Контакты
Подписка 2025

Каких знаний не хватает у соискателей в операторы и аналитики SOC?

Редакция журнала "Информационная безопасность", 20/12/23

Несмотря на растущую значимость роли операторов и аналитиков SOC, нередки случаи недостатка в знаниях соискателей на эти позиции, которые могут существенно затруднять успешное выполнение задач. Эксперты поделились мнением о том, каких именно навыков обычно не хватает.

Эксперты:

Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE

ris43

Максим Акимов, Innostage CyberART:

Кандидаты на позицию оператора зачастую не обладают базовыми знаниями по ИТ-технологиям, не имеют практического опыта работы с СЗИ, типовыми видами сетевых компьютерных атак, знаний о тактиках и техниках злоумышленников.

А аналитикам, даже имеющим опыт работы в корпоративных SOC, может не хватать знаний по написанию правил корреляции, понимания векторов атак, матрицы MITRE ATT&CK. Например, используя только базовый коробочный контент, они не наработали опыт расследования реальных инцидентов. Планируя карьеру в ИБ, нужно делать упор на практику, оттачивать скиллы на киберучениях и соревнованиях. Прокачать Hard Skills, например, можно на киберполигоне Innostage.

Руслан Амиров, Инфосистемы Джет:

В первую очередь от сотрудников SOC требуются базовые знания по ИТ и ИБ. Начинающего специалиста с прочным фундаментом знаний, сформированным самостоятельно или в вузе, можно относительно быстро обучить специфике работы в конкретном SOC, погрузить в технику, процессы, подходы и методики, а также провести его адаптацию в компании.

От соискателей на должность аналитика (на примере Jet CSIRT) требуется не только серьезный багаж знаний, но также опыт детектирования и противодействия реальным атакам, без которого будет гораздо сложнее обеспечивать качественный сервис.

Артём Савчук, ПМ:

В основном это скромный опыт эксплуатации СЗИ (часто он ограничен одной-двумя SIEM) и недостаточное знание современных нормативных требований в области ИБ, а порой, как ни странно, слабые коммуникативные навыки для общения с реальными заказчиками.

Андрей Дугин, МТС RED:

Как правило, не хватает практического опыта и умения работать с различными системами, глубоко понимая базовые принципы, не привязанные к определенному производителю. Специалистов с такими навыками на рынке немного, поэтому мы растим их внутри, в том числе в ходе программ стажировок в МТС RED SOC.

Даниил Вылегжанин, RuSIEM:

Как показывает практика, чаще всего у соискателей не хватает глубокого знания особенностей различных инструментов обеспечения безопасности разных производителей. Помимо знаний для этого нужен и большой опыт.

Теймур Хеирхабаров, BI.ZONE:

Не хватает понимания того, как выглядят реальные атаки на практике, а не в описаниях из книжек и журналов, а также практического опыта реагирования на инциденты и их расследования. Кроме того, очень часто недостает так называемых софт-скиллов: толерантности к неопределенности, умения грамотно излагать свои мысли, аргументированно доносить свою позицию, а также вести качественную коммуникацию как с коллегами, так и с заказчиками.

Александр Матвеев, IZ:SOC:

К сожалению, одних знаний зачастую недостаточно. Речь, скорее, про опыт и экспертизу, полученную на основе реальных кейсов. При желании знания всегда можно получить, но есть вещи, которые можно обрести только опытным путем, и это, на наш взгляд, самое ценное. В коммерческих SOC знания и опыт растут гораздо быстрее, нежели в in-house SOC, так как наши аналитики и эксперты работают сразу со многими заказчиками и, соответственно, сталкиваются с инцидентами гораздо чаще. Крайне важен также обмен опытом в команде, и вот его зачастую у соискателей не хватает. Поэтому, отвечая на вопрос, отмечу, что иногда у соискателей не хватает скорее стремления получить тот самый опыт, который непременно приведет к знаниям.

Сергей Солдатов, Лаборатория Касперского:

В порядке убывания частоты случаев:

  1. Фундаментальных знаний по ИТ: основных сетевых операционных систем (Win, Mac, Linux), сетевых технологий (не ниже уровня CCNA), классических техник злоумышленников (закрепление, повышение, горизонтальные перемещения в основных ОС, атаки на сетевые протоколы (DNS, DHCP и т.п.), типовых атак на инфраструктуру Active Directory.
  2. Базовых знаний DFIR: какие forensic-артефакты следует собирать в каких случаях и зачем, как реагировать на типовые атаки.
  3. Soft skills и знания иностранных языков.
Темы:КадрыКруглый столSOCЖурнал "Информационная безопасность" №3, 2023

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Как технологии EDR помогают SOC: теория и практика
    Рассмотрим, почему традиционные SOC могут не справляться с потоком событий ИБ и как современные технологии и продукты класса Endpoint Detection and Response (EDR) способны упростить работу аналитиков.
  • О роли SOC, EDR и XDR на пути к оптимальной безопасности
    Артем Кириллин, Заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE
    Артем Кириллин, заместитель директора департамента мониторинга, реагирования и исследования киберугроз BI.ZONE, рассказал о том, какие технологии обеспечивают высокую эффективность SOC, как выбрать провайдера (MSSP) и правда ли, что будущее за XDR.
  • Реалии и вызовы защиты API. Мнение экспертов о ключевых проблемах
    Для успешной защиты API важно учитывать факторы, которые могут повлиять на эффективность, производительность и совместимость ИБ>решений с существующей инфраструктурой. Редакция журнала "Информационная безопасность" задала экспертам вопросы об основных сложностях и вызовах, с которыми могут столкнуться компании при внедрении и использовании средств защиты API.
  • Как отговорить заказчика от внедрения SIEM на основе продуктов Open Source?
    Использование Open Source SIEM часто кажется более экономически целесообразным, поскольку в таком случае исчезает заметная статья расходов - на приобретение лицензий. коммерческих решений. Редакция журнала "Информационная безопасность" поинтересовалась, что на этот счет думают эксперты.
  • Инновации в DLP и DCAP и новые классы решений
    Эксперты в области систем для защиты от утечек поделились своим мнением о том, как развиваются решения классов DLP и DCAP и какие инновации появились в этом сегменте за последний год.
  • Департамент счастья для информационной безопасности
    Сергей Замотаев, начальник Отдела управления персоналом АО “ЭЛВИС-ПЛЮС”
    В условиях дефицита квалифицированных специалистов кадровая работа ИТ- и ИБ-компаний становится критически важной составляющей их успешности. Редакция журнала “Информационная безопасность” спросила Сергея Замотаева, начальника Отдела управления персоналом АО “ЭЛВИС-ПЛЮС”, о сегодняшних вызовах в кадровой работе.

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...