Концентрированный SOC

Сотрудники Ozon рассказывают, как устроен центр мониторинга киберинцидентов

Security Operations Center (SOC) — сравнительно молодая структура в отделах кибербезопасности крупных компаний, но уже одна из самых важных. Ее сотрудники защищают данные и инфраструктуру организаций, вовремя выявляя потенциальные инциденты. Это крайне ответственная работа. Поэтому в SOC бывшие стажеры быстро набираются опыта и становятся профессионалами. Мы поговорили с сотрудницами SOC Ozon Марией Чикичевой и Кермен Элеевой о том, каково работать на передовой борьбы с кибератаками.

Зачем нужен SOC?

Сотрудники SOC занимаются мониторингом состояния защищенности корпоративной сети. Опираясь на свой опыт и автоматизированные правила, они ищут события во внутренней инфраструктуре, которые неосознанно (а иногда и сознательно) могут навредить компании.

Вот что входит в сферу задач SOC:

  • анализ данных от инфраструктуры и сервисов OZON;
  • создание правил корреляции, позволяющих автоматически искать подозрительные события;
  • реагирование на инциденты.

Мария Чикичева, руководитель первой линии SOC Ozon

Подразделение SOC в Ozon состоит из трех линий.

Я — руководитель первой линии. Наша задача — анализировать уведомления о потенциальных инцидентах и разбираться с ними «на месте». Например, можно позвонить сотруднику и спросить, открывал ли недавно странные ссылки в электронном письме.

В SOC Ozon — три линии. На первой разбирают события, которые могут перерасти в инциденты, на второй создают правила автоматического определения потенциальных уязвимостей, а на третьей работают разработчики и инженеры по обслуживанию нашей инфраструктуры и SIEM-системы.

В нашей работе есть что-то от обязанностей сетевого инженера: смотреть на уведомления и следить за трафиком. Но есть немало и от профессии расследователя: разговаривать с сотрудниками, выяснять в разговоре, как все было на самом деле.

В Ozon я приходила стажером. Спасибо коллегам, что быстро заметили: это мое. Будет плюсом, если вы играете в киберигры Capture The Flag, интересуетесь основами администрирования Windows и Linux. Тогда нам точно по пути.

На первой линии SOC всегда хватает работы. Вообще, я обожаю информационную безопасность: это очень творческая профессия. У нас редко бывают стандартные кейсы, постоянно нужно договариваться, импровизировать. У нас классно тем, кто любит интересные задачи.

А еще у нас есть «железная женщина», которая помогает оперативно подключаться к инцидентам. Когда случается ИБ-событие, дежурному звонит по телефону робот. Я сперва очень боялась этого звонка, но после оказалось, что у «железной женщины» на самом деле очень красивый и мягкий голос.

Кермен Элеева, аналитик и сотрудница второй линии SOC Ozon

Я нетипичный пример сотрудника подразделения кибербезопасности. Училась на юридическом, но быстро полюбила игры Capture The Flag — в них нужно решать задачки, которые связаны с безопасностью данных. Поняла, что это мое, начала учить Python и SQL на курсах. А после пришла поступать на стажировку в SOC-подразделение Ozon.

Вообще я думала, что Ozon — это слишком крутая компания и меня не возьмут. Но это оказалось правдой только наполовину (Ozon и правда круты). Мне очень понравилось, что собеседовать меня пришла сразу вся команда, была отличная атмосфера — хотелось быть в одной компании вместе с ними. Я уже после узнала, что в SOC Ozon 19 сотрудников, которые начинали как стажеры.

Одна из моих основных задач — составлять правила, которые помогают выявлять уязвимости. Каждое правило похоже на небольшой скрипт. Мы анализируем активность данных, пишем код, тестируем его, чтобы все работало отлично.

Правила бывают двух видов. Обсерверы используются для наблюдения за активностью, собирают информацию. А респонденты подсвечивают нам уязвимости — на результат их срабатывания уже нужно отвечать.

Правила помогают обнаружить угрозу. Например, если на рабочем устройстве появится подозрительный файл, это может быть опасно — возможно, это злоумышленник, который пытается получить важные данные.

Мы не только пишем свои правила, но и следим за опытом SOC-специалистов. Коллеги могут видеть уязвимости, с которыми мы еще не сталкивались.

А еще мы пишем инструкции для специалистов первой линии SOC, учим правильно реагировать на алерты. Так у нас получается синергия: мы учимся выявлять все более сложные уязвимости, а сотрудники первой линии — правильно реагировать на них.

Для меня SOC — это отличный старт в IT вообще и в кибербезопасности в частности. В будущем хочу больше подтянуть знание статистики, теории вероятности. А еще я люблю котов, у нас в SOC даже есть свой маленький кошачий клуб. Коллеги узнали об этом и теперь мило мяукают, когда просят нас сделать что-то. Так что, если хотите привлечь нас в SOC, приносите кота — мы будем готовы на все!

Реклама: ООО «Интернет Решения», ИНН 7704217370, Erid: LjN8KGQTy