Контакты
Подписка 2024

Каких знаний не хватает у соискателей в операторы и аналитики SOC?

Редакция журнала "Информационная безопасность", 20/12/23

Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции, которые могут существенно затруднять успешное выполнение задач. Эксперты поделились мнением о том, каких именно навыков обычно не хватает.

Эксперты:

Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

ris43

Максим Акимов, Innostage CyberART:

Кандидаты на позицию оператора зачастую не обладают базовыми знаниями по ИТ-технологиям, не имеют практического опыта работы с СЗИ, типовыми видами сетевых компьютерных атак, знаний о тактиках и техниках злоумышленников.

А аналитикам, даже имеющим опыт работы в корпоративных SOC, может не хватать знаний по написанию правил корреляции, понимания векторов атак, матрицы MITRE ATT&CK. Например, используя только базовый коробочный контент, они не наработали опыт расследования реальных инцидентов. Планируя карьеру в ИБ, нужно делать упор на практику, оттачивать скиллы на киберучениях и соревнованиях. Прокачать Hard Skills, например, можно на киберполигоне Innostage.

Руслан Амиров, Инфосистемы Джет:

В первую очередь от сотрудников SOC требуются базовые знания по ИТ и ИБ. Начинающего специалиста с прочным фундаментом знаний, сформированным самостоятельно или в вузе, можно относительно быстро обучить специфике работы в конкретном SOC, погрузить в технику, процессы, подходы и методики, а также провести его адаптацию в компании.

От соискателей на должность аналитика (на примере Jet CSIRT) требуется не только серьезный багаж знаний, но также опыт детектирования и противодействия реальным атакам, без которого будет гораздо сложнее обеспечивать качественный сервис.

Артём Савчук, ПМ:

В основном это скромный опыт эксплуатации СЗИ (часто он ограничен одной-двумя SIEM) и недостаточное знание современных нормативных требований в области ИБ, а порой, как ни странно, слабые коммуникативные навыки для общения с реальными заказчиками.

Андрей Дугин, МТС RED:

Как правило, не хватает практического опыта и умения работать с различными системами, глубоко понимая базовые принципы, не привязанные к определенному производителю. Специалистов с такими навыками на рынке немного, поэтому мы растим их внутри, в том числе в ходе программ стажировок в МТС RED SOC.

Даниил Вылегжанин, RuSIEM:

Как показывает практика, чаще всего у соискателей не хватает глубокого знания особенностей различных инструментов обеспечения безопасности разных производителей. Помимо знаний для этого нужен и большой опыт.

Теймур Хеирхабаров, BI.ZONE:

Не хватает понимания того, как выглядят реальные атаки на практике, а не в описаниях из книжек и журналов, а также практического опыта реагирования на инциденты и их расследования. Кроме того, очень часто недостает так называемых софт-скиллов: толерантности к неопределенности, умения грамотно излагать свои мысли, аргументированно доносить свою позицию, а также вести качественную коммуникацию как с коллегами, так и с заказчиками.

Александр Матвеев, IZ:SOC:

К сожалению, одних знаний зачастую недостаточно. Речь, скорее, про опыт и экспертизу, полученную на основе реальных кейсов. При желании знания всегда можно получить, но есть вещи, которые можно обрести только опытным путем, и это, на наш взгляд, самое ценное. В коммерческих SOC знания и опыт растут гораздо быстрее, нежели в in-house SOC, так как наши аналитики и эксперты работают сразу со многими заказчиками и, соответственно, сталкиваются с инцидентами гораздо чаще. Крайне важен также обмен опытом в команде, и вот его зачастую у соискателей не хватает. Поэтому, отвечая на вопрос, отмечу, что иногда у соискателей не хватает скорее стремления получить тот самый опыт, который непременно приведет к знаниям.

Сергей Солдатов, Лаборатория Касперского:

В порядке убывания частоты случаев:

  1. Фундаментальных знаний по ИТ: основных сетевых операционных систем (Win, Mac, Linux), сетевых технологий (не ниже уровня CCNA), классических техник злоумышленников (закрепление, повышение, горизонтальные перемещения в основных ОС, атаки на сетевые протоколы (DNS, DHCP и т.п.), типовых атак на инфраструктуру Active Directory.
  2. Базовых знаний DFIR: какие forensic-артефакты следует собирать в каких случаях и зачем, как реагировать на типовые атаки.
  3. Soft skills и знания иностранных языков.
Темы:КадрыКруглый столSOCЖурнал "Информационная безопасность" №3, 2023

Инструменты и решения для защиты информации и предотвращения кибератак
Конференция | 2 апреля 2024

Жми для участия
Кибербезопасность в новой реальности
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Регистрируйтесь и участвуйте в онлайн-конференции!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Кибербезопасность в новой реальности
14 марта. Онлайн-конференция. Реагирование на инциденты по информационной безопасности
Регистрируйтесь!

More...
13 февраля 2024. Защита АСУ ТП. Безопасность КИИ
21 марта. Российские платформы виртуализации
Жми, чтобы участвовать