W naszej międzynarodowej firmie informatycznej SOFTSWISS (posiadającej biura w Warszawie i Poznaniu) zatrudniamy różnych specjalistów. W dzisiejszym artykule opowiemy o pracy na stanowisku Incident Response Analyst. Będziemy kontynuować naszą kolumnę z następującymi materiałami na temat różnych zawodów w świecie IT: przeanalizujemy trendy, przejrzymy obowiązki i porozmawiamy o perspektywach kariery.
Incident Response Analyst (analityk ds. reagowania na incydenty) jest jednym z kluczowych graczy w zespole ds. bezpieczeństwa. Jego główną rolą jest zapewnienie, że wszystkie incydenty w zakresie bezpieczeństwa podlegają najbardziej skutecznej obsłudze. Chodzi o przepracowanie naruszeń do końca szybko, ale i bardzo skrupulatnie, a także o podejmowanie środków zaradczych przeciwko hakerom, aby zapobiec eskalacji ataku.
Taki specjalista musi być „uniwersalnym żołnierzem”: posiadać fundamentalną wiedzę na temat różnych aspektów cyberbezpieczeństwa, uzupełniając umiejętności o analitykę i zdolność do pracy w sytuacjach siły wyższej.
Jakie są trendy w zawodzie?
W 2024 roku cyberbezpieczeństwo stało się nie tylko ważnym obszarem w pracy firm IT (w najszerszym tego słowa znaczeniu), ale również strategicznym priorytetem. Wynika to w dużej mierze z faktu, że hakerzy mają dziś do dyspozycji wyjątkowego asystenta – sztuczną inteligencję. Atakujący wykorzystują ją nie tylko do kampanii phishingowych czy tworzenia nowych, sprytnych schematów ataków. Najbardziej niebezpieczną rzeczą, do jakiej hakerzy mogą teraz wykorzystywać sieci neuronowe, jest tworzenie niezwykle realistycznych podróbek.
Być może kojarzysz przypadek dyrektora korporacji z Hongkongu, który dobrowolnie kliknął podejrzany link w lutym, co spowodowało przekazanie 25 milionów dolarów oszustom, którzy stworzyli wizerunki jego kolegów i kierownictwa za pomocą deepfake'ów podczas rozmowy telefonicznej. Sztuczna inteligencja, inżynieria społeczna i phishing to niebezpieczna kombinacja, a trend ten niestety będzie się tylko nasilał.
Oczywiście narzędzia AI mogą być również wykorzystywane do obrony. W walce równego z równym to strona z wyższym poziomem wiedzy specjalistycznej wyjdzie obronną ręką.
Światowa niepewność ekonomiczna zmusza szefostwo firm do rewizji budżetów bezpieczeństwa. Aby jednak można mówić o optymalizacji, a nie o oszczędzaniu na podstawowych rzeczach, ważne jest, aby wraz z CTO i liderami zespołów ds. bezpieczeństwa zdefiniowano osobistą strategię obrony w sieci. Aby to zrobić, firmy muszą prawidłowo ocenić rzeczywiste i prawdopodobne zagrożenia oraz efektywnie zarządzać budżetem.
Gartner przewiduje, że do 2026 r. 70% zarządów będzie miało co najmniej jednego eksperta z doświadczeniem w tej dziedzinie. Umożliwi to skuteczniejsze wdrażanie strategii cyberbezpieczeństwa i przejście od działań reaktywnych do proaktywnych.
Obowiązki na stanowisku Incident Response Analyst
-
Analityka
Incident Response Analyst, z pomocą różnych systemów bezpieczeństwa, iteracyjnie koreluje zdarzenia w celu zbadania incydentu, szuka odchyłów od normy w zachowaniu systemów i pracowników (anomalie) oraz planuje działania reakcyjne w przypadku wykrycia naprawdę podejrzanych czy też wyraźnie niebezpiecznych zdarzeń. Punktem wejściowym może być alert z systemów bezpieczeństwa (SIEM/EDR/NTA/etc.) lub dziwna wiadomość e-mail lub w sieciach społecznościowych wysłana z konta pracownika firmy, albo też nietypowa aktywność na jego/jej komputerze. W tym przypadku ważne jest, aby analityk odróżnił realnie anomalne i dziwne zdarzenia od normalnej aktywności systemu.
-
Reagowanie na incydenty
To zadanie rozpoczyna się od oceny zagrożenia i jego możliwych konsekwencji. Następnie analityk postępuje zgodnie ze wstępnie sformułowanym planem działania (Playbook) lub opracowuje plan działania w oparciu o zidentyfikowane informacje, jeśli wstępnie sformułowany plan nie istnieje lub nie jest odpowiedni dla danego zagrożenia.
Jeśli przeoczono zagrożenie w systemie bezpieczeństwa (informacja o nim została otrzymana z alternatywnego źródła), w pierwszej kolejności określane są priorytety działań naprawczych, a także wykonywane są niezbędne czynności w celu powstrzymania zagrożenia i zapobieżenia jego eskalacji wraz z wystąpieniem niedopuszczalnych zdarzeń (kradzież pieniędzy w takiej czy innej formie, wyciek danych osobowych/tajemnic handlowych itp.). Ponadto ważnym etapem jest zidentyfikowanie początkowego wektora penetracji — naruszenia bezpieczeństwa, które umożliwiło zmaterializowanie się ataku. Jest to konieczne, aby zapobiec podobnym sytuacjom w przyszłości.
Jednocześnie „pierwsza linia obrony” musi oczywiście dysponować wystarczającymi mechanizmami wpływania na infrastrukturę, aby móc proaktywnie radzić sobie z zagrożeniem, a nie tylko je obserwować.
-
Współpraca z innymi ekspertami
Analitycy współpracują zazwyczaj z kierownictwem, działem IT, działem rozwoju i działem prawnym. Wszystko to w celu naprawienia luk w zabezpieczeniach i złagodzenia skutków ataku. W przypadku poważnych incydentów analityk pomaga również organom ścigania. Ponadto zalecenia często obejmują ulepszenie reguł monitorowania systemów bezpieczeństwa (jednak zespoły wewnętrzne mogą często zlecać analitykom również takie poprawki), objęcie nowych źródeł zdarzeń (systemów) regułami i różne inne ulepszenia inżynierii monitorowania.
Oczekiwania względem analityków Incident Response Analyst
Zazwyczaj główne wymagania stawiane przez firmy są następujące:
- Doświadczenie w pracy z systemami analizy zdarzeń: SIEM, EDR, IDS/IPS, IRP/SOAR;
- Znajomość procesów SecOps (monitorowanie, wykrywanie zdarzeń prawdziwie pozytywnych, badanie i analiza zagrożeń);
- Rozumienie struktury ataku (MITRE ATT&CK Framework, Cyber Kill-Chain);
- Rozumienie zasad działania głównych systemów i protokołów, znajomość narzędzi (Splunk, ELK, Graylog itp.);
- Umiejętności automatyzacji (Bash / PowerShell, Python);
- Doświadczenie na stanowisku analityka bezpieczeństwa informacji, inżyniera SOC/Incident response.
Oprócz umiejętności technicznych konieczne jest, aby kandydat posiadał silne umiejętności analityczne oraz posługiwał się językiem angielskim na poziomie B1 lub wyższym.
Istnieje również szereg dodatkowych umiejętności, które są postrzegane jako zalety przy ocenie kandydata. Należą do nich:
- Znajomość CI/CD, cyklu rozwoju oprogramowania, Terraform / Ansible, itp;
- Doświadczenie z nowoczesnymi infrastrukturami (AWS, Azure, GCP, k8s, Docker) i znajomość zasad ich atakowania;
- Doświadczenie w administrowaniu systemem Linux;
- Znajomość rozwiązań Open Source w zakresie bezpieczeństwa punktów końcowych i infrastruktury (Audit.d, Sysmon, Apparmor, Selinux);
- Doświadczenie na stanowisku specjalisty Threat Hunting/Threat Intelligence/Read Team;
- Doświadczenie w statycznej i dynamicznej analizie złośliwego oprogramowania.
Rozwój kariery i dalsze możliwości
Rozwój w zawodzie wiąże się z osiąganiem wyższego poziomu doświadczenia, co potwierdzać można certyfikatami. Analityk posiadające takie dokumenty może liczyć na lepsze warunki pracy i różne bonusy.
Oto trzy podstawowe uznawane międzynarodowo certyfikaty:
- GIAC Certified Incident Handler (GCIH)
- GIAC Certified Forensic Analyst (GCFA)
- CompTIA Cybersecurity Analyst (CySA+)
Jeśli mowa o rozwoju kariery w firmie, doświadczony analityk może kierować swoim zespołem lub zostać głównym analitykiem, jeśli jest bardziej zainteresowany ścieżką techniczną.
Obecnie w naszej firmie mamy wakat na stanowisku Incident Response Analyst. Chcesz spróbować swoich sił w roli analityka ds. reagowania na incydenty w nowej infrastrukturze? Wystarczy, że jesteś w stanie analizować incydenty i bronić się przed różnymi atakami, jesteś odporny na stres i gotowy do radzenia sobie z incydentami w nocy i w weekendy. Być może nie masz jeszcze doświadczenia w tej dziedzinie, wówczas wymienione w naszym artykule podstawowe i dodatkowe wymagania możesz uznać za zestaw umiejętności, które powinieneś opanować na takim stanowisku. A jeśli jesteś już doświadczonym analitykiem, warto rozważyć zdobycie certyfikatów, o których pisaliśmy powyżej; kontynuuj naukę (na różnych kursach i seminariach dotyczących cyberbezpieczeństwa), bierz udział w społecznościach zawodowych, hackathonach i konferencjach (np. DEF CON, Black Hat, RSA Conference), bądź na bieżąco z nowymi trendami i po prostu staraj się nie tracić zainteresowania swoją pracą (reagowanie na incydenty jest niezwykle ekscytujące, ale nie zapominaj nigdy o odpoczynku i regeneracji). Postępując według naszych wskazówek, możesz nie tylko poprawić swoje umiejętności, ale także znacznie zwiększyć swoją wartość na rynku w roli Incident Response Analyst.
Życzymy powodzenia!
