, которые они передали на первую линию. Возможно, уже пора пересмотреть плейбук. А ещё возможно в команде могли появиться новые инструменты, поэтому задачу можно решать более эффективно.

Второй важной причиной стала мотивация. Я считаю, что наставничество — это мотивация для двух людей сразу: для наставника и для наставляемого. А когда наставник — молодой сотрудник первой линии, он учит и объясняет свою ежедневную рутину руководителю или эксперту, который пришёл на стажировку — эффект усиливается.

Третья причина — ротации. Мы в ИБ в Ozon делаем большую ставку на молодых специалистов, и первая линия сразу стала кузницей кадров для всего ИБ. Увеличивая количество контактов зрелых и начинающих ИБ‑шников, мы стремимся увеличить количество внутренних ротаций.

 С чего начинается стажировка

Перед непосредственным началом работы стажёр готовится — это занимает примерно одну неделю параллельно с выполнением основных обязанностей:

• Запрашивает доступы, вступает в чатики.

• Добавляется в ротацию дежурств.

• Изучает регламенты дежурств/инструкций SOC.

• Завершает изучением плейбуков, рассматривает типичные обращения, алерты.

Перед началом — небольшое собеседование по тем материалам, которые осваивались в курсе.

Как проходит стажировка

Стажировка занимает 3 часа (не считая недельную подготовку в свободное от работы время), важно следовать следующим правилам:

• стажёр должен шерить экран всем, кто проводит стажировку;

• первые 1,5 часа стажёр занимается обработкой обращений;

• затем 1,5 часа разбирает алерты;

• после стажировки обязательно нужно дать развёрнутую ОС.

За время работы программы «Стажировка» на неё сходили CISO, 7 тимлидов, 2 инженера. Мы получили много обратной связи, вот несколько интересных отзывов, которые лучше всего иллюстрируют полезность нашей инициативы:

• забыл event codes и их значение — надо было гуглить;

• не все процессы хорошо описаны;

• плейбуки есть и они неплохие;

• деятельность SOC L1 на время стажировки не встаёт, и в то же время испытуемый может отработать по части запросов полноценно;

• можно многое автоматизировать;

• нужна бОльшая критика плейбуков, передаваемых на вашу сторону;

• ..процесс просто достаточно сложноватый;

• работать было трудно;

• обрабатывать алерты было интереснее, но при этом непонятнее всего. Это связано со сложностью самого процесса для неподготовленного специалиста — довольно много операций должны читаться в плейбуке »между строк»;

• понравилось, что со всех сторон была поддержка и «разжёвывания»;

• страшно было от количества тегов.

Про собственный опыт «стажировки»

Я был одним из первых в программе и могу сказать, что это было достаточно стрессово. Очень интересно и действительно полезно. Полезно для меня — я понял, как круто мы сделали первую линию. Полезно для ребят. Мне хочется верить, что для них это был мотивирующий опыт. Мы в очередной раз показали, что у нас нет «биг боссов» и «падаванов», мы все на одной волне.

И да, я плохо готовился и спрашивал у ребят, что делать, потому что я действительно не знаю всех тонкостей. Было очень непривычно следить за стилистикой и пунктуацией при ответе на сообщения пользователей, я отвык делать это в корпоративном чате. Тем не менее стажировка не ограничилась только эмоциями. Пришло время проанализировать результаты с точки зрения процессов, ресурсов и задач.

Очевидные и неочевидные выводы

• Руководители видят, как реально работают процессы, могут дать советы по их улучшению, имея альтернативное видение процессов внутри ИБ и компании в целом. Приходит понимание, какие инструменты есть, что изменилось с тех пор, как мы написали конкретный плейбук.

• Руководители задают «глупые» вопросы, которые наталкивают на неочевидные ответы. Свежий взгляд всегда полезен.

• Мы можем лучше понимать концепцию и важность первой линии. Какую нагрузку они снимают со всей команды, забрав общение с некоторыми сотрудниками, а также огромное количество рутины.

• Стажёры‑руководители могут поделиться с первой линией информацией о своей работе, заинтересовать, погрузить, заонбордить молодых специалистов. Кроме этого, стажёры могут присмотреть себе кого‑то для внутренней р отации.