Как стать экспертом SOC?

Мы взяли интервью у нашего преподавателя Сергея Сидорина, который руководит 3-й линией аналитиков в «Информзащите». Поговорили про образование, чем занимается аналитик SOC, о карьерном пути специалиста и о том, как его лучше пройти.

— Расскажите немного о том, как вы начали свой путь в информационной безопасности. Где и как вы учились?

Начну с того, что я неплохо учился в школе. Ближе к старшим классам начал думать о том, что мне ближе. Выбирал между гуманитарным и техническим направлением. У меня умные родители, и они сказали мне одну правильную вещь: если сомневаешься — иди получать техническое образование, а переучиться с технаря на гуманитария всегда проще, чем наоборот. Я в целом дружил с математикой, поэтому прислушался к ним. По выбору направления у меня не было четких стремлений. В школьные годы я не особо лазил в компьютере — его у меня особо и не было, как-то так вышло. Поэтому факультет я выбрал не то, чтобы по популярности, а по интуиции: она подсказала, что информационная безопасность — это перспективное направление. Конечно, в 16-17 лет сложно сделать правильный выбор, но моя интуиция меня не подвела.

— Как вы считаете, насколько готов к работе выпускник факультета информационной безопасности?

У меня есть два хороших примера. Первый — мой собственный. Я был прилежным студентом: ходил на пары и лекции, делал все задания, хорошо сдавал зачеты и экзамены. В то время у меня не было окружения, которое могло бы посоветовать, куда идти и что делать. Поэтому я ждал от университета, что если буду хорошо учиться, он меня чему-то научит, и я буду уверен в своих силах после окончания учебы. На третьем курсе я понял, что через год заканчиваю, а кто я? Что я буду делать? И осознал, что ничего не знаю и не умею.

Второй пример связан с тем, что я часто провожу собеседования студентов старших курсов в SOC и прекрасно вижу их уровень, насколько они готовы к реальным задачам. К сожалению, большинство из них не подготовлены выходить даже на первую линию. И в этом нет их вины. Да, нам часто говорили, что ВУЗ — это лишь 20% вашей учебы, остальное вы должны получить самостоятельно. Но хороший преподаватель должен уметь направить в нужное русло и показать студенту, как он может развиваться.

— Как вы думаете, в какую сторону нужно двигаться университетам, чтобы они могли дать необходимую подготовку будущим экспертам?

Приведу пример. Неделю назад я начал преподавать у новой группы. После базового введения в профессию я созвонился с одним из студентов, которому 42 года. Это взрослый человек, понимающий, чего он хочет. Он мне сказал: «Сергей, мне 42 года, и у меня нет времени изучать все подряд. Я боюсь ошибиться с выбором, а у меня нет права на ошибку. Когда я открываю интернет, я нахожу огромное количество информации и не знаю, как структурировать знания и сформировать план обучения. Помогите мне не допустить этой ошибки и взяться за что-то конкретное, что мне действительно поможет». Вот это правильный посыл — человек осознает, что делает. Он подсвечивает проблему огромного количества информации и сложности ее обработки. Университеты должны делать то же самое — формировать учебный план и направлять студентов в нужное русло, чтобы не размывать их фокус внимания и помочь провести обучающее время максимально эффективно.

— Без каких навыков совсем не обойтись начинающему специалисту? Что нужно изучать прямо сейчас?

Однозначно нужно знать сети, операционные системы Linux и Windows, виды средств защиты информации (СЗИ) и Cyber-Kill Chain, то есть вектора атак злоумышленников. Необходимо понимать типы атак. Не обязательно копать глубоко в каждый эксплойт и разбираться, как он работает, но хотя бы иметь представление, что существуют определенные сценарии, вектора атак, с помощью которых можно достичь определенного результата. Также важно знание базовых технологий в операционных системах. Например, на собеседованиях мы часто спрашиваем: какие протоколы аутентификации вы знаете? Что такое домен и контроллер домена? Что такое шифрование и хэширование? Всё это очень важно.

Вообще, SOC — это инфраструктура, поэтому в рамках развития необходимо приобретать навыки в администрировании и работе с инфраструктурой, а также навыки в пентесте и работе с кодом.

— Что необходимо знать начинающим специалистам об основных трендах и изменениях в законодательстве, которые влияют на работу SOC?

Ключевое — это импортозамещение и закон по обеспечению безопасности объектов критической инфраструктуры. Я работаю в сервисном SOC, мы оказываем услуги сторонним компаниям, которые попадают под эти законы и обязаны иметь в своей инфраструктуре сертифицированное отечественное программное обеспечение. Ключевая проблема в том, что наш основной инструмент — это система мониторинга. Раньше мы работали в IBM-овской системе, то есть зарубежной. А сейчас, к концу 2024 года, мы будем обязаны оказывать услугу на отечественном ПО, как и многие другие компании (за исключением нескольких коммерческих организаций). Поскольку одним из ключевых навыков является работа с таким ПО, то лучше получать опыт и нарабатывать навыки сразу на отечественных системах мониторинга.

— Расскажите подробнее, чем отличается работа аналитиков на первой, второй и третьей линиях? Чем занимаются специалисты SOC?

Давайте возьмем некоторый эталон, потому что ситуация может отличаться от компании к компании. Аналитики первой линии — это те, кто первыми принимают в работу заявки. Если им хватает компетенций для того, чтобы пройти весь pipeline обработки и вынести какой-то вердикт, то они делают это самостоятельно. Когда возникают сложности, они передают заявку более опытному сотруднику — на вторую линию.

Вторая линия занимается сопровождением заказчиков с точки зрения аналитики: пишут корреляционные правила под их нужды, занимаются исключениями, изучением их инфраструктуры, подключают источники (если этим не занимается группа инфраструктуры). Они могут принимать участие и в других активностях: написание коннекторов, нормализация, корреляционные правила и т.д. Кто-то занимается разработкой и интеграцией различных систем.

Когда вторая линия не знает, что делать, она обращается к третьей линии, которая более экспертная. Помимо написания сложных корреляционных правил и исследований, третья линия зачастую выполняет и роль менеджмента. Среди возможных задач — поиск угроз, тестирование различных эксплойтов, техник и тактик. Вторая линия тоже может выполнять эти задачи, но третья линия в основном специализируется на исследовании и может решать более сложные проблемы. Также она может участвовать в расследованиях инцидентов — в команде могут быть форензики (компьютерные криминалисты), что, в целом, уже другая область знаний.

— А где лучше начать работу молодому специалисту — в крупной компании, вроде вашей, или пойти работать в SOC отдел какой-то небольшой организации?

Опять же, все зависит от компании и компетенции ее SOC отдела. Скажу, как я это вижу. Мне не очень нравится стандартный внутренний SOC тем, что он больше ориентирован на инфраструктуру. В такие SOC часто вкладываются большие деньги в средства защиты информации, и задача аналитика во многом сводится к работе со средствами защиты. Аналитик в таких организациях не работает на низком уровне, возможно, не так хорошо понимает, как работают злоумышленники и как они могут достигать своих целей на техническом уровне. Он ориентирован на алерты фаерволов, DLP-систем, антивирусов и так далее. Я сам через это проходил в другой компании. Сервисный же SOC более прокачен в понимании работы на низком уровне. Я бы рекомендовал идти, конечно же, к большим игрокам. Туда сложнее попасть, но там вы быстрее прокачаетесь. Но это не всегда так — есть действительно сильные внутренние SOC, но, опять же, это крупные холдинги.

— А куда можно перейти, если, например, поймешь, что SOC — не твое, или захочешь дальнейшего развития?

Если мы говорим о выгорании или просто желании что-то поменять, то можно уйти в смежные области, например, в безопасную разработку, пентест или менеджмент. Я знаю нескольких специалистов, которые так поступили.

— Какие качества выделяют сильных SOC специалистов?

Хороший аналитик всегда должен сомневаться в том, что всё в порядке, и не мыслить категориями «алертов нет, значит всё хорошо». Хороший аналитик скажет: «Хм, а почему у нас нет алертов? Возможно, правила плохо написаны? Или у нас событий нет? Или аудит не настроен?» Если он будет мыслить таким образом, вероятность успеха будет гораздо выше.

Усидчивость — это тоже про сильных аналитиков. Они будут сидеть до конца, пока не найдут проблему. Стрессоустойчивость важна, когда у тебя большой поток заявок, и ты способен не паниковать, а спокойно, с холодной головой разбирать и решать проблемы.

И, конечно, желание исследовать — это творческая история. Ты аналитик, и твоя задача — что-то искать. Вопрос в том, есть ли у тебя компетенции, чтобы что-то найти, но всегда, даже если ты всё изучил, можно искать что-то новое. А может быть, среди этой кучки «всего» ты что-нибудь и найдешь.

— В чем ваша мотивация возвращаться в профессиональные поля и каждый раз сталкиваться со всё более сложными вызовами?

Отличный вопрос! Я особо не задумывался над этим, возможно, в силу возраста. Но если рассуждать глобально, то всегда получаешь кайф, когда участвуешь в разработке. Под «разработкой» я не подразумеваю программирование кода, а создание чего-то с нуля. Ты задумал проект, его одобрили, в этом увидели реальную потребность, и ты выстраиваешь весь процесс от начала до конца. В результате получается сложный продукт, сервис или услуга. Ты прошел через тернии к звездам, и в итоге у тебя получилось что-то крутое, что улучшает жизнь других людей. В этом плане проектная работа приносит настоящее удовольствие.

— К нам приходит много восторженных отзывов от ваших студентов. Сейчас начало учебного года, поэтому просим вас дать напутствие всем начинающим специалистам и студентам CyberEd.

Возможно, нескромно, но я часто вижу, как некоторые студенты, когда только приходят на обучение, чувствуют некую растерянность: «Куда я попал? Что я здесь делаю?» Я им всегда говорю: «Посмотрите на меня, перед вами человек, который ничего не знал, сидел с круглыми глазами, но не растерялся и пошел учиться». Я отучился на совесть, прошел всю образовательную программу, вкладывался в каждое занятие, спрашивал, делал домашние задания и за достаточно небольшой срок освоил профессию. Я приветствую настойчивость и даже некую наглость, ведь когда ты стираешь мнимые границы, остается только идти к своей цели. Поэтому главное — работать с полной отдачей, не лениться и быть самоорганизованным. Желаю всем не сдаваться, только вперед, несмотря ни на что, к цели с широко открытыми глазами.

Ждем на наших программах,

Ваш CyberED.

Шеметов Сергей

Профессиональный трек «Специалист по тестированию на проникновение ИТ-инфраструктуры R-430»

Почему CyberEd?

На многих конференциях по информационной безопасности, видел выступления основателя школы CyberEd Егора Богомолова. У меня сложилось мнение, что Егор по-настоящему увлечен, полностью посвящает себя и отдается своему делу, идее, при этом умеет донести простым языком сложные вещи, как говорится «зажечь искру». Для меня, как для человека, у которого не было бэкграунда в IT, это было очень важно. Изучив преподавательский состав школы, решение принял быстро и однозначно.

По обучению.

Это было не просто обучение в теории, а настоящие реальные сценарии, с которыми сталкиваются в работе специалисты по тестированию на проникновение ежедневно. Мне был очень интересен их практический опыт.

Преподаватели очень доходчиво все объясняли, без «воды», отвечали ВСЕГДА ОПЕРАТИВНО на все вопросы, причем в любое время дня и ночи)).

Для понимания курса считаю обязательным прохождение предварительной базовой подготовки. Мне, как человеку, у которого нет опыта в IT сфере, требовалось гораздо больше времени на усвоение пройденного материала и решения лабораторных работ.

Пройденное обучение в CyberEd подготовило меня к решению реальных задач в сфере тестирования на проникновение. Я благодарен преподавателям за их преданность делу и профессионализм. CyberEd – коллектив настоящих профессионалов.

Гаркуша Сергей

Профессиональный трек «Специалист по безопасной разработке приложений S-410»

Я пришел в CyberEd на данный курс, чтобы развиваться в направлении безопасной разработки. Хотел бы отметить, что сейчас огромное количество курсов, но все они в основном для начинающих и рассказывают базовую теорию, а данный курс позволяет повысить свои компетенции тем, у кого уже есть опыт работы. Несмотря на то, что я пришел на курс с небольшим опытом, я вынес для себя много полезной информации. Особенно зацепило то, что в нем было очень много практических аспектов, которые в интернете в свободном доступе достать не получится. Данное направление в России еще только на этапе развития, поэтому и обучающих материалов не так много.

Обучение состояло из онлайн лекций, на которых частично рассказывалась теория и далее показывалось выполнение различных практических задач, которые необходимо было повторить в качестве домашнего задания, а потом интерпретировать на финальную работу, но уже с другим проектом.

Также большим плюсом является то, что можно было попросить усложнить материал в индивидуальном порядке (это особенно полезно для тех, кому кажется, что уже достигли потолка). Преподаватели – опытные специалисты в этом направлении. Им можно было задать абсолютно любые вопросы по данной тематике, как легкие, так и сложные, что очень помогло мне в ходе работы.

Минаев Владимир

Профессиональный трек «Специалист по тестированию на проникновение ИТ-инфраструктуры R-430»

Отзыв о курсе, который я прошел в CyberED, просто не могу не оставить! Этот курс был для меня великолепным опытом и получением реальных практических знаний.

Прежде всего, я хотел бы отметить, что преподаватели в CyberED — просто лучшие из лучших. Они являются настоящими профессионалами и смогли поделиться со мной огромным багажом своих знаний и опыта. Их подход к преподаванию был понятным и доходчивым.

Я также хотел бы отметить, что перед прохождением данного курса, я рекомендую пройти бесплатный курс «Белый хакер» на Stepik. Этот курс даст вам хорошую базу знаний и позволит более осознанно и продуктивно проходить обучение в CyberED.

Что меня приятно удивило в этом курсе, так это его современный, открытый и доброжелательный стиль. Преподаватели постоянно стимулировали студентов задавать вопросы и обсуждать пройденный материал. Это было очень полезно, так как позволяло лучше усвоить информацию и затем применять ее на практике.

Весь материал, который мы изучали на курсе, был актуальным и полезным. Я получил множество навыков и инструментов, которые я уже начал применять в своей работе. Важно отметить, что курс был достаточно интенсивным, но благодаря поддержке преподавателей, я мог обратиться за помощью в любое время.

Надир Мустафин

Всем рекомендую данную школу. Мое погружение в ИБ и в ИТ началось именно тут.

До данных курсов я мог только вкл/выкл комп, установить ПО. Сейчас работаю специалистом ИБ в одной из крупных ИТ-компаний РФ в области ИБ.

Хочу отметить таких преподавателей как Ильдар, Иван, Павел, Александр, Ярослав — это большие профессионалы. А главное они по-человечески относятся к обучающимся разных уровней и всегда помогают. Раскрывают тему максимально подробно и дают материалы для дальнейшего изучения.

Благодаря им и школе спустя половину курса (на 6-ой месяц из 12), я уже устроился на работу.

Также хочу отметить, что кураторы и руководители школы всегда стараются помочь в вопросах обучения и расписания.

Нравится максимальная открытость и поддержка.

Для тех, кто только начинает свой путь, могу сказать, что это отличное место для старта, НО только если готовы уделить 90% своего свободного времени. Без собственных усилий ничего не получится.

Для опытных спецов скажу, что также курс предполагает углубленные темы и задания повышенной сложности.

Думаю, что на своем данном этапе я бы почерпнул бы еще больше если пошел на курсы с текущими знаниями. Такого мнения и сокурсники с опытом.

В качестве огромного бонуса — это контакты таких же единомышленников!

До сих пор с ребятами и преподавателями дружим)