Как стать SOC-аналитиком?

Кадры
Коллеги из Ангары, которая отмечает 5 лет своего существования на российском рынке ИБ, опубликовали заметку о том, как стать SOC-аналитиком и какими навыками и компетенциями должен обладать аналитик SOC. На первое место они поставили знание законодательства по ИБ. Я в корне не согласен с такой постановкой вопроса, так как считаю, что аналитикам SOC вообще не нужно знание законодательства, которое никак не помогает в работе по обнаружению инцидентов ИБ. Но на самом деле статья Ангары заставила меня задуматься, а какими знаниями и навыками должен обладать аналитик SOC?

С точки зрения необходимых знаний, я бы выделил следующие:

  • знание сетевых протоколов и принципов построения сетей, в том числе беспроводных, мобильных, телефонных, Интернет, спутниковых (при необходимости)
  • знание принципов и протоколов сетевой адресации и маршрутизации, а также особенностей влияния локального и глобального сетевого оборудования на них
  • знание основного сетевого оборудования, его архитектуры и особенностей его конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основных СУБД, их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основных типов ПК, их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также особенностей подключения периферийных устройств, а также анализа
  • знание основ виртуализации, контейнеризации, терминального доступа, их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основ основных ОС (Windows, Linux, MacOS, Android, iOS), их архитектуры и особенностей их конфигурирования и администрирования, механизмов сбора и регистрации событий, а также анализа
  • знание основ сетевой и системной безопасности (МСЭ, IDS, WAF, антивирус, IDM, обманные системы, песочницы и т.п.)
  • знание угроз и уязвимостей, реализуемых на разных уровнях — сетевом, системном, прикладном
  • знание типов атак (DDoS, подбор пароля, сканирование, подмена, перехват, переполнение буфера, скрытые каналы, CSS, PL/SQL Injection, вредоносный код и т.п.)
  • понимание последствий от реализации угроз
  • знание принципов и протоколов web, включая web-почту, web-сайты, CMS, cookie, а также инструментов их анализа
  • знание принципов и протоколов построения e-mail, а также инструментов ее анализа
  • знание принципов и протоколов построения инфраструктуры DNS, а также инструментов ее анализа
  • знание принципов и протоколов построения IP-телефонии, мессенджеров, VPN и т.п., а также инструментов их анализа
  • знание принципов сбора информации, управления этим процессом, его возможностей и ограничений
  • знание принципов расследования инцидентов
  • знание принципов сбора доказательств и обеспечения их сохранности
  • знание основ и методов обнаружения атак на уровне сети и хостов
  • знание концепции Kill Chain и методов, используемых злоумышленниками (TTP)
  • знание способов обхода средств защиты (evasion)
  • знание методов сбора и анализа метаданных (e-mail, http, netflow и т.п.)
  • знание основных протоколов и форматов регистрации событий безопасности (например, syslog)
  • знание основных SIEM, их архитектуры и особенностей их конфигурирования, механизмов сбора и регистрации событий, а также анализа
  • знание основ/стандартов написания правил обнаружения атак и корреляции событий, а также индикаторов компрометации
  • знание основ визуализации собранной информации и формирования отчетов
  • знание признаков физического и психологического поведения, характеризующего аномальную или подозрительную активность

К необходимым навыкам я бы отнес:

  • умение писать простые скрипты для автоматизации рутинных задач
  • умение писать сигнатуры и правила для обнаружения атак и инцидентов (например, Yara, SIGMA, Snort и т.п.)
  • умение анализировать сетевой трафик
  • умение анализировать журналы регистрации событий ОС, сетевого оборудования, СУБД, приложений и т.п.
  • умение захватывать сетевой трафик и вычленять из него важную информацию
  • умение подключать удаленные источники событий
  • умение работать с индикаторами компрометации и OSINT
  • умение идентифицировать, локализовывать и отслеживать устройства в инфраструктуре 
  • умение выявлять пробелы в собранной информации и формулировать требования по их устранению
  • умение интерпретировать собранные данные, выявлять атаки и уязвимости, аномальную активность
  • умение работать с SIEM, IRP/SOAR, TIP, NTA, EDR, UEBA, CASB, песочница
  • умение работать с системами представления результатов анализа и генерации отчетов
  • presentation skills
  • writing skills (а фиг знает, как это емко сформулировать)
  • умение принимать решения
  • soft skills
  • критическое мышление

Вообще в статье Ангары есть некоторая недосказанность, так как не совсем понятно, под «аналитиком SOC» понимается специалист 1-ой, 2-ой или 3-ей линий, или любой специалист SOC, включая аналитиков Threat Intelligence, специалистов по реагированию на инциденты, специалистов по форензике и другие роли в SOC. Даже если речь идет о L1-L3, то в зависимости от линии, наполнение ролей и, как следствие, требуемые навыки и знания, будут разными. Но, думаю, основные моменты я все-таки учел. 

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Александр Германович

    Надо полагать, что все сотрудники НКЦКИ в полной мере обладают перечисленными знаниями и навыками?

    Ответить
  2. Алексей Лукацкий

    Ну они же не занимаются непосредственно мониторингом — они уже с готовыми инцидентами работают. Но в целом, да, они тоже должны обладать

    Ответить
  3. Максим Павлунин

    Алексей, прекрасно, что Вы обратили свое внимание на эту тему.
    Основная проблема, что нет учебника с эталоном, как нужно строить SOC, как обучать аналитиков и т.д. (хотя есть у MITRE, но насколько он "приземляется" на практике?). Мы поделились своим опытом и видением, и ваше мнение, Алексей, по сути совпадает с нашей практикой.

    Мы целенаправленно в статье не затрагивали понятие линий, чтобы не нагромождать и не делать огромную статью на несколько разворотов (текст был подготовлен для печати в BIS Journal), впрочем как и у Вас приведен общий перечень без деления на роли. Эту же я ориентировал на молодых специалистов, чтобы дать базовые понятия, задать вектор для профессионального развития, привлечь в профессию.

    Что касается знаний профильного законодательства — это фундаментальные знания, которые в существующем многообразии стандартов, литературы, подходов моделей и методик необходимы для верного выбора методологии, формируют у аналитика понимание различий в процессах обнаружения, классификации, ранжирования инцидентов. Независимо от уровня зрелости SOC, в котором предстоит работать аналитику, эти знания помогают расширить кругозор и сформировать целостное представление об отрасли.

    Мы уже сейчас видим острый дефицит кадров даже на позиции младших аналитиков. А аналитика в первую очередь характеризует опыт, который невозможно получить «экстерном», выучить, «вызубрить» и получить иным способом, кроме как на практике, которая тем более эффективна, чем большие инфраструктуры и большее кол-во разнородных отраслей обслуживает SOC.

    Мы стараемся постоянно развивать и совершенствовать наши бизнес-процессы. Спасибо за Ваш отзыв, благодаря обмену опытом и знаниями существует возможность своевременно пересмотреть приоритеты и внести необходимые коррективы.
    Буду рад, если получится поработать вместе в этой теме.

    Ответить