Александр Пушкин, «Перспективный мониторинг»: порог вхождения в SOC-специалисты достаточно высок

В уходящем году появилось множество вакансий SOC-специалистов, однако спрос значительно превышает предложение. Почему это происходит, порталу Cyber Media рассказал технический директор «Перспективного мониторинга» Александр Пушкин.

О спикере:

Александр «Несергеевич» Пушкин, выпускник Военно-космической академии имени А.Ф. Можайского, с 2007 года занимается практическими вопросами информационной безопасности, с 2019-го — технический директор компании «Перспективный мониторинг», один из соавторов киберполигона Ampire.

Cyber Media: Что изменилось за последние годы в сфере противодействия компьютерным атакам? Какое сейчас у заказчиков отношение к услугам SOC?

Александр Пушкин: Наш центр мониторинга был создан 2014 году, поэтому, можно сказать, что мы видели и самые ранние этапы, когда заказчик спрашивал: «А зачем мне это надо?» И то, что было потом — формальное исполнение: «Ну, мне сказали подключиться к центру мониторинга — я подключился». Наверное, последних года три чувствуется, что подросли запросы со стороны заказчиков, причем не только коммерческих организаций, а, что тут греха таить, и государственных, и региональных в том числе.

Cyber Media: Какие сейчас вы фиксируете сложности в противодействии атакам и есть ли вообще эти сложности? Чувствуется ли какая-то разница между тем, что есть сейчас, и что было, условно, год назад?

Александр Пушкин: Сложности есть всегда, без них никак. Одна из ключевых — это плохая осведомленность заказчиков средних и крупных масштабов о собственной инфраструктуре. Например, у компании несколько десятков, а может и за сотню серверных решений, клиентов тогда несколько тысяч и более. Наши специалисты начинают спрашивать: «А вот этот сегмент — это важно или нет? Если вас взломают, нужно штатно реагировать или стараться как можно быстрее изолировать этот сегмент?» Когда-то отвечают, но чаще говорят: «Слушайте, это какая-то наша подведомственная организация, там никого нет, все уволились, поэтому мы тоже не знаем что там».

Cyber Media: Как в таких случаях решаете проблему?

Александр Пушкин: Навыки проведения тестов на проникновение и анализа защищенности помогают нам самостоятельно получить необходимую информацию об инфраструктуре заказчика. Разумеется, мы предупреждаем заказчика о подобных действиях. В таких случаях мы проводим собственную инвентаризацию, результаты которой обсуждаем с заказчиком.

Cyber Media: Александр, вы амбассадор киберполигона Ampire. Расскажите, пожалуйста, о нем подробнее.

Александр Пушкин: Хорошее слово — амбассадор. Так случилось, что я был в той пятерке людей, которые стартовали разработку Ampire в 2018 году. Что это такое? Это такой тренажер, создавая который, мы преследовали главную цель — реализовать учебную площадку для людей, которые хотят работать в SOC.

Ampire — это возможность посмотреть на разные виды атак. Как они выглядят не на красивых презентационных слайдах, а как выглядят со стороны сети, как атака выглядит со стороны ключевых сервисов, которые в сети работают. И не только увидеть, но и попробовать противодействовать, хотя бы виртуальному нарушителю.

Для пентестеров существует много классных площадок, где можно оттачивать свои навыки, а для специалистов SOC, к сожалению, таких площадок гораздо меньше. Мы сами испытываем кадровый голод, как и все центры мониторинга, поэтому стараемся растить для себя людей, тренируя их на Ampire.

Cyber Media: Кадровый голод стал сейчас острее ощущаться?

Александр Пушкин: Кадровый голод есть везде: среди разработчиков, среди исследователей и среди специалистов SOC. Вопрос в том, что этот кадровый голод везде по-разному решается. Например, разработчики могут абсолютно бесплатно использовать многие инструменты обучения, имея ноутбук, диван и стабильное интернет-подключение. Им достаточно посмотреть пару видеороликов на YouTube, почитать несколько статей, книжек — и можно создавать свой первый проект.

Для специалиста SOC одного желания недостаточно. Желание, конечно, тоже важно, но есть другие факторы, которые в этом смысле отличают SOC-специалиста от разработчика. Специалисту SOC нужно знать как вообще сети функционируют, потому что защищать то, что ты не знаешь, как работает — сложно. Одной рабочей станции будет недостаточно. Важно понимать как проходят кибератаки. Опять же, не по красивым стрелкам и плакатам и фильмам про хакеров, а именно как это происходит на самом деле, как их можно отследить. 

Ну и работу со средствами защиты и с их интерфейсами никто не отменял. Да, есть демо-версии продуктов, есть какие-то площадки вендоров, куда приглашаются специалисты, есть бесплатные инструменты, но их скачать, настроить, поднять инфраструктуру — сложная задача для новичка. Поэтому порог вхождения в SOC-специалисты, на наш взгляд, достаточно высок. Ребят, которые хотели бы этим заниматься меньше, чем тех, кто хочет стать разработчиками.

Cyber Media: Что делать руководителю компании, если он предполагает потенциальные кибератаки? Как ему выстраивать защиту, какие меры необходимо предпринять?

Александр Пушкин: Хорошо, если он предполагает это по каким-то признакам, а не только по тому, что приходит сотрудник и говорит: «У меня компьютер зашифрован, требуют выкуп». Конечно, за раз такую проблему руководитель не решит.

Получить громадный бюджет, чтобы пришел интегратор ИБ-решений и «под ключ» все сделал, скорее всего, тоже не получится. По крайней мере, надо собственными силами посмотреть, что внешний нарушитель видит по инфраструктуре. Если уже есть признаки того, что внутри организацию взломали, то важно проверить антивирус — на всех ли машинах он есть, если не на всех, то поставить версии от наших российских вендоров: они хотя бы проверят и смогут обнаружить следы атаки. Если будет вообще мимо, то необходимо пригласить консалтинговую компанию, чтобы они помогли расследовать инцидент. Ну и постепенно, конечно, нужно внедрять средства защиты и набирать команду специалистов по ИБ.

Причем, скажем, если заказчик захочет подключить свою компанию к центру мониторинга, то это не означает, что больше ничего не нужно делать. В любой компании должны быть люди, которые будут с этим центром мониторинга взаимодействовать.

Cyber Media: Что стоит ожидать от «Перспективного мониторинга» в ближайшее время? Над чем вы работаете?

Александр Пушкин: У нас специфика бизнеса остается прежней: услуги и продукты. Услуги в сфере мониторинга и противодействия компьютерным атакам, проведение тестов на проникновение и анализ защищенности. Мы планируем расширение спектра наших заказчиков и для этого делаем определенные технологические изменения в процессах, чтобы любой из них понимал и ощущал ценность сотрудничества с «Перспективным мониторингом».

Планируем выпускать на рынок наши экспертные данные для более эффективного обнаружения атак. Об этом мои коллеги рассказали в рамках форума.

И плюс наш основной продукт, который достаточно хорошо известен — киберполигон Ampire. Здесь планов много, поставки и внедрения идут полным ходом. Первые наши заказчики — это ВУЗы и учебные центры. Сейчас Ampire появляется в крупных корпоративных учебных центрах, идет работа над созданием целого коммьюнити для наполнения полигона.