Контакты
Подписка 2024

Каких знаний не хватает у соискателей в операторы и аналитики SOC?

Редакция журнала "Информационная безопасность", 20/12/23

Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции, которые могут существенно затруднять успешное выполнение задач. Эксперты поделились мнением о том, каких именно навыков обычно не хватает.

Эксперты:

Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

ris43

Максим Акимов, Innostage CyberART:

Кандидаты на позицию оператора зачастую не обладают базовыми знаниями по ИТ-технологиям, не имеют практического опыта работы с СЗИ, типовыми видами сетевых компьютерных атак, знаний о тактиках и техниках злоумышленников.

А аналитикам, даже имеющим опыт работы в корпоративных SOC, может не хватать знаний по написанию правил корреляции, понимания векторов атак, матрицы MITRE ATT&CK. Например, используя только базовый коробочный контент, они не наработали опыт расследования реальных инцидентов. Планируя карьеру в ИБ, нужно делать упор на практику, оттачивать скиллы на киберучениях и соревнованиях. Прокачать Hard Skills, например, можно на киберполигоне Innostage.

Руслан Амиров, Инфосистемы Джет:

В первую очередь от сотрудников SOC требуются базовые знания по ИТ и ИБ. Начинающего специалиста с прочным фундаментом знаний, сформированным самостоятельно или в вузе, можно относительно быстро обучить специфике работы в конкретном SOC, погрузить в технику, процессы, подходы и методики, а также провести его адаптацию в компании.

От соискателей на должность аналитика (на примере Jet CSIRT) требуется не только серьезный багаж знаний, но также опыт детектирования и противодействия реальным атакам, без которого будет гораздо сложнее обеспечивать качественный сервис.

Артём Савчук, ПМ:

В основном это скромный опыт эксплуатации СЗИ (часто он ограничен одной-двумя SIEM) и недостаточное знание современных нормативных требований в области ИБ, а порой, как ни странно, слабые коммуникативные навыки для общения с реальными заказчиками.

Андрей Дугин, МТС RED:

Как правило, не хватает практического опыта и умения работать с различными системами, глубоко понимая базовые принципы, не привязанные к определенному производителю. Специалистов с такими навыками на рынке немного, поэтому мы растим их внутри, в том числе в ходе программ стажировок в МТС RED SOC.

Даниил Вылегжанин, RuSIEM:

Как показывает практика, чаще всего у соискателей не хватает глубокого знания особенностей различных инструментов обеспечения безопасности разных производителей. Помимо знаний для этого нужен и большой опыт.

Теймур Хеирхабаров, BI.ZONE:

Не хватает понимания того, как выглядят реальные атаки на практике, а не в описаниях из книжек и журналов, а также практического опыта реагирования на инциденты и их расследования. Кроме того, очень часто недостает так называемых софт-скиллов: толерантности к неопределенности, умения грамотно излагать свои мысли, аргументированно доносить свою позицию, а также вести качественную коммуникацию как с коллегами, так и с заказчиками.

Александр Матвеев, IZ:SOC:

К сожалению, одних знаний зачастую недостаточно. Речь, скорее, про опыт и экспертизу, полученную на основе реальных кейсов. При желании знания всегда можно получить, но есть вещи, которые можно обрести только опытным путем, и это, на наш взгляд, самое ценное. В коммерческих SOC знания и опыт растут гораздо быстрее, нежели в in-house SOC, так как наши аналитики и эксперты работают сразу со многими заказчиками и, соответственно, сталкиваются с инцидентами гораздо чаще. Крайне важен также обмен опытом в команде, и вот его зачастую у соискателей не хватает. Поэтому, отвечая на вопрос, отмечу, что иногда у соискателей не хватает скорее стремления получить тот самый опыт, который непременно приведет к знаниям.

Сергей Солдатов, Лаборатория Касперского:

В порядке убывания частоты случаев:

  1. Фундаментальных знаний по ИТ: основных сетевых операционных систем (Win, Mac, Linux), сетевых технологий (не ниже уровня CCNA), классических техник злоумышленников (закрепление, повышение, горизонтальные перемещения в основных ОС, атаки на сетевые протоколы (DNS, DHCP и т.п.), типовых атак на инфраструктуру Active Directory.
  2. Базовых знаний DFIR: какие forensic-артефакты следует собирать в каких случаях и зачем, как реагировать на типовые атаки.
  3. Soft skills и знания иностранных языков.
Темы:КадрыКруглый столSOCЖурнал "Информационная безопасность" №3, 2023

Форум ITSEC 2024:
информационная и
кибербезопасность России
Москва | 15-16 октября 2024

Посетить
Обзоры. Спец.проекты. Исследования
Персональные данные в 2025 году: новые требования и инструменты. Что нужно знать бизнесу о защите ПДн?
Получите комментарии экспертов на ITSEC 2024
Статьи по той же темеСтатьи по той же теме

  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • Департамент счастья для информационной безопасности
    Сергей Замотаев, начальник Отдела управления персоналом АО “ЭЛВИС-ПЛЮС”
    В условиях дефицита квалифицированных специалистов кадровая работа ИТ- и ИБ-компаний становится критически важной составляющей их успешности. Редакция журнала “Информационная безопасность” спросила Сергея Замотаева, начальника Отдела управления персоналом АО “ЭЛВИС-ПЛЮС”, о сегодняшних вызовах в кадровой работе.
  • Прошло ли время TeamViewer и AnyDesk в России?
    Иностранные решения для удаленного администрирования и техподдержки рабочих мест вроде TeamViewer или AnyDesk почти безраздельно царили в своем сегменте российского рынка. Однако с начала 2022 г. ситуация заметно поменялась.
  • Какие проблемы остро стоят в аспекте защиты АСУ ТП в 2024 г.?
    Кибербезопасность АСУ ТП остается критически важной и сложно решаемой задачей, с существенными отличиями от защиты корпоративного сегмента. Эксперты в области безопасности промышленных систем поделились своим мнением по нескольким вопросам, подготовленным редакцией журнала “Информационная безопасность”.
  • Потеряет ли актуальность Vulnerability Management с повсеместным внедрением процессов безопасной разработки?
    C распространением процессов безопасной разработки (РБПО) встает вопрос: не потеряет ли актуальность традиционные способы управления уязвимостями? Редакция журнала "Информационная безопасность" поинтересовалась мнением экспертов.
  • UserGate представила новые модели устройств, услуги и поделилась другими достижениями
    Как обычно, в конце апреля в рамках V ежегодной конференции UserGate 2024 компания представила новинки – устройства, сервисы, услуги, а также отчиталась о других достижениях.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
15 октября | Форум ITSEC Защищенный удаленный доступ: как обеспечить контроль работы внешних сотрудников
Узнайте на ITSEC 2024!

More...
Обзоры. Исследования. Спец.проекты
Защита АСУ ТП и объектов КИИ: готовимся к 2025 году
Жми, чтобы участвовать

More...