«Здесь нельзя заскучать»: как работается в региональных филиалах Solar JSOC

«Здесь нельзя заскучать»: как работается в региональных филиалах Solar JSOC
Сегодня наш центр мониторинга и реагирования на кибератаки Solar JSOC отмечает День рождения. Нам исполняется 8 лет! В далеком 2012-м, когда мы были совсем маленькими (команда Solar JSOC насчитывала 6-7 человек в Нижнем Новгороде и столько же в Москве), на рынке ИБ никто толком не знал, что такое SOC и зачем он нужен. «Старожилы» вспоминают, что работали по наитию, должностные инструкции придумывали на ходу, постепенно создавая из группы энтузиастов профессиональный центр мониторинга.

За эти годы мы выросли, технологии трансформировались, но осталось неизменным наше понимание, что SOC – это, прежде всего, люди. Сейчас Solar JSOC – это совокупно порядка 200 человек в Москве, Самаре, Хабаровске и Нижнем Новгороде, где расположен наш крупнейший региональный филиал. Мы поговорили с ребятами, которые стояли у истоков создания центра мониторинга в Нижнем Новгороде, а также с коллегами из других филиалов, о том, как они попали в компанию и почему в свое время выбрали именно эту, тогда еще никому не известную специальность.

Андрей Ерегин, старший аналитик группы технической аналитики и реагирования Solar JSOC (Нижний Новгород):


«Я учился на четвертом курсе вуза, когда пришел в Solar JSOC. Попал на мониторинг. Группа реагирования — это как раз то место где можно максимально нарастить свои компетенции. Даже диплом писал про Solar JSOC – на тему «Детектирование различных видов веб-атак»».


Александра Сластникова, аналитик группы технической аналитики и реагирования Solar JSOC (Нижний Новгород):


«Пришла в JSOC студенткой в 2016 году. У нас в университете тогда проходил «День карьеры» — это когда к студентам приходят работодатели. Я поучаствовала в одной бизнес-игре и, видимо, поучаствовала хорошо, потому что после этого меня пригласили работать инженером мониторинга. До этого я нигде не работала, и конкретных ожиданий от первого работодателя у меня особо не было. В детстве мне казалось, что работа – это всегда скучно. Но, поработав здесь, я поняла, что бывает и по-другому. Сначала я просто выполняла задачи, обязательные для инженера первой линии. Было очень интересно, я много училась и постоянно узнавала что-то новое, и примерно через год меня перевели на инженера реагирования. Сейчас вот доросла до аналитика».

Не у всех путь в Solar JSOC был настолько «профильным». Руководитель отдела технической обработки инцидентов Василий Тихомиров отучился на олигофренопедагога (да-да, есть такие специалисты – занимаются обучением детей с отставанием в интеллектуальном развитии) и даже успел поработать по профессии прежде чем понял, что «душа лежит» совсем к другому.

Василий Тихомиров, руководитель отдела технической обработки инцидентов Solar JSOC (Нижний Новгород):


«Гуманитарные направления мне всегда давались хуже, чем технические. Тогда я решил, что неинтересно развивать свои сильные стороны, и пошел учиться на психолога. Но в какой-то момент понял, что во мне сочетаются техническое начало и умение общаться с людьми. Тогда я устроился в телеком-компанию и стал там развиваться по направлению IT, а в качестве дополнительной нагрузки занимался психологической поддержкой сотрудников. После работал в компании, которая оказывала услуги техподдержки для Microsoft. Но там мне не хватало работы «в полях», и тогда я пошел сисадмином на завод.

В JSOC я прошел все этапы, от инженера первой линии до руководителя. Приятно, что из разрозненных инженеров, занимающихся схожими активностями, нам удалось сделать две команды — первую и вторую линию. Причем второй линии я настолько доверяю, что могу слепо транслировать их выводы выше, даже не проверяя».


Многие уже на этапе собеседования понимали, что попали в компанию, где царит своя атмосфера.

Илья Леванов, инженер первой линии администрирования Solar JSOC (Нижний Новгород):


«Я работаю с мая 2016 года. Леша Кривоногов [заместитель директора Solar JSOC по развитию региональной сети] провел со мной офигительное собеседование. Он мне задал вопрос, а я ответил, что это какая-то фигня, которая мне в жизни ни разу не пригодилась. У него загорелись глаза, и он начал мне про это объяснять, разложил все по полочкам. Моя предыдущая работа не требовала таких глубоких познаний, и я многого не знал тогда, но понял, что нельзя упустить свой шанс. Потом прошел обучение, во время которого познакомился с будущими коллегами. И началась новая жизнь. Сейчас работа для меня – это второй дом, в выходные даже начинаю скучать и думаю, а вот сейчас на работе я бы делал то-то. У нас очень маленький, но классный коллектив, мы все кореша и готовы стоять друг за друга».

За несколько лет нижегородский Solar JSOC прошел длинный путь от небольшого офиса, закрывающего задачи дежурной смены, до самостоятельного центра экспертизы по мониторингу и реагированию на компьютерные атаки. Ребята уверяют, что в их работе много творчества, а не только математика и алгоритмы.

Андрей Ерегин, старший аналитик группы технической аналитики и реагирования Solar JSOC (Нижний Новгород):
«Здесь нельзя заскучать: почти всегда есть задача, которую ты раньше не выполнял, включая индивидуальные задачи от заказчиков. Наша работа напоминает детский конструктор: есть много кирпичиков, и в голове формируется картинка того, что ты хочешь из них построить. Так и здесь: начинаем разрабатывать предложения, читать, искать и собирать логи».

Алексей Разумов, руководитель группы технической аналитики и реагирования Solar JSOC (Нижний Новгород):


«Я совмещаю две роли. С одной стороны – руководитель группы технической аналитики и реагирования, с другой – аналитик, закрепленный за конкретным заказчиком. Как руководителю, мне приятно видеть ребят, которые когда-то пришли на первую линию, а сейчас выполняют сложные задачи. Когда я пришел в JSOC, в Нижнем Новгороде была только первая линия, но многие ребята ее переросли, и моей приоритетной задачей было помочь им двигаться дальше. Так и появился локальный центр компетенцией, благодаря которому мы смогли предложить ребятам точки роста.

А как аналитику мне нравится, что мы предлагаем заказчику что-то действительно нужное и важное. Вообще роль аналитика предполагает технический бэкграунд, но в то же время он должен обладать определенными soft skills: сосредоточенность, внимательность, системный подход. При расследовании инцидента иногда надо потратить 10–12 часов на рутинную работу – перебираешь все возможные варианты, и в какой-то момент глаз цепляется за что-то нестандартное, как за кончик нитки. В этот момент появляется азарт».


Руководить суровыми мужчинами непросто, особенно если ты хрупкая девушка. Руководитель первой линии администрирования Solar JSOC Валерия Травникова называет своих подчиненных «детишками», а себя – «мамой-курицей».

Валерия Травникова, руководитель первой линии администрирования Solar JSOC (Нижний Новгород):


«Я пришла в «Солар» шесть с половиной лет назад на должность инженера первой линии администрирования. Тогда в IT все сидели в полуподвальных помещениях, а у JSOC был красивый офис, диванчики, коврики – для девочки это тоже имеет значение. Я сначала говорила, что вертикальное развитие это не для меня, что не хочу отвечать за людей. Потом появилась ставка руководителя группы, я попробовала и мне понравилось. До JSOC я работала в иностранной компании, где все было очень регламентировано, и такой системный подход я стараюсь привить коллегам. Но при этом у нас в коллективе дружественные отношения: мы можем спокойно болтать на неформальные темы, и поэтому общаться по рабочем вопросам проще. Мне комфортно работать в мужском коллективе».

Когда Solar JSOC только создавался, руководителям и их подчиненным приходилось действовать «вслепую», ведь внутренних регламентов у только что созданной компании толком не было, и все действовали методом проб и ошибок.

Алина Бебнева, руководитель первой линии мониторинга Solar JSOC (Нижний Новгород):


«Когда я пришла в JSOC в 2015 году, там работало несколько человек, у которых не было инструкций, и мы вместе начали создавать внутренний контент для сотрудников. Это все было интуитивно, и мы набивали шишки, придумывая, как настроить процессы.

Лидом я стала осенью 2018 года. Было сложно, потому что до этого у меня не было опыта на руководящей позиции. Кроме того, мы со всеми ребятами варились в одной тарелке несколько лет, а тут раз – и я стала начальником. Им, конечно, было сложно привыкнуть, к тому, что надо соблюдать какую-то субординацию. У меня, наверное, более наставнический тип управления. Мне кажется, что построить сотрудников в один ряд невозможно, ведь ребята очень разные, и надо найти подход к каждому. Если ты можешь больше, это приветствуется, но если нет – никто не будет из тебя выдавливать больше твоих возможностей. Мне хочется прокачать свои навыки до такого уровня, чтобы со временем про меня говорили: вот она может вытащить команду со дна».


Впрочем, региональный Solar JSOC – это не только отделение в Нижнем Новгороде, но и филиалы в Самаре и Хабаровске, где команды пока только формируются, но уже играют важную роль в работе центра мониторинга.

Валентин Терентьев, инженер первой линии мониторинга (Самара), на фото – справа:

«Solar JSOC был спонсором VOLGA CTF, а я был организатором. Потом появилась информация, что открывается офис Solar JSOC в нашем городе, и руководитель самарского филиала собирает сильнейшую команду в регионе. Тогда я решил попробовать, о чем совсем не жалею. В своей работе я чувствую не столько азарт, сколько ответственность перед заказчиком. Мне интереснее именно защитить систему, а не «надавать по голове» атакующему».

Руслан Казаков, инженер первой линии мониторинга (Хабаровск), на фото – справа:


«Solar JSOC были спонсорами нашего CTF, и мы всей нашей студенческой гоп-компанией пришли на первую линию мониторинга. Первая линия интересна тем, что помогает понять, как это все работает. Но работая здесь, нельзя не думать про развитие: хотелось бы посмотреть, как работают форензеры или пентестеры».



В конце мы спросили ребят, как они видят будущее JSOC и свое собственное развитие в отрасли.

Валерия Травникова, руководитель первой линии администрирования Solar JSOC (Нижний Новгород):
«Это очень сложный вопрос. В рамках первой линии нет возможности выбирать проекты, сложно выбирать. Хотелось бы, чтобы у нас в Нижнем появилась вторая администрирования. Также мне бы хотелось перейти на более западную модель управления компанией, сформировать более простроенные процессы».

Алексей Разумов, руководитель группы технической аналитики и реагирования Solar JSOC (Нижний Новгород):
«Мое персональное пожелание: чтобы у нас появился крупный нижегородский заказчик. А глобально – было бы здорово, если бы все студенты знали нашу компанию и хотели здесь работать, потому что JSOC дает потрясающий практический опыт».

Василий Тихомиров, руководитель отдела технической обработки инцидентов Solar JSOC (Нижний Новгород):
«Хотелось бы нарастить экспертизу по остальным направлениям. Например, у нас были ребята, которые хотели бы заниматься защитой веб-приложений, форензикой или пентестами. Лично мне хотелось бы оставаться в роли «играющего тренера». Больше уйти в планирование и меньше погружаться в операционную деятельность».

Алексей Кривоногов, заместитель директора Solar JSOC по развитию региональной сети (и бессменный руководитель филиала в Нижнем Новгороде):


– Когда ты пришел в JSOC?
– Я пришел в 2013 году еще в филиал «Инфосистемы Джет», который тогда в Нижнем Новгороде был представлен группой разработки и тестирования, а JSOC только формировался. Технических безопасников на рынке на тот момент не было, были только «бумажные» или IT-специалисты, которые иногда занимались безопасностью. В то время я уже понимал, что меня интересуют не сложные информационные системы, а взаимодействие этих систем, людей и процессов. Здесь меня привлекли адекватные люди на собеседовании, и я понял, что хочу с ними работать дальше.
– Сложно ли управлять распределенным офисом?
– Я убежден, что менеджмент не зависит от отрасли и технологии управления везде одинаковы. Главное, чтобы твои менеджерские подходы были применимы для менталитета людей, работающих в этой отрасли. Как управлять офисом, когда часть твоих сотрудников в другом городе и другом часовом поясе – у меня нет готового решения. У регионов есть своя специализация. Например, Хабаровск из-за сдвига во времени может обрабатывать те задачи, которые у нас частотны ночью, но при этом не решаются в режиме ASAP. C Cамарой сложнее – мы находимся в одном часовом поясе, и там команда сотрудников только создалась. В дальнейшем будем исходить из выхлопа от наших стажировок, которые проводятся в Нижнем Новгороде и Самаре, и с этой точки зрения, скорее всего, будем позиционировать ребят на другие направления.
– Как тебе работается со студентами?
– Студентов приходится учить, причем не техническим вещам, а отношению к жизни и работе. К сожалению, общий уровень студентов очень упал за последние 10 лет. У многих нет стимула самостоятельно заниматься практикой в период обучения, а академические знания, не подкрепленные практикой, быстро выветриваются.



Наши стажировки, заземляющие теоретические знания на практическую безопасность, позволяют ребятам начать свою карьеру в отрасли, куда до поры до времени путь был открыт только матерым зубрам-экспертам. И ребята сполна реализуют эту возможность. В среднем более трети стажеров становятся нашими коллегами, а некоторые показывают действительно фантастические результаты – достаточно вспомнить спринт Саши Сластниковой через все линии экспертизы, который она совершила всего за четыре года.

Как вы, наверное, догадались, с момента интервью прошло некоторое время. За этот период мы успели не только полноценно интегрировать в наши процессы хабаровский и самарский филиалы (попутно оптимизировав эти процессы под новые возможности, которые нам дает распределенная команда), но и дополнили свое присутствие подразделением в Ростове-на-Дону, где в настоящий момент подходит к завершению первая студенческая стажировка. На достигнутом мы не останавливаемся – уже есть планы по дальнейшему развитию филиальной сети.

И в этом отношении мы шагнули дальше, чем просто удовлетворение своих ресурсных потребностей. Мы плотно участвуем в формировании профильной экспертизы в регионах присутствия (да и по всей России), снижаем порог входа в профессию для молодых специалистов и создаем благоприятную среду для формирования действительно безопасного цифрового общества. Такая вот скромная социальная миссия;).

Alt text

Подписывайтесь на каналы "SecurityLab" в TelegramTelegram и TwitterTwitter, чтобы первыми узнавать о новостях и эксклюзивных материалах по информационной безопасности.