Skupina Slo-Techovcev v IT Sec?

Za kakšno delo pa gre in kje?

A to iz svojih izkušenj govoriš ali gre dejansko za tako delo, se pravi pošiljanje mailov in teženje zaposlenim?

Ker recimo jaz sem delal digitalne forenzične analize (telefonov, omrežij in računalnikov), varnostne preglede v firmah (pentest serverjev, skeniranje omrežja,...), pregledovanje ustreznosti implementacije varnosti v podjetjih (ali uporabljajo šifrirane protokole, kako je s segmentacijo omrežja, požarni zidovi, backupi so in ali delajo ali ne,...), pomagal pri pripravi varnostnih politik in načrtovanju IT infrastrukture... znam pa postavit oz. imam izkušnje z vzdrževanjem VPN serverja, mail serverja, razne malenkosti ala Nextcloud, web server backend, nekaj malega znam pošraufat Mikrotike. Pa ajde, ravno sedaj se dogovarjam z založbo, da mi bodo izdali priročnik o informacijski varnosti, ki sem ga napisal (v angleščini), imam pa tudi dosti izkušenj s pripravo in izvedbo izobraževanj za zaposlene na temo cybersec.

Skratka, to je lahko precej široko področje, obstaja tudi cel kup stvari, ki jih ne znam, zato me zanima kaj konkretno se išče. In pa kje.

poweroff je 13. apr 2022 ob 15:20 izjavil:

A to iz svojih izkušenj govoriš ali gre dejansko za tako delo, se pravi pošiljanje mailov in teženje zaposlenim?

Ker recimo jaz sem delal digitalne forenzične analize (telefonov, omrežij in računalnikov), varnostne preglede v firmah (pentest serverjev, skeniranje omrežja,...), pregledovanje ustreznosti implementacije varnosti v podjetjih (ali uporabljajo šifrirane protokole, kako je s segmentacijo omrežja, požarni zidovi, backupi so in ali delajo ali ne,...), pomagal pri pripravi varnostnih politik in načrtovanju IT infrastrukture... znam pa postavit oz. imam izkušnje z vzdrževanjem VPN serverja, mail serverja, razne malenkosti ala Nextcloud, web server backend, nekaj malega znam pošraufat Mikrotike. Pa ajde, ravno sedaj se dogovarjam z , da mi bodo izdali priročnik o informacijski varnosti, ki sem ga napisal (v angleščini), imam pa tudi dosti izkušenj s pripravo in izvedbo izobraževanj za zaposlene na temo cybersec.

Skratka, to je lahko precej široko področje, obstaja tudi cel kup stvari, ki jih ne znam, zato me zanima kaj konkretno se išče. In pa kje.

V mojem primeru je bila implemenatcija HSMjev. in ker se tudi ti selijo v cloud, zraven pade še vsa konfiguracija strežnikov pa translacija konfiguracije. Ker so high security zadeve, more biti nekdo ki ima vsaj malo občutka za to, sicer pa imamo SCAP teste za compliance. Jaz sem v PKI, moje prejšnje podjetje pa je veliko investiralo v pentesterje. Je pa podjetje mednarodno in je precej drugih sektorjev, omogoča delo na daljavo. Zaposleni imamo možnost priporočanja kadrov, kar pomeni, da je lažja verjetnost da te kontaktirajo, kot pa če se prijaviš sam. Vedno pa nas je cel kup ki nas cel kup stvari ne zna, področje je široko in vsak je svoj stručko. V prejšnjem konzulting podjetju konzulting pa je bilo več dela s strankami - torej si se moral naučit najprej kako se stvar implementira, če si bil pameten kar spravil vse skupaj v kontejnerje in potem pri strani implementiral. Nihče ni mojster za vse, kodr pa misli da je, je pa le "glavni na vasi".

Tudi začetnike zaposlujejo, sploh če jim dajo občutek da mislijo ostati dlje.

Nisem ziher kaj je vprasanje teme, ampak nekak se me dotakne :)

Pri nas opazam podobno, indijci se prijavijo ce opazi na opisu eno znano besedo, Slovenca srecam poredko kje.

Anyway, iscemo cca 30 dodatnih ljudi za security letno, vsa podrocja od compliance do inzeniringa. Vse oblacno. Smo SaaS ponudnik, ne konzulting body shop. Lahko remote ampak znotraj dolocenih drzav kot so Zda, Spanija, Nemcija.
Se vec iscemo na drugih oddelkih.

Ce koga zanima vec, pa na ZS.

samotest je 13. apr 2022 ob 22:52 izjavil:

Nisem ziher kaj je vprasanje teme, ampak nekak se me dotakne :)

Pri nas opazam podobno, indijci se prijavijo ce opazi na opisu eno znano besedo, Slovenca srecam poredko kje.

Anyway, iscemo cca 30 dodatnih ljudi za security letno, vsa podrocja od compliance do inzeniringa. Vse oblacno. Smo SaaS ponudnik, ne konzulting body shop. Lahko remote ampak znotraj dolocenih drzav kot so Zda, Spanija, Nemcija.
Se vec iscemo na drugih oddelkih.

Ce koga zanima vec, pa na ZS.

Koliko ste jih pripravljeni sfinancirat v smislu izobrazevanja, vzgajanja od srednje sole dalje? Vec na zs

Mi smo postali kar veliki ponudnik SOC storitev v Evropi, sicer podjetje je del Evropske skupine, ampak smo pa načeloma slovenci. Z rastjo SOC-a, smo pričeli tudi ustanavljati posamične stebre z lastnimi ekipami (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.).

Mislim da je v Sloveniji praktično nemogoče dobiti izkušen kader za tovrstno delo (predvsem govorim za delo v SOC oddelkih). Če že želiš izkušene, potem žal moraš poachat. Alternativa pa je seveda investicija v mlajši kader, ki ima vsaj neko izmed IT znanj (IT Engineer, Programer, ipd.) in se potem priuči potrebno. To na srečo je dobra alternativa danes, ko smo dovolj veliki, da si lahko privoščimo imeti nekoga pod mentorstvom nekaj mescev. Pravtako zaposlujemo veliko.

sandmat je 20. apr 2022 ob 10:38 izjavil:

če je treba zinvestirat nekaj mesecev mentorstva, se mi to ne zdi strašno velik strošek (ne glede na velikost firme), glede na specifiko področja. Konec koncev je enaka situacija pri večini drugih specifičnih IT področij.

V začetku, ko smo šteli le 5 članov v SOC-u, je to bil kar izziv, ker si moral zagotavljati strankam spremljanje dogodkov in zaščito glede na SLA dogovore (24/7) in ni bilo veliko časa nekoga več mescev uvajat - vsaj ne po naših standardih oz. željah. V drugih IT področjih, kot so naprimer progamerji je ogromno online courseov za ceno, ki si jo lahko privoščijo posamezniki (dosti kvalitetnega je tudi zastonj!) .. to pa ne drži za cybersecurity. Kvalitetni treningi in certifikacije so od 1000 EUR naprej.

Sedaj ko smo bistveno večji pa je lažje, ker izkušeni kader ima namenjen čas za mentorstvo v tem primeru (v preteklosti pa je ta isti človek moral opravljat vlogo T1 analitika, T2 analitika in še kakšno specifiko kot je svetovanje, odziv na incidente, ipd.). Govorimo o časih SOC pionirstva, v Sloveniji takrat večina ni niti poznala ta izraz.

fantje, kje ste opravljali CEH verifikacijo? Ali je bilo na OS ali EC ali kje drugje? Rad bi malo obnovil pa bi jih povprasal o moznostih. :) Tnx.

(Verjetno zato, ker je to zdaj orodje povprečnežev, oz. kakor se lepše reče, orodje množic.)

tony1 je 21. apr 2022 ob 19:10 izjavil:

(Verjetno zato, ker je to zdaj orodje povprečnežev, oz. kakor se lepše reče, orodje množic.)

To drži, ne rabiš oklepajev. Pred 30imi leti je bil internet akademsko orodje inteligentnih in samostojnih posameznikov, sedaj imamo gor množice, ki iščejo svoje pleme in se obnašajo čredno, kar pomeni, da svojo čredo tudi oglašujejo (kot opravičilo, da so v njej) in da jo branijo pred oglasi drugih čred. Trenja nastajajo predvsem, kjer so te črede preveč skupaj in se med seboj mešajo, npr. na tem forumu. Rešitvi za internet sta dve: shajkat črede dol in uvest "internet driving license" ali pa dejansko uvest walled gardens, brez kontakta med njimi. Mogoče bo to pomagalo (ob grozni ceni za družbo), a bolj verjetno je, da se bo pojav nadaljeval znotraj walled gardens, ker se folk vedno želi klasificirat, delit, popredalčkat. Tako da dolgoročno to ne dela.

Upam da boste security minded to upoštevali podprli razvoj v pravo smer.

Jaz peljem tretjo linijo - paralelne non-web infrastrukture, ki zahtevajo dovoljšen IQ za vzpostavitev in sodelovanje. Tam je zaenkrat še mir in kvalitetne vsebine. Bomo videli, kako dolgo še ...

A_A je 22. apr 2022 ob 08:54 izjavil:

aleksander10 je 20. apr 2022 ob 17:56 izjavil:

Če ni skrivnost, koliko SoC ljudi pa imate za 24/7?
Ali ste tudi malo specilaizirani za katere branže delate SoC?

mene zanima zakaj se skriva tok imena podjetij. Mogoče komu pride prav podatek kdo v Sloveniji sploh dela SOC.
Nil, smartis, verjetno SRC,.. še kdo?

Problem je v tem, ker se ljudje oglašajo kot 'posamezniki', privat osebe, ki nočejo, da bi jih kdo povezoval s čemerkoli, eventuelno celo napadal ali povzročal kakršnekoli druge nevšečnosti, ki bi bile povezane z preveliko mero razkrivanja osebnih podatkov.
V mnogih primerih bi bilo najbolje, če bi podjetja imela nekakšnega 'uradnega zastopnika' oz. osebo za stike z javnostjo, kot smo to že videli v primeru Petrola in še nekaj drugih podjetij, ki so se oglasila na forumu z nekakšnim 'uradnim stališčem podjetja'. Podobno vidiš tudi na večjih tujih forumih, kjer podjetja dejansko plačujejo 'predstavnika', ki jih na forumu zastopa.

SeMiNeSanja je 22. apr 2022 ob 10:10 izjavil:

če bi forumski admini bili nepristranski in dosledni

Sprijazni se z realnostjo ... pristranski si že zato, ker obstajaš. Nepristranskih oblik življenja na tem planetu ne poznam.
In ja, vsak si izbira svojo čredo, v kateri se počuti varno in udobno. IT Security ljudje imajo pri tem precej večjo vlogo, kot si mislijo ;)

@kibersova (ali kdo drug)
Kaj je to SOC?

Hvala za odgovor.

A to področje (SoC-i) se je pri nas že kaj bolj razvilo ali se samo prodaja neke na pol implementirane tuje rešitve? Se spomnim kako je bil pred leti na obisku pri enem večjem slovenskem podjetju oz. njihovem SoC-u en izraelski general in ex-vodja njihove cybersec agencije (med drugim je vodil tudi Stuxnet operacijo) in je imel par zelo zanimivih komentarjev na to kar je videl.

Smo šli na koncu na kofe in je tip v tistih dveh urah predstavitev hitro videl koliko je ura v Sloveniji.

secops je 22. apr 2022 ob 09:26 izjavil:

kiberpunk je 20. apr 2022 ob 10:32 izjavil:

Mi smo postali kar veliki ponudnik SOC storitev v Evropi, sicer podjetje je del Evropske skupine, ampak smo pa načeloma slovenci. Z rastjo SOC-a, smo pričeli tudi ustanavljati posamične stebre z lastnimi ekipami (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.).

Mislim da je v Sloveniji praktično nemogoče dobiti izkušen kader za tovrstno delo (predvsem govorim za delo v SOC oddelkih). Če že želiš izkušene, potem žal moraš poachat. Alternativa pa je seveda investicija v mlajši kader, ki ima vsaj neko izmed IT znanj (IT Engineer, Programer, ipd.) in se potem priuči potrebno. To na srečo je dobra alternativa danes, ko smo dovolj veliki, da si lahko privoščimo imeti nekoga pod mentorstvom nekaj mescev. Pravtako zaposlujemo veliko.

Zakaj si jaz ne morem predstavljati, da bi, kot developer zamenjal svojo udobno in dobro plačano pozicijo za izmensko delo?

Lahko poveš kako to izgleda (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.) ali gre samo za marketinški bullshit?

Incident Response deluje tako, da ponujamo retainer. To si predstavljal kot nam ponujajo zavarovalnice njihove storitve - mesecno placujes, ce se ti slucajno kaj zgodi in pol smo mi pripravljeni da izvedemo IR proces, kadar nas poklicejo. Lahko je pa tudi del SOC storitve, torej v tem primeru bi nasi SOC analitiki zaznali incident (T1 poda sum, T2 potrdi, Incident Response gre v akcijo). Zadnje case nas veliko klicejo (imamo 'hotline' stevilko) torej varijanta 'on-demand' IR. Veliko je iz tujine, ampak opazamo v 2021-2022 znaten narascaj v Sloveniji, vendar je zal v vecino primerih ransomware in mnogo prepozno (ko dobimo klic je ze vse zakriptirano). V takih primerih poskusamo ugotoviti Initial Access (da preprecimo ponovni napad) ter seveda pomagamo z backupiranjem, da se izvede primerno (ce so le preziveli backupi). Vcasih se uporabi kaksen encryption ki ga lahko reverse-amo, npr. PartyTicket je tak ki se je nedavno uporabljal v napadih na Ukrajino in se je pricel tudi uporabljat na privat organizacije po svetu. Kadar pa ni prepozno, je prvotni cilj IR zajeti incident, da se ne nek malware ne siri po omrezju naprej, ampak ga omejimo na tisto okuzeno napravo (ali network segment). Ce to uspemo, potem sledi analiza okuzene delovne postaje, da poskusimo pridobiti cimvec IOC (indikatorji o zlorabi), da potem s pomocjo Threat Intelligence ugotovimo kaksen malware se je uporabil, kdo je tipicen Threat Actor ki to uporablja, ipd. Na podlagi tega dobis TTPs (Tactics, Techniques and Procedures), ki pa so nam kljucni za odkrivanje se neodkritega pri stranki oz. zdrugimi besedami, sprozimo Threat Hunting misije, kjer iscemo se tiste dodatne IOCs po omrezju, da poskusimo najt se morebiti dosedaj nezaznano okuzbo kje drugje. Kadar s "containment" fazo zakljucimo, se lotimo "eradication" faze, kjer pocistimo sisteme temeljito. Na koncu pa se izvedemo "remediacijo", kjer pomagamo stranki vzpostaviti nazaj njihovo delovno okolje.

Threat Detection ekipa skrbi za razvoj lastnih pravil za zaznavo. Poglaviten fokus imamo tukaj na EDR (Endpoint Detection in Response) in SIEM orodjih. Deluje pa v simbiozi s Threat Intelligence ekipo, kjer je TI ekipa priskrbi zadnje (relevantne) informacije o groznjah, ki bi lahko vplivale na to stranko in potem Threat Detection ekipa poskusi razviti smiselna zaznavna pravila (ce le to niso samo IOCs). Zelo popularen je postal MITRE ATT&CK Framework, ki navaja veliko uporabljenih tehnik in taktik pri napadih, katere mi potem lahko prevedemo v zaznavna pravila. V to ekipo tudi sodi Threat Hunting - proaktivno iskanje grozenj. Torej pri TH ne spises zaznavnih pravil, ampak definiras neko hipotezo in poskusis to hipotezo potrdit v strankinem okolju. Navadno to ponovno lepo sovpada z najdbami Threat Intelligence.

Threat Intelligence pa kot sem zdaj ze vmes veckrat omenil nekako povezuje vse te 'stebre' v SOC-u. Pri IR je pomemben za odkrivanje Threat Actorja in stem pridobitev novih IOCs ter informacij ki pomagajo zajeziti incident cim hitreje. V kontektsu Threat Detection pa pomaga z idejami za nova zaznavna pravila ali Threat Hunting misije. Je del SOC storitve v osnovni. Premium TI pa recimo posega potem v to da stranka dobi prilagojena TI porocila, s katerimi lahko ugotavljajo v kaj bi bilo smiselno investirati naslednje glede na aktualne groznje ipd.

Ti trije so naprimer posebej ekipe v nasem primeru. Potem imas seveda tipicno SOC Analitiki ekipo, kjer so vkljuceni Tier 1 in Tier 2 analitiki. Ti navadno delajo 24/7. Medtem ko IR in TI so bolj "on-call" v primeru incidenta ali kaj podobnega, v nasprotnem normalen delovnik.


Malce mi je tezko vse opisati v Forum sporocilu, ampak upam da sem vsaj visokonivojsko uspel predstaviti. Tudi sam sem pricel kariero kot SW Developer in sem tranzicioniral v cybersecurity. Mi je zelo vsec ta panoga, zelo dinamicna in polna izzivov.

kiberpunk je 23. apr 2022 ob 00:58 izjavil:

Malce mi je tezko vse opisati v Forum sporocilu, ampak upam da sem vsaj visokonivojsko uspel predstaviti. Tudi sam sem pricel kariero kot SW Developer in sem tranzicioniral v cybersecurity. Mi je zelo vsec ta panoga, zelo dinamicna in polna izzivov.

Super, hvala za napisano, sliši se zanimivo. Kako pa je z višino plače, verjetno so plače malo nižje v primerjavi z developmentom. Lahko mogoče podaš kakšen razpon, kje se začne in kaj je možno realno dosečt?

cegu, pisi na ZS.

Nas mentor je zelel, da se odpre temo , ki je zamrla... Samo resni - Infrastructure , Cyber Sec, DevOp...