Чтобы оперативно и грамотно противодействовать киберугрозам, многие компании создают структурное подразделение под названием «Центр мониторинга и реагирования на инциденты ИБ», или SOC (Security Operations Center). Сотрудники этого подразделения — аналитики SOC. Они отвечают за непрерывный мониторинг информационной инфраструктуры, анализ событий и реагирование на инциденты ИБ. Существуют разные уровни SOC-аналитиков, это зависит от компетенций экспертов и выполняемых ими задач. В статье разберемся, какие уровни бывают, зачем они нужны, какими навыками должны обладать специалисты.

Общая структура SOC и распределение ролей

Существует три уровня SOC-аналитиков: специалисты 1-й, 2-й и 3-й линий SOC. При формировании команды информационной безопасности необходимо понимать, в чем отличия между этими ролями. Постараемся подробно объяснить, кто и какие задачи выполняет на каждой линии, какие навыки нужны экспертам.

SOC Analyst Tier 1 (аналитик SOC 1-й линии)

Аналитик SOC 1-й линии — стартовая позиция для входа в профессию. Именно с нее специалисты начинают свою карьеру, постепенно наращивая компетенции и переходя на следующую ступень.

Ключевые задачи, которые выполняет аналитик 1-й линии:

• Организация мониторинга событий ИБ в круглосуточном режиме.
• Первичный анализ событий и инцидентов.
• Работа с ложноположительными срабатываниями системы мониторинга.
• Эскалация подтвержденных инцидентов аналитикам второй и третьей линии.

Какими компетенциями должен обладать аналитик SOC 1-й линии:

• Владение основами информационной безопасности.
• Осведомленность о распространенных видах внутренних и внешних угроз ИБ.
• Навыки работы с SIEM-системами.
• Умение проводить базовый анализ журналов событий и первичную классификацию выявленных инцидентов.

Обобщаем. Аналитик SOC 1-й линии должен анализировать события безопасности, по возможности их классифицировать и спрогнозировать последствия для компании. Если подтверждается инцидент ИБ, специалист может обработать его самостоятельно или передать в работу дальше — аналитикам 2-й линии, обладающим более продвинутыми компетенциями по реагированию.

SOC Analyst Tier 2 (аналитик SOC 2-й линии)

Аналитик SOC 2-й линии — специалист, который проводит глубокий анализ инцидентов ИБ, исследует поведение злоумышленников и вредоносных программ, определяет источники атак и векторы вторжений, разрабатывает рекомендации по устранению уязвимостей в ИТ-периметре компании, принимает участие в расследованиях, дает рекомендации по реагированию на угрозы и восстановлению пострадавших систем.

Какими компетенциями должен обладать аналитик SOC 2-й линии:

• Глубокое понимание сетевых протоколов и архитектуры систем.
• Знание MITRE ATT&CK, Kill Chain.
• Навыки работы с системами Threat Intelligence.
• Опыт в расследовании сложных инцидентов.

Аналитик SOC 2-й линии — это «мозг» SOC, который принимает ключевые решения в критических ситуациях. До уровня специалистов 3-й линии доходят далеко не все инциденты ИБ, поэтому именно на 2-ю линию ложатся основные задачи по реагированию.

SOC Analyst Tier 3 (аналитик SOC 3-й линии)

Аналитик SOC 3-й линии — специалист, который чаще всего напрямую работает с сервисами заказчиков в коммерческом SOC. Его привлекают к работе в особо сложных случаях, если эксперты 2-й линии не справляются. Основные задачи аналитика 3-го уровня:

• Разработка и внедрение новых правил и политик безопасности.
• Проведение сложных расследований APT-атак.
• Управление инцидентами на уровне всей организации.
• Взаимодействие с внешними организациями и регуляторами.

Требования к экспертизе аналитика SOC 3-й линии:

• Продвинутые знания ландшафта киберугроз.
• Разработка новых методов обнаружения атак.
• Навыки проведения реверс-инжиниринга.

Это экспертный уровень для тех, кто в будущем хочет возглавить подразделение SOC или перейти в направление Red Team / Threat Hunting, проводить пентесты и комплексно исследовать информационную безопасность.

Как построить карьеру в SOC: от 1-й до 3-й линии

Аналитики в построении карьеры проходят следующие этапы:

• Базовый мониторинг информационной инфраструктуры.
• Углубленный анализ в части классификации инцидентов ИБ и расследований.
• Управление инцидентами, приумножение опыта в разработке мер реагирования.

Для начала необходимо выучиться на аналитика SOC 1-й линии. Когда специалист приобретет опыт на несложных задачах, он может повысить свою квалификацию до 2-го уровня, например, на курсе от Solar Method. Достичь третьего уровня намного сложнее, поскольку нужны постоянная практика и глубокие знания о нетипичных атаках.

Обучение в Solar Method: курс «Аналитик SOC 1-й и 2-й линии»

Solar Method запускает онлайн-курсы «Аналитик SOC 1-й линии» и «Аналитик SOC 2-й линии».

Курс «Аналитик SOC 1-й линии» предназначен для тех, кто хочет войти в профессию и обладает начальными знаниями либо имеет небольшой опыт работы в ИБ. Курс «Аналитик SOC 2-й линии» подойдет опытным аналитикам SOC 1-й линии и инженерам ИБ.

Программа курса для аналитика SOC 1-й линии:

• Введение в SOC.
• Основы безопасности операционных систем и сетей.
• Основы мониторинга инцидентов.
• СЗИ как источники событий.
• Вредоносное ПО.
• Защита корпоративной инфраструктуры.
• Защита веб-приложений.
• Мониторинг инцидентов.
• Основы реагирования на инциденты ИБ.
• Анализ (TI) и поиск (TH) угроз.

Программа курса для аналитика 2-й линии:

• Центр мониторинга и реагирования на инциденты ИБ: практика.
• Аудит журнала событий.
• Сбор событий.
• Мониторинг инцидентов.
• Реагирование на инциденты ИБ, лучшие практики.
• Анализ (TI) и поиск (TH) угроз.

Преимущества курса:

• Онлайн-доступ к материалам, обучение в удобном формате.
• Практическая направленность и работа с реальными кейсами.
• Сертификат о прохождении курса.

Обучение проводят опытные эксперты в сфере кибербезопасности. Они помогут вырастить крепких специалистов с необходимыми компетенциями для борьбы с киберугрозами.