ЧТО ТАКОЕ SOC

SOC (security operations center) – центр управления информационной безопасностью. Основными задачами SOC является осуществление мероприятий по мониторингу и реагированию на инциденты ИБ.

Выявление инцидентов ИБ производится путём анализа различных событий, генерируемых системами корпоративной инфраструктуры: системами защиты информации, информационными системами, сетевым оборудованием, технологическим оборудованием, рабочими станциями пользователей, серверами и т.д.

В крупных организациях приходится обрабатывать десятки и даже сотни миллионов событий в день, поэтому мониторинг в таком объёме без автоматизации невозможен. Как правило, в качестве ядра комплекса программного и аппаратного обеспечения используются системы класса SIEM.

Security information andevent management (SIEM) – это централизованная система сбора, анализа и хранения событий. SIEM позволяет визуализировать данные, выявлять нарушения по определённым правилам и оповещать ответственный персонал.

Современные системы защиты информации не способны отразить 100% возможных атак, поэтому требуется постоянный контроль квалифицированными специалистами за уровнем информационной безопасности в корпоративной сети.

КТО ТАКОЙ АНАЛИТИК SOC

Аналитик SOC – человек, занимающийся анализом событий, выявлением и реагированием на инциденты ИБ.

Существует два основных сценария мониторинга событий ИБ: Alerting и Hunting.

Alerting – метод, при котором поиск признаков различных атак осуществляется по разработанным правилам. Основную задачу по выявлению осуществляют средства защиты информации (СЗИ) либо SIEM. Результатом работы систем является событие о возможном инциденте ИБ с определённой точностью – подозрение на инцидент ИБ. Оно требует ручной обработки аналитиком SOC с целью подтверждения или опровержения конкретного события.

Hunting – метод анализа событий путём выявления нетипичной активности в работе определённых информационных систем, сетевом трафике и прочих событиях, обрабатываемых при мониторинге. Осуществляется преимущественно «вручную» опытными специалистами. Основная цель – выявление инцидентов ИБ, которые не могут определить текущие средства защиты информации (СЗИ) в автоматическом режиме.

При выявлении инцидента ИБ аналитик осуществляет его классификацию и регистрацию в системе учёта. Процесс реагирования в общем случае преследует цели:

  • подтвердить или опровергнуть факт инцидента ИБ;
  • осуществить сдерживающие мероприятия: отключение хостов от сети, ограничение доступа атакующих к системам и прочее;
  • собрать подробную информацию об инциденте, определить все источники и цели;
  • устранить инцидент ИБ;
  • определить степень влияния инцидента ИБ на затронутые бизнес-процессы;
  • составить отчётность по инциденту ИБ;
  • сформировать перечень рекомендаций по исключению подобных инцидентов в будущем и принять участие в их реализации.

КОМПЕТЕНЦИИ АНАЛИТИКА SOC

Какими же знаниями и навыками должен обладать аналитик SOC для выполнения своих должностных обязанностей?

Во-первых, необходимо знание нормативных документов в области ИБ, а также общих принципов действия и способов защиты от современных видов угроз для определения рисков и принятия решений при анализе подозрений на инцидент.

Во-вторых, понадобятся знания различных векторов атак и принципов их выявления. Несомненное преимущество даёт практический опыт в проведении тестов на проникновение (Penetration testing).

В-третьих, требуется понимание принципов работы и технических возможностей множества систем защиты информации.

Все инциденты так или иначе связаны с различными нарушениями при работе корпоративной сети или информационных систем, поэтому потребуются знания:

  • принципов работы компьютерных сетей;
  • модели OSI и основных протоколов TCP/IP;
  • принципов работы клиент-серверных приложений;
  • администрирование ОС;
  • управление доменом Active Directory.
При выполнении работ по анализу данных часто помогают навыки программирования, они способствуют автоматизации рутинных операций и развитию алгоритмического мышления.

ПРОБЛЕМАТИКА ПОДБОРА ПЕРСОНАЛА

Одной из моих задач является подбор и обучение персонала SOC, чем я занимаюсь уже больше 5 лет. В год я провожу около 30-80 собеседований, что позволяет выделить определённые тренды рынка персонала ИБ.

Как правило, основными кандидатами на должность аналитика SOC являются выпускники профильных ВУЗов и специалисты с опытом работы в различных областях ИТ и ИБ. Из-за общего дефицита специалистов в отрасли ИБ крайне сложно найти опытного аналитика.

Основной критерий отбора – опыт и знания. Для развития практических навыков достаточно интересоваться тематикой и постепенно развивать свои умения.

КАК СТАТЬ АНАЛИТИКОМ SOC

Стремительное развитие тактик и инструментов нападения провоцирует непрерывный процесс обучения специалистов SOC на всех этапах карьерной лестницы. Необходима постоянная актуализация знаний.

Начинать самообразование стоит с корпоративных сетей, используя программы для моделирования, которые позволяют тестировать различные сценарии работы.

Полезные материалы по теме: "Официальное руководство Cisco по подготовке к сертификационным экзаменам CCNA ICND2 200-101. Маршрутизация и коммутация", Уэндел Од. В качестве системы моделирования можно использовать: Cisco Packet Tracer.

В организациях, как правило, используются операционные системы семейства Windows и Linux, поэтому нужно поддерживать свои знания по их администрированию и управлению. Наиболее полезны книги Марка Руссиновича и Брайана Уорда.

В подготовке по всем процессам современного SOC помогут материалы MITRE, в матрице MITRE ATT&CK (attack.mitre.org) есть информация о методах и средствах нападения.

Для развития своих знаний по выявлению различных атак в корпоративной сети помогут практические навыки в тестировании на проникновение. Отработать владение инструментами и тактиками проведения атак можно на площадках lab.pentestit.ru или hackthebox.eu. Начинающим специалистам будет интересно участвовать в различных CTF-соревнованиях, где предстоит решать различные головоломки и использовать свой опыт в области ИТ и ИБ.

ОПЫТ РАЗВИТИЯ ПЕРСОНАЛА В ANGARA TECHNOLOGIES GROUP

При наборе персонала в подразделение SOC Angara Cyber Resilience Center (ACRC) важнейшим критерием успешного прохождения интервью является заинтересованность кандидата в развитии, знания можно подтянуть при вводе в должность.

В процессе внутреннего обучения используется индивидуальный подход к каждому сотруднику, проводится тестирование, где выявляются сильные и слабые направления, и подбирается программа. Теоретические и практические занятия проводятся под руководством опытного наставника. Этот подход реализовывает отработку важных навыков, ведь работа аналитика SOC не может сводиться к простому следованию инструкциям.

Внутреннее обучение для аналитика обычно занимает несколько месяцев в зависимости от его начальной подготовки.

В обучении акцент ставится на развитие практических навыков, для чего используется тестовая среда. В ней сотрудники могут упражняться в разворачивании и настройке различных систем защиты информации и инструментов, познакомиться с возможностями используемых платформ, решать задачи по администрированию и настройке различных информационных систем и другое.

На этапе обучения все новые сотрудники проводят базовый цикл атак на тестовую инфраструктуру, анализируют собираемые события, выявляют следы данных атак и практикуются в расследовании инцидентов. После прохождения обучения, аналитик приступает к решению «боевых» задач, но на этом его развитие не останавливается.

Основное оружие аналитика – это умение строить и проверять гипотезы, а эти умения нужно постоянно тренировать.

Павлунин Максим.jpg

Автор: Павлунин Максим  
Руководитель отдела сопровождения сервисов
Angara Technologies Group 

Статья опубликована на www.ib-bank.ru