המשרות שלי

מה עושים בתפקיד בקר ואנליסט SOC

מה עושים בתפקיד בקר ואנליסט SOC

בתחום אבטחת המידע, בקר ו אנליסט SOC משמשים כקו ההגנה הראשון מפני מתקפות אבטחת מידע. עבודתם נעשית במרכז השליטה והבקרה לאבטחת מידע, תפקידם העיקרי הוא זיהוי פעילות חריגה במערכות המידע הארגוניות, פענוח האירוע ולנהל תהליך של הסלמה (Escalation) – העברת המידע לשכבות גבוהות יותר בארגון, בתגובה לאירועי אבטחת המידע.

ה-SOC – Security Operation Center, הוא מרכז שליטה ובקרה לאבטחת מידע המכיל מספר בעלי התמחויות, ופועל במשולב עם שאר מומחי האבטחה בארגון. תפעול מרכז אבטחה SOC מתבצע בדרך-כלל ברציפות, ונועד לשמור על המידע והמערכות הארגוניות מפני התקפות מחשב, באמצעות ניטור של התקשורת והמערכות הארגוניות, זיהוי אירועים חשודים וביצוע פעולות מניעה. בנוסף, מבצע ה-SOC פעילות פרואקטיבית לאיתור התקפות עתידיות פוטנציאליות. אנליסט ב-SOC נדרש להגיב לאירועים בזמן גילויים, לזהות חתימות ולפענח את מנות הנתונים, ולבצע הערכת סיכונים רלוונטית למשאבי הארגון אשר נובעת מהאירוע. בנוסף, תתבצע בדיקה מול יומני המערכות הארגוניות אשר עלולות היו להיות מושפעות מהאירוע: יישומים, מסדי נתונים, שרתי Web ואחרים, תחנות עבודה, משאבי הרשת ועוד.

תפקידו של בקר/אנליסט SOCThreat Hunting

בדומה לתפקידו של אנליסט, דורש התמקדות בזיהוי ותגבוה למתקפות סייבר ואיומי אבטחת מידע על תשתיות ולקוחות. בנוסף, בקר על פי רוב מתמקד בניטור בזמן אמת אחר התראות מאיסוף לוגים ומערכות התרעה כמו SIEM.

תפקידו של האנליסט מתרכז בעיקר באיסוף ועיבוד מידע המגיע ומוזן ממגוון מערכות, בעיקר מערכות הגנה ומידע שונות בארגון לצד התרעות ומידע המגיע מאנשים אחרים ומערכות התרעה כמו SIEM. בנוסף, תתבצע בדיקה מול יומני המערכות הארגוניות אשר עלולות היו להיות מושפעות מהאירוע: יישומים, מסדי נתונים, שרתי Web ואחרים, תחנות עבודה, משאבי הרשת ועוד.

לעיתים התפקידים יוגדרו לפי Tier 1/2 עפ”י האחריות.

תיאור התפקיד בקר/אנליסט SOC

בקרי SOC מתפעלים את מרכז האבטחה ברציפות ושומרים על המידע ומערכות ארגוניות מפני התקפות מחשב באמצעות ניטור של התקשורת והמערכות האירגוניות על ידי זיהוי אירועים חשודים וביצוע פעולות מנע. התפקידים הללו מהווים דרג ראשון לפענוח אירועים חריגים ולביצוע הערכת הסיכונים הנשקפים למשאביו של הארגון כתוצאה מהם.

מאידך, תפקידו של אנליסט אבטחת מידע מתמקד בהגנה על המידע הארגוני על ידי ניתוח מתקפות סייבר וחקירת אירועי אבטחת המידע.

בארגונים גדולים, ניתן למצוא בקרים ואנליסטים המתמחים בנושאים נפרדים, אך עם זאת בארגונים קטנים, נהוג שאדם אחד המבצע את שני התפקידים.

תחום נוסף שעל מרכז ה-SOC לחקור הוא ה-BAD (לא קורה בכל מרכזי ה-SOC) Behaviour Anomaly Detection – שתפקידו לזהות דפוסי התנהגות חריגים שלאו דווקא מוכרים כנוזקה – שכן ייתכן שהם יתבררו בהמשך ככזו.

דרישות התפקיד

בכדי לעמוד בדרישת התפקיד של בקר/אנליסט SOC, עלינו להכיר מוצרי אבטחת מידע שונים, כלי תקיפה, הכרת הסביבה הרשתית ומערכות ה-IT, שכן מיזוג פתרונות אבטחת מידע נשענים על מוצרי מערכת ורשת קיימים.  בנוסף, עליהם להביא יכולות אנליטיות גבוהות, תשומת לב גבוהה לפרטים ויכולות מולטי-טאסקינג.

דרישות התפקיד כוללות:

  • בעל הסמכה רלוונטית בתחום – SOC-IR analyst, CSP
    ידע בטכניקות וכלי תקיפה
  • יכולת לימוד עצמית, עבודה תחת תנאי לחץ, יכולת בינאישית גבוהה (שיחה עם לקוחות), יכולת ארגון
  • היכרות טובה עם מוצרי אבטחת מידע (FIREWALL , IPS , WAF , DLP , אנטי-וירוס , SIEM וכדומה) – חובה.
  • הכרות עם פרוטוקולי תקשורת TCP-IP, HTTP, SMTP, UDP, HTTPS, SSH
  • השכלה וידע בתחום הפורנזיקה כגון: Encase, Cellebrite – יתרון
  • ניסיון ועבודה עם מערכות SIEM וטיפול באירועי אבטחת מידע – יתרון
  • ניסיון hands-on בביצוע מבדקי חדירה וידע בפיתוח קוד מאובטח – יתרון

שכר ממוצע בקר/אנליסט SOC

 מתחילבינייםמנוסהבכיר
ותק0-22-55-88 ומעלה
שכר8-1414-2222-2828-33

מסלול התקדמות

איוש תפקידים שונים ב-SOC בארגונים שונים הינו תפקיד ייחודי המאפשר התקדמות רחבה למגוון תפקידים אחרים.

ניתן להתקדם בתוך מערך הSOC מTier 1 ל2 ו-3 הכוללים אחריות רבה יותר בתחום הIR או לתפקידי פורנזיקה / Threat Hunting או Malware Analyst.

תפקידי בקר או אנליסט SOC, מאפשרים להמשיך ולהתקדם גם ליישום הגנת סייבר בארגון או אינטגרטור SIEM ואף כיוונים נוספים כוללים גם התקדמות למומחה בדיקות חדירות.

לרשימת משרות בקר/אנליסט SOC

למפת מקצועות הסייבר

צור קשר