Максим Акимов, руководитель центра противодействия киберугрозам Innostage CyberART
Руслан Амиров, руководитель экспертных сервисов мониторинга и реагирования Jet CSIRT, “Инфосистемы Джет”
Даниил Вылегжанин, руководитель направления предпродажной подготовки RuSIEM
Андрей Дугин, директор центра сервисов кибербезопасности компании МТС RED
Александр Матвеев, директор Центра мониторинга и противодействия кибератакам IZ:SOC
Артём Савчук, заместитель технического директора АО “ПМ”
Сергей Солдатов, руководитель Центра мониторинга кибербезопасности, “Лаборатория Касперского”
Теймур Хеирхабаров, директор департамента мониторинга, реагирования и исследования киберугроз компании BI.ZONE
Кандидаты на позицию оператора зачастую не обладают базовыми знаниями по ИТ-технологиям, не имеют практического опыта работы с СЗИ, типовыми видами сетевых компьютерных атак, знаний о тактиках и техниках злоумышленников.
А аналитикам, даже имеющим опыт работы в корпоративных SOC, может не хватать знаний по написанию правил корреляции, понимания векторов атак, матрицы MITRE ATT&CK. Например, используя только базовый коробочный контент, они не наработали опыт расследования реальных инцидентов. Планируя карьеру в ИБ, нужно делать упор на практику, оттачивать скиллы на киберучениях и соревнованиях. Прокачать Hard Skills, например, можно на киберполигоне Innostage.
В первую очередь от сотрудников SOC требуются базовые знания по ИТ и ИБ. Начинающего специалиста с прочным фундаментом знаний, сформированным самостоятельно или в вузе, можно относительно быстро обучить специфике работы в конкретном SOC, погрузить в технику, процессы, подходы и методики, а также провести его адаптацию в компании.
От соискателей на должность аналитика (на примере Jet CSIRT) требуется не только серьезный багаж знаний, но также опыт детектирования и противодействия реальным атакам, без которого будет гораздо сложнее обеспечивать качественный сервис.
В основном это скромный опыт эксплуатации СЗИ (часто он ограничен одной-двумя SIEM) и недостаточное знание современных нормативных требований в области ИБ, а порой, как ни странно, слабые коммуникативные навыки для общения с реальными заказчиками.
Как правило, не хватает практического опыта и умения работать с различными системами, глубоко понимая базовые принципы, не привязанные к определенному производителю. Специалистов с такими навыками на рынке немного, поэтому мы растим их внутри, в том числе в ходе программ стажировок в МТС RED SOC.
Как показывает практика, чаще всего у соискателей не хватает глубокого знания особенностей различных инструментов обеспечения безопасности разных производителей. Помимо знаний для этого нужен и большой опыт.
Не хватает понимания того, как выглядят реальные атаки на практике, а не в описаниях из книжек и журналов, а также практического опыта реагирования на инциденты и их расследования. Кроме того, очень часто недостает так называемых софт-скиллов: толерантности к неопределенности, умения грамотно излагать свои мысли, аргументированно доносить свою позицию, а также вести качественную коммуникацию как с коллегами, так и с заказчиками.
К сожалению, одних знаний зачастую недостаточно. Речь, скорее, про опыт и экспертизу, полученную на основе реальных кейсов. При желании знания всегда можно получить, но есть вещи, которые можно обрести только опытным путем, и это, на наш взгляд, самое ценное. В коммерческих SOC знания и опыт растут гораздо быстрее, нежели в in-house SOC, так как наши аналитики и эксперты работают сразу со многими заказчиками и, соответственно, сталкиваются с инцидентами гораздо чаще. Крайне важен также обмен опытом в команде, и вот его зачастую у соискателей не хватает. Поэтому, отвечая на вопрос, отмечу, что иногда у соискателей не хватает скорее стремления получить тот самый опыт, который непременно приведет к знаниям.
В порядке убывания частоты случаев: