В мире информационной безопасности (ИБ) существует много различных направлений деятельности, сегодня мы разберем что такое SOC и какими компетенциями должен обладать аналитик.
ЧТО ТАКОЕ SOC
SOC (security operations center) – центр управления информационной безопасностью. Основными задачами SOC является осуществление мероприятий по мониторингу и реагированию на инциденты ИБ.
Выявление инцидентов ИБ производится путем анализа различных событий, генерируемых системами корпоративной инфраструктуры: системами защиты информации, информационными системами, сетевым оборудованием, технологическим оборудованием, рабочими станциями пользователей, серверами и т.д.
В крупных организациях приходится обрабатывать десятки и даже сотни миллионов событий в день, поэтому мониторинг в таком объеме без автоматизации невозможен. Как правило, в качестве ядра комплекса программного и аппаратного обеспечения используются системы класса SIEM.
Security information and event management (SIEM) – это централизованная система сбора, анализа и хранения событий. SIEM позволяет визуализировать данные, выявлять нарушения по определенным правилам и оповещать ответственный персонал.
Современные системы защиты информации не способны отразить 100% возможных атак, поэтому требуется постоянный контрольквалифицированными специалистами за уровнем информационной безопасности в корпоративной сети.
КТО ТАКОЙ АНАЛИТИК SOC
Аналитик SOC – человек, занимающийся анализом событий, выявлением и реагированием на инциденты ИБ.
Существует два основных сценария мониторинга событий ИБ: Alerting и Hunting.
Alerting – метод, при котором поиск признаков различных атак осуществляется по разработанным правилам. Основную задачу по выявлению осуществляют средства защиты информации (СЗИ) либо SIEM. Результатом работы систем является событие о возможном инциденте ИБ с определенной точностью – подозрение на инцидент ИБ. Оно требует ручной обработки аналитиком SOC с целью подтверждения или опровержения конкретного события.
Hunting – метод анализа событий путем выявления нетипичной активности в работе определенных информационных систем, сетевом трафике и прочих событиях, обрабатываемых при мониторинге. Осуществляется преимущественно «вручную» опытными специалистами. Основная цель – выявление инцидентов ИБ, которые не могут определить текущие средства защиты информации (СЗИ) в автоматическом режиме.
При выявлении инцидента ИБ аналитик осуществляет его классификацию и регистрацию в системе учета. Процесс реагирования в общем случае преследует цели:
КОМПЕТЕНЦИИ АНАЛИТИКА SOC
Какими же знаниями и навыками должен обладать аналитик SOC для выполнения своих должностных обязанностей?
Во-первых, необходимо знание нормативных документов в области ИБ, а также общих принципов действия и способов защиты от современных видов угроз для определения рисков и принятия решений при анализе подозрений на инцидент.
Во-вторых, понадобятся знания различных векторов атак и принципов их выявления. Несомненное преимущество дает практический опыт в проведении тестов на проникновение (Penetration testing).
В-третьих, требуется понимание принципов работы и технических возможностей множества систем защиты информации.
Все инциденты так или иначе связаны с различными нарушениями при работе корпоративной сети или информационных систем, поэтому потребуются знания:
При выполнении работ по анализу данных часто помогают навыки программирования, они способствуют автоматизации рутинных операций и развитию алгоритмического мышления.
ПРОБЛЕМАТИКА ПОДБОРА ПЕРСОНАЛА
Одной из моих задач является подбор и обучение персонала SOC, чем я занимаюсь уже больше 5 лет. В год я провожу около 30-80 собеседований, что позволяет выделить определенные тренды рынка персонала ИБ.
Как правило, основными кандидатами на должность аналитика SOC являются выпускники профильных ВУЗов и специалисты с опытом работы в различных областях ИТ и ИБ. Из-за общего дефицита специалистов в отрасли ИБ крайне сложно найти опытного аналитика.
Основной критерий отбора – опыт и знания. Для развития практических навыков достаточно интересоваться тематикой и постепенно развивать свои умения.
КАК СТАТЬ АНАЛИТИКОМ SOC
Стремительное развитие тактик и инструментов нападения провоцирует непрерывный процесс обучения специалистов SOC на всех этапах карьерной лестницы. Необходима постоянная актуализация знаний.
Начинать самообразование стоит с корпоративных сетей, используя программы для моделирования, которые позволяют тестировать различные сценарии работы.
Полезные материалы по теме: "Официальное руководство Cisco по подготовке к сертификационным экзаменам CCNA ICND2 200-101. Маршрутизация и коммутация", Уэндел Од. В качестве системы моделирования можно использовать Cisco Packet Tracer.
В организациях, как правило, используются операционные системы семейства Windows и Linux, поэтому нужно поддерживать свои знания по их администрированию и управлению. Наиболее полезны книги Марка Руссиновича и Брайана Уорда.
В подготовке по всем процессам современного SOC помогут материалы MITRE, в матрице MITRE ATT&CK (attack.mitre.org) есть информация о методах и средствах нападения.
Для развития своих знаний по выявлению различных атак в корпоративной сети помогут практические навыки в тестировании на проникновение. Отработать владение инструментами и тактиками проведения атак можно на площадках lab.pentestit.ru или hackthebox.eu. Начинающим специалистам будет интересно участвовать в различных CTF-соревнованиях, где предстоит решать различные головоломки и использовать свой опыт в области ИТ и ИБ.
ОПЫТ РАЗВИТИЯ ПЕРСОНАЛА В ANGARA
При наборе персонала в подразделение SOC Angara Cyber Resilience Center (ACRC) важнейшим критерием успешного прохождения интервью является заинтересованность кандидата в развитии, знания можно подтянуть при вводе в должность.
В процессе внутреннего обучения используется индивидуальный подход к каждому сотруднику, проводится тестирование,где выявляются сильные и слабые направления, и подбирается программа. Теоретические и практические занятия проводятся под руководством опытного наставника. Этот подход реализовывает отработку важных навыков, ведь работа аналитика SOC не может сводиться к простому следованию инструкциям.
Внутреннее обучение для аналитика обычно занимает несколько месяцев в зависимости от его начальной подготовки.
В обучении акцент ставится на развитие практических навыков, для чего используется тестовая среда. В ней сотрудники могут упражняться в разворачивании и настройке различных систем защиты информации и инструментов, познакомиться с возможностями используемых платформ, решать задачи по администрированию и настройке различных информационных систем и другое.
На этапе обучения все новые сотрудники проводят базовый цикл атак на тестовую инфраструктуру, анализируют собираемые события, выявляют следы данных атак и практикуются в расследовании инцидентов. После прохождения обучения, аналитик приступает к решению «боевых» задач, но на этом его развитие не останавливается.
Основное оружие аналитика – это умение строить и проверять гипотезы, а эти умения нужно постоянно тренировать.
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных