Иван Костыря, UserGate: Кадровый голод и проблемы ИТ-отрасли

Руководитель L1 SOC UserGate Иван Костыря — один из докладчиков первого дня SOC Forum, где он рассказывает о том, как построить команду в SOC при дефиците кадров. Cyber Media обсудил с Иваном его взгляд на сегодняшний рынок труда в ИБ и подход SOC UserGate к созданию коллектива, для которого работа — это не только про деньги, но про собственный рост.

Cyber Media: Работа в SOC отличается своей спецификой — нужно быть усидчивым, внимательным, не бояться рутины, уметь при необходимости быстро включиться. Как вы вообще определяете такие качества в кандидатах на собеседованиях?

Иван Костыря: Начнём с простого - мы основываемся на собственном опыте. Каждый из лидов - в прошлом уже несколько раз работал в различных SOC-ах и прекрасно знает, кто с какими задачами должен справляться и как их можно оценить. Когда появляется задача найти людей, первыми вспоминаются коллеги, с которыми уже успели поработать и есть положительный опыт, профессиональные качества и умения в целом понятны и не требуется время на слаживание команды. Это то, что называется нетворкинг. Это очень важный момент, чтобы люди в дальнейшем не страдали и работали только с теми, кто команду делает единым организмом. Стоит помнить, что высокий уровень технической подготовки не компенсирует негативное влияние сотрудника, который нарушает командную динамику и создает нездоровую атмосферу в коллективе - в угоду здоровых отношений иногда стоит пожертвовать некоторыми техническими скилами.

После того, как мы уверены в контактности кандидата, идёт техническое собеседование. Мы стараемся использовать только те вопросы и задания, которые встречаются в реальной практике, а не остаются синтетикой, которая может быть и нужно знать для общего развития. И да, все проходят полноценные собеседования. Никакой пощады или специальных условий, если кандидат пришёл по знакомству не будет, потому что в первую очередь в команду нужен специалист, а не просто милый старый друг. В случае негативного технического собеседования, лучше дать этим людям качественный фидбек, указать где получше подготовиться, чтобы, может быть, вернуться и попробовать ещё раз попозже и в лучшем свете. Из двух позиций, которые мы закрыли за последние полгода, один сотрудник пришёл через друга, второй — через холодный поиск.

Безусловно, у нас есть подготовленный список навыков, умений, знаний, понимания принципов работы, менторство и учебные материалы чтобы влиться в работу при наличии пробелов. На собеседовании чаще смотрим не то, что кандидат знает, а чему его можно обучить.

Cyber Media: Как часто удаётся найти кандидатов собственными силами?

Иван Костыря: Приведу пример UserGate, у нас руководитель SOC, вышестоящий директор дисциплины, я с первой линии, коллеги со второй линии и руководители SRE — все хорошие знакомые, которые уже работали вместе. Так же собирался и наш первый состав — на 100% по проверенным знакомым контактам. А сейчас где-то половина штата — это люди, которые до этого друг друга знали. Мы прекрасно знаем возможности и силы друг друга, так что не возникает вопросов о слаженности и доверии.

К холодному поиску подключаются HR. Поиск идёт по всем платформам, которые не буду перечислять — все их знают. Рекрутеры получают от нас базовые вопросы для кандидатов (совсем базовые, которые завалить очень сложно) и примерный часовой пояс, куда мы ищем сотрудника.

Задача HR — не проверить технические знания, а удостовериться, что кандидат контактный. С ним приятно общаться, он умеет выстроить диалог, не «поднимает красные флаги», одним словом - оценивает психологически. Мы получаем первичное заключение по человеку: ок — не ок, зарплатные ожидания и предыдущий опыт работы, если он есть. Дальше — этап «технички», где у меня есть два десятка готовых вопросов и сценариев. Где-то спрашиваем простые вопросы про ИБ — условно говоря, что такое троян, как он работает, какие есть тактики и техники. Эти знания, в принципе, дают в институтах.

Более сложные кейсы — это вопросы на логику. Это какие-нибудь примеры из реальной практики, например: устройство сотрудника заражается таким-то стилером или происходит дефейс сайта. Все сценарии — из реального опыта дежурных SOC, какие-то интересные кейсы, с которыми я столкнулся за время всей своей работы в разных компаниях. Интервьюер даёт определенные вводные и подсказки, изображает из себя условную SIEM в которой есть всё и рассказывает, что и в каких логах видит кандидат. Цель — получить не сухие ответы, которые можно нагуглить, а понять, как человек мыслит, какие строит гипотезы, как анализирует вводные. И да, не имея на мониторе этих самых вводных и готового сценария - задача становится сложной и абстрактной, зато этот принцип хорошо отображает умение адаптироваться.

В ИБ есть очень эффективный принцип — мышление гипотезами. Если кандидат умеет так рассуждать, он нам подходит. Например, ситуация: не включается компьютер. Почему? Может быть, у него нет питания? Или выключен монитор? Каждый из этих вопросов можно проверить и либо подтвердить гипотезу и решить проблему, либо построить новую гипотезу и дальше продолжить расследование. Кандидатов, которые способны пройти по логической цепочке к правильным ответам без готовой инструкции, на самом деле довольно мало.

Задача HR — не проверить технические знания, а удостовериться, что с кандидатом приятно общаться, он умеет выстроить диалог, не «поднимает красные флаги»

По итогу технического собеседования мы имеем «карточку бейсболиста» со всеми данными и комментариями. Там есть все критерии: общие технические знания, владение Linux и Windows, знание веб-атак, оценка коммуникативных навыков, аналитики и мышления. И последнее — как человек сам учится, развивается вне рабочего времени. Здесь речь про различные CTF, полигоны вроде HackTheBox, домашние лаборатории и множество других способов получать знания при желании.

Во второй части более детальная конкретика — оценки ответов на пул вопросов. Что именно спрашивалось у кандидата и как он ответил. У нас есть вопросы про журналирование, про сетевые технологии, про виды зловредов и «тулзы», про процессы и так далее. По полученным баллам далее составляется радарная диаграмма, и мы можем наглядно сравнивать кандидатов. У одного отличные знания Windows, а с Linux он проседает. У другого наоборот. Пул вопросов на старте у всех одинаковый, поэтому и сравнивать людей по ним удобно и этот подход сильно облегчает задачу тим-лиду в будущем. Можно представить кто на какие задачи может претендовать, в каких областях знаний человеку стоит подкачаться литературой или практическими заданиями.

Пример «карточки бейсболиста»

При оценке, субъективно, но используем 10-балльную шкалу, но с помниманием, что 5 баллов — значит знания кандидата «соответствуют ожиданиям», ответа достаточно для выполнения рабочих задач. Чем больше баллов выше пяти, тем больше кандидат превысил эти ожидания и обратное, если кандидату нужно подкачивать ту или иную область. В принципе, можно использовать и трёхбалльную шкалу: «не соответствует ожиданиям», «соответствует», «превышает». Но поскольку нам нужно всё это объединить в единую систему и сравнивать “кто и насколько”, 10 баллов оказываются удобнее.

Ну и скажу про «путевые заметки» (см. нижнюю часть таблицы — прим. Cyber Media). Куда кандидат стремится, что интересного рассказал о предыдущем опыте и так далее. Кто-то оказывается лучше готовым к инженерным темам, кто-то много участвовал в CTF и ему интересна работа “атакующей” команды, кто-то отлично разбирается в каких-то отдельных инструментах и готов поделиться опытом.

Кандидаты набираются медленно. Если мы говорим про L1, чтобы закрыть одну позицию, нужно провести около 10 технических собеседований. И это относительно простая позиция — на L2 цифра может достигать и 20, и больше. По времени - одна позиция L1 может искаться при адекватной зарплатной вилке до года.

Cyber Media: Про «красные флаги» часто говорят, а что насчёт «зелёных»? Как кандидат может проявить себя, чтобы моментально набрать дополнительные очки?

Иван Костыря: Участие в мероприятиях, соревнованиях по ИБ. Это даёт насмотренность и разрабатывает нужные навыки. Начитанность новостей, отчетов и телеграм-каналов по тематике ИБ. С этого момента начинаю задавать вопросы: какие именно каналы, что читал и что понял? Потому что есть каналы «попсовые», а есть — более закрытые, кулуарные и специфичные. Зачастую профильные каналы имеют меньше подписчиков, зато информация подается более узконаправленная и без маркетинга. Кандидат называет «попсовый» канал, ты можешь запомнить — ок, что-то читает, интересуется. А если звучит название менее известное, кулуарное, это не плохой сигнал, что кандидат действительно увлекается и пришёл за информацией не случайно.

Пару раз встречались кандидаты, которые действительно у меня «занимали место в сердечке». Например, на одной из предыдущих работ я собеседовал кандидатку, которая рассказала, как пыталась «войти в айти», прошла стажировку и поняла, что у неё очень слабые технические навыки. После этой стажировки она и решила собеседоваться в компанию, где я тогда работал. И что мне запомнилось: она записывала себе каждый мой вопрос, чтобы потом над ним поработать. Спокойно подумать, разобраться, провести самооценку. Во время собеседования она понимала, что не может ответить, но был интерес разобраться и для себя понять, какие области не знает. Такие мелочи, которые интервьюер всегда замечает, они имеют значение с точки зрения личной мотивации. Кто-то задаёт встречные вопросы, кто-то задумывается и начинает рассуждать.

Как-то раз я задал вопрос кандидату: что ты будешь делать, увидев такой-то ID в логах? Он подумал и ответил: «Блин, не знаю, но сейчас погуглю!» И прямо там же начал гуглить — так его зацепила проблема и её представление. Ему интересно действительно разобраться, а не просто дать готовый ответ, который от него обычно ждут.

Наш SOC строится, как единый слаженный организм. В этой области ты буквально можешь проработать до пенсии и тебе всегда будет интересно.

Cyber Media: Вы упомянули «культурный» аспект кандидатов, об этом тоже хочется поговорить. В ИТ и ИБ есть представление, что эксперт может быть злобным, токсичным. Но команда на то и команда, чтобы работать вместе, и вы уже сказали, что «тролль» может разрушить коллектив. С вашей точки зрения, это представление о токсичности как норме уходит в прошлое?

Иван Костыря: В нашей практике кандидаты, демонстрирующие деструктивное поведение, действительно не проходят отбор. Однако следует отметить, что проблема неконструктивного взаимодействия в ИТ-сфере сохраняет свою актуальность на различных уровнях организационной иерархии — от рядовых специалистов до руководящего состава.

Особенно критична ситуация, когда руководитель, обладая высокой технической компетенцией и способностью аргументировать свою позицию, создает нездоровую атмосферу в коллективе. В эффективно функционирующей команде фундаментальное значение имеют взаимное доверие и уважение между сотрудниками. Именно такая среда способствует открытому обсуждению ошибок и свободному обмену профессиональными инсайтами.

Cyber Media: Как вы решаете, что подобранный кандидат действительно вольётся в команду?

Иван Костыря: Естественно, за полчаса HR-собеседования и полтора-два часа «технички» ты всё про человека не узнаешь. Настоящие проблемы, если они есть, проявятся в первые три месяца — для этого и нужен испытательный срок.

У нас в UserGate, когда человек получает оффер и выходит на работу, подробно расписаны его первые месяцы. Есть план на первый день, на первую неделю, на первый месяц. С первой недели у каждого сотрудника есть 1-to-1 — исповедь на час, а то и больше, когда я как тимлид прихожу к нему и мы уходим в кулуары общаться обо всём. «Боец» рассказывает всё: что он делает, над какими задачами работает, комфортно ему или не комфортно, с какими ситуациями он столкнулся. Он точно знает: это не карательная процедура, а возможность выговориться.

На 1-to-1 он может сказать, например, что есть какая-то огромная задача, над которой он уже давно работает и, откровенно говоря, «заколебался». И мы с ним можем договориться о том, что снимаем его с этой задачи, что-то перетасовываем. Даём новую задачу: она тебе интересна? Да. Она тебя драйвит? Да. Ну и отлично, работаем.

То же самое касается рутинной работы. В SOC ты по сути всё время сидишь и смотришь в монитор. Каждый день один и тот же монитор, примерно одни и те же сработки по одному и тому же пулу правил. От рутины избавиться сложно, мы постарались это сделать за счёт пересечения графиков. Каждый день несколько людей могут работать в одном и том же часовом поясе. И мы распределяем, кто пойдёт на «поток» (расследование алёртов), а кто — на дополнительные задачи. На следующий день они поменяются: первый уходит на дополнительные задачи, второй — на «поток».

Смена сферы деятельности очень помогает бороться с рутиной, особенно когда человека периодически снимают с алёртов. И потом сотрудник может ко мне прийти, сказать, что выгорел на расследованиях, увидел ставки на L2, где ребята расследуют более сложные инциденты, готовят новый контент — можно попробовать? Ок, давай прособеседуемся.

Это по сути не вертикальное, а горизонтальное перемещение, при котором человек получает новый пул работ. Он уже внутри команды, ему интересно, специалист знает все процессы, где кто за что отвечает. Мы делаем на этом большой акцент — Наш SOC строится единый слаженный организм. В этой области ты буквально можешь проработать до пенсии и тебе всегда будет интересно.

Cyber Media: Вы в своём докладе говорите, что ваша команда использует концепцию Follow The Sun. Расскажите подробнее, что это такое и как влияет на рабочие условия?

Иван Костыря: Follow The Sun — это режим работы, при котором люди работают по привычному 8-часовому графику, но смены в разных часовых поясах выстроены так, чтобы обеспечивать непрерывное дежурство. У нас смены начинаются в Сибирском регионе — в Иркутске, где нахожусь я сам, а заканчивается в московском часовом поясе.

Первая смена у нас начинается в Иркутске в 7 утра, когда в Москве 2 часа ночи, а заканчивается в Москве, в 2 часа ночи следующего дня. В результате на стыке московские аналитики бесшовно передают эстафету коллегам в Иркутске.

Если сравнить такой режим с классической 12-часовой сменой (день-ночь, 48 часов на отдых), наши люди в таком режиме менее «запарены». Физиология всё-таки устроена так, что ночью мы должны спать. Поэтому ночная часть 12-часовой смены абсолютно не эффективна. Человек хуже реагирует и расследует, хуже разбирается в информации, да и иейчас в общем-то очень сложно найти специалиста на рынке под такой режим работы.

А при 8-часовом графике, пусть и со смещением начала рабочего дня, результаты гораздо лучше. Скажу по себе: я работаю с 8-9 утра по Москве, то есть с 13-14 часов по Иркутску. Заканчиваю, соответственно, в 21-22 по местному — вполне нормально. Первая половина дня фактически свободна, ум остаётся активным, всё отлично.

Cyber Media: Остальная команда работает с 10 до 19?

Иван Костыря: У нас есть три основных часовых поля работы - “Сибирское” утро, которое перекрывает “Московскую” ночь, “Московский” день (который закрывают все регионы) и “Московский” вечер. Больше всего у нас нагрузки приходится на время рабочего дня по Москве, эти дневные смены мы называем «зелёными».

Мы планируем расширяться и увеличивать производственные мощности, чтобы отвечать растущим потребностям клиентов.

Cyber Media: Вы уже смогли удостовериться на практике, что люди в таком режиме действительно работают лучше?

Иван Костыря: Здесь я могу обратиться к своему собственному опыту, который я получил ещё до UserGate. Я успел поработать в финтех- и бигтех-компаниях, и в первом случае было так: четыре человека в смену, смена — 12 часов[6] . И я отлично видел: с восьми вечера до двенадцати ночи человек работает нормально, сохраняет внимательность (критически важный фактор в информационной безопасности), интересно расследует. А с часа-двух ночи до восьми утра он уже «досиживает». Организм начинает засыпать и «клевать», теряется бдительность.

Мы подтверждали это и пентестами. Когда команда атакующих проводит симуляцию атаки в дневное время, реагирование происходит быстро, все метрики SOC вроде time-to-detect и time-to-response укладываются в SLA. А ночью всё по-другому, и в условные семь вечера по Москве, то есть час ночи по Иркутску, все показатели просто улетают в космос.

Поздно среагировали, поздно оформили инцидент, отчёты приходится переделывать. По метрикам отлично видно, как они проседают в зависимости от усталости аналитиков.

Чтобы подобной ситуации не было, мы используем человекоцентричный подход, чтобы специалист, главное, не терял способность думать и всегда был готов к неожиданным расследованиям. Потеря концентрации может очень дорого стоить компании.

Cyber Media: Наверно, злоумышленники тоже в курсе этой особенности и пытаются атаковать именно ночью?

Иван Костыря: На реальном ландшафте киберугроз это выглядит ещё интереснее. Когда атака в своем жизненном цикле достигает поздних стадий и у злоумышленника, например, есть доступ к контроллеру домена или журналам рабочей станции, он может посмотреть активность пользователей: входы-выходы, обращения к сетевым дискам и так далее - злоумышленник уже знает ваше расписание и привычки.

Есть реальный случай: большая компания, пятница, последние пользователи уходят с работы. А в инфраструктуру уже проникли злоумышленники, которые хотят всё зашифровать. Они дождались семи часов вечера по Москве, «по-джентльменски» выждали ещё час, а потом подключили к себе все сетевые диски — и начали шифрование никого не потревожив своими действиями.

Логика действий была очень простая: дисков много, данных много, шифрование займёт продолжительное время. Судя по логам, оно заняло около суток — к вечеру субботы процесс закончился. Будь пользователи в офисе, кто-то бы это всё заметил. А на выходных офис пустой, серверная техника осталась включенной — и всё это в распоряжении злоумышленников.

При массовых скам-кампаниях мошенники используют метод иначе. Если нужно заставить человека нажать на ссылку, “сбросить” пароль и так далее, они отправляют ему фишинговое сообщение рано утром или в час-пик, чтобы он не разобрался и в суете действовал по шаблону злоумышленников.

Cyber Media: Последний вопрос про больную тему для ИТ — так называемый HR-фильтр. На Хабре, в соцсетях часто жалуются, что приходится пройти через рекрутера, прежде чем окажешься напротив человека, который действительно понимает, о чём речь. Как вы у себя решили эту проблему?

Иван Костыря: У меня в этом плане абсолютно уникальный опыт — в UserGate впервые кандидаты хвалят наших HR. Почему это так?

Именно потому, что мы даём HR список самых простых вопросов и прямо говорим: ты не должен проверять глубину знаний, с этим мы сами справимся. Посмотри, насколько человек контактен и как располагает к себе, насколько тебе комфортно с ним в общении. То есть даже когда HR задаёт легкие шаблонные технические вопросы, он на деле оценивает софт-скиллы и открытость кандидата.

Для контраста приведу иной пример. Часто бывает, что специалист в искомой области начинает где-то активно выступать или публикуется в профильных изданиях, развивать личный бренд и в таких случаях рекрутеры сторонних компаний могут проявлять повышенный интерес без должного анализа текущей профессиональной ситуации кандидата. С нашей точки зрения, практика целенаправленного привлечения публичных специалистов без комплексной оценки их личной мотивации и профессиональных целей является неэффективной, такой подход может способствовать необоснованному завышению самооценки кандидата и в перспективе привести к его быстрому переходу в другую организацию при поступлении более интересного предложения или действительно увлекающей задачи.