О чем материал
Рассказываем о курсе для специалистов SOC от Positive Education и Центрального университета.
Как вы оцениваете текущее состояние рынка SOC в России?
Оно отражает общий тренд в ИБ-отрасли: в первую очередь в защиту вкладывается крупный бизнес. Это представители телекома, промышленности, финансового сектора и ретейлеры. Они могут позволить себе полноценный SOC, поэтому на их долю приходится 90% инвестиций. Кроме того, такие компании гораздо чаще становятся целями злоумышленников.
Средний и малый бизнес тоже начинают осознавать важность кибербеза, но пока SOC остается для них слишком дорогостоящей и специфичной опцией. Тем не менее этот сегмент рынка продолжает расти — спрос на защиту даже превышает предложение.
Насколько в России популярен аутсорсинг SOC?
На рынке есть и on-premise-внедрения, и гибридные схемы, и чистый аутсорсинг — каждая компания выбирает вариант, который соответствует уровню ее доверия к подрядчикам. При этом в России классический внутренний SOC — редкость даже среди крупных компаний, поэтому аутсорсинг можно назвать важным фактором развития рынка.
Отмечу, что многие передают внешним провайдерам не только задачи SOC, но и управление СЗИ в целом. К примеру, для нас перевести на аутсорс всю кибербезопасность «Т-Банка» было бы контрпродуктивно. Однако в нашей группе есть «дочки», для которых внешний SOC — вполне разумное и эффективное решение. Это помогает не распылять внимание команды: пока наши ИБ-специалисты фокусируются на защите ключевых активов, подрядчики отвечают за менее критичные направления.
Какие вызовы сегодня стоят перед российскими SOC?
Первый — рост количества и увеличение сложности атак. Злоумышленники активно используют новые технологии, в том числе LLM-модели, которые позволяют генерировать полезные нагрузки и фишинговые шаблоны за считанные секунды.
Второй — импортозамещение технологий. Процесс идет, но отечественным решениям все еще есть к чему стремиться.
Наконец, третий вызов — поиск специалистов. Кадры по-прежнему решают всё.
На рынке SOC ощущается кадровый голод?
Иногда подходящих кандидатов приходится искать годами — например, архитекторов или экспертов по киберразведке. Кроме того, очень не хватает специалистов по реагированию, threat hunter’ов и сильных расследователей. Многие кандидаты хорошо подкованы технически, но не обладают стратегическим видением киберугроз, а без этого нельзя эффективно работать в SOC. Единственный способ закрыть кадровый дефицит — инвестировать в обучение и развитие специалистов.
Positive Education + Центральный университет
В феврале Positive Education и Центральный университет запустили второй поток программы для специалистов первой линии SOC, ИТ- и ИБ-администраторов
Когда вы начали развивать собственные обучающие программы?
В 2018 г.: сначала это был интенсивный ИБ-курс в рамках финтех-школы, затем мы расширили его и сделали акцент на анализе реальных инцидентов. Со временем к проекту подключилась команда Positive Technologies — так появилась наша совместная программа для специалистов SOC.
Важный момент: в рамках курса мы даем студентам комплексные знания по информационной безопасности. Обучение начинается с базовых принципов работы SOC и постепенно охватывает другие направления: защиту сетей, ОС, веб-ресурсов и т. д. Мы учим детектировать атаки, разбираем атакующие практики и показываем, как применять эти знания для решения задач бизнеса.
Как вы с Positive Education распределили роли в организации и проведении обучения?
За организационные вопросы отвечаем мы, а коллеги из Позитива участвуют в проведении занятий. Мы распределили нагрузку: эксперты «Т-Банка» рассказывают о задачах SOC в контексте нашего бизнеса, а Positive Education отвечает за helicopter view разных областей кибербеза. Таким образом мы обеспечиваем баланс компетенций: студенты погружаются не только в тематику SOC, но и в смежные области ИБ.
Важен ли в подобном обучении бэкграунд в ИТ или ИБ?
Базовые ИТ-знания важны — без них в кибербезе вообще будет сложно. На мой взгляд, специалисты из области DevOps и Site Reliability Engineering (SRE) обладают хорошей базой для перехода в сферу информационной безопасности. У них уже есть крепкий ИТ-бэкграунд: они хорошо понимают архитектуру систем, процессы автоматизации, CI/CD, сетевые технологии, облачные решения, а также вопросы доступности и отказоустойчивости. Эти знания и навыки являются фундаментальными для многих направлений ИБ: безопасности инфраструктуры, безопасной разработки, защиты облачных сред и анализа инцидентов. При наличии интереса и готовности учиться такие специалисты могут успешно развивать карьеру в информационной безопасности.
У нас преподают практики — люди, которые ежедневно сталкиваются с киберугрозами. Они не только передают студентам актуальные знания, но и помогают формировать правильный майндсет, который поможет им развиваться в профессии
Насколько ваш курс практикоориентированный?
Максимально! Одна из главных проблем классического образования заключается в том, что академические программы не успевают меняться вслед за стремительным развитием технологий. Из-за этого студенты получают устаревшие знания, от которых мало толку в реальной работе.
Наш курс основан на практических задачах, с которыми ежедневно сталкиваются специалисты SOC. При этом мы даем студентам возможность поработать с реальными средствами защиты — как вендорскими, так и open source, потому что открытые продукты все чаще применяются в индустрии («Т-Банк», к примеру, использует открытые решения для анализа событий и детектирования атак). Мы объясняем, как правильно применять СЗИ, строить вокруг них процессы и интегрировать их в архитектуру компании. В результате студенты получают комплексные знания, которые позволяют работать в SOC или смежных ИБ-направлениях.
На занятиях мы используем тренажер EdTechLab, который позволяет эмулировать кибератаки в максимально реалистичной среде
Какие у выпускников перспективы?
Хорошие, потому что на рынке не хватает квалифицированных ИБ-специалистов. Многие компании отправляют к нам на обучение своих сотрудников, что подтверждает востребованность программы на b2b-уровне. Знания, которые получают выпускники, действительно ценятся на рынке!
Кроме того, в рамках обучения мы проводим карьерные консультации: помогаем студентам выстраивать треки развития, выбирать навыки для прокачки и готовиться к прохождению интервью.
Могут ли подобные обучающие программы повлиять на общий уровень кибербезопасности в России?
Да, но для этого бизнесу нужно системно подходить к обучению специалистов. Чем больше мы будем вкладываться в образовательные инициативы, тем выше будет квалификация кадров на рынке. А значит, улучшится и общий уровень защищенности российских компаний.
Кроме того, крайне важно изменить отношение бизнеса к вопросам кибербезопасности. До недавнего времени ИБ воспринималась как нечто второстепенное — дополнительная опция, которую можно отложить на потом. Однако киберугрозы становятся все более масштабными и изощренными, а последствия атак — все более ощутимыми. Я часто привожу аналогию с пандемией: после COVID-19 все внезапно осознали важность базовой гигиены: нужно мыть руки, использовать антисептики и т. д. То же самое происходит сейчас и с кибербезопасностью: бизнес постепенно осознает, что базовые меры защиты — это не избыточная предосторожность, а необходимость. И как после пандемии возрос интерес к медицине и санитарным практикам, так и в сфере ИБ мы наблюдаем рост спроса и на квалифицированных специалистов, и на образовательные программы. Это не временный тренд, а долгосрочный вектор развития.
