Perspektywy pracy w SOC – role, wyzwania i możliwości rozwoju 

3 października 2024

Praca w Security Operations Center (SOC) to dynamiczna i wymagająca ścieżka kariery w branży bezpieczeństwa IT. SOC pełni istotną rolę w ochronie infrastruktury firmowej przed cyberzagrożeniami. Ale jakie dokładnie role występują w takim zespole i jakie są ich perspektywy rozwoju? W tym artykule przyjrzymy się strukturze SOC, specyfice pracy na poszczególnych stanowiskach oraz ciekawostkom dotyczącym funkcjonowania tych jednostek.  

Struktura zespołu SOC – najważniejsze role 

Aby zrozumieć perspektywy pracy w SOC spróbujemy spojrzeć z punktu widzenia poszczególnych osób zatrudnionych w zespole. 

Inżynier / Architekt Bezpieczeństwa 

Inżynier / architekt bezpieczeństwa – wdraża i utrzymuje infrastrukturę SOC, w tym narzędzia do monitoringu, analizy i reagowania. Wymaga to zaawansowanej wiedzy technicznej i umiejętności programistycznych.  

Operator SOC (L1) – Pierwsza Linia Ochrony 

Operator SOC (L1) – wykrywa zagrożenia, pisze raporty i przekazuje incydenty do dalszej analizy zespołom z L2 i L3. Kluczowe umiejętności to spostrzegawczość, zaangażowanie, pasja, chęć zdobywania wiedzy, robienia researchu i szybkość podejmowania trafnych decyzji.  

Specjalista ds. Incydentów (L2) – Reakcja na Zagrożenia 

Specjalista ds. Incydentów, operator SOC (L2) – zajmuje się bezpośrednią reakcją na wykryte zagrożenia i podejmując działania zaradcze. Kluczowe są tu umiejętności analizy, komunikacji i podejmowania decyzji pod presją czasu.  

Analityk Śledczy i Analityk Zagrożeń (L2 i L3) 

Analityk śledczy, analityk zagrożeń (L2 i L3) – skupia się na analizie danych i analizie śledczej (threat intelligence), aby oceniać ryzyko i podejmować informowane decyzje. Bada co było przyczyną powstania incydentu oraz jak sprawić, aby nie wystąpił on w przyszłości. Kluczowe są umiejętności analizy dużych zbiorów danych i wyciągania wniosków.  

Menedżer SOC – Strategiczne Zarządzanie Bezpieczeństwem 

Menedżer SOC zarządza zespołem, procesami i budżetem, aby zapewnić efektywne działanie całego centrum bezpieczeństwa. Wymaga to umiejętności kierowniczych, strategicznego myślenia i znajomości branży.   

Oczywiście nie w każdej organizacji te role będą nazywały się dokładnie tak samo i nie każdy SOC zawsze posiada L1, L2 i L3, natomiast, aby pomóc zrozumieć model działania użyliśmy tutaj kilku ułatwień 🙂 

Codzienność pracy w SOC – co warto wiedzieć? 

Poniżej kilka ciekawostek o pracy w SOC.  

  • Ogromne zespoły SOC mogą przetwarzać nawet kilkaset tysięcy zdarzeń dziennie, z czego kilkaset lub kilka tysięcy mogą być incydentami.  
  • Przeważnie większość zgłaszanych incydentów to tzw. “False Positivy” czyli zgłoszenia fałszywe. Analityk po analizie danego ticketu stwierdza, że jednak prawdziwy incydent nie miał miejsca, tylko system niewłaściwie zinterpretował dane zdarzenie jako incydent. Nie jest to groźne pod kątem technicznym dla organizacji, ale zabiera czas na analizę. Dlatego im mniej tzw. false positivów, tym biznesowo lepiej to wygląda. 
  • W SOC’ach obsługujących infrastrukturę krytyczną czas reakcji (SLA) może wynosić nawet kilka minut. Czyli kilka minut to czas, w którym zespół SOC (L2), podejmie decyzję o działaniu, np. wyłączy daną usługę, zatrzyma działania użytkownika, zablokuje dostępy itp.  
  • Oprócz samego monitorowania, do urządzeń w SOC’ach często są podłączone dodatkowe skrypty i skanery wykonujace automatyczne skanowania, co pozwala na wczesnym etapie wykryć potencjalne zagrożenia i zareagować odpowiednio. Przykładowo, gdy wykryte zostaną nieprawidłowości w systemie to poprzez wykonanie procedury utwardzania systemu (hardening), czyli zaimplementowaniu dodatkowej warstwy zabezpieczeń, zmniejsza się ryzyko przeprowadzenia skutecznego ataku. 
  • Wiele SOC-ów korzysta z zewnętrznych usług “threat intelligence” (analiza zagrożeń), aby uzyskiwać informacje o nowych zagrożeniach z całego świata i dopasowywać do nich reguły działania poszczególnych systemów monitorujących (tzw. playbooki). 
  • Analitycy SOC często pracują w formule całotygodniowej i muszą być przygotowani do wykrywania i reagowania na incydenty 24 godziny na dobę, 7 dni w tygodniu, co wymaga od nich elastyczności i odporności na stres.  
  • Czasami analitycy SOC (L3) współpracują z organami ścigania, dostarczając dowodów w sprawach cyberprzestępstw.  
  • Praca w SOC wymaga od operatorów ciągłego uczenia i doskonalenia się, gdyż nowe technologie i zagrożenia pojawiają się nieustannie.   
  • W międzynarodowych zespołach operatorzy SOC muszą być przygotowani na reagowanie na incydenty w różnych strefach czasowych, co może wymagać znajomości dodatkowych języków obcych.  
  • Praca w SOC jest stresująca, ale wielu z operatorów potwierdza, jest także niezwykle satysfakcjonująca, gdyż analitycy odgrywają kluczową rolę w ochronie organizacji przed zagrożeniami. Śmiało wielu z nich można nazwać cyberbohaterami, którzy nie zawsze noszą peleryny 🙂 

Podsumowanie 

Praca w SOC to wyzwanie wymagające ciągłego doskonalenia umiejętności, elastyczności oraz odporności na stres. Jednak dla osób pasjonujących się cyberbezpieczeństwem, stanowi ona także niezwykle satysfakcjonującą ścieżkę kariery. Bez względu na to, czy jesteś inżynierem, analitykiem czy menedżerem, każdy element zespołu SOC ma  znaczenie w ochronie organizacji przed zagrożeniami cyfrowymi. 


Autor: Maciej Cieśla 
Head of Cybersecurity, HackerU Polska