Контакты
Подписка 2024

Каких знаний не хватает у соискателей в операторы и аналитики SOC?

Редакция журнала "Информационная безопасность", 20/12/23

Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции, которые могут существенно затруднять успешное выполнение задач. Эксперты поделились мнением о том, каких именно навыков обычно не хватает.

Эксперты:

Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

ris43

Максим Акимов, Innostage CyberART:

Кандидаты на позицию оператора зачастую не обладают базовыми знаниями по ИТ-технологиям, не имеют практического опыта работы с СЗИ, типовыми видами сетевых компьютерных атак, знаний о тактиках и техниках злоумышленников.

А аналитикам, даже имеющим опыт работы в корпоративных SOC, может не хватать знаний по написанию правил корреляции, понимания векторов атак, матрицы MITRE ATT&CK. Например, используя только базовый коробочный контент, они не наработали опыт расследования реальных инцидентов. Планируя карьеру в ИБ, нужно делать упор на практику, оттачивать скиллы на киберучениях и соревнованиях. Прокачать Hard Skills, например, можно на киберполигоне Innostage.

Руслан Амиров, Инфосистемы Джет:

В первую очередь от сотрудников SOC требуются базовые знания по ИТ и ИБ. Начинающего специалиста с прочным фундаментом знаний, сформированным самостоятельно или в вузе, можно относительно быстро обучить специфике работы в конкретном SOC, погрузить в технику, процессы, подходы и методики, а также провести его адаптацию в компании.

От соискателей на должность аналитика (на примере Jet CSIRT) требуется не только серьезный багаж знаний, но также опыт детектирования и противодействия реальным атакам, без которого будет гораздо сложнее обеспечивать качественный сервис.

Артём Савчук, ПМ:

В основном это скромный опыт эксплуатации СЗИ (часто он ограничен одной-двумя SIEM) и недостаточное знание современных нормативных требований в области ИБ, а порой, как ни странно, слабые коммуникативные навыки для общения с реальными заказчиками.

Андрей Дугин, МТС RED:

Как правило, не хватает практического опыта и умения работать с различными системами, глубоко понимая базовые принципы, не привязанные к определенному производителю. Специалистов с такими навыками на рынке немного, поэтому мы растим их внутри, в том числе в ходе программ стажировок в МТС RED SOC.

Даниил Вылегжанин, RuSIEM:

Как показывает практика, чаще всего у соискателей не хватает глубокого знания особенностей различных инструментов обеспечения безопасности разных производителей. Помимо знаний для этого нужен и большой опыт.

Теймур Хеирхабаров, BI.ZONE:

Не хватает понимания того, как выглядят реальные атаки на практике, а не в описаниях из книжек и журналов, а также практического опыта реагирования на инциденты и их расследования. Кроме того, очень часто недостает так называемых софт-скиллов: толерантности к неопределенности, умения грамотно излагать свои мысли, аргументированно доносить свою позицию, а также вести качественную коммуникацию как с коллегами, так и с заказчиками.

Александр Матвеев, IZ:SOC:

К сожалению, одних знаний зачастую недостаточно. Речь, скорее, про опыт и экспертизу, полученную на основе реальных кейсов. При желании знания всегда можно получить, но есть вещи, которые можно обрести только опытным путем, и это, на наш взгляд, самое ценное. В коммерческих SOC знания и опыт растут гораздо быстрее, нежели в in-house SOC, так как наши аналитики и эксперты работают сразу со многими заказчиками и, соответственно, сталкиваются с инцидентами гораздо чаще. Крайне важен также обмен опытом в команде, и вот его зачастую у соискателей не хватает. Поэтому, отвечая на вопрос, отмечу, что иногда у соискателей не хватает скорее стремления получить тот самый опыт, который непременно приведет к знаниям.

Сергей Солдатов, Лаборатория Касперского:

В порядке убывания частоты случаев:

  1. Фундаментальных знаний по ИТ: основных сетевых операционных систем (Win, Mac, Linux), сетевых технологий (не ниже уровня CCNA), классических техник злоумышленников (закрепление, повышение, горизонтальные перемещения в основных ОС, атаки на сетевые протоколы (DNS, DHCP и т.п.), типовых атак на инфраструктуру Active Directory.
  2. Базовых знаний DFIR: какие forensic-артефакты следует собирать в каких случаях и зачем, как реагировать на типовые атаки.
  3. Soft skills и знания иностранных языков.
Темы:КадрыКруглый столSOCЖурнал "Информационная безопасность" №3, 2023

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать