Сегодня даже беглый поиск на hh.ru выдает около 90 вакансий с разными задачами и функционалом, с волшебным словом «аналитик» и достаточно приличными условиями оплаты.
Большие данные и машинное обучение сразу же всплывают перед глазами многих кандидатов; зарплаты начинают плясать значительно выше рынка и заигрывать с нулями.
Так кто же аналитики центра мониторинга «ответственны за то, чтобы клиент не был взломан»? Что они делают и что им нужно знать и уметь, чтобы попасть на эту должность? 
В прошлые статьи мы говорили, что в список основных задач аналитика 3-й линии входят:
- Анализ аномальной активности для выявления инцидентов.
- Реагирование на нестандартные критические инциденты наших Заказчиков.
- Участие в расследовании инцидентов информационной безопасности, не зафиксированных мониторингом.
- Техническое обследование, подключение и адаптация источников событий.
- Разработка новых сценариев обнаружения инцидентов.
Источник не отправляет логи, событие не было разобрано, скрипт не сработал или был сфальсифицирован, атака пропущена — за все отвечает закрепленный за Заказчиком аналитик.
Однако это не означает, что все аналитики Solar JSOC к 30 годам становятся седыми или лысыми.
Не все.
Просто эта роль предполагает высокие требования к своему исполнителю.
Попробуем описать их немного подробнее.
Сразу отметим, что в рамках данной статьи мы сознательно не акцентировали внимание на технических компетенциях, которые мы ожидаем от кандидата на роль аналитика Solar JSOC. О технологиях уже много сказано, но, как написано в заголовке нашей серии статей, SOC — это люди.
Сражайтесь и ищите
Не будем на этом акцентировать внимание, но не можем не сказать пару слов о SIEM :) В описании вакансии часто пишут: «Опыт работы с SIEM-системой».С одной стороны, всё понятно: SIEM — это SOC-движок, без него сервис, что называется, «работать не будет».
(У некоторых экспертов есть возражения и свои обоснованные теории построения SOC без SIEM, но это всё равно не тема нашей статьи.
) Однако на самом деле за этими словами стоит нечто большее, чем возможность заглянуть в логи определенной ИТ-системы.
Аналитик должен уметь моделировать векторы атак на основе минимального объема информации об инфраструктуре Заказчика.
Конечно, бывает, что при подключении Заказчика мы получаем от него полную информацию о подсетях L2-L3, список серверов и рабочих станций с указанием их ролей, загрузки из AD и SCCM и т. д. А среди специалистов Solar JSOC есть даже легенда, что когда-то был Заказчик, который предоставил всю эту информацию в актуальном состоянии.
Но, к сожалению, это не всегда так, и приходится работать с тем, что имеем.
Это означает, что вам необходимо уметь оценивать достаточность подключенных источников и полученных событий для предоставления качественного сервиса по мониторингу и выявлению инцидентов ИБ.
Очевидно, что для этого специалист должен иметь сильный опыт работы с базовыми ИТ-технологиями, используемыми для построения стандартной инфраструктуры компании.
При этом аналитик должен уметь использовать старые источники для решения новых (читай непрофильных) задач.
Например, у одного из наших Клиентов, банка с развитой сетью банкоматов по всей стране, возникла острая проблема: используемое антивирусное решение не позволяло нам оценить полноту покрытия этих самых банкоматов антивирусным ПО.
.
Однако у нас был включен брандмауэр уровня ядра, и мы знали, с какой службой обработки взаимодействуют банкоматы.
Используя эти логи, ответственный аналитик смог подготовить для обработки список IP-адресов банкоматов, которые стучатся в двери, при этом в базе данных центра управления антивирусным решением нет никакой информации.
о наличии агента.
За несколько месяцев интенсивной совместной работы нам удалось сократить список таких банкоматов с нескольких сотен до нескольких, а инвентаризация, изначально атомарная, со временем была запущена на постоянной основе.
Найди и не сдавайся
Въедливость и внимание к деталям очень полезны для аналитика.Расследование инцидентов, которые не были зафиксированы работающим пулом сценариев Solar JSOC, представляет собой очень сложную рутинную работу с тысячами или даже миллионами событий из различных источников.
И здесь самое сложное – найти ниточку, потянув за которую, можно распутать весь клубок происшествия.
Например, у нас был случай, когда аналитик расследовал несанкционированное проникновение в инфраструктуру Заказчика и не смог найти исходную точку компрометации.
Для решения проблемы нам пришлось построить ежемесячный отчет о входящих и исходящих сетевых подключениях с участием IP-адресов, принадлежащих пулу внешних адресов Заказчика.
И только после длительного анализа этого отчета нам удалось обнаружить нетипичные исходящие соединения с тестового веб-сервера на IP-адрес из Нидерландов, которые в конечном итоге оказались активностью Reverse Shell, запущенной злоумышленником на скомпрометированном сервере.
Некоторые задачи аналитика требуют прямого общения с Заказчиком.
Иногда информацию из него приходится вытаскивать буквально клещами, например, когда приходит запрос в виде «что было подозрительного на такой-то рабочей станции на прошлой неделеЭ» Фактически после серии наводящих вопросов выясняется, что сотрудник, работавший на этом рабочем месте, пожаловался коллеге из отдела информационной безопасности в курилке, что на его рабочем столе пропал файл.
И силовик тогда решил спросить у внешнего SOC, с чем это связано, но формулировка вопроса была слишком расплывчатой.
И это происходит постоянно.
Трудно переоценить пресловутое умение работать в команде, а именно совместно с руководителем службы.
Для предоставления качественного сервиса важно, чтобы оба тянули команду в одном направлении, а не как в одной известной басне.
Характер стойкий, нордический.
Отдельно стоит отметить черту характера, которая стала настолько знакома во всех резюме, что на нее уже никто не обращает внимания.
Речь идет о стрессоустойчивости.
Solar JSOC предоставляет сервис 24/7, а это значит, что все аналитики дежурят круглосуточно, готовые присоединиться к расследованию важного инцидента в любое время дня и ночи.
В то же время, как показывает статистика , значительная часть критических инцидентов происходит в нерабочее время.
На первый план выходит способность просыпаться несколько раз за ночь, и мозг должен запуститься и быть готовым воспринимать самую важную информацию практически мгновенно.
Расследованием всех зафиксированных происшествий занимаются инженеры первой линии мониторинга.
Задача аналитика — вмешиваться при эскалации, а также контролировать качество расследования инцидентов, обрабатываемых первой линией.
Более того, инженеры часто обращаются к аналитикам, чтобы помочь интерпретировать события или оценить критичность инцидента.
Это значит, что аналитик должен направлять своих младших коллег, следить за качеством расследования и обеспечивать обратную связь руководителю группы первой линии.
Также Заказчик часто просит предоставить ту или иную информацию о мероприятиях.
Аналитик должен оценить задачу, грамотно ее интерпретировать и передать инженерам первой линии для реализации полностью или частично, в зависимости от уровня сложности задачи.
Здесь важно не замыкать на себе всю техническую активность и своевременно делегировать автономные задачи на первую линию как масштабируемый ресурс.
К примерам таких задач относятся запросы типа «необходимо загрузить информацию об активности сотрудника N на определенных хостах» или «запрос предоставить информацию о сетевом взаимодействии с адресом х.
х.
х.
х за последний месяц».
Как видите, запросы довольно простые, но их реализация в SIEM требует некоторого времени, при этом по первой линии вполне осуществима.
«.
пусть меня научат» 
Как пополняются ряды аналитиков Solar JSOC? Хотелось бы, чтобы все было так просто, как на картинке, но увы.
Если не рассматривать найм людей со стороны, а также горизонтальный переход, то самый естественный путь вырасти до аналитика — из инженера по реагированию (подробнее об этой должности можно прочитать в банде JSOC здесь И здесь ).
«И это единственная логичная вещь», как сказал известный персонаж.
Инженер реагирования, скорее всего, вырос из первой линии мониторинга, а значит, прошел сложный путь расследования непрекращающегося потока происшествий, лавируя между Ложноположительной Сциллой и ЛожноНегативной Харибдой.
Кроме того, инженер уже приобрел навыки проведения более сложных исследований, углубленной работы с SIEM, подключения источников событий, а также решения конкретных проблем клиентов.
В общем, я освоил фундамент, необходимый для дальнейшего роста.
Но достаточно ли этого, чтобы перейти в аналитику? Сложный вопрос.
И обычно на него нет универсального ответа.
Как минимум, у аналитика, по сравнению с инженером по реагированию, появляется новая обязанность – взаимодействие с Заказчиком.
Многим это может показаться мелочью, но практика показала, что это далеко не так.
Многим ребятам, погруженным в IT, приходится много работать над собой, чтобы преодолеть страх и научиться общаться с людьми, которым мы оказываем услуги.
Для некоторых бремя ответственности тяготит. Другим психологически трудно принять тот факт, что на должности аналитика больше не будет старших товарищей, которые будут тебя перепроверять и указывать на ошибки.
Для многих это просто слишком большой стресс — когда ты занимаешься нетипичными задачами, каждая из которых оказывается испытанием твоих навыков, когда несколько решений подряд оказываются тупиком.
Многие после этого просто сдаются.
Так что человеческие качества здесь играют важную роль.
Обычно мы предлагаем два типа задач для перевода задач на должность аналитика.
Одна из них — задача по разработке контента JSOC, например, разработка блока скриптов для обнаружения новых векторов атак.
Новым является реализация обнаружения атак на Active Directory, в частности DCShadow. Помимо работы с контентом, аналитик в процессе перевода назначается ответственным за двух-трех Заказчиков Solar JSOC: изучает их инфраструктуру, подключенные источники и полученные от них события, проверяет комплектность подключенных систем и объем запускаемых сценариев, начинает мониторинг выявленных инцидентов и качества работы инженеров первой линии по этим инцидентам.
После приемки все вопросы по технической стороне сервиса для данного Заказчика переходят на ответственность нового аналитика.
В команде аналитиков существует градация должностей.
Младший аналитик осваивает новую роль и занимается типовыми задачами.
Аналитик — главная ударная сила JSOC, прикрывающая основной пул задач.
Отдельно хотелось бы сказать о роли старшего аналитика.
Как следует из названия, старший аналитик хорошо справляется со своими основными задачами и при этом имеет понимание управления услугами Solar JSOC, умеет оценивать бизнес-риски, обладает высоким уровнем коммуникативности и, при необходимости, способен проработать архитектуру нестандартной службы и т. д. Таким образом, в лице такого сотрудника мы имеем автономную боевую единицу, которая может заменить менеджера службы во время его отсутствия без потери качества.
Но что происходит дальше с сотрудником, поднявшимся до уровня Аналитик? Лестница развития Solar JSOC на этом не заканчивается.
Вы можете сосредоточиться на развитии и «копать глубже», совершенствуя свои знания и навыки аналитика центра мониторинга, постепенно становясь опытным экспертом, которого уже не волнует уровень сложности решаемых задач.
Вы можете заняться оптимизацией процесса работы аналитиков, а также курировать ребят, начинающих работать на этой должности.
Другими словами, постепенно продвигайтесь к роли руководителя местной команды.
А можно попробовать вступить в ряды классических менеджеров и взять на себя бремя сервис-менеджера, взяв на себя такие непростые задачи, как контроль соблюдения SLA, управление сервисом Solar JSOC, взаимодействие с Заказчиком по поводу уровня предоставляемого сервиса.
Мы стараемся помочь каждому сотруднику определиться с наиболее подходящим для него вектором развития и найти себя в структуре Solar JSOC. 
Теги: #информационная безопасность #Карьера в ИТ-индустрии #Управление проектами #карьера #Управление персоналом #аналитик #solar jsoc #центр мониторинга #центр мониторинга #центр мониторинга
-
Проект Манго Близок К Завершению
19 Oct, 24 -
Интервью Для Ux-Дизайнера
19 Oct, 24 -
Второе Дыхание Многомода
19 Oct, 24 -
Почему Они?
19 Oct, 24
