В конце нулевых кибербезопасность казалась довольно простым делом: антивирус на конечной точке, файервол на периметре и пентест раз в год. Тогда мало кто мог представить, что хакеры будут подолгу сидеть внутри сетей, маскируясь под легитимные действия, а количество атак на критическую инфраструктуру превысит все мыслимые пределы.
Идея создать коммерческий центр мониторинга угроз зародилась в 2009 году — как предчувствие растущей сложности атак. К апрелю 2012-го она оформилась в конкретный проект. Тогда и появился JSOC как Jet Security Operations Center — проект компании «Инфосистем Джет», то есть еще до основания самого «Солара». Позже он превратился в коммерческий SOC под брендом Solar, а буква «J» в названии сохранилась как дань истории.
Сегодня Solar JSOC — крупнейший коммерческий центр мониторинга и реагирования на кибератаки в России и входит в пятерку крупнейших провайдеров управляемых сервисов кибербезопасности в Европе. Ежедневно мы обрабатываем более 200 млрд ИБ-событий, защищая свыше 1500 заказчиков из госсектора, финансовой отрасли и бизнеса всех масштабов. Работа идет круглосуточно и без выходных. В этом материале расскажем о том, как возникла идея создания JSOC и как работают его специалисты.
В 2012 году начиналось все с двух типов заказчиков и простого вопроса: как защищать бизнес, не заставляя его покупать железо? На старте команда сфокусировалась на банковском секторе и ритейле. Кредитно-финансовые организации уже тогда были достаточно зрелыми в области ИБ, но мошенничество оставалось (да и остается) постоянной угрозой. Именно такая логика — решать реальные проблемы бизнеса, а не просто предоставлять инструменты — и легла в основу JSOC.
«Некоторым драйвером для перехода от услуги под клиента к массовой стало ощущение востребованности рынком. У нас произошел диалог с пятью–шестью клиентами, где они сказали, что хотели бы получить услугу „под ключ“, все в одном, когда нет никаких капитальных расходов, а есть лицензии и оборудование, которые предоставляются в аренду <…> Но тогда мы поняли, что от услуг разовых, оказываемых конкретным клиентам, необходимо переходить к регулярным», — рассказывал вскоре после появления JSOC Владимир Дрюков, директор центра противодействия кибератакам Solar JSOC.
Сегодня, когда мониторинг киберугроз по определению может быть только круглосуточным, интересно вспомнить наш цикл статей на Хабре про JSOC от сентября 2016 года (там же можно найти и выводы, которые наш центр сделал уже в первые пару месяцев):
«На начальном этапе команда JSOC состояла из трех человек: двух инженеров мониторинга, закрывающих временной интервал с 8 до 22 часов, и одного аналитика/администратора, который занимался развитием правил. SLA по услуге, обозначенный клиентам, тоже был достаточно мягким: время реакции на обнаруженный инцидент — до 30 минут, время на разбор, подготовку аналитической справки и информирование клиента — до 2 часов».
За 14 лет изменились технологии, появились новые вендоры и игроки на рынке. В JSOC теперь трудятся сотни специалистов, но прежним остался подход, в основе которого люди. Одни приходят к нам опытными профессионалами из оборонки, другие — из далеких от ИБ сфер, а третьи — прямо по специальности с университетской скамьи. И у каждого есть своя история.
Так, например, прежде чем попасть в JSOC, инженер первой линии мониторинга Сергей Беличков восемь лет проработал фармацевтом. Переход в ИБ занял у него полтора года самостоятельной подготовки и стажировок, а сама смена профессии потребовала осознанного решения временно потерять в доходе ради будущего роста. В нашей компании он работает уже больше двух лет.
«Я потратил на вход в профессию примерно полтора года, если считать и стажировку. До нее спрашивал у знакомых из отрасли, что нужно знать для подготовки. Основа — это сети и модель OSI, здесь хороши видеокурсы Андрея Созыкина. Дальше — гуглил. На первой стажировке я не прошел даже до экватора, но появилось понимание, что нужно изучать глубже: записывал в блокнот Kerberos, MITRE ATT&CK — и постепенно разбирался. Вторую стажировку тоже не смог завершить из-за нехватки времени, так как продолжал работать. Тогда я целенаправленно отложил средства, уволился и третий раз пошел на стажировку уже полностью сфокусированным. Когда времени стало больше — все пошло как по маслу. Самые важные знания дала именно стажировка — она помогла понять, куда копать дальше. А когда попал в компанию, расширять знания стало еще проще: вокруг много опытных людей, которые всегда готовы помочь и объяснить. Ни разу не пожалел, что сменил профессию, даже несмотря на то, что на первых порах финансово просел», — рассказывает Сергей.
Сейчас руководитель группы мониторинга инцидентов в Нижнем Новгороде Денис Григорьев вспоминает свой первый день в «Соларе» с улыбкой. Группу студентов Нижегородского государственного университета имени Н.И. Лобачевского направления «Информационная безопасность телекоммуникационных систем» пригласили в наш нижегородский филиал: показали офис, рассказали, чем занимается компания, и позвали на стажировку.
«Я пришел в „Солар“ инженером на первую линию мониторинга. Через несколько лет стал региональным руководителем, и обязанности изменились кардинально: технических задач стало гораздо меньше, зато вырос объем менеджерской работы, как и уровень ответственности», — говорит Денис.
В Solar JSOC Денис работает уже больше восьми лет, и, по его словам, не утонуть в менеджерской рутине ему помогают инженеры, которые всегда приходят с новой интересной проблемой или неожиданным вопросом.
Но не все приходят к нам новичками. Руководитель группы управления внешними проектами ЦМРК Владимир Асташов присоединился к JSOC с солидным бэкграундом — за спиной у него многие годы противодействия иностранной технической разведке в Центральном научно-исследовательском институте точного машиностроения и эксплуатация СЗИ в крупном интеграторе с дальнейшим погружением в активности вокруг построения SOC-in-house. Общий стаж — более 13 лет, включая три года в «Соларе». Одним из первых крупных проектов Владимира в нашей компании стала миграция заказчика с ArcSight на KUMA — российскую SIEM-платформу.
«Я слушал подкаст перед SOC-форумом и узнал, что „Солар“ предвидит кризис с зарубежными вендорами и готовит альтернативную SIEM. „Как здорово, — подумал я, — вот бы посмотреть, как это делают в реальной инфраструктуре!“» — вспоминает он.
На форуме Владимир познакомился с представителями «Солара» и через несколько месяцев уже руководил этим самым проектом. Архитекторы JSOC разворачивали core-компонент KUMA, настраивали первые тенанты, а Владимир координировал стейкхолдеров. А еще вместе с другими командами он обеспечивал киберзащиту президентских выборов 2024 года.
«Многие думают, что руководитель проекта работает с договором и ТЗ. Но это только верхушка айсберга, — рассказывает он. — Вокруг любого проекта десятки стейкхолдеров: заказчик, подрядчики, архитекторы, регуляторы. Их мнения нужно услышать, учесть, а иногда и мягко переубедить. Контекст не статичен: сегодня все штатно, а завтра — эскалация из-за смены требований. Задача руководителя проекта дозировано доносить изменения, чтобы команда не горела, а работала».
Пять лет Владимир читал лекции третьекурсникам в МГУТУ им. К.Г. Разумовского и сейчас входит в государственную аттестационную комиссию техникума. За время работы в ИБ он сформулировал простую, но важную рекомендацию новичкам: «Выберите то направление в ИБ, которое вам интересно — и прогресс в изучении не заставит себя долго ждать».
Как проходит рабочий день специалиста JSOC
Денис Григорьев:
«Рабочий день регулярно преподносит сюрпризы, и частенько ты занимаешься совсем не тем, чем планировал. Чаще всего утром проверяешь, что было в ночную смену и нет ли каких-то проблемных ситуаций, которые требуют вмешательства. Когда все ночные проблемы разобраны, можно приступить к ежедневным задачам. Нас, региональных лидов, несколько и подобные задачи мы выполняем по очереди. Иногда это проверка и анализ ежедневных отчетов, иногда составление расписания для инженеров мониторинга (а это около 100 человек) или просто контроль за происходящим на линиях. Также есть разовые задачи, которые распределяются между руководителями групп. Например, помочь разобраться сервис-менеджеру с ситуацией, произошедшей у заказчика, проработать кастомную схему работы для нового клиента, переписать инструкцию под изменившийся рабочий процесс и многое другое. Так же нужно найти время пообщаться с командой, как в формате дружеской беседы на кухне, так и в формате встреч 1-to-1. И всегда есть место для продумывания и реализации новых идей. Или попыток хотя бы частичной автоматизации рабочих процессов».
Владимир Асташов:
«Моя работа — уметь самому ставить цели и планировать, как их достичь имеющимися ресурсами и в нужные сроки. Двигатель здесь — персональная ответственность за успех проекта, она и заставляет действовать. В итоге мой рабочий день — это непрерывные коммуникации со всеми сторонами: поставить задачу, собрать обратную связь, проверить сроки, понять статус, при необходимости пойти на эскалацию. Компоненты коктейля „Рабочий день РП“ всегда одни и те же, вопрос лишь в том, в каких пропорциях они смешаются именно сегодня».
Сергей Беличков:
«Рабочий день начинается с проверки линии в тикет-системе и внутреннего мессенджера. Основной инструмент — SIEM. Инженер строит корреляционные каналы по событиям — например,события 4625 (неуспешные входы) — и анализирует контекст: хост, учетную запись, запущенные процессы (включая Mimikatz), VPN-сессии, репутацию внешних IP. Тикеты классифицируются по SLA: Low (2 часа), Medium (1 час), High (30 минут). Критичность определяется не только типом атаки, но и связью с другими событиями — например, брутфорс в дельте с запуском вредоносных утилит становится инцидентом. В среднем за смену обрабатывается 50–70 тикетов, 90% времени уходит на расследование и подготовку оповещений для заказчика.
Если ты дежурный, то просто принимаешь смену у прошлого дежурного и потом следишь за нагрузкой на линии, либо за корреляциями и ответами от заказчиков по поводу уже оповещенных тикетов, тут все зависит от того какой конкретно ты дежурный».
Что бы вы порекомендовали молодым специалистам?
Денис Григорьев:
«Примерно 90% новых сотрудников группы мониторинга инцидентов — студенты и «Солар» для них первая серьезная работа. Понятно, что молодым специалистам многое нужно постичь, ко многому надо приноровиться и привыкнуть. Но хочется подчеркнуть, что, несмотря на важность построения карьеры, нельзя забывать про себя и жизнь вне работы, так как в желании достичь всего и желательно уже завтра очень легко надорваться и разочароваться в своей работе».
Сергей Беличков:
«В начале пути сложно понять, что именно пригодится в работе. Поэтому важно относиться ко всем полученным знаниям серьезно — даже если сейчас это кажется ненужным. Позже выясняется: почти любая информация находит применение. Особенно в первые месяцы — когда есть время учиться, но еще не требуют результатов. Чем больше впитаешь тогда, тем увереннее будешь работать потом».
Вместо заключения спросили у коллег, что заряжает их энергией и мотивирует в работе
Денис Григорьев:
«Вдохновляет, как полагаю и большинство других людей, когда что-то получается. Особенно, если оно получилось именно так, как задумывал, а если еще изначально идея была очень амбициозной, то это сильно вдохновляет придумывать и реализовывать что-то дальше».
Владимир Асташов:
«Нравится и заряжает энергией — ответственность за результат и возможность непосредственно влиять на процесс выполнения работ. Участие в сложных переговорах с заказчиком, на которых требуется техническая экспертиза. Масштаб реализуемых проектов и их сложность. Осознание того, что благодаря личному вкладу в общее дело кибермир становится безопаснее».
Сергей Беличков:
«Заряжает энергией, когда ты справляешься со сложной задачей, получаешь новый опыт или знания и точно знаешь, что в следующий раз ты уже будешь делать что-то подобное более уверенно. Ну и итоговые показатели за квартал тоже очень сильно мотивируют, но только если они хорошие».
Центр противодействия кибератакам Solar JSOC — первый и крупнейший коммерческий SOC в России. Входит в ТОП-5 европейских MSSP (Managed Security Service Provider) по объему бизнеса. Под защитой центра более 300 организаций из разных секторов экономики, а штат специалистов по кибербезопасности превышает 750 человек. Правила, индикаторы компрометации и сигнатуры SOC непрерывно обогащаются данными центра исследования Solar 4RAYS, который сегодня аккумулирует крупнейшую в России базу знаний о киберугрозах. Таким образом, экспертиза Solar JSOC помогает оперативно выявлять и пресекать попытки атак в том числе профессиональных киберпреступников.
ссылка на оригинал статьи https://habr.com/ru/articles/1040192/