» »

Skupina Slo-Techovcev v IT Sec?

Skupina Slo-Techovcev v IT Sec?

cegu ::

Obstaja mogoče kakšna tema ali podobno slo-techovcev ki so v Informacijski varnosti?
Sam delam v tujini že nekaj let, malce sem povezan z Elektrofaksom. Podjetja vsa iščejo blazne strokovnjake (zaposlujejo pa tudi začetnike s potencialom, praktično nihče ne ustreza tistim HR zahtevam).

Ponujajo nam celo referral fees če priporočamo koga za delovno mesto (v teh časih kogarkoli ki vsaj malo diši po informacijski varnosti)... jaz pa ne poznam nikogar s Slovenije, ki bi ga lahko priporočal, en cel kup pa Estoncev in Romunov.

Nekaj let nazaj pa nisem poznal nikogar, ki bi mene spravil naprej.

Z veseljem bi probal koga spraviti vsaj do razgovora.
  • spremenil: cegu ()

poweroff ::

Za kakšno delo pa gre in kje?
sudo poweroff

ginekk ::

poweroff je izjavil:

Za kakšno delo pa gre in kje?


Varnostni inženir. Ponavadi nekdo, ki ne ve dosti o ITju in pošilja maile celi firmi z navodili zakaj ne smejo vtikat random USB ključkov v svoje računalnike.

poweroff ::

A to iz svojih izkušenj govoriš ali gre dejansko za tako delo, se pravi pošiljanje mailov in teženje zaposlenim?

Ker recimo jaz sem delal digitalne forenzične analize (telefonov, omrežij in računalnikov), varnostne preglede v firmah (pentest serverjev, skeniranje omrežja,...), pregledovanje ustreznosti implementacije varnosti v podjetjih (ali uporabljajo šifrirane protokole, kako je s segmentacijo omrežja, požarni zidovi, backupi so in ali delajo ali ne,...), pomagal pri pripravi varnostnih politik in načrtovanju IT infrastrukture... znam pa postavit oz. imam izkušnje z vzdrževanjem VPN serverja, mail serverja, razne malenkosti ala Nextcloud, web server backend, nekaj malega znam pošraufat Mikrotike. Pa ajde, ravno sedaj se dogovarjam z založbo, da mi bodo izdali priročnik o informacijski varnosti, ki sem ga napisal (v angleščini), imam pa tudi dosti izkušenj s pripravo in izvedbo izobraževanj za zaposlene na temo cybersec.

Skratka, to je lahko precej široko področje, obstaja tudi cel kup stvari, ki jih ne znam, zato me zanima kaj konkretno se išče. In pa kje.
sudo poweroff

Daliborg ::

Mnogo legend slo-tech a so že zdavnaj upokojeni ali pokojni :(
Format life:
Warning all life will be erased!
Do you want to continue?(y/n) Y_

cegu ::

poweroff je izjavil:

A to iz svojih izkušenj govoriš ali gre dejansko za tako delo, se pravi pošiljanje mailov in teženje zaposlenim?

Ker recimo jaz sem delal digitalne forenzične analize (telefonov, omrežij in računalnikov), varnostne preglede v firmah (pentest serverjev, skeniranje omrežja,...), pregledovanje ustreznosti implementacije varnosti v podjetjih (ali uporabljajo šifrirane protokole, kako je s segmentacijo omrežja, požarni zidovi, backupi so in ali delajo ali ne,...), pomagal pri pripravi varnostnih politik in načrtovanju IT infrastrukture... znam pa postavit oz. imam izkušnje z vzdrževanjem VPN serverja, mail serverja, razne malenkosti ala Nextcloud, web server backend, nekaj malega znam pošraufat Mikrotike. Pa ajde, ravno sedaj se dogovarjam z , da mi bodo izdali priročnik o informacijski varnosti, ki sem ga napisal (v angleščini), imam pa tudi dosti izkušenj s pripravo in izvedbo izobraževanj za zaposlene na temo cybersec.

Skratka, to je lahko precej široko področje, obstaja tudi cel kup stvari, ki jih ne znam, zato me zanima kaj konkretno se išče. In pa kje.



V mojem primeru je bila implemenatcija HSMjev. in ker se tudi ti selijo v cloud, zraven pade še vsa konfiguracija strežnikov pa translacija konfiguracije. Ker so high security zadeve, more biti nekdo ki ima vsaj malo občutka za to, sicer pa imamo SCAP teste za compliance. Jaz sem v PKI, moje prejšnje podjetje pa je veliko investiralo v pentesterje. Je pa podjetje mednarodno in je precej drugih sektorjev, omogoča delo na daljavo. Zaposleni imamo možnost priporočanja kadrov, kar pomeni, da je lažja verjetnost da te kontaktirajo, kot pa če se prijaviš sam. Vedno pa nas je cel kup ki nas cel kup stvari ne zna, področje je široko in vsak je svoj stručko. V prejšnjem konzulting podjetju konzulting pa je bilo več dela s strankami - torej si se moral naučit najprej kako se stvar implementira, če si bil pameten kar spravil vse skupaj v kontejnerje in potem pri strani implementiral. Nihče ni mojster za vse, kodr pa misli da je, je pa le "glavni na vasi".

Tudi začetnike zaposlujejo, sploh če jim dajo občutek da mislijo ostati dlje.

Zgodovina sprememb…

  • spremenil: cegu ()

SeMiNeSanja ::

Enim nam je Slo-tech postal preveč.... saj ne vem kaj je pravi izraz.... rečeš eno napačno, ki nekomu iz 'krdela' ni všeč, pa se te skupinsko lotijo 'pobit'.
Tistim, ki delimo svoje znanje z drugimi, nam tega ni treba...potem pa se razbežimo drugam, kjer se naši nasveti bolj cenijo in nam nihče ne skuša dokazovati, da smo 'kreteni'.

Jaz sem se tako že dolgo nazaj 'preselil' na SpiceWorks, ki je sicer bolj namenjen 'IT profesionalcem', tukaj pa samo še 1x/100 let pogledam not.

Vidim pa tudi tam, da je zadnje čase vse več takih v 'security' poslu, ki bi jih bilo treba najprej poslati na kakšen osnovni tečaj. Mnogi niti ne znajo poiskat resurse za učenje, na koncu pa še od podpore proizvajalcev pričakujejo, da jim bodo konfigurirali rešitve...v sklopu 'tech supporta'...
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

samotest ::

Nisem ziher kaj je vprasanje teme, ampak nekak se me dotakne :)

Pri nas opazam podobno, indijci se prijavijo ce opazi na opisu eno znano besedo, Slovenca srecam poredko kje.

Anyway, iscemo cca 30 dodatnih ljudi za security letno, vsa podrocja od compliance do inzeniringa. Vse oblacno. Smo SaaS ponudnik, ne konzulting body shop. Lahko remote ampak znotraj dolocenih drzav kot so Zda, Spanija, Nemcija.
Se vec iscemo na drugih oddelkih.

Ce koga zanima vec, pa na ZS.

kuall ::

Daliborg je izjavil:

Mnogo legend slo-tech a so že zdavnaj upokojeni ali pokojni :(

kdo je pokojen.

sandmat ::

samotest je izjavil:

Nisem ziher kaj je vprasanje teme, ampak nekak se me dotakne :)

Pri nas opazam podobno, indijci se prijavijo ce opazi na opisu eno znano besedo, Slovenca srecam poredko kje.

Anyway, iscemo cca 30 dodatnih ljudi za security letno, vsa podrocja od compliance do inzeniringa. Vse oblacno. Smo SaaS ponudnik, ne konzulting body shop. Lahko remote ampak znotraj dolocenih drzav kot so Zda, Spanija, Nemcija.
Se vec iscemo na drugih oddelkih.

Ce koga zanima vec, pa na ZS.


Koliko ste jih pripravljeni sfinancirat v smislu izobrazevanja, vzgajanja od srednje sole dalje? Vec na zs

poweroff ::

cegu je izjavil:

Je pa podjetje mednarodno in je precej drugih sektorjev, omogoča delo na daljavo. Zaposleni imamo možnost priporočanja kadrov, kar pomeni, da je lažja verjetnost da te kontaktirajo, kot pa če se prijaviš sam.

Iz kje pa je podjetje, če ni skrivnost? Možno, da sem že sodeloval z vami (ali pa da sodelujem sedaj). 8-)
sudo poweroff

kiberpunk ::

Mi smo postali kar veliki ponudnik SOC storitev v Evropi, sicer podjetje je del Evropske skupine, ampak smo pa načeloma slovenci. Z rastjo SOC-a, smo pričeli tudi ustanavljati posamične stebre z lastnimi ekipami (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.).

Mislim da je v Sloveniji praktično nemogoče dobiti izkušen kader za tovrstno delo (predvsem govorim za delo v SOC oddelkih). Če že želiš izkušene, potem žal moraš poachat. Alternativa pa je seveda investicija v mlajši kader, ki ima vsaj neko izmed IT znanj (IT Engineer, Programer, ipd.) in se potem priuči potrebno. To na srečo je dobra alternativa danes, ko smo dovolj veliki, da si lahko privoščimo imeti nekoga pod mentorstvom nekaj mescev. Pravtako zaposlujemo veliko.

sandmat ::

če je treba zinvestirat nekaj mesecev mentorstva, se mi to ne zdi strašno velik strošek (ne glede na velikost firme), glede na specifiko področja. Konec koncev je enaka situacija pri večini drugih specifičnih IT področij.

kiberpunk ::

sandmat je izjavil:

če je treba zinvestirat nekaj mesecev mentorstva, se mi to ne zdi strašno velik strošek (ne glede na velikost firme), glede na specifiko področja. Konec koncev je enaka situacija pri večini drugih specifičnih IT področij.


V začetku, ko smo šteli le 5 članov v SOC-u, je to bil kar izziv, ker si moral zagotavljati strankam spremljanje dogodkov in zaščito glede na SLA dogovore (24/7) in ni bilo veliko časa nekoga več mescev uvajat - vsaj ne po naših standardih oz. željah. V drugih IT področjih, kot so naprimer progamerji je ogromno online courseov za ceno, ki si jo lahko privoščijo posamezniki (dosti kvalitetnega je tudi zastonj!) .. to pa ne drži za cybersecurity. Kvalitetni treningi in certifikacije so od 1000 EUR naprej.

Sedaj ko smo bistveno večji pa je lažje, ker izkušeni kader ima namenjen čas za mentorstvo v tem primeru (v preteklosti pa je ta isti človek moral opravljat vlogo T1 analitika, T2 analitika in še kakšno specifiko kot je svetovanje, odziv na incidente, ipd.). Govorimo o časih SOC pionirstva, v Sloveniji takrat večina ni niti poznala ta izraz.

Zgodovina sprememb…

  • spremenilo: kiberpunk ()

aleksander10 ::

Če ni skrivnost, koliko SoC ljudi pa imate za 24/7?
Ali ste tudi malo specilaizirani za katere branže delate SoC?
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

link_up ::

fantje, kje ste opravljali CEH verifikacijo? Ali je bilo na OS ali EC ali kje drugje? Rad bi malo obnovil pa bi jih povprasal o moznostih. :) Tnx.
In and Out

tony1 ::

SeMiNeSanja je izjavil:

Enim nam je Slo-tech postal preveč.... saj ne vem kaj je pravi izraz.... rečeš eno napačno, ki nekomu iz 'krdela' ni všeč, pa se te skupinsko lotijo 'pobit'.


Še huje je: to narediš na x slovenskem forumu, in te grejo na S-T je6at, ko vidijo nick :))

Dejansko je internet postal mnogo bolj konflikten prostor kot je bil 20 let nazaj.

tony1 ::

(Verjetno zato, ker je to zdaj orodje povprečnežev, oz. kakor se lepše reče, orodje množic.)

Zgodovina sprememb…

  • spremenil: tony1 ()

A_A ::

aleksander10 je izjavil:

Če ni skrivnost, koliko SoC ljudi pa imate za 24/7?
Ali ste tudi malo specilaizirani za katere branže delate SoC?

mene zanima zakaj se skriva tok imena podjetij. Mogoče komu pride prav podatek kdo v Sloveniji sploh dela SOC.
Nil, smartis, verjetno SRC,.. še kdo?

pegasus ::

tony1 je izjavil:

(Verjetno zato, ker je to zdaj orodje povprečnežev, oz. kakor se lepše reče, orodje množic.)
To drži, ne rabiš oklepajev. Pred 30imi leti je bil internet akademsko orodje inteligentnih in samostojnih posameznikov, sedaj imamo gor množice, ki iščejo svoje pleme in se obnašajo čredno, kar pomeni, da svojo čredo tudi oglašujejo (kot opravičilo, da so v njej) in da jo branijo pred oglasi drugih čred. Trenja nastajajo predvsem, kjer so te črede preveč skupaj in se med seboj mešajo, npr. na tem forumu. Rešitvi za internet sta dve: shajkat črede dol in uvest "internet driving license" ali pa dejansko uvest walled gardens, brez kontakta med njimi. Mogoče bo to pomagalo (ob grozni ceni za družbo), a bolj verjetno je, da se bo pojav nadaljeval znotraj walled gardens, ker se folk vedno želi klasificirat, delit, popredalčkat. Tako da dolgoročno to ne dela.

Upam da boste security minded to upoštevali podprli razvoj v pravo smer.

Jaz peljem tretjo linijo - paralelne non-web infrastrukture, ki zahtevajo dovoljšen IQ za vzpostavitev in sodelovanje. Tam je zaenkrat še mir in kvalitetne vsebine. Bomo videli, kako dolgo še ...

secops ::

kiberpunk je izjavil:

Mi smo postali kar veliki ponudnik SOC storitev v Evropi, sicer podjetje je del Evropske skupine, ampak smo pa načeloma slovenci. Z rastjo SOC-a, smo pričeli tudi ustanavljati posamične stebre z lastnimi ekipami (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.).

Mislim da je v Sloveniji praktično nemogoče dobiti izkušen kader za tovrstno delo (predvsem govorim za delo v SOC oddelkih). Če že želiš izkušene, potem žal moraš poachat. Alternativa pa je seveda investicija v mlajši kader, ki ima vsaj neko izmed IT znanj (IT Engineer, Programer, ipd.) in se potem priuči potrebno. To na srečo je dobra alternativa danes, ko smo dovolj veliki, da si lahko privoščimo imeti nekoga pod mentorstvom nekaj mescev. Pravtako zaposlujemo veliko.


Zakaj si jaz ne morem predstavljati, da bi, kot developer zamenjal svojo udobno in dobro plačano pozicijo za izmensko delo?

Lahko poveš kako to izgleda (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.) ali gre samo za marketinški bullshit?

SeMiNeSanja ::

A_A je izjavil:

aleksander10 je izjavil:

Če ni skrivnost, koliko SoC ljudi pa imate za 24/7?
Ali ste tudi malo specilaizirani za katere branže delate SoC?

mene zanima zakaj se skriva tok imena podjetij. Mogoče komu pride prav podatek kdo v Sloveniji sploh dela SOC.
Nil, smartis, verjetno SRC,.. še kdo?

Problem je v tem, ker se ljudje oglašajo kot 'posamezniki', privat osebe, ki nočejo, da bi jih kdo povezoval s čemerkoli, eventuelno celo napadal ali povzročal kakršnekoli druge nevšečnosti, ki bi bile povezane z preveliko mero razkrivanja osebnih podatkov.
V mnogih primerih bi bilo najbolje, če bi podjetja imela nekakšnega 'uradnega zastopnika' oz. osebo za stike z javnostjo, kot smo to že videli v primeru Petrola in še nekaj drugih podjetij, ki so se oglasila na forumu z nekakšnim 'uradnim stališčem podjetja'. Podobno vidiš tudi na večjih tujih forumih, kjer podjetja dejansko plačujejo 'predstavnika', ki jih na forumu zastopa.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

SeMiNeSanja ::

pegasus je izjavil:

tony1 je izjavil:

(Verjetno zato, ker je to zdaj orodje povprečnežev, oz. kakor se lepše reče, orodje množic.)
To drži, ne rabiš oklepajev. Pred 30imi leti je bil internet akademsko orodje inteligentnih in samostojnih posameznikov, sedaj imamo gor množice, ki iščejo svoje pleme in se obnašajo čredno, kar pomeni, da svojo čredo tudi oglašujejo (kot opravičilo, da so v njej) in da jo branijo pred oglasi drugih čred. Trenja nastajajo predvsem, kjer so te črede preveč skupaj in se med seboj mešajo, npr. na tem forumu. Rešitvi za internet sta dve: shajkat črede dol in uvest "internet driving license" ali pa dejansko uvest walled gardens, brez kontakta med njimi. Mogoče bo to pomagalo (ob grozni ceni za družbo), a bolj verjetno je, da se bo pojav nadaljeval znotraj walled gardens, ker se folk vedno želi klasificirat, delit, popredalčkat. Tako da dolgoročno to ne dela.

Upam da boste security minded to upoštevali podprli razvoj v pravo smer.

Jaz peljem tretjo linijo - paralelne non-web infrastrukture, ki zahtevajo dovoljšen IQ za vzpostavitev in sodelovanje. Tam je zaenkrat še mir in kvalitetne vsebine. Bomo videli, kako dolgo še ...

Nič od tega nebi bilo potrebno, če bi forumski admini bili nepristranski in dosledni pri vseh oblikah nestrpnosti in napadanja na posamezne osebe.
Žal so nekateri admini vse kaj drugega kot nepristranski in se celo sami znajo udeleževati v takih napadih. Nekako bi pričakoval, da bodo ostali admini nastopili kot 'varovalka' in takega zaustavili pri takem početju, pa več kot očitno 'posadka' tega foruma tej nalogi ni dorasla.
Posledično je potem tako, kot je.

Paralelna "non-web" varianta je po svoje lahko spet problematična, saj na koncu v bistvu ustvarjaš še eno 'čredo' z vsemi problemi, ki jih te 'črede' prinašajo s seboj. Vsekakor so pridobitev za tiste, ki so 'noter'.... so pa lahko problem za tiste, ki niso. Zlasti, če 'čreda' enkrat prične pozabljati, kaj je pravzaprav bil njen osnovni namen in se ujame v naši/vaši spletkah.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

pegasus ::

SeMiNeSanja je izjavil:

če bi forumski admini bili nepristranski in dosledni
Sprijazni se z realnostjo ... pristranski si že zato, ker obstajaš. Nepristranskih oblik življenja na tem planetu ne poznam.
In ja, vsak si izbira svojo čredo, v kateri se počuti varno in udobno. IT Security ljudje imajo pri tem precej večjo vlogo, kot si mislijo ;)

SeMiNeSanja ::

pegasus je izjavil:

SeMiNeSanja je izjavil:

če bi forumski admini bili nepristranski in dosledni
Sprijazni se z realnostjo ... pristranski si že zato, ker obstajaš. Nepristranskih oblik življenja na tem planetu ne poznam.
In ja, vsak si izbira svojo čredo, v kateri se počuti varno in udobno. IT Security ljudje imajo pri tem precej večjo vlogo, kot si mislijo ;)

Napačna izbira besed? Morda potem v tem kontekstu bolje izpade: "admini/moderatorji foruma bi morali biti 'pristranski' v splošno korist foruma, tako da bi se trudili preprečiti in onemogočati vsakršno medčredno spopadanje"
Nenazadnje, če 'čredi' pravi čas pokažeš rumeni karton, ne rabiš posegati po rdečemu. Pa si predstavljaj sodnika na nogometni tekmi, ki bi faulano osebo, ki se od bolečin valja po tleh, še sam brcnil in dejal, da naj se ne obnaša kot mala deklica... Tako obnašanje si namreč dovolijo nekateri admini... Čisto po sistemu "kaj mi pa morejo". Se pa pozablja, da s tem uničujejo forum kot tak. Čemu bi nekdo delil svoj čas, znanje in izkušnje, če ga forum kot tak pri tem ne ščiti? Kot da se forum ne zaveda, da so ravno te osebe, ki so pripravljene deliti znanje in pomagati drugim njihov kapital, ki ga morajo varovati za vsako ceno. Namesto tega se 'varuje' neke spammerje, trole, pa vse do nestrpnežev. Prideš gor, pogledaš po temah, pa že na prvi pogled vidiš deset trol tem, ki jih ena in ista oseba nabija. Zakaj se to ne čisti sproti? Itd. Itd.
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Rias Gremory ::

@kibersova (ali kdo drug)
Kaj je to SOC?
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

SeMiNeSanja ::

Rias Gremory je izjavil:

@kibersova (ali kdo drug)
Kaj je to SOC?

SOC = Security Operation Center - oz. Varnostni Operativni Center

Po domače povedano, plačaš nekoga, da spremlja kaj se dogaja na tvojem omrežju in da po potrebi 'nekaj ukrene', ko se prične 'dogajati' nekaj, kar bi znalo biti varnostno relevantno.

Je pa zgodba precej širša, kot da posojaš Janezka, ki sedi pred ekranom in gleda v loge in alarme, ki se mu na njemu izpisujejo, saj je treba najprej sploh vzpostaviti ustrezne 'senzorje', ki Janezku na ekran pričarajo tiste zlovešče alarme. To lahko vključuje prodajo kakšnih 'združljivih' orodij, njihovo namestitev, optimizacijo (saj nočeš lažne alarme), na koncu pa moraš še planirati in omogočiti potrebne akcije za primer, ko stvari gredo v napačno smer...

No, pa da stranko prepričaš, da svoj denar ne meče 'v prazno', ji lahko periodično posreduješ še kakšna poročila...ki jih po mesecu ali dveh praktično nihče več ne povoha.... a če jih nebi bilo, bi bil cel cirkus...

Dodatno potem lahko še ponujaš tečaje 'varnostnega ozaveščanja' za uporabnike in oddelke, ki na nek način 'padajo v oči', varnostne analize, optimizacije,..... skratka tisti SOC (Janezek za ekranom) je zgolj vrh ledene gore.

Naj me kakšen dejanski SOC-ovec popravi ali dopolni........
Pričujoče sporočilo je (lahko) oglasno sporočilo
- četudi na prvi pogled ni prepoznavno kot tako.
(Zdaj me pa obtožite prikritega oglaševanja, če morete!)

Rias Gremory ::

Hvala za odgovor.
Mirno gledamo, kako naš svet propada,
saj za časa našega življenja ne bo popolnoma propadel.

aleksander10 ::

A_A je izjavil:

aleksander10 je izjavil:

Če ni skrivnost, koliko SoC ljudi pa imate za 24/7?
Ali ste tudi malo specilaizirani za katere branže delate SoC?

mene zanima zakaj se skriva tok imena podjetij. Mogoče komu pride prav podatek kdo v Sloveniji sploh dela SOC.
Nil, smartis, verjetno SRC,.. še kdo?

SoCi, ki se oglašujejo (jaz poznam) so od podjetji NIL, Telekom, SRC, S&T, pa še ti vsi niso vsi "pravi" SoC-i, zato sem vprašal, pa še nisem dobil odgovora.
Aleksander

"A friend is someone who gives you total freedom to be yourself. (J.M.)"

poweroff ::

A to področje (SoC-i) se je pri nas že kaj bolj razvilo ali se samo prodaja neke na pol implementirane tuje rešitve? Se spomnim kako je bil pred leti na obisku pri enem večjem slovenskem podjetju oz. njihovem SoC-u en izraelski general in ex-vodja njihove cybersec agencije (med drugim je vodil tudi Stuxnet operacijo) in je imel par zelo zanimivih komentarjev na to kar je videl.

Smo šli na koncu na kofe in je tip v tistih dveh urah predstavitev hitro videl koliko je ura v Sloveniji.
sudo poweroff

Zimonem ::

In kaj ima veze to z domobranstvom? Internet je globalna stvar ravno tako pa računalniki in varnost.

kiberpunk ::

secops je izjavil:

kiberpunk je izjavil:

Mi smo postali kar veliki ponudnik SOC storitev v Evropi, sicer podjetje je del Evropske skupine, ampak smo pa načeloma slovenci. Z rastjo SOC-a, smo pričeli tudi ustanavljati posamične stebre z lastnimi ekipami (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.).

Mislim da je v Sloveniji praktično nemogoče dobiti izkušen kader za tovrstno delo (predvsem govorim za delo v SOC oddelkih). Če že želiš izkušene, potem žal moraš poachat. Alternativa pa je seveda investicija v mlajši kader, ki ima vsaj neko izmed IT znanj (IT Engineer, Programer, ipd.) in se potem priuči potrebno. To na srečo je dobra alternativa danes, ko smo dovolj veliki, da si lahko privoščimo imeti nekoga pod mentorstvom nekaj mescev. Pravtako zaposlujemo veliko.


Zakaj si jaz ne morem predstavljati, da bi, kot developer zamenjal svojo udobno in dobro plačano pozicijo za izmensko delo?

Lahko poveš kako to izgleda (Incident Response, Threat Detection, Threat Intelligence, Vulnerablity Management, ipd.) ali gre samo za marketinški bullshit?


Incident Response deluje tako, da ponujamo retainer. To si predstavljal kot nam ponujajo zavarovalnice njihove storitve - mesecno placujes, ce se ti slucajno kaj zgodi in pol smo mi pripravljeni da izvedemo IR proces, kadar nas poklicejo. Lahko je pa tudi del SOC storitve, torej v tem primeru bi nasi SOC analitiki zaznali incident (T1 poda sum, T2 potrdi, Incident Response gre v akcijo). Zadnje case nas veliko klicejo (imamo 'hotline' stevilko) torej varijanta 'on-demand' IR. Veliko je iz tujine, ampak opazamo v 2021-2022 znaten narascaj v Sloveniji, vendar je zal v vecino primerih ransomware in mnogo prepozno (ko dobimo klic je ze vse zakriptirano). V takih primerih poskusamo ugotoviti Initial Access (da preprecimo ponovni napad) ter seveda pomagamo z backupiranjem, da se izvede primerno (ce so le preziveli backupi). Vcasih se uporabi kaksen encryption ki ga lahko reverse-amo, npr. PartyTicket je tak ki se je nedavno uporabljal v napadih na Ukrajino in se je pricel tudi uporabljat na privat organizacije po svetu. Kadar pa ni prepozno, je prvotni cilj IR zajeti incident, da se ne nek malware ne siri po omrezju naprej, ampak ga omejimo na tisto okuzeno napravo (ali network segment). Ce to uspemo, potem sledi analiza okuzene delovne postaje, da poskusimo pridobiti cimvec IOC (indikatorji o zlorabi), da potem s pomocjo Threat Intelligence ugotovimo kaksen malware se je uporabil, kdo je tipicen Threat Actor ki to uporablja, ipd. Na podlagi tega dobis TTPs (Tactics, Techniques and Procedures), ki pa so nam kljucni za odkrivanje se neodkritega pri stranki oz. zdrugimi besedami, sprozimo Threat Hunting misije, kjer iscemo se tiste dodatne IOCs po omrezju, da poskusimo najt se morebiti dosedaj nezaznano okuzbo kje drugje. Kadar s "containment" fazo zakljucimo, se lotimo "eradication" faze, kjer pocistimo sisteme temeljito. Na koncu pa se izvedemo "remediacijo", kjer pomagamo stranki vzpostaviti nazaj njihovo delovno okolje.

Threat Detection ekipa skrbi za razvoj lastnih pravil za zaznavo. Poglaviten fokus imamo tukaj na EDR (Endpoint Detection in Response) in SIEM orodjih. Deluje pa v simbiozi s Threat Intelligence ekipo, kjer je TI ekipa priskrbi zadnje (relevantne) informacije o groznjah, ki bi lahko vplivale na to stranko in potem Threat Detection ekipa poskusi razviti smiselna zaznavna pravila (ce le to niso samo IOCs). Zelo popularen je postal MITRE ATT&CK Framework, ki navaja veliko uporabljenih tehnik in taktik pri napadih, katere mi potem lahko prevedemo v zaznavna pravila. V to ekipo tudi sodi Threat Hunting - proaktivno iskanje grozenj. Torej pri TH ne spises zaznavnih pravil, ampak definiras neko hipotezo in poskusis to hipotezo potrdit v strankinem okolju. Navadno to ponovno lepo sovpada z najdbami Threat Intelligence.

Threat Intelligence pa kot sem zdaj ze vmes veckrat omenil nekako povezuje vse te 'stebre' v SOC-u. Pri IR je pomemben za odkrivanje Threat Actorja in stem pridobitev novih IOCs ter informacij ki pomagajo zajeziti incident cim hitreje. V kontektsu Threat Detection pa pomaga z idejami za nova zaznavna pravila ali Threat Hunting misije. Je del SOC storitve v osnovni. Premium TI pa recimo posega potem v to da stranka dobi prilagojena TI porocila, s katerimi lahko ugotavljajo v kaj bi bilo smiselno investirati naslednje glede na aktualne groznje ipd.

Ti trije so naprimer posebej ekipe v nasem primeru. Potem imas seveda tipicno SOC Analitiki ekipo, kjer so vkljuceni Tier 1 in Tier 2 analitiki. Ti navadno delajo 24/7. Medtem ko IR in TI so bolj "on-call" v primeru incidenta ali kaj podobnega, v nasprotnem normalen delovnik.


Malce mi je tezko vse opisati v Forum sporocilu, ampak upam da sem vsaj visokonivojsko uspel predstaviti. Tudi sam sem pricel kariero kot SW Developer in sem tranzicioniral v cybersecurity. Mi je zelo vsec ta panoga, zelo dinamicna in polna izzivov.

Zgodovina sprememb…

  • spremenilo: kiberpunk ()

poweroff ::

Ja, pač klasičen "infosec wheel". Vprašanje je samo kakšna orodja se uporablja in kako dobra je zaznava.

Mimogede, jaz delam na razvoju platforme, ki precej avtomatizira vse to kar je zgoraj opisano. Razvoj se bliža koncu, zdaj smo imeli že dva pilotna testa (simuliran napad na eno večje evropsko pristanišče in simuliran napad na energy providerja), v kratkem bomo imeli še simuliran napad na bolnišnico. In se zadeva kar obnese (v bistvu so piloti kar presegli moja pričakovanja).
sudo poweroff

secops ::

kiberpunk je izjavil:

Malce mi je tezko vse opisati v Forum sporocilu, ampak upam da sem vsaj visokonivojsko uspel predstaviti. Tudi sam sem pricel kariero kot SW Developer in sem tranzicioniral v cybersecurity. Mi je zelo vsec ta panoga, zelo dinamicna in polna izzivov.


Super, hvala za napisano, sliši se zanimivo. Kako pa je z višino plače, verjetno so plače malo nižje v primerjavi z developmentom. Lahko mogoče podaš kakšen razpon, kje se začne in kaj je možno realno dosečt?

kiberpunk ::

@Matthai, slisi se zanimivo. Mi se v kontekstu avtomatizacije zansamo na SOAR platformo (Security Orchestration, Automation and Response). Temelji na integracijah z razlicnimi varnostnimi produkti in interakcijo preko API. Potem imas na voljo razvoj lastnih Playbookov, ki se avtomaticno izvajajo ob dolocenih triggerjih in sprozijo serijo ukazov preko API z razlicnimi platforme (naprimer en tipicen primer z ingestanjem novega eventa iz SIEMA v SOAR: Sprejmemo nov event iz SIEM-a -> preveri kaj lahko izvemo o dogodku od ostalih varnostnih naprav (EDR, NTD, ipd.) -> obogati kontekst pridobljenih podatkov s pomocjo TI integracije -> pridobi historicne podatke ce obstajajo za te podatke -> assignaj case analitiku za obdelavo -> potem ima analitik vec izbire za nadaljno analizo, ki potem pelje do novih Playbookov ... vmes sem izpustil kaksnih nasih custom tweakom ki jih se dodamo ob razlicnih triggerjih, ampak splosnoma). Avtomatika je vredu dokler ekspertom prepusti nadzor nad njo in omogoca se vedno da se nek case zakljuci z ekspert verdictom. V SOC industriji se ful izogibamo blackbox platformam. Te so navadno zadovoljive za manjsa podjetja, kjer ni vecjih resursov moznih za cybersecurity. V takih primerih pa razumem potrebo po cimvecji samodejni avtomatiki z blackbox approachom, kjer naceloma noben ne rabi aktivno bdet nad dogodki. Ampak zal taksni sistemi niso dovolj robustni in bo veliko false positives ali pa celo se kaj spregleda. ML je napredek, ampak po nasih izkusnjah je primeren samo za IDEALNA okolja (mi taksnih se nismo spoznali), kjer se res v podjetju vsi drzijo nekih IT procesov, ki so definirani. Ce ze nekaj userjev odstopa, bo ML failal, ker bo to zaznal kot anomalijo in alarm ter posledicno pricnes kmalu se utapljat s podobnimi false positivies. No, lahko je se huje, morda ravno poganjas training fazo ML modela v casu odstopanj in se ML model "nauci" napacno. Tako da tu je se prosto za napredek z AI / ML, zaenkrat moram rect da je zmeraj precej buzzwordy.

Tekom vseh teh let kar sem delal v SOC smo toliko orodij ze potestirali, da ne bi vedel vec vseh nastet. Tezko se prebijes cez marketinske obljube in realnost. Zmeraj moras dejansko Demo poskusiti da res vidis kaj kaksno orodje ponuja. Sedaj zadnjih 2 let smo le uspeli najti res dobra orodja na katera se izkljucno zanasamo.

@secops: Ja, tu pa moram rect da je placa res se precej tabu tema v Sloveniji. Razpon plac od junior do senior v SOC-u je nekako od 2000 - 4000 BRUTO, vsaj kar jaz poznam osebno. Ampak kot pravim, tudi na nasi firmi je precej tabu tema in je zelo odvisno od individualnih pogajanj. Zagotovo tudi vem, da na podjetju imajo nekateri vec kot 4.5k, ampak nevem pa povedat ali so to outliers. Potem so seveda dodatki za izmensko delo, placane zelo drage certifikacije, in razne nagrade za dobro opravljeno delo.

SmeskoSnezak ::

cegu, pisi na ZS.

Nas mentor je zelel, da se odpre temo , ki je zamrla... Samo resni - Infrastructure , Cyber Sec, DevOp...
@ Pusti soncu v srce... @


Vredno ogleda ...

TemaSporočilaOglediZadnje sporočilo
TemaSporočilaOglediZadnje sporočilo
»

CyberSecurity

Oddelek: Programiranje
487153 (1153) Ahim
»

Backdoor-i v Cisco (in drugih) napravah (strani: 1 2 3 4 )

Oddelek: Informacijska varnost
15330965 (25811) jukoz
»

WannaCry SLO

Oddelek: Informacijska varnost
335532 (3952) crniangeo
»

Nekaj je gnilega v deželi x86 (strani: 1 2 3 )

Oddelek: Novice / Varnost
14027128 (20476) jukoz
»

CES: AMD-jevi procesorji Zen z enotnim podnožjem AM4 (strani: 1 2 )

Oddelek: Novice / Procesorji
9118046 (13834) D3m

Več podobnih tem