Въпреки че изкуственият интелект е на път да промени драстично корпоративните оперативни центрове за сигурност (SOC), поне засега трите основни технологии, с които трябва да се запознаят новите служители, остават SIEM, разширеното откриване и реагиране на базата на хост и поправянето на уязвимости.

Но в проучване сред около 400 специалисти по киберсигурност, проведено от института SANS по поръчка на Torq, високо оценени бяха и три други умения. Те включват познаване на въпросите на сигурността в облака, опит в PowerShell и способност за автоматизиране на повтарящи се задачи и функции за управление на системите.

Основни  твърди умения

Освен трите основни умения, „основните твърди умения, които понастоящем са от съществено значение за SOC анализаторите, включват: обработка на инциденти и реагиране, търсене на заплахи, облачна сигурност, цифрова криминалистика, Python, PowerShell и bash скриптове“, казва Далас Йънг, старши технически продуктов мениджър в Torq.

„Що се отнася до меките умения, те включват критично мислене и творческо, информирано решаване на проблеми, внимание към детайлите в бързо променяща се среда и комуникационни умения както на техническо, така и на междуличностно ниво“, казва той.

В проучването на SANS са анкетирани респонденти от малки, средни и големи компании в САЩ и други страни относно техните най-големи предизвикателства в областта на SOC. Отговорите показват, че много организации продължават да се борят с проблеми, които ги тормозят от години. Сред тях са липсата на автоматизация и оркестрация на ключови функции на SOC, високи изисквания към персонала, недостиг на квалифициран персонал и липса на видимост. Те съобщават и за широко разпространен манталитет на „силоз“ сред екипите по сигурността, реагирането на инциденти и операциите.

Подобряване на процента на задържане на SOC

Все пак положителното е, че проучването показа изненадващ ръст в задържането на персонала в много SOC. Около 30 % от анкетираните – мнозинство – са определили средния срок на работа на SOC в тяхната организация като между три и пет години, в сравнение с периода от една до три години, който анкетираните са посочили в предишни проучвания на SANS.

Йънг обяснява тази тенденция с нарастващата автоматизация на триажа и анализа на ниво 1 в повече организации. Това позволява на анализаторите от SOC да се съсредоточат върху по-стратегически и интелектуално стимулиращи дейности, като например търсене на заплахи и усъвършенствано реагиране на инциденти. Той казва, че това е помогнало и за облекчаване на проблема с бърн аута на анализаторите.

Други фактори, които изглежда са допринесли за повишените нива на задържане, включват по-добра работна среда с дистанционно и гъвкаво работно време и обучение по лидерство за висококвалифицирани служители. „Освен това за анализаторите по сигурността, които искат да запазят техническата си насоченост, организациите плащат за повече възможности за обучение и сертифициране в области от интерес, като например тестване за проникване, обратен инженеринг на зловреден софтуер и тематични области на сигурността в облака като пример“, казва Йънг.

Джейк Уилямс, преподавател в IANS Research и вицепрезидент по научноизследователска и развойна дейност в Hunter Strategy, казва, че настоящите условия на пазара на труда са позволили на много организации да си осигурят по-опитни SOC анализатори със същия бюджет, отколкото биха могли преди няколко години. „Това е добре за организациите в краткосрочен план, но те трябва да правят планове още сега за времето, когато пазарът на труда се възстанови“, казва Уилямс. „Много организации прикриват липсата на процес с уменията, които тези по-стари анализатори носят.“

Познания за облака, управление на идентификационни данни, PowerShell са горещи умения

Подобно на Йънг, Уилямс казва, че най-търсените умения на SOC – извън очевидните основни умения за SIEM и XDR – са познаването на облачни платформи като AWS и Azure, както и разбирането на Active Directory и Entra ID. „Виждам, че се очаква много повече базови познания за облака, особено за старшите SOC анализатори“, отбелязва Уилямс. Като се има предвид широкото използване на M365 в предприятията, има очакване много старши SOC анализатори да знаят PowerShell, за да правят запитвания към GraphAPI, казва той: „Опитът с PowerShell и познанията за облачните платформи бяха нишови умения преди няколко години. Днес за анализаторите от средния и висшия SOC клас това изглежда като залог за участие в конкурса.“

Проучването на SANS показва, че много SOC специалисти не са развълнувани от първоначалното използване на инструменти за изкуствен интелект и машинно обучение за целите на SOC анализа. Всъщност респондентите дават най-ниска оценка на инструментите за изкуствен интелект и ML, когато са помолени да оценят инструментите за SOC. Въпреки това няма съмнение, че технологиите за изкуствен интелект и GenAI ще променят из основи SOC, а в процеса на работа – и пейзажа на уменията.

Йънг казва, че ИИ фундаментално ще продължи да се движи напред, за да подобри автоматизираното откриване на заплахи, проактивния лов на заплахи, автоматизацията на повтарящи се и отнемащи време задачи, намаляването на умората от предупрежденията и прогнозния анализ. Все по-често SOC анализаторите ще трябва да познават алгоритмите за машинно обучение и техниките за анализ на данни, за да интерпретират прозренията, генерирани от ИИ, казва Йънг. Те ще се нуждаят и от умения за справяне със сложни инциденти със сигурността, идентифицирани от системите с ИИ, и от готовност непрекъснато да се учат и адаптират към новите технологии и методологии с ИИ, казва той.

„Защо това е важно?“

Уилямс очаква инструментите на ИИ да намалят нуждата от анализатори, чиято единствена роля е била да реагират на основни аларми. „Младшите анализатори трябва да се вглеждат още сега в това какви задачи ИИ върши – и какви не – добре и да се обучават в местата, където не могат да бъдат заменени от ИИ, като например критичното мислене“, казва той. „SOC на бъдещето ще бъде по-малко свързан с това да знаеш, че порт 3389 е RDP – AI ще предостави този контекст при поискване – и повече с това да осигуриш „защо това има значение в този контекст?“.

Творческото мислене, когато става въпрос за интересни проблеми и корелации, ще остане ключов актив за SOC специалистите, казва Саджиб Лохани, старши директор по киберсигурност в Bugcrowd. „В днешно време SIEM системите са способни да повдигат сигнали, така че е доста лесно да се влезе в рутина и да се отмятат тикети“, казва той. „Според мен обаче най-успешните професионалисти са способни да корелират събитията и да разбират бизнес контекста при сортирането и реагирането на такива сигнали. Този контекст е от ключово значение.“

Лохани очаква, че някои заплахи, които се смятат за относително нишови проблеми в SOC, ще станат по-важни през следващите няколко години. „Понастоящем голяма част от SOC не са се сблъсквали с по-нишови заплахи, като например проблеми със сигурността на веригата за доставки“, казва той. „Вярвам, че с течение на времето това ще започне да се променя и ще са [необходими] по-зрели практики, за да се подготвят и адаптират.“