Как стать экспертом SOC? - CyberED
Назад

Как стать экспертом SOC?

Мы взяли интервью у нашего преподавателя Сергея Сидорина, который руководит 3-й линией аналитиков в «Информзащите». Поговорили про образование, чем занимается аналитик SOC, о карьерном пути специалиста и о том, как его лучше пройти.

— Расскажите немного о том, как вы начали свой путь в информационной безопасности. Где и как вы учились?

Начну с того, что я неплохо учился в школе. Ближе к старшим классам начал думать о том, что мне ближе. Выбирал между гуманитарным и техническим направлением. У меня умные родители, и они сказали мне одну правильную вещь: если сомневаешься — иди получать техническое образование, а переучиться с технаря на гуманитария всегда проще, чем наоборот. Я в целом дружил с математикой, поэтому прислушался к ним. По выбору направления у меня не было четких стремлений. В школьные годы я не особо лазил в компьютере — его у меня особо и не было, как-то так вышло. Поэтому факультет я выбрал не то, чтобы по популярности, а по интуиции: она подсказала, что информационная безопасность — это перспективное направление. Конечно, в 16-17 лет сложно сделать правильный выбор, но моя интуиция меня не подвела.

— Как вы считаете, насколько готов к работе выпускник факультета информационной безопасности?

У меня есть два хороших примера. Первый — мой собственный. Я был прилежным студентом: ходил на пары и лекции, делал все задания, хорошо сдавал зачеты и экзамены. В то время у меня не было окружения, которое могло бы посоветовать, куда идти и что делать. Поэтому я ждал от университета, что если буду хорошо учиться, он меня чему-то научит, и я буду уверен в своих силах после окончания учебы. На третьем курсе я понял, что через год заканчиваю, а кто я? Что я буду делать? И осознал, что ничего не знаю и не умею. 

Второй пример связан с тем, что я часто провожу собеседования студентов старших курсов в SOC и прекрасно вижу их уровень, насколько они готовы к реальным задачам. К сожалению, большинство из них не подготовлены выходить даже на первую линию. И в этом нет их вины. Да, нам часто говорили, что ВУЗ — это лишь 20% вашей учебы, остальное вы должны получить самостоятельно. Но хороший преподаватель должен уметь направить в нужное русло и показать студенту, как он может развиваться.

— Как вы думаете, в какую сторону нужно двигаться университетам, чтобы они могли дать необходимую подготовку будущим экспертам?

Приведу пример. Неделю назад я начал преподавать у новой группы. После базового введения в профессию я созвонился с одним из студентов, которому 42 года. Это взрослый человек, понимающий, чего он хочет. Он мне сказал: «Сергей, мне 42 года, и у меня нет времени изучать все подряд. Я боюсь ошибиться с выбором, а у меня нет права на ошибку. Когда я открываю интернет, я нахожу огромное количество информации и не знаю, как структурировать знания и сформировать план обучения. Помогите мне не допустить этой ошибки и взяться за что-то конкретное, что мне действительно поможет». Вот это правильный посыл — человек осознает, что делает. Он подсвечивает проблему огромного количества информации и сложности ее обработки. Университеты должны делать то же самое — формировать учебный план и направлять студентов в нужное русло, чтобы не размывать их фокус внимания и помочь провести обучающее время максимально эффективно.

— Без каких навыков совсем не обойтись начинающему специалисту? Что нужно изучать прямо сейчас?

Однозначно нужно знать сети, операционные системы Linux и Windows, виды средств защиты информации (СЗИ) и Cyber-Kill Chain, то есть вектора атак злоумышленников. Необходимо понимать типы атак. Не обязательно копать глубоко в каждый эксплойт и разбираться, как он работает, но хотя бы иметь представление, что существуют определенные сценарии, вектора атак, с помощью которых можно достичь определенного результата. Также важно знание базовых технологий в операционных системах. Например, на собеседованиях мы часто спрашиваем: какие протоколы аутентификации вы знаете? Что такое домен и контроллер домена? Что такое шифрование и хэширование? Всё это очень важно.

Вообще, SOC — это инфраструктура, поэтому в рамках развития необходимо приобретать навыки в администрировании и работе с инфраструктурой, а также навыки в пентесте и работе с кодом.

— Что необходимо знать начинающим специалистам об основных трендах и изменениях в законодательстве, которые влияют на работу SOC?

Ключевое — это импортозамещение и закон по обеспечению безопасности объектов критической инфраструктуры. Я работаю в сервисном SOC, мы оказываем услуги сторонним компаниям, которые попадают под эти законы и обязаны иметь в своей инфраструктуре сертифицированное отечественное программное обеспечение. Ключевая проблема в том, что наш основной инструмент — это система мониторинга. Раньше мы работали в IBM-овской системе, то есть зарубежной. А сейчас, к концу 2024 года, мы будем обязаны оказывать услугу на отечественном ПО, как и многие другие компании (за исключением нескольких коммерческих организаций). Поскольку одним из ключевых навыков является работа с таким ПО, то лучше получать опыт и нарабатывать навыки сразу на отечественных системах мониторинга.

— Расскажите подробнее, чем отличается работа аналитиков на первой, второй и третьей линиях? Чем занимаются специалисты SOC?

Давайте возьмем некоторый эталон, потому что ситуация может отличаться от компании к компании. Аналитики первой линии — это те, кто первыми принимают в работу заявки. Если им хватает компетенций для того, чтобы пройти весь pipeline обработки и вынести какой-то вердикт, то они делают это самостоятельно. Когда возникают сложности, они передают заявку более опытному сотруднику — на вторую линию.

Вторая линия занимается сопровождением заказчиков с точки зрения аналитики: пишут корреляционные правила под их нужды, занимаются исключениями, изучением их инфраструктуры, подключают источники (если этим не занимается группа инфраструктуры). Они могут принимать участие и в других активностях: написание коннекторов, нормализация, корреляционные правила и т.д. Кто-то занимается разработкой и интеграцией различных систем.

Когда вторая линия не знает, что делать, она обращается к третьей линии, которая более экспертная. Помимо написания сложных корреляционных правил и исследований, третья линия зачастую выполняет и роль менеджмента. Среди возможных задач — поиск угроз, тестирование различных эксплойтов, техник и тактик. Вторая линия тоже может выполнять эти задачи, но третья линия в основном специализируется на исследовании и может решать более сложные проблемы. Также она может участвовать в расследованиях инцидентов — в команде могут быть форензики (компьютерные криминалисты), что, в целом, уже другая область знаний.

— А где лучше начать работу молодому специалисту — в крупной компании, вроде вашей, или пойти работать в SOC отдел какой-то небольшой организации?

Опять же, все зависит от компании и компетенции ее SOC отдела. Скажу, как я это вижу. Мне не очень нравится стандартный внутренний SOC тем, что он больше ориентирован на инфраструктуру. В такие SOC часто вкладываются большие деньги в средства защиты информации, и задача аналитика во многом сводится к работе со средствами защиты. Аналитик в таких организациях не работает на низком уровне, возможно, не так хорошо понимает, как работают злоумышленники и как они могут достигать своих целей на техническом уровне. Он ориентирован на алерты фаерволов, DLP-систем, антивирусов и так далее. Я сам через это проходил в другой компании. Сервисный же SOC более прокачен в понимании работы на низком уровне. Я бы рекомендовал идти, конечно же, к большим игрокам. Туда сложнее попасть, но там вы быстрее прокачаетесь. Но это не всегда так — есть действительно сильные внутренние SOC, но, опять же, это крупные холдинги.

— А куда можно перейти, если, например, поймешь, что SOC — не твое, или захочешь дальнейшего развития?

Если мы говорим о выгорании или просто желании что-то поменять, то можно уйти в смежные области, например, в безопасную разработку, пентест или менеджмент. Я знаю нескольких специалистов, которые так поступили.

— Какие качества выделяют сильных SOC специалистов?

Хороший аналитик всегда должен сомневаться в том, что всё в порядке, и не мыслить категориями «алертов нет, значит всё хорошо». Хороший аналитик скажет: «Хм, а почему у нас нет алертов? Возможно, правила плохо написаны? Или у нас событий нет? Или аудит не настроен?» Если он будет мыслить таким образом, вероятность успеха будет гораздо выше.

Усидчивость — это тоже про сильных аналитиков. Они будут сидеть до конца, пока не найдут проблему. Стрессоустойчивость важна, когда у тебя большой поток заявок, и ты способен не паниковать, а спокойно, с холодной головой разбирать и решать проблемы.

И, конечно, желание исследовать — это творческая история. Ты аналитик, и твоя задача — что-то искать. Вопрос в том, есть ли у тебя компетенции, чтобы что-то найти, но всегда, даже если ты всё изучил, можно искать что-то новое. А может быть, среди этой кучки «всего» ты что-нибудь и найдешь.

— В чем ваша мотивация возвращаться в профессиональные поля и каждый раз сталкиваться со всё более сложными вызовами?

Отличный вопрос! Я особо не задумывался над этим, возможно, в силу возраста. Но если рассуждать глобально, то всегда получаешь кайф, когда участвуешь в разработке. Под «разработкой» я не подразумеваю программирование кода, а создание чего-то с нуля. Ты задумал проект, его одобрили, в этом увидели реальную потребность, и ты выстраиваешь весь процесс от начала до конца. В результате получается сложный продукт, сервис или услуга. Ты прошел через тернии к звездам, и в итоге у тебя получилось что-то крутое, что улучшает жизнь других людей. В этом плане проектная работа приносит настоящее удовольствие.

— К нам приходит много восторженных отзывов от ваших студентов. Сейчас начало учебного года, поэтому просим вас дать напутствие всем начинающим специалистам и студентам CyberEd.

Возможно, нескромно, но я часто вижу, как некоторые студенты, когда только приходят на обучение, чувствуют некую растерянность: «Куда я попал? Что я здесь делаю?» Я им всегда говорю: «Посмотрите на меня, перед вами человек, который ничего не знал, сидел с круглыми глазами, но не растерялся и пошел учиться». Я отучился на совесть, прошел всю образовательную программу, вкладывался в каждое занятие, спрашивал, делал домашние задания и за достаточно небольшой срок освоил профессию. Я приветствую настойчивость и даже некую наглость, ведь когда ты стираешь мнимые границы, остается только идти к своей цели. Поэтому главное — работать с полной отдачей, не лениться и быть самоорганизованным. Желаю всем не сдаваться, только вперед, несмотря ни на что, к цели с широко открытыми глазами.

Ждем на наших программах,

Ваш CyberED.