Руслан Рахметов, Security Vision
Аналитики в SOC (Security Operations Center) — это специалисты, которые следят за безопасностью ИТ-систем, комплексов и бизнес-процессов и реагируют на инциденты. Чтобы стать таким аналитиком, нужно соответствовать определённым требованиям. Мир информационной безопасности постоянно развивается: появляются новые типы средств защиты информации, злоумышленники развивают свои методы и придумывают новые тактики, появляются новые технологии и способы сбора данных. Поэтому современному аналитику стоит постоянно учиться и оттачивать свои навыки, как хорошему доктору нужно изучать методы диагностики и лечения, чтобы совершать новые прорывы в медицине.
Знание основ ИТ и кибербезопасности
Для аналитика центра реагирования и анализа киберинцидентов, знание и понимание принципов кибербезопасности — это основа работы. Ключевые аспекты включают в себя:
1) Базовые концепции кибербезопасности, CIA-триада: конфиденциальность, целостность и доступность
- Конфиденциальность (Confidentiality) – это защита информации от несанкционированного доступа. Представьте, что вы запираете важные документы в сейф, и только те люди, у кого есть ключ, могут их прочитать. В информационной безопасности этот аспект триады отвечает за защиту данных, чтобы никто лишний не получил к ним доступ.
- Целостность (Integrity) гарантирует, что данные остаются неизменными и точными. Это похоже на проверку, что письмо дошло в том виде, в каком его отправили, без изменений и вмешательства со стороны. В кибербезопасности важно, чтобы никто не мог незаметно изменить или подделать данные, которые где-то хранятся и передаются от системы к системе.
- Доступность (Availability) – это обеспечение того, что информация и системы всегда доступны, когда они нужны. Например, в жизни это, как если бы у вас всегда был доступ к электричеству дома (когда оно отключается, возникают проблемы), а особенно это критично, например, не для обычного дома, где можно временно обойтись свечами для освещения, а на критически важных объектах, например, в больницах, где без работающих аппаратов пациенты могут лишиться жизни. В ИБ это означает, что сервисы работают стабильно и без сбоев, компания выполняет свои задачи, и клиенты получают желаемый сервис.
2) Знание типов кибератак
Ранее мы уже рассказывали про различные методы социальной инженерии, когда злоумышленники фокусируются на слабом звене системы – человеке. Среди таких методов достаточно распространены:
- фишинг (попытки выманить личную информацию с помощью поддельных писем или сайтов, например, когда приходит письмо от «банка», где «сотрудники» просят срочно ввести свои данные – в реальной жизни это мошенник, который выдаёт себя за сотрудника банка);
- DDoS-атаки (Distributed Denial of Service) — атаки, при которых злоумышленники перегружают сайт запросами (он становится не работающим для пользователей, т.е. нарушается доступность данных, о которой мы говорили выше), это, как если бы в кафе вдруг пришло 100 человек одновременно и официанты просто не успевали бы обслужить всех;
- SQL-инъекции – атаки, при которой злоумышленники внедряют вредоносный код в запросы к базе данных (так они могут получить доступ к данным, нарушая аспект конфиденциальности). Представьте, что вы пишете запрос в поисковую строку, а злоумышленник незаметно добавляет в него свои команды.
- атаки с использованием паролей – попытки взломать учётные записи с помощью подбора или кражи паролей) Это похоже на попытки подобрать ключ к двери в квартиру;
- вредоносное ПО, Malware, т.е. программы, которые могут повредить компьютер, украсть данные или шпионить за пользователем. Представьте, что на телефоне появилась программа, которая незаметно читает все сообщения или делает скриншоты и передаёт их злоумышленнику.
3) Знание тактик и методов атак, основных векторов атак, методов их обнаружения
Существует множество фреймворков – баз знаний, которые ставят своей целью разложить действия злоумышленников по полочкам и предугадать дальнейшие действия. Мы уже проводили аналитику различных баз данных угроз (БДУ), но напомним некоторые данные в текущем обзоре:
- OWASP TOP 10 – это список самых распространённых уязвимостей веб-приложений. Его можно представить, как «список самых популярных ловушек», которые злоумышленники используют для взлома сайтов;
- CVE (Common Vulnerabilities and Exposures) – это база данных известных уязвимостей, с которыми аналитики постоянно работают, чтобы быть в курсе слабых мест в системах;
- MITRE ATT&CK – это база данных тактик и методов атак, которая помогает аналитикам понять, как злоумышленники действуют на разных этапах атаки. Это похоже на учебник с планами действий преступников;
- Cyber Kill Chain – это модель, описывающая этапы кибератаки от разведки до завершения. Аналитик, используя эту модель, может определить, на каком этапе находится атака и как её остановить.
Аналитик должен уметь распознавать различные «ловушки» и предотвращать эксплуатацию уязвимостей или выполнение сложных атак.
Говоря о ключевых этапах жизненного цикла инцидента, из общего перечня можно выделить: обнаружение (это, как если бы вы заметили, что кто-то пытается взломать замок), реагирование (это действия по предотвращению взлома, например, вызов охраны или усиление замков), устранение (если говорить на примере взлома замка – его замена) и восстановление – возвращение системы в нормальное состояние после инцидента. Современные системы класса SOAR позволяют автоматизировать различные действия не только на этих этапах Kill Chain, поэтому в помощь аналитикам можно применять подобные технологии.
Аналитик в SOC должен уметь быстро распознать признаки атаки, такие как странные входы в систему или подозрительный трафик, затем выполнить блокировку IP-адресов, отключение заражённых устройств или временное отключение систем для их защиты. Этапы устранения и восстановления отвечают за удаление вредоносных программ, восстановление данных и обеспечение того, что уязвимость закрыта. Это, как если бы вы установили новые, более надёжные замки и провели проверку всех своих вещей в доме, наподобие процесса управления активами и инвентаризацией в ИТ и ИБ.
4) Технические навыки
Это важная составляющая работы аналитика SOC, которая включает в себя знания операционных систем, умение работать с командной строкой и сценариями, а также понимание виртуализации и облачных технологий. Мы рассмотрим каждый аспект подробнее в следующей статье, посвящённой работе аналитиков.
Чтобы эффективно выполнять работу, нужно знать, где находятся двери, камеры и как работает сигнализация. В кибербезопасности это знание, как устроены сети, компьютеры, операционные системы и что такое вирусы или атаки. Помимо этих знаний, специалисту группы реагирования и аналитикам всех уровней будет полезно прокачивать свои софт-скиллы, такие как:
- Навыки анализа данных. Это похоже на умение видеть необычные детали в толпе людей. Например, если человек ведёт себя подозрительно, охранник или таможенник в аэропорту обратит на это внимание. Аналитик в SOC делает то же самое, но с данными. Он анализирует сетевой трафик и журналы событий, чтобы заметить аномалии — признаки взлома или утечек данных;
- Умение быстро реагировать. Представьте, что вы пожарный и вам нужно действовать быстро и решительно, если где-то начался пожар. В SOC, если аналитик заметил угрозу, он должен сразу реагировать: блокировать атаки, останавливать вредоносное ПО или изолировать заражённые системы;
- Командная работа. Как и в футболе, успешная защита – это всегда результат слаженной работы команды. В SOC аналитики работают вместе, чтобы выявить угрозы и устранить их. Они обмениваются информацией, проверяют друг друга и помогают находить лучшие решения;
- Коммуникационные навыки. Когда механик объясняет владельцу машины, что нужно починить, он должен говорить простым языком. Аналитик SOC тоже должен уметь доносить информацию: коллегам, менеджерам или даже нетехническим сотрудникам. Он объясняет сложные вещи простыми словами, чтобы все поняли, что произошло и что нужно делать;
- Внимание к деталям. Представьте себе работу часовщика, который собирает сложный механизм: один неверный шаг – и часы не запустятся. Аналитик должен замечать мельчайшие отклонения в работе системы, которые могут указывать на угрозу. Это помогает предотвратить атаки на ранних стадиях;
- Обучаемость и любопытство. Как шеф-повар, который постоянно пробует новые рецепты, аналитик SOC должен всегда учиться. Хакеры придумывают новые методы атак, и аналитик должен быть готов изучать их, осваивать новые инструменты и технологии, чтобы быть на шаг впереди.
Наши эксперты разработали чек-лист требований к аналитикам SOC, который вы можете использовать при поиске и подборе первоклассного специалиста.
1) Знание и понимание принципов кибербезопасности:
- базовые концепции кибербезопасности;
- знание типов кибератак;
- знание тактик и методов атак, основных векторов атак, методов их обнаружения;
- понимание ключевых этапов жизненного цикла инцидента;
2) Навыки анализа журналов
- опыт работы с различными форматами журналов;
- умение анализировать журналы событий операционных систем;
- анализ журналов сетевых устройств (брандмауэров, маршрутизаторов);
- анализ логов приложений и серверов;
3) Навыки в области сетевых технологий
- базовые знания сетевых технологий и знание модели OSI;
- базовые знания сетевых протоколов (TCP/IP, HTTP, DNS, DHCP);
- понимание сетевых топологий, устройств и их ролей;
- умение анализировать сетевой трафик для выявления аномалий;
- знание систем сетевого мониторинга и анализа трафика;
К данному списку можно добавить основы работы с операционными системами (Windows, Linux), умение использовать командную строку и языки сценариев для анализа и автоматизации процессов (Bash, PowerShell), знание основных концепций виртуализации и облачных технологий и опыт работы со средствами безопасности, о которых мы поговорим во второй части обзора.
