Как пройти собеседование и стать SOC-специалистом

Анастасия Мансурова

менеджер по персоналу Positive Technologies

Пандемия COVID-19 внесла значимые корректировки во все сферы жизни человека и оказала огромное влияние на IT-сообщество, в том числе на сферу информационной безопасности. И связано это с двумя основными моментами.

Многие компании перевели своих сотрудников на удаленную работу, в связи с чем ввели в работу новые сервисы — и, соответственно, стали более уязвимыми для кибератак. Пандемия стала неким триггером и для компаний, и для преступников: первые столкнулись с необходимостью спешно расширить набор предоставляемых IT-сервисов, для вторых же пробудился интерес к открывающимся возможностям.

Чтобы обезопасить себя и снизить риски хищения данных, компании были вынуждены больше внимания уделить информационной безопасности — в том числе, в некоторых случаях, создавали или расширяли security operations centers (SOC). Именно эти центры стали в новой реальности теми бастионами, которые принял на себя основной удар: в задачи инженеров SOC входит мониторинг инфраструктуры, они занимаются сбором данных, коррелируют события и анализируют активность злоумышленников.

Поэтому поиск и наем таких специалистов стали особенно актуальны. Существенного влияния на сами процессы рекрутинга текущая повестка пока не оказала, а вот рынок труда изменился довольно ощутимо. Спрос на специалистов данного профиля, особенно уровней middle и senior, значительно вырос. А так как рынок ИБ довольно узок и высококлассных специалистов очень мало, некоторые работодатели оказались готовы нанимать специалистов уровня junior и обучать их.

Как же попасть в команду SOC? На самом деле, лучше всего двигаться так: инженер техподдержки → сетевой (системный) администратор → вводное обучение ИБ → оператор SOC. Сотрудник, прошедший такой путь, уже будет иметь представление о работе с helpdesk-системами, основных способах решения проблем пользователей и сервисов, а также о «железе» и ПО, на которых эти сервисы непосредственно работают. Соответственно, ему необходимо будет нарабатывать опыт и получать знания уже конкретно в отношении возможных путей компрометации данных, а также средствах и способах их защиты. Возможно и движение в обратном направлении – специалист в области ИБ может изучить актуальные средства предоставления ИТ-сервисов и применить имеющиеся ИБ-компетенции к обеспечению их безопасности.

Какими знаниями и каким опытом необходимо обладать? Ну или хотя бы — что начать изучать, если стремишься работать в SOC? Мы бы выделили следующее:

1. Общие знания в компьютерной технике. Кандидат должен иметь представление об основных алгоритмах, структурах данных, понимать принципы работы наиболее популярных СУБД, операционных систем, а также компьютерных сетей, иметь опыт анализа сетевого трафика. Плюсом будет также опыт разработки вспомогательных средств автоматизации на любом языке высокого уровня или скриптовом языке.
2. Представление о типовых процессах ИТ — работе сервисов обслуживания (helpdesk), администрировании серверов и конечных точек.
3. Навыки анализа больших объемов данных. Это необходимо при анализе журналов информационных систем (например, в SIEM), при анализе сетевого трафика.
4. Глубокое понимание непосредственно операционных функций SOC — приоритизации информационных активов по значимости для бизнеса, приоритизации контролей ИБ по степени важности: защиты периметра, контроля управления доступами в критически значимые для бизнеса информационные системы, контроля подключений устройств к корпоративной сети, контроля утечек данных с помощью DLP-систем и средств глубокого анализа сетевого трафика.
5. Разумеется, навык работы со средствами защиты, которые применяются в корпоративных инфраструктурах, умение использовать их для обеспечения качественного мониторинга и выявления инцидентов безопасности.
6. Знакомство с процессом управления уязвимостями. Специалист SOC должен знать, какого типа уязвимости в принципе существуют, какие уязвимости применимы к подконтрольной ему инфраструктуре, какими методами и средствами можно закрыть возможность эксплуатации этих уязвимостей.
7. Осведомленность о наиболее актуальных киберугрозах. Необходимо постоянно поддерживать собственный уровень знаний, быть в курсе, какие хакерские группировки активны на данный момент, какая у них сфера интересов, какие они применяют техники атак. Помочь уже непосредственно при работе в SOC может также использование качественного TI-сервиса (threat intelligence) в качестве источника соответствующих знаний.
8. Базовый набор навыков анализа вредоносного кода. ВПО — одно из самых распространенных средств компрометации компьютерных сетей, и специалист SOC должен как минимум уметь отличать вредоносные артефакты от легитимных. В идеале, он должен уметь определить хотя бы базовый набор функций попавшего ему в руки образца ВПО и выделить основные индикаторы компрометации, чтобы организовать проверку всей подконтрольной инфраструктуры (а также чтобы передать эти индикаторы на третью линию SOC или экспертам провайдера TI-сервиса — для более детального изучения).
9. Коммуникабельность ? Поскольку специалисту SOC приходится зачастую взаимодействовать с самыми разными категориями пользователей в защищаемой сети, совершенно необходимо уметь внятно формулировать для них запросы на информацию и уведомления о необходимых действиях при расследовании или устранении последствий инцидента.

Итак, вы решили, что хотите стать специалистом SOC. Будьте готовы, что на собеседовании с вами обсудят:

• вопросы безопасности сетевых технологий, принципы работы основных сетевых протоколов, методы их компрометации и защиты;
• принципы работы систем защиты: SIEM, WAF, IDS и др.;
• вопросы безопасности ОС: методы компрометации, методы их защиты;
• методы расследования инцидентов (с разбором конкретных кейсов).

Да, конечно, почти невозможно развить все перечисленные выше навыки на одинаково высоком уровне, особенно в самом начале карьеры: некоторые из них приобретаются только в процессе работы. Однако если вы уже начали развиваться по некоторым направлениям или имеете хотя бы небольшой опыт, это уже плюс.

Подготовиться к собеседованию несложно. В сети много материалов:

• Разобраться в сетевых технологиях вам поможет материал «Сети для самых маленьких».
• О том, как искать следы взлома и следы ВПО, когда стандартные средства защиты не справляются, можно почитать в нашем блоге на Хабре.
• Ряд вебинаров вы можете посмотреть на нашем YouTube-канале.
• Найти правильные курсы, чтобы прокачать необходимые навыки в области кибербезопасности, вам поможет интерактивная карта Cybersecurity Skills Roadmap.
• О том, как построить эффективно работающий SOC, читайте в книге Ten Strategies of a World-Class Cybersecurity Operations Center.

Путь от рядового инженера техподдержки до эксперта по ИБ, в частности специалиста SOC, многим кажется сложным, почти нереальным. Но сегодня для того, чтобы этот путь можно было пройти, созданы все условия. В обстановке кадрового голода многие компании берут в штат специалистов «на вырост» и обучают их. Так происходит и у нас в Позитиве. Почему бы не воспользоваться такой возможностью получить классную работу? Скучать на ней точно не придется: интересные задачи специалисту SOC гарантированы! Кроме того, работа в ИБ — это постоянный рост и возможность, узнавать что-то новое: рынок ИБ растет с бешеной скоростью, а глобальная цифровизация постоянно подкидывает очередные сюрпризы в виде новых вирусов и методов атак.