Журнал "Information Security/ Информационная безопасность" #5, 2023

ных" команд, проверка актуальных век- торов атак, улучшение качества мони- торинга; l повышение экспертности и выстраи- вание доверительных отношений с заказчиком для расширения полно- мочий SOC по реагированию на инци- денты; l наращивание контента для россий- ского ПО, АСУ ТП, контейнеризации; l применение новых классов решений. Теймур Хеирхабаров, BI.ZONE: Главные вызовы: существенное уве- личение спроса на услуги коммерческих SOC одновременно с нехваткой квали- фицированных кадров, а также массо- вый переход на отечественные ИТ-про- дукты. С одной стороны, они далеко не всегда имеют зрелую программу управ- ления уязвимостями, а значит, будут создавать большое количество новых угроз для инфраструктур. А с другой, зачастую не имеют качественных логов или возможности их удобного подключе- ния в качестве источника событий в SOC. Даниил Вылегжанин, RuSIEM: В качестве ключевого вызова я выде- лю недостаток на рынке ИБ высококва- лифицированных специалистов, обла- дающих всеми необходимыми знаниями и имеющих соответствующий опыт. Коммерческий SOC должен также быть в состоянии адаптироваться к новым угрозам и техникам атак, постоянно обновлять свои навыки и инструменты, чтобы эффективно защищать своих клиентов. Не менее значимым вызовом становится интеграция в SOC различ- ных систем безопасности и мониторин- га, которые уже используются конкрет- ным заказчиком. Это может стать весь- ма сложным процессом, требующим множества согласований и совместной работы различных команд как со сто- роны провайдера, так и со стороны заказчика. Руслан Амиров, Инфосистемы Джет: На мой взгляд, основными вызовами являются следующие проблемы: 1. Ограниченность технологического стека SOC мотивирует рынок к разра- ботке новых программных продуктов. 2. Появление новых способов кибер- атак и обнаружение уязвимостей требуют быстрой и корректной реакции от SOC. 3. Высокая степень участия человека сказывается на качестве мониторинга, поэтому все еще актуальны вопросы ускорения подготовки аналитиков SOC, обязательной автоматизации процессов и рутинных действий. 4. Развитие ИТ, параллельно с кото- рым происходит повышение знаний и навыков злоумышленников, еще долгое время будет влиять на темпы развития услуг SOC. Максим Акимов, Innostage CyberART: Кандидаты на позицию оператора зачастую не обладают базовыми зна- ниями по ИТ-технологиям, не имеют практического опыта работы с СЗИ, типовыми видами сетевых компьютер- ных атак, знаний о тактиках и техниках злоумышленников. А аналитикам, даже имеющим опыт работы в корпоративных SOC, может не хватать знаний по написанию пра- вил корреляции, понимания векторов атак, матрицы MITRE ATT&CK. Напри- мер, используя только базовый коро- бочный контент, они не наработали опыт расследования реальных инци- дентов. Планируя карьеру в ИБ, нужно делать упор на практику, оттачивать скиллы на киберучениях и соревно- ваниях. Прокачать Hard Skills, напри- мер, можно на киберполигоне Inno- stage. Руслан Амиров, Инфосистемы Джет: В первую очередь от сотрудников SOC требуются базовые знания по ИТ и ИБ. Начинающего специалиста с прочным фундаментом знаний, сформированным самостоятельно или в вузе, можно отно- сительно быстро обучить специфике работы в конкретном SOC, погрузить в технику, процессы, подходы и методи- ки, а также провести его адаптацию в компании. От соискателей на должность анали- тика (на примере Jet CSIRT) требуется не только серьезный багаж знаний, но также опыт детектирования и противо- действия реальным атакам, без которого будет гораздо сложнее обеспечивать качественный сервис. Артём Савчук, ПМ: В основном это скромный опыт экс- плуатации СЗИ (часто он ограничен одной-двумя SIEM) и недостаточное зна- ние современных нормативных требо- ваний в области ИБ, а порой, как ни странно, слабые коммуникативные навы- ки для общения с реальными заказчи- ками. Андрей Дугин, МТС RED: Как правило, не хватает практиче- ского опыта и умения работать с раз- личными системами, глубоко пони- мая базовые принципы, не привя- занные к определенному произво- дителю. Специалистов с такими навыками на рынке немного, поэтому мы растим их внутри, в том числе в ходе программ стажировок в МТС RED SOC. Даниил Вылегжанин, RuSIEM: Как показывает практика, чаще всего у соискателей не хватает глубо- кого знания особенностей различных инструментов обеспечения безопас- ности разных производителей. Помимо знаний для этого нужен и большой опыт. Теймур Хеирхабаров, BI.ZONE: Не хватает понимания того, как выглядят реальные атаки на практике, а не в описаниях из книжек и журналов, а также практического опыта реагиро- вания на инциденты и их расследова- ния. Кроме того, очень часто недостает так называемых софт-скиллов: толе- рантности к неопределенности, умения грамотно излагать свои мысли, аргу- ментированно доносить свою позицию, а также вести качественную коммуни- кацию как с коллегами, так и с заказ- чиками. Александр Матвеев, IZ:SOC: К сожалению, одних знаний зача- стую недостаточно. Речь, скорее, про опыт и экспертизу, полученную на основе реальных кейсов. При желании знания всегда можно получить, но есть вещи, которые можно обрести только опытным путем, и это, на наш взгляд, самое ценное. В коммерческих SOC знания и опыт растут гораздо быстрее, нежели в in-house SOC, так как наши аналитики и эксперты рабо- тают сразу со многими заказчиками и, соответственно, сталкиваются с инцидентами гораздо чаще. Крайне важен также обмен опытом в команде, и вот его зачастую у соискателей не хватает. Поэтому, отвечая на вопрос, отмечу, что иногда у соискателей не хватает скорее стремления получить тот самый опыт, который непременно приведет к знаниям. Сергей Солдатов, Лаборатория Касперского: В порядке убывания частоты случаев: 1. Фундаментальных знаний по ИТ: основных сетевых операционных систем (Win, Mac, Linux), сетевых тех- нологий (не ниже уровня CCNA), клас- сических техник злоумышленников (закрепление, повышение, горизонталь- ные перемещения в основных ОС, атаки на сетевые протоколы (DNS, DHCP и т.п.), типовых атак на инфраструктуру Active Directory. 2. Базовых знаний DFIR: какие foren- sic-артефакты следует собирать в каких случаях и зачем, как реагировать на типовые атаки. 3. Soft skills и знания иностранных языков. l Каких знаний не хватает у соискателей в операто- ры и аналитики SOC? 22 • СПЕЦПРОЕКТ Ваше мнение и вопросы присылайте по адресу is@groteck.ru