Короткий путь от джуна до SOC-аналитика
Всем привет, в этой статье мы расскажем, какой путь нужно пройти, чтобы стать высококлассным специалистом SOC (Security Operations Center).
Строить карьеру в SOC сегодня перспективно как никогда. Востребованность персонала для центров мониторинга и реагирования на инциденты информационной безопасности за последние полтора года выросла. Во многом это связано с тем интересом для злоумышленников, которые вызывают компании, располагающие большой базой персональных данных клиентов, КИИ, а также обладающие государственной и социальной значимостью.
Дело не только в DDoS — это лишь одно из проявлений. Если раньше бизнес неохотно интересовался темой SOC, то после всплеска кибератак в 2022 году позиция заказчиков изменилась. Теперь все больше компаний хотят защитить свои активы и обращаются за помощью в центры мониторинга и реагирования на инциденты ИБ. Причем, не только крупный, но и средний бизнес. По прогнозам многих экспертов по кибербезопасности, спрос на SOC будет только расти. А значит, специалистов центров мониторинга ИБ ждет очень много интересной работы. Но с чего же начать карьеру? Итак, обо всем по порядку.
Какими hard skills, soft skills должен обладать сотрудник SOC?
Что касается hard skills, то здесь все зависит от занимаемой позиции сотрудника. Например, аналитику SOC для эффективной работы и быстрого карьерного развития на старте необходимы базовые знания в следующих предметных областях: основы сетевых технологий, понимание работы основных операционных систем (Windows, Linux), основные законы в области ИБ (152 ФЗ РФ, 126 ФЗ РФ, 98 ФЗ РФ, 134 ФЗ РФ, международные стандарты ISO 27000 и PCI DSS).
Также важно знать или, как минимум, представлять, какой существует набор средств защиты информации и какую функцию они выполняют. Все эти знания помогут вам быстро влиться в рабочий процесс, а также «нарастить мышцы» в экспертной области за наиболее короткий промежуток времени.
Перейдем к soft skills. Специалисту центра необходимо иметь аналитический склад ума, способность обрабатывать большой объем данных за ограниченный промежуток времени. Также, в связи со спецификой работы, аналитику предельно важно иметь способность четко фокусироваться на выполняемых им задачах.
В дополнение еще отмечу такие качества, как усидчивость, скрупулезность, дотошность и, своего рода, профессиональную параноидальность. Это связано с тем, что аналитик должен всегда стараться докопаться до истины и уметь найти подозрительную активность даже там, где, на первый взгляд, ее нет. Настоящий профессионал в области мониторинга и реагирования должен рассматривать все происходящее под призмой, что нас всех уже взломали или очень хотят это сделать — именно тогда будет достигнут наивысший уровень защищенности от аналитика. Очень важно быть стрессоустойчивым, чтобы в режиме аврала не замереть, как камень. Необходимо сохранять холодный рассудок и не терять контроль над ситуацией даже в самые напряженные моменты.
Ну и, конечно, нельзя не вспомнить о том, что настоящий аналитик должен уметь выстраивать гипотезы для выявления действий атакующих. Почему? Потому что фактически задача аналитика — это по определенным артефактам и паттернам определять подозрительную активность, на основе которой в дальнейшем уже можно начать предполагать, что злоумышленник мог сделать для развития своей атаки и какие цели он преследовал. Для этого необходимо разворачивать наблюдаемую активность на 360 градусов с целью максимально качественно и подробно видеть всю складывающуюся картину. Правильно построенные гипотезы помогут вам направить свою аналитику в нужное направление.
Если говорить про уровень коммуникативных навыков, то он тоже ценится, однако не столь важен. Объясним почему. Дело в том, что бОльшую часть времени работа аналитика SOC не предполагает общения с клиентами. Однако отсидеться в сторонке в любом случае не получится. Когда возникает критический инцидент, специалист центра обязан позвонить заказчику и сообщить ему о необходимости оперативного реагирования. Соответственно, аналитик должен максимально подробно, но в то же время доступно и лаконично объяснить клиенту суть происходящего, чтобы он без лишних вопросов и сомнений мог оперативно отреагировать.
Кроме того, аналитик SOC должен участвовать в плановых встречах с клиентами и консультировать их по техническим вопросам. Немаловажно поддерживать коммуникацию внутри команды, делиться собственными знаниями и получать консультацию у более опытных коллег.
Также отмечу, что человек, обладающий усидчивостью и целеустремленностью, намного быстрее достигнет крутых результатов в SOC. Впрочем, эти качества принесут успех, наверное, в любой профессиональной сфере, и воспитывать их в себе очень даже полезно.
Как войти в отрасль?
Самым важным является желание. Для тех, кто не имеет опыта работы в кибербезе, могу рекомендовать специальные курсы SOC-аналитика. Также крупные интеграторы и ИБ-компании устраивают стажировки. Если стажер успешно проходит обучение, и в нем видят перспективного специалиста, то он может получить предложение о переходе в штат организации.
Например, «Информзащита», в которой я работаю, проводит стажировки несколько раз в год. В течение двух месяцев участники слушают лекции экспертов компании и решают различные задачи. В конце они сдают экзамены, показывают свои умения во время работы над реальными кейсами и, наконец, проходят собеседование с представителями HR-департамента.
Помимо того, учащиеся старшекурсники по направлениям «Информационная безопасность» и «Информационные технологии» могут пройти собеседование на позицию SОС-аналитика первой линии. О ней подробнее мы поговорим чуточку позже. (Информацию о стажировках можно найти здесь.)
Какое образование получить?
Будущему специалисту SOC желательно получить ИБ-образование или образование, наиболее приближенное к нашей сфере. Однако, как показывает практика, есть очень хорошие специалисты, которые начинали карьеру в SOC без профильного образования и при этом в работе не уступали работникам с соответствующим профессии дипломом. Имея профессиональное окружение и должный уровень мотивации, можно набраться знаний самостоятельно, ведь в интернете достаточно ресурсов, где можно почерпнуть нужную информацию, обучающих лекций и т.п. (Coursera, YouTube, Хабр, база MITRE ATT&CK и другие специализированные сайты в помощь).
Для саморазвития можно поднять небольшую инфраструктуру (например, в Eve-NG или Pnet), развернуть OpenSource SIEM (бесплатные решения для управления событиями и информацией о безопасности), подключить журналы событий в SIEM-систему и проводить атаки на свою тестовую инфраструктуру, которая может быть любой, какой вы только пожелаете, однако нужно стараться, чтобы она максимально соответствовала базовой корпоративной сети. Далее можно анализировать события и пробовать разрабатывать корреляционные правила для выявления проведенных атак. Выполнив эти действия, у вас уже будет базовое представление о компонентах SIEM, о том, как разрабатывать правила корреляции и подключать источники событий. С этими прикладными навыками вы уже будете выделяться на собеседованиях на начальном этапе карьеры.
При возникновении сложностей, а они точно возникнут, можно обратиться за помощью к коммьюнити: Stack Overflow, Codeby, статьи на Xaker.ru, Habr, много полезной информации можно найти в публикациях таких крупных компаний, как Kaspersky, BI.ZONE, Positive Technologies.
Сколько платят начинающим и опытным специалистам?
Оплата начинающим специалистам без опыта работы стартует от 45 тысяч рублей на руки. Специалисты с опытом работы могут получать 100, 150, 200 тысяч и более.
Зарплата, на которую может претендовать, например, middle, зависит от многих факторов — это уникальный опыт, наличие необходимых навыков под проект, дефицит кадров.
Чтобы завлечь работодателя, важно правильно заполнить резюме, а именно, не забыть подробно описать ваш опыт, интересные кейсы, где вы могли себя проявить, а также верно расставлять приоритезацию тех компетенций, которыми вы владеете, исходя из того, на какую позицию вы претендуете.
Как проходит собеседование?
Конечно, у каждого работодателя свой подход к собеседованиям, но мы поговорим о том, какой концепции придерживаемся мы. Перед проведением собеседования кандидатам на позицию первой линии аналитики мы направляем несложные тестовые задания. Это помогает нам снизить количество претендентов, которые уж очень далеки от нашей сферы.
Собеседование в команду SOC в «Информзащите» проходит в один этап, после которого мы берем время на обсуждение и принятие решения. При проведении собеседования преобладающий набор вопросов является техническим, чтобы проверить hard skills кандидатов.
Небольшая часть вопросов представлена в виде командной строки, например, с утилитами двойного назначения lolbin/lolbas (living of the lands binaries and scripts), где уточняется механика возможного использования для вредоносной цели. Длительность собеседования в среднем составляет один час. В течение полутора часов мы обычно общаемся со специалистами, которые претендуют на более высокие позиции.
Первая линия SOC
Пожалуй, подробнее всего расскажу о собеседовании аналитика первой линии, так как это начальный шаг в карьере — всегда самый сложный и важный. Для более эффективного взаимодействия с претендентом мы полагаемся на систему грейдов. Это специальный документ, в котором описаны требования к младшему специалисту, специалисту и старшему специалисту. Также там есть рекомендованные к изучению материала и часть вопросов, которые нужно задать на собеседовании.
Соискателю на позицию аналитика первой линии SOC необходимо продемонстрировать свои базовые знания в следующем:
— в IT — принципы работы сети на уровнях OSI (модель взаимодействия открытых систем), основы TCP\IP (модель передачи данных), назначение и принципы работы основных протоколов, принципы логирования, локальная аутентификация и авторизация пользователей и т.д.;
— в информационной безопасности — принципы работы основных средств защиты информации, хранение учетных данных, методология и т.д.;
— в инфраструктуре IZ: SOC — SIEM, Jira, портал, TI;
— в IZ: SOC Processes — график работы, эскалация, действия в смене, развитие и автоматизация;
— в IZ: SOC Rule & UseCase — работа с контентом.
При приеме аналитика первой линии на время испытательного срока за ним обычно закрепляется наставник. В нашей компании это более опытный специалист первой или второй линии аналитиков. Он вводит новичка в процесс и специфику работы в SOC, обучает анализу подозрений на инциденты и далее проверяет качество их самостоятельного решения.
В задачи аналитика первой линии информационной защиты (ИЗ) входит:
— полный цикл обработки подозрений на инциденты: ответы на возникшие вопросы заказчика при анализе подозрения на инцидент, предоставление выгрузок по требованию заказчика;
— создание заявок для исключения Fasle-Positive срабатываний (ложноположительные срабатывания, когда система обнаружения сообщает о наличии вредоносного ПО или атаки, но на самом деле их нет);
— обработка заявок о недоступности информационной системы (ИС);
— решение персональных задач, назначенных руководителем группы при работе вне смен.
В среднем аналитик задерживается на первой линии SOC от полугода до полутора лет. Этот показатель зависит от мотивированности аналитика, скорости обучения и дополнительного образования в свободное от смен время.
Вторая линия SOC
Чтобы с позиции аналитика первой линии перейти на вторую линию необходимо хорошо разбираться в имеющихся в SOC корреляционных правилах (позволяют автоматически выявлять угрозы информационной атаки и обнаруживать потенциальные атаки). Также нужно иметь навыки оптимальной разработки правил корреляции. Кроме того, нужно быть инициативным — не бояться предлагать идеи для разработки нового контента, улучшать и автоматизировать внутренние процессы, повышать уровень взаимодействия с клиентами.
Расскажу о задачах, с которыми приходится сталкиваться аналитику второй линии IZ: SOC:
— разработка корреляционных правил для заказчика;
— включение корреляционных правил под заказчика;
— регулярная оптимизация от False-Positive сработок;
— разработка рекомендаций по реагированию на инциденты;
— участие в расследовании инцидентов ИБ;
— парсинг (автоматизированный сбор и структурирование информации) и маппинг событий (определение соответствия данных между последовательностями элементов) для нетиповых источников событий;
— ретроспективная проверка индикаторов компрометации;
— наставничество для аналитиков первой линии;
— сбор данных и формирование квартальных отчетов или отчетов по требованию заказчика;
— обработка эскалированных сложных инцидентов от аналитиков первой линии;
— выполнение функции выделенного аналитика для заказчика.
Аналитики на позиции второй линии работают от года и более. На этой линии аналитики задерживаются дольше по сравнению с аналитиками первой линии из-за отсутствия сменного графика и наличия более сложных, разносторонних, уникальных и интересных задач.
Третья линия SOC
Для перехода на позицию аналитика третьей линии в IZ: SOC необходимо иметь отличные знания в процессах SOC, быть высококлассным специалистом в узкой области, например, в форензике (компьютерная криминалистика), ОС Windows, Linux и т.д.
Часть задач, которые решают аналитики третьей линии IZ: SOC:
— разработка регламентов, инструкций;
— ThreatHunting (активный поиск угроз, которые уже обошли автоматизированные системы обнаружения), генерация гипотез, поиск угроз ИБ;
— проверка на корректность и подтверждение разрабатываемых корреляционных правил аналитиками младших линий SOC;
— форензика, расследование инцидентов;
— поиск идей для разработки сложных корреляционных правил по своим специализациям;
— автоматизация задач, обогащение событий / заявок.
Сколько же времени уходит на формирование специалиста третьей линии? Этот показатель зависит от способностей и бэкграунда работника. В среднем до уровня аналитика третьей линии SOC можно вырасти за 2–4 года работы. Самый эффективный способ роста — упорный труд и «жадность» к решению задач и повышению своих профильных компетенций, участие в расследованиях инцидентов ИБ.
Есть примеры, когда сотрудники, приходя в мае на первую линию, к февралю следующего года поднимались до третьей линии. Как? А все благодаря описанному выше упорству, тяге к знаниям, инициативности и добросовестности при решении задач. Один сотрудник на протяжении 9 месяцев принимал активное участие в жизни подразделения, брал много дополнительных задач и постоянно занимался самообразованием, благодаря чему за довольно короткий срок сумел повысить свои компетенции до специалиста уровня третьей линии.
Куда дальше развиваться?
Далее можно расти горизонтально или вертикально.
Развиваться горизонтально, значит расширять свой кругозор, пробовать себя в смежных направлениях. Например, в таких:
— Pentest (тестирование на проникновение) — комплекс мер, которые имитируют реальную атаку на систему, чтобы понять, может ли гипотетический злоумышленник ее взломать или получить контроль над данными;
— Red Team — имитация реальных кибератак с целью тренировки и оценки эффективности людей, процессов и технологий, используемых для защиты информационной инфраструктуры заказчика;
— Malware-аналитик — анализ кода и функциональности вредоносного объекта, добавление записей о нем в антивирусные базы, проведение исследований вирусного ПО;
— AppSec (Application Security) — это направление информационной безопасности, которое отвечает за безопасную работу приложений.
Вертикальное развитие подразумевает рост до руководителя аналитиков третьей линии или главы SOC. Конечно, чтобы получить руководящую должность, нужно немало потрудиться и приложить максимум усилий. Но важно понимать, что эта цель вполне осуществима, ведь каждый начальник когда-то вырастал из начинающего специалиста.
Выводы
Что в результате? Опираясь на статистику за последний год, мы видим, что количество кибератак неуклонно растет, их разносторонность и специфичность также увеличиваются. Подходы (техники и тактики) злоумышленников в наступательной деятельности постоянно развиваются. По этой причине можно с уверенностью говоритьо большой перспективе направления информационной безопасности в целом и аналитика SOC в частности.
К тому же не стоит забывать о сложившемся большом дефиците специалистов в области мониторинга и реагирования на инциденты информационной безопасности. В настоящее время поиск толкового и инициативного специалиста, готового качественно выполнять задачи даже на самых начальных позициях — непростое дело.
Исходя из всего вышесказанного, соискателю вакантных позиций или начинающему специалисту, стремящемуся овладеть всеми необходимыми навыками и компетенциями для работы в SOC, важно помнить, что, как и везде, многое зависит от целеустремленности, усидчивости и желания.
Не стоит забывать о важности собеседований и правильно оформленного резюме, так как именно эти два аспекта позволяют потенциальному работодателю обратить на претендента свое внимание. А для успешного прохождения собеседования рекомендуется ознакомиться с описанными в статье областями знаний, необходимыми для работы в нашей сфере. Всем удачи!