На связи Positive Education, и мы продолжаем цикл публикаций о профессиях в сфере кибербезопасности. Потребность в таких экспертах растет с головокружительной скоростью, и сейчас это уже не одна профессия «специалист по информационной безопасности». Внутри отрасли сформировались более узкие специальности (ранее публиковали схему профессий), и мы решили рассказать о 10 самых трендовых профессиях в сфере кибербезопасности (о первых трех можно почитать здесь, здесь и здесь). Сегодня знакомим вас с человеком, который когда-то стал одним из первых сотрудников команды SOC в Positive Technologies, сейчас является руководителем центра мониторинга информационной безопасности в Wildberries и точно многое знает о профессии аналитика SOC.
Всем привет! Меня зовут Иван Дьячков, я руководитель центра мониторинга информационной безопасности в Wildberries и сегодня хочу рассказать о профессии аналитика SOC, поделиться своим опытом развития. Карьерный путь я начинал с классического сисадмина, а в направлении SOC поработал как со стороны вендора, так и в формате in-house внутри компаний. Что самое важное в профессии? Как преуспеть и сделать карьеру? И главное — где точка входа в SOC?
Кто такой аналитик SOC
Аналитик SOC — это специалист по ИБ, который ловит хакера «за руку» и выпроваживает из инфраструктуры. Чтобы поимка состоялась, ему необходимо серьезно подготовиться: детально изучить «поле действий» и продумать механизмы реагирования.
В первую очередь важно настроить телеметрию, то есть видимость сетевого оборудования, соединений, действий администратора, пользователя на хостах и т. д. Чем больше видит аналитик, тем выше вероятность вовремя обнаружить злоумышленника. С другой стороны, когда телеметрии много, приходится искать иголку в стоге сена. Поэтому следующая задача аналитика SOC — автоматизировать поимку хакера. Для этого он разрабатывает правила корреляции событий: не только на основании известных паттернов и точечных исследований тактики злоумышленника, но и с учетом специфики бизнеса. Чем шире покрытие правилами корреляции, тем выше шанс увидеть ту самую иголку. Наконец, третья часть работы аналитика — организовать «вывод» хакера из инфраструктуры. Эта процедура может быть разной: автоматизированной, когда условно нажали на кнопку и робот вывел нарушителя, или включающей привлечение людей внутри периметра.
Иван Дьячков прошел длинный путь от эникейщика в небольшом ритейле до руководителя SOC в Wildberries. Окончил МИРЭА по специальности «информационная безопасность телекоммуникационных систем» в 2018 году. Сегодня в Wildberries отвечает за процессы обнаружения и реагирования на атаки, развитие всего технологического стека SOC: агентов мониторинга, SIEM, систем анализа трафика, TI-платформы, системы управления инцидентами и пр. Первый опыт аналитика SOC получил в Positive Technologies. Через три года «боевой школы» в компании ушел в Райффазенбанк главным аналитиком, а потом и руководителем группы реагирования в составе SOC. В банке внедрил SOC 24/7, поставил на первые рельсы процессы мониторинга и реагирования на инциденты, разработку экспертного контента для SIEM и собрал сильную команду аналитиков (многие из них выросли в руководителей). И новым этапом стала компания Wildberries, где сегодня он руководит центром мониторинга ИБ. Подробнее о своем профессиональном пути рассказывал здесь. Соавтор статей на Хабре о системе анализа трафика (первая, вторая), выступал на PHDays 12, активно продвигает open source в комьюнити ИБ.
Линии SOC: в чем разница
Начнем с того, что линейность в SOC очень условна. Первая, вторая, третья, десятая, пятидесятая линии… в каждой компании они организованы по-своему — это не математика, где 2 + 2 по-любому равно 4. Помимо аналитиков, в структуре SOC могут быть инженеры, специалисты по проактивному поиску угроз (threat hunting), форензике (компьютерной криминалистике), антифрод-специалисты и т. д. Но если взять усредненную, классическую ситуацию с аналитиками, SOC включает три линии реагирования (их, кстати, можно увидеть на схеме развития карьеры в ИБ).
Первая линия SOC — дежурная. Это ребята, которые мониторят и разбирают алерты в режиме 24/7. Зачастую они работают по плейбуку — набору инструкций, помогающему верифицировать ту или иную сработку правил корреляции и определить порядок дальнейших действий.
В большинстве случаев это входная точка в SOC: сюда берут и молодых специалистов, и студентов, и стажеров без опыта, но с хорошей теоретической базой.
Когда первая линия заходит в тупик или не укладывается в сроки реагирования, она передает алерт на вторую линию.
Вторая линия SOC — это те самые ребята, которые пишут правила корреляции, готовят плейбуки и являются первым звеном активного реагирования на атаки, поэтому их задача — организовать четкую и слаженную работу, чтобы во время инцидента никто не бегал кругами с криками «А-а-а, какой у нас план? Что делать?».
Соответственно, требования к таким специалистам выше. Помимо базы, которая необходима первой линии, должно быть понимание механизмов логирования: в чем их отличия, плюсы и минусы, что они позволяют зафиксировать, какие у них есть особенности, подводные камни и т. д. Также они должны разбираться в принципах построения атаки и ее стадиях, способах реагирования в зависимости от этапа инцидента (кстати, они уже хорошо формализованы в матрице MITRE ATT&CK и ее упрощенной версии Cyber Kill Chain).
Третья линия SOC — это профессионалы экстра-класса, они подключаются, когда первые две линии не справились (или им в помощь), и разбирают в основном суперсложные кейсы. Например, нет логов, ноль телеметрии, есть только понимание, что пять лет назад украли данные, — вот задачка для третьей линии. Чтобы ее решить, нужно понимать не только, как проходят атаки, но и как устроены ОС, какие действия оставляют артефакты (а какие — нет), как их добыть и проанализировать. Только так может получиться восстановить цепочку событий пятилетней давности — а может, и нет :) — и за ниточку раскрутить весь инцидент.
Стать аналитиком третьей линии сложнее: теоретических знаний и ранее наработанного опыта недостаточно. Очень важно на этом этапе глубоко понимать, как работают ОС, «уметь в автоматизацию» (в том же примере выше может потребоваться анализ всей инфраструктуры компании, а она бывает огромной). Более того, операционные системы не стоят на месте, и специалисту необходимо постоянно прокачивать свои навыки, следить за трендами, быть буквально в курсе всего, что появляется на радарах.
Разумеется, специалисты каждой из трех линий стоят по-разному. Широкий диапазон задач и уровней подготовки растягивает зарплатную вилку аналитика SOC от условно бесплатной стажировки до баснословных сумм.
Для первой линии можно найти вакансии до 200 000 рублей, спецы второй линии вдвое дороже — я видел предложения до 500 000. С третьей линией суммы обговариваются индивидуально (хотя в сильные команды берут и начинающих, предоставляя возможность роста), а потолок зависит от навыков человека и финансовых возможностей компании.
Как войти в профессию
На уровне вузов образовательной программы по подготовке аналитиков SOC пока нет, поэтому можно выделить несколько вариантов пути в профессию. Во-первых, это стажировки в компаниях из сферы ИБ. Если стажер успешно проходит обучение и в нем видят перспективного специалиста, то он может получить предложение о переходе в штат.
Во-вторых, существуют партнерские программы — инициативы по интеграции практических навыков специалистов по ИБ в систему высшего образования. Например, Тинькофф и Positive Technologies на базе Центрального университета запустили образовательную программу для действующих и будущих сотрудников SOC и готовят совместную магистратуру по кибербезопасности.
В-третьих, можно начать свой путь в ИТ и перебраться в ИБ. Такой вариант занимает немного больше времени, но крепкая база, которую получают в ИТ, сильно помогает перепрофилироваться. Зачастую в компаниях, где нет ИБ или где она находится на начальных стадиях развития, ИТ-спецам приходится погружаться в безопасность (особенно при инцидентах), что позволяет лучше синергировать с коллегами из ИТ в дальнейшем.
И самый распространенный вариант входа в профессию — устроиться без опыта джуном в компанию, где это направление ведущее. В этом случае ты учишься у старших коллег.
Как я стал аналитиком SOC
Как я уже говорил, точкой входа в SOC обычно является первая линия — дежурка.
На последних курсах университета я устроился обычным сисадмином, был эникейщиком с парком машин — винда и немного линуксов. В мои задачи входило буквально все: от закупки оборудования до настройки Active Directory. Первое место работы дало мне хороший технический опыт — базу, с которой я смог перейти в инфобез и стать… тоже эникейщиком, только в безопасности. Я отвечал за мониторинг, администрирование средств защиты, рутину по согласованию доступов — такой специалист общего профиля без какого-либо уклона. Пока не попал в центр мониторинга Positive Technologies, где моей первой задачей стала инвентаризация правил корреляции, включая тестовую лабу и сканирование внешнего периметра клиентов. Так направление нашлось само собой.
А дальше случился первый в моей жизни Standoff (в этом году он стартует уже 23 мая в рамках киберфестиваля Positive Hack Days 2 в «Лужниках») и настоящее живое противостояние «красных» и «синих». Я нагло напросился в команду мониторинга, хотя для меня там даже физически не было места — пришлось взять стул у соседей. Это оказался крайне ценный опыт: с одной стороны атакуют, с другой — защищаются. Погрузиться с ходу в это «месиво» было непросто, но меня зацепило… Впоследствии, уже с развитием направления SOC в Positive Technologies, мне предложили пойти в дежурку. И началось… Общение с клиентами, мониторинг, редтиминг с активным противостоянием: режим реального времени, ребята ломают, мы их ищем и защищаемся, готовим правила корреляции, отчеты и т. д. Было классно! Сначала я работал посменно, 2/2, потом, набравшись опыта, перешел с 24/7 на классический график 5/2 — больше взаимодействовал с клиентами, выступал как архитектор со стороны SOC. Затем мне захотелось попробовать себя в in-house-построении SOC, и я ушел в другую компанию на главного аналитика.
Но мой основной профессиональный технический рост как аналитика SOC случился именно в Positive Technologies, когда я работал в PT Expert Security Center (PT ESC). Во-первых, условия и проекты не просто способствовали — подталкивали к развитию. Есть задача — задетектить злоумышленников. Она неизменна от кейса к кейсу, но контекст — хакеры, инфраструктура, инструменты — разный. Сталкиваешься с чем-то новым — гуглишь, воспроизводишь на тестовых лабах. В компании никогда не ограничивали: мол, ты аналитик дежурной линии, значит, сиди и мониторь. Пример: нужно было получить телеметрию с определенного узла сети, но с этим, казалось, были непреодолимые технические сложности. Я поресерчил и нашел решение, которое помогло добыть телеметрию, плюс прокачал понимание работы Linux (кстати, именно благодаря этому ресерчу я продолжил свой рост вне Positive Technologies).
Кроме рабочих задач, в PT ESC всегда была возможность изучить что-то новое и поделиться с командой или на Standoff, например. Я читал отчеты по инцидентам, которые готовили наши спецы, смотрел, как работают соседние команды. Это помогает: разбирая инцидент по отчету, ты как будто сам его обнаруживаешь и отрабатываешь.
Но главное — команда PT ESC. Ребята настолько профессионально и технически подкованы, что даже находиться рядом и слушать, как идет обсуждение, уже крайне полезно, особенно для начинающих. Формируется понимание, как должны работать настоящие безопасники. И эту модель, когда все открыты, инициативны, замотивированы как в личном росте, так и в развитии команды в целом, я стараюсь воспроизвести в других компаниях.
После Positive Technologies я продолжил свою карьеру уже как руководитель внутри SOC, а потом стал развивать SOC как тимлид всей команды центра мониторинга.
Как преуспеть в профессии
Универсальной формулы «делай раз, делай два» не существует, главное — хотеть развиваться, не стоять на месте.
Если говорить о точке старта, я рекомендую курс «Сети для самых маленьких». Прекрасная штука! Затем попросите любую нейросеть составить вам программу по изучению Linux с нуля и пройдите ее. После изучения теории постарайтесь найти место, где сможете применить все на практике.
Устройтесь на стажировку: как я уже говорил, на первую линию часто берут без опыта. Но будьте готовы к базовым вопросам на собеседовании: сколько уровней у модели OSI, какие протоколы работают на этих уровнях, как вывести список процессов на Linux, что происходит при открытии страницы в веб-браузере под капотом ОС и сети и т. д. Конечно, для первой линии необязательно читать исходный код ядра Linux и знать RFC наизусть, но иметь общее понимание, как работают системы и сети, необходимо. В конце концов, установите Linux на домашний ноутбук — уже получите минимальный опыт. С Windows сложнее: исходный код современной винды прочитать не получится, а разобраться в механизмах безопасности все равно придется. Материалов на эту тему много, опять же нейросети помогут составить программу изучения теории.
Хотите расти дальше?
Научитесь кодить: Python, Go, Rust. Это будет катализатором вашей карьеры. И, конечно, максимально погружайтесь в задачи: изучайте отчеты по реальным инцидентам, ходите на тематические мероприятия (тот же Standoff), участвуйте в киберполигонах — расширяйте свои знания и создавайте возможности.
SOC: обратная сторона медали
Напоследок поговорим о сравнении типа «ожидание vs. реальность». Мои представления о профессии оправдались, я изначально смотрел на нее довольно трезво. Я понимал, что будут бессонные ночи и рабочие выходные, что меня могут вызвать когда угодно: «Инцидент, пошли работать». Это специфика SOC: хакерам или малвари все равно — день, ночь, свадьба у тебя или Новый год — они в любой момент могут начать действовать.
К этому привыкаешь, но живешь в постоянном фоновом напряжении: случится или нет? Самый легкий уровень напряга — на дежурной линии: там инцидент может выпасть не на твою смену. На второй линии сложнее: если произошло что-то масштабное, будут привлекать все доступные ресурсы. Когда становишься руководителем, расслабиться и отключиться вообще не получится: планы могут стихийно поменяться. Кстати, многие по этой причине боятся уходить в отпуск, что делать в корне неверно! Даже если чувствуешь, что еще не устал, лучше отдохни сейчас, пока есть возможность.
Как я в свое время осознал, что мне пора в отпуск? Когда понял, что хочу пойти в лес и орать на медведей. У нас был тяжелый проект: по 12 часов я сидел за компом и ни на минуту не мог отойти. Мы сдали его, и я сказал: все, больше не могу, взял отпуск и улетел орать… на пальмы. Не повторяйте моих ошибок.
История с выгоранием, увы, случается в ИБ нередко. Чтобы она обошла вас стороной, выбирайте то направление, которое действительно интересно, из-за чего горят глаза и чему вы готовы посвящать и рабочее, и свободное время.
