Не программист и не хакер: кто такой SOC-аналитик⁠⁠

Мир кибербезопасности развивается, появляются новые профессии. Например, SOC-аналитик — разобрались, кто это такой, чем занимается и сколько получает.

Кто такой SOC-аналитик и чем занимается

Это специалист, который в реальном времени следит за безопасностью инфраструктуры компании и реагирует на инциденты. SOC-аналитиков, как и сисадминов, делят на три категории / линии.

L1-аналитики

На первую линию нанимают выпускников вузов или тех, у кого пока нет опыта реальной работы. Задача такого специалиста — сидеть перед компьютером и мониторить возникающие события.

Специалист L1 целый день смотрит в консоль и отлавливает подозрительную активность. При этом 80% кибератак, которые SOC-джун видит в течение дня — это false-positive (ложные срабатывания). Например, сотрудник авторизовался не с рабочего места, а с домашнего компьютера, так как работает сегодня удаленно. Система замечает это и генерирует предупреждение.

L1-аналитик должен узнать, почему вход выполнен с другого IP, и сгенерировать отчет о ложном срабатывании. Если же инцидент не false-positive, то L1-специалист передает информацию L2-аналитику.

Работу у L1 монотонная. Кроме того, в компаниях есть и ночные смены, так как мониторить безопасность нужно 24/7.

L2-аналитики

Через полгода-год специалист переходит на следующую ступень развития — вторую линию. Здесь от аналитика уже ждут комплексных знаний о SIEM-системе и инфраструктуре компании. L2-специалист должен знать правила корреляции (о них еще поговорим) и уметь их самостоятельно составлять. Также нужно обрабатывать возникающие инциденты.

Например, младший специалист заметил, что какой-то системный процесс записал в реестре компьютера путь к исполняемому файлу. L2-аналитик должен провести расследование: кто запустил его, как запустил, действительно ли это системный EXE или файл только маскируется.

Специалисты этого уровня уже не просто сидят за монитором, а проводят полноценное расследование инцидентов. Работа интереснее, чем у L1, но и требует больше сил.

Стать аналитиком первой и второй линии можно на онлайн-курсе «Аналитик SOC». Все студенты получают теорию с подробными иллюстрациями и схемами, а также работают с киберинцидентами на тестовых стендах — все это дает хороший старт для дальнейшего карьерного роста.

L3-аналитики

Это уже профессионалы SOC. Они работают с нетиповыми и высококритичными угрозами, разрабатывают механизмы обнаружения и пишут плейбуки — инструкции, в каком случае и что делать.

Также от L3 могут потребовать специфичные знания в области:

• форензики — расследования киберпреступлений;

• пентеста — тестирования на проникновение и безопасность.

Что нужно знать SOC-аналитику

Компетенции такого IT-специалиста зависят от его должности. Для L1 достаточно в общих чертах понимать, что происходит на экране монитора. Но если хотите расти в этом направлении и стать хорошим безопасником, придется изучить несколько технологий.

SIEM-системы

Работа в SOC завязана на SIEM (Security information and event management) — это система управления информационной безопасностью и событиями. Программа, которая получает на вход логи, ищет в них зависимости и представляет в удобном виде.

Без SIEM обойтись не получится, так как инфраструктура компании ежеминутно генерирует сотни логов: пользователь авторизовался, запустил процесс Word.exe, настроил соединение с удаленным сервером и так далее. Для удобной работы со всем этим и применяются SIEM-программы.

Существует много разных решений, и все они похожи друг на друга. Поэтому в вакансиях редко требуют опыт работы с какой-то конкретной программой. На российском рынке, например, популярны Security Capsule, MaxPatrol SIEM и RUSIEM.

EDR-системы

Это приложения для мониторинга логов и управления информационной безопасностью. EDR (Endpoint Detection & Response) мониторят действия на конечных точках (компьютерах, серверах или смартфонах) — их работа похожа на обычный антивирус. Но в отличие от антивируса, который анализирует код в момент запуска программы, EDR копают гораздо глубже.

MITRE ATT&CK

Это база знаний, которая предоставляет информацию о методах атак на компьютерные системы и сети. MITRE ATT&CK разделяет угрозы по целям. Например:

• сбор информации;

• распространение вредоносных программ;

• поддержание доступа;

• разведка.

Дополнительно в базе есть общие правила обработки инцидентов. SOC-аналитики редко работают с ATT&CK напрямую, так как у компаний уже есть внутренний регламент. Но специалистам второй и третьей линии иногда приходится описывать новые плейбуки, опираясь на базу знаний.

Правила корреляции

Это набор зависимостей, которые позволяют быстро понять, что произошло. Обычно они прописаны в документации к конкретной SIEM-системе. Например, у приложения Kuma более 600 стандартных правил корреляции. Скажем, программа сгенерировала код R001 — значит, произошла аномалия при аутентификации.

Однако на правилах корреляции только от SIEM-системы аналитик не ограничивается. Каждая инфраструктура имеет свои особенности — и зависимости. Специалист L2 должен понимать эту специфику и уметь самостоятельно прописывать их.

Другие технологии

Аналитик SOC не занимается программированием, но ему приходится автоматизировать анализ данных. Для этого используют язык Python вместе с библиотеками NumPy, SciPy и Matplotlib, а также Bash. Глубокие знания не нужны, но будущий специалист должен уметь визуализировать данные и находить зависимости.

Также нужно понимать, как работают компьютерные сети, уметь администрировать Windows и Linux. Глубоких знаний новичкам не требуется, но важно изучить:

• стек TCP/IP и как его используют для передачи данных;

• модель OSI и как ее используют для взаимодействия между сетями;

• работу веб-приложений и исполняемых файлов;

• как происходит авторизация и аутентификация;

• как устроены Windows и Linux, уметь их администрировать.

А дополнительно было бы неплохо уметь поднимать свой киберполигон в Eve-NG или Pnet.

Разобраться с этими вопросами и не только поможет онлайн-курс «Аналитик SOC». За четыре месяца вы научитесь реагировать на угрозы безопасности, разберетесь в SIEM и EDR-системах, узнаете про анализаторы сетевого трафика и получите опыт работы с базой Mitre ATT&CK.

Какая зарплата у SOC-аналитика

Средняя зарплата в профессии составляет 108 000 рублей. Специалист первой линии уровня «стажер / джун» обычно получает около 60–110 тысяч рублей.

Для L2-аналитика диапазон зарплат большой, так как в разных компаниях требуют разный уровень знаний. Специалист, который работает в этой сфере около года, может рассчитывать на 80–100 тысяч. С опытом два-три года уже можно претендовать на оклад 200 тысяч и больше. От кандидата требуется опыт работы с SIEM-системами и навыки расследования инцидентов.

При этом удаленной работы у SOC-аналитика нет, большинство специалистов работает из офиса.

Теперь вы знаете, кто такой SOC-аналитик и чем он занимается. Если заинтересовало, проходите бесплатную вводную часть курса — оцените подход к обучению и познакомитесь с профессией поближе перед тем, как принимать окончательное решение, стоит ли переходить к полной программе.

Прокачаться в SOC за четыре месяца — не самая легкая задача. Но мы поддержим на этом пути: предоставим все нужные знания для уверенного старта, дадим потренироваться на реальных проектах с обратной связью от экспертов, поможем оформить резюме и портфолио, дадим советы для собеседований — после выпуска вы сможете рассчитывать на позиции L1 и L2.

А для тех, кто сомневается, у нас есть бесплатные тесты и курсы. Они помогут узнать больше об IT-сфере, определиться с профессией и освоить полезные цифровые навыки.