«В информационной безопасности никогда не бывает скучно». Интервью с Владиславом Бурцевым.
Кто такой SOC-аналитик и как им стать? Чем отличается работа на первой линии SOC от второй и третьей? Какие навыки и качества нужны специалистам, чтобы не просто продержаться в кибербезопасности, но вырасти в мастеров? И как в условиях постоянного давления не сгореть? Откровенно о профессии рассказал наш преподаватель и аналитик с многолетним стажем — Владислав Бурцев.
«Кибербезопасность нашла меня случайно»
— Владислав, расскажите, как вы попали в эту профессию? Выбор был осознанным?
Владислав: Осознанного выбора не было. Как и у большинства, у меня было смутное понимание о том, чем бы я хотел заниматься после школы. Я знал, что IT — это востребованная сфера, но представлял себе работу там весьма абстрактно. Когда начал учиться в университете, пробовал себя в роли разработчика и IT-аналитика. Именно тогда я осознал, что кибербезопасность — это нечто гораздо более захватывающее, чем просто написание кода. Это ведь не одна область знаний, а целый спектр: от сетей и операционных систем до тактик атакующих и методов защиты от них. Здесь не бывает скуки, так как всегда есть к чему стремиться, и за что побороться.
О готовности выпускников к реальной работе
— А как вы оцениваете уровень вузовской подготовки молодых специалистов по кибербезопасности? Готовы ли они к реальной работе?
Владислав: Оценю кратко: «около нулевой». Большинство вузов вообще не готовят к кибербезопасности, в лучшем случае дают базу по IT: основы программирования, операционные системы. Этого, конечно, недостаточно. Если выпускник ни разу не стажировался и приходит в SOC, он может быть готов к работе на минимальном уровне. Вторая проблема — конкуренция. Пока студент доучивается до профильных предметов на старших курсах, он уже часто работает в разработке, где платят хорошо. Получается, что после выпуска ему трудно выбрать между хорошо оплачиваемой работой разработчика и начальной позицией в ИБ за куда меньшую сумму. Поэтому неудивительно, что разработка часто побеждает.
—Ваша оценка выглядит довольно сурово. Но наверняка есть те, кто осознает важность практики. Вот для таких выпускников, например, CyberEd — это тот самый старт?
Владислав: Да, обучающие программы CyberEd — это совершенно другая подготовка. Это чистая практика с погружением в реальные задачи и кейсы. Здесь нет воды. Каждый раздел нацелен на то, чтобы будущий специалист был готов к реальным вызовам на работе. Кроме того, мы организуем кружки для студентов на кафедрах, чтобы уже на ранних курсах они могли получать практику, пробовать себя в SOC и развиваться.
Путь в профессию и что нужно, чтобы стать успешным SOC-аналитиком
— Какие навыки или привычки вы считаете наиболее важными для успешной карьеры в кибербезопасности?
Владислав: Первое — это умение находить и систематизировать информацию. Мы живем во времена, когда знания доступны почти везде, но их нужно уметь добыть и освоить. Кроме того, программистские навыки — умение автоматизировать рутину, освободив себя для более сложных задач, — это необходимость. И, конечно, широкий технический кругозор: понимание принципов работы сетей, ОС и атакующих техник. Важно, чтобы со временем у вас выработалось здоровое любопытство и стремление понять суть происходящего. И, кстати, умение коммуницировать с командой не менее важно, даже если вы тот самый «айтишник-интроверт».
О линии SOC и их задачах
— Не могли бы вы рассказать для новичков, как устроена работа в SOC и чем отличается первая линия от второй и третьей?
Владислав: SOC — это команда, которая анализирует события из SIEM-системы, собирающей логи из всей инфраструктуры компании. Задача SOC-аналитиков — найти в этих данных паттерны, указывающие на нелегитимную активность. Работа делится на три уровня:
- Первая линия — для молодых специалистов. Они работают с автоматизированными событиями и выясняют, действительно ли это атака или ложное срабатывание.
- Вторая линия занимается более сложными случаями и требует более глубоких знаний в области атакующих техник и работы сетей и ОС.
- Третья линия — это, можно сказать, вершина мастерства. Специалисты разрабатывают правила для SIEM-систем, пишут логику поиска атак и разбирают самые сложные кейсы. Они в курсе всех новейших угроз и знают, как их остановить.
Проблемы и вызовы SOC-аналитиков
— С какими проблемами сталкиваются начинающие специалисты, особенно в SOC? Что бы вы посоветовали тем, кто только выходит на рынок?
Владислав: Самая большая проблема — это отсутствие боевой практики. Даже если у человека есть технические знания, но нет практики, это будет сложно. Новичку нужно смириться с тем, что некоторое время он будет заниматься относительно рутинными задачами, разбирая простые инциденты на первой линии. При этом советую набраться терпения и учиться — в среднем за три месяца можно освоить большинство навыков, а дальше только наращивать экспертный уровень.
Как справляться с выгоранием и стрессом в ИБ
— Работа в SOC — это, наверное, не только интересно, но и очень выматывает. Как справляетесь со стрессом? Какой у вас план на случай выгорания?
Владислав: Выгорание — это реально. Я, например, работал разработчиком, и уже через несколько месяцев просто перестал получать удовольствие, хотя задачи были интересными. В SOC это проще: ты можешь заниматься разными областями, переключаться от работы с сетью к анализу ОС, от форензики к анализу событий. Кроме того, SOC постоянно требует новых знаний. А это значит, что рутины здесь меньше, чем в других IT-сферах. Да, бывают дни, когда приходится просто разгребать заявки, но это лишь часть работы.
О том, что мотивирует в профессии
— Какие моменты в работе вас больше всего «заряжают»?
Владислав: Это расследование инцидентов. Когда появляется подозрение на реальную атаку, ты начинаешь собирать информацию, выдвигать гипотезы, проверять их. Это увлекательный процесс. А еще интересна разработка правил корреляции, например, создание логики, которая позволит поймать атакующего. Это творческая работа. Ты придумываешь способы отлова угроз, исследуешь то, что внедрили коллеги, и пробуешь адаптировать их идеи. И если всё удалось — это невероятное чувство.
Образ кибербезопасности будущего и советы начинающим аналитикам SOC
— А как, по вашему мнению, будет выглядеть кибербезопасность через 10-20 лет? Чего нам ждать?
Владислав: Вероятно, будут решения, которые позволят полностью контролировать атаки с помощью ИИ. Уже сейчас в крупных корпорациях внедряют автоматизированные системы, которые делают работу за человека: они сразу отображают всю цепочку атаки и показывают все затронутые хосты. Но заменить людей ИИ полностью не сможет. Есть вещи, которые алгоритм пока не понимает, и всегда будут угрозы, требующие глубокой экспертизы и нестандартного подхода. Если и будут изменения, то лишь в сторону новых решений и ускорения реакции на атаки. А специалистам предстоит адаптироваться к этой скорости.
—Что бы вы посоветовали тем, кто только начинает свой путь в кибербезопасности? Какие шаги важны для новичков, которые хотят стать SOC-аналитиками?
Владислав: Начнем с простого: ни один университет не научит вас тому, что пригодится в реальной работе. Поэтому важнее не диплом, а интерес к делу и настойчивость. Учитесь добывать знания сами — это один из самых ценных навыков, которым должен обладать SOC-аналитик.
Практика здесь незаменима: ищите возможности стажировок, особенно в небольших компаниях. SOC-центры часто нуждаются в людях, а работа на первой линии даст вам шанс разобраться в типовых инцидентах и отточить базовые навыки. Важно не только разбираться в технике, но и уметь выстроить рабочий процесс, отделить главное от второстепенного и по возможности автоматизировать рутину. Однажды написанный скрипт освободит вас от сотни повторяющихся задач — не ленитесь его написать, это и есть умный подход к работе.
И, пожалуй, самое главное — будьте любопытны. Встречаете незнакомый термин? Разберитесь, что он значит. Задавайте вопросы старшим коллегам, читайте про новые атаки, технологии и тактики. Мы живем в мире, где любая информация доступна на расстоянии одного клика, но важно уметь находить ее и применять на практике. В этом и кроется профессиональный рост: пока у вас есть интерес и стремление расти, вы не только будете на волне, но и будете готовы к любым вызовам, которые принесет профессия.
– Владислав, спасибо вам за открытые ответы и вдохновляющие мысли!
Если вы решили расширить свои знания в кибербезопасности, рекомендуем ознакомиться с нашими образовательными программами. Они помогут углубить знания и продвинуться в карьере.
Записаться на обучающую программу и узнать больше можно на нашем сайте
