Руководитель направления SOC в команду направления ИБ IT Компании Летуаль Что предстоит: 1. Обеспечить работу SOC для мониторинга и анализа событий, своевременного выявления и предотвращения эксплуатации уязвимостей, нежелательных действий внутренних и внешних злоумышленников. 2. Своевременно выявлять уязвимости и, совместно с экспертами, формулировать рекомендации или требования по их устранению, контролировать исполнение. 3. Собирать и хранить необходимые и достаточные события в журналах Информационных систем (ИС) для проведения компьютерной криминалистики (форензики), выявления и устранения причин инцидентов и предъявления обвинений злоумышленникам, не допускать несанкционированного изменения событий. 4. Выявлять аномалии в сборе событий, определять и обеспечивать необходимую реакцию. 5. Выстроить независимый мониторинг работы ключевых ИС и бизнес-процессов. 6.Контролировать работу авторизации и аутентификации, обеспечивать отсутствие анонимности в корпоративной среде. 7. Совместно с экспертами, отвечающими за соответствующие направления, вести контроль актуальности реестров, выявлять отклонения, формулировать рекомендации и требования по их устранению для: a. Объектов ИТ-инфраструктуры и их публикаций в сети. b. Работы ключевых бизнес-процессов и ИС. c. Согласованных привилегий и доступов в ИС и к ИТ-инфраструктуре. d. Ключевых процессов и артефактов безопасной разработки и объектов DevSecOps. e. Мест хранения коммерческой тайны и доступа к ней. 8. Мониторить законность использования информационных ресурсов и ИС. Пример задач на данной позиции: Определять необходимый и достаточный объём событий любых ИС компании для целей ИБ в целом и форензики в частности в приемлемом для предоставления в суд формате. Формулировать политику сбора, обработки и хранения необходимых для целей ИБ событий любых ИС. Формулировать принципы работы SOC, политику, регламенты работы, необходимую и достаточную реакцию на инциденты, процедуры обработки инцидентов, контрольные показатели работы SOC. Выстраивать и обеспечивать работоспособность централизованного и независимого хранения глобальной системы сбора логов со всей используемой и перспективной ИТ[1]инфраструктуры и ИС. Проектировать и выстраивать системы протоколирования и аудита доступа к критичным ИС, конфигурациям и данным, выявлять и реагировать должным образом на их изменения. Разрабатывать методы анализа логов и корреляции событий для выявления аномалий в работе ИС, внедрять необходимые SIEM системы и инструменты. Выстраивать и обеспечивать работу систем мониторинга за инцидентами ИБ, выстраивать цепочки автоматизированного исправления, где возможно, оповещения, эскалации о проблеме. Формулировать процедуры формирования реестров ИТ-инфраструктуры и любых попадающих в сферу ИБ объектов, регламенты работы с реестрами, внесения в них изменений, необходимого контроля. Контролировать реестры ключевых объектов ИТ-инфраструктуры, таких как информационные системы, бизнес-процессы, пользователи, компьютеры, сервера, базы данных, хранилища, подсети, каналы связи, группы доступа, коммерческую тайну и другие актуальные объекты. Проектировать и внедрять в эксплуатацию необходимый мониторинг нужных ИБ показателей и характеристик работы ИТ систем, визуализацию показаний мониторинга, уведомления об отклонениях. Фиксировать необходимые характеристики и показатели ключевых объектов ИТ инфраструктуры, потреблённые ресурсы, автоматически выявлять изменения, выстраивать автоматические цепочки уведомлений и необходимой реакции на изменения. Для нас важны знания: Мониторинга и анализа событий ИБ из различных источников. Выявления и реагирования на инциденты ИБ. Подготовки доказательств компьютерных преступлений, приемлемые для предъявления в суде. Глубокого анализа события в журналах любых используемых и перспективных ИС, выявления аномалий, действий злоумышленников и их инструментов. Анализа сетевого трафика на всех уровнях OSI. Самостоятельного выявления уязвимостей в любом стеке используемых технологий, ИТ инфраструктуре и управление их исправлением. Мы приветствуем опыт: Уверенного ориентирования в используемом технологическом стеке, эквивалент знаний базового администрирования уровня CCNP, MSCE и других, современных аналогов и по другим продуктам технологического стека. Скриптовые языки, обязательно PowerShell, bash. Понимание принципов и методов работы SIEM систем. Принципов и методов управления жизненным циклом уязвимостей. Принципов построения мониторинга ИС крупного предприятия. Работы с SIEM-системами, с журналами, контентом, аудит источников, анализ качества лога, нормализация данных. Участия в расследовании компьютерных инцидентов в роли инженера SOC. Проектирования и внедрения SIEM-решений, участия в построении и/или эксплуатации SOC, выстраивания бизнес-процессов работы SOC. Построения систем выявления и управления жизненным циклом уязвимостей для ПО сторонней или собственной разработки. Работы со сканерами уязвимостей. Глобальные цели ИБ в компании: • Обеспечение необходимой и достаточной защиты коммерческой тайны, персональных данных, непрерывности бизнеса. • Управление ИБ рисками, поверхностью атаки. • Предотвращение и выявление произошедших незаконных или нежелательных действий злоумышленников, обеспечение неотвратимости ответных мер. • Изучение всех необходимых для выполнения поставленных задач и соответствующих актуальным угрозам сфер знаний, отбор и внедрение недостающих процессов и технологий. Технологический стек: • Microsoft, в том числе клиентские и серверные ОС, AD DS и стек стандартных корпоративных технологий, Exchange, SQL, IIS, Axapta. • MacOS в части клиентских устройств. • Разнообразные дистрибутивы Linux в части ОС для серверов, специализированных сервисов вида DNS, LDAP, nginx, radius и др. • Виртуализация VmWare, контейнеризация Docker. • WEB и DevOps на IIS, Oracle ATG, Apache, Kubernetes, CDN и др. на платформе локальных и облачных решений крупных российских облачных провайдеров. • Сеть Cisco, TP-Link, Mikrotik, OpenWRT, BGP, AS, IPVPN и др. • Системы коммуникации от Avaya до Телеграма. • Свои сервера, СХД и SAN преимущественно HPE, различные облачные сервисы. • Множество специализированных IoT устройств (например экраны, ТСД, системы вещания и т.д.). Мы предлагаем: Достойный конкурентноспособный уровень зп. (все белое, оформление по ТК); 3 месяца работы в офисе класса А с панорамным видом на Москву (5 мин. от метро Нахимовский проспект) с возможным переходом на частично удаленный формат после испытательного срока; Интересные задачи и работу в команде профессионалов.
Адрес
Москва