14 Anos de Solar JSOC: Quem Está por Trás da Defesa Contra Ameaças Cibernéticas no Maior SOC Comercial do País
O artigo explora a história e o funcionamento do Solar JSOC, o maior centro comercial de operações de segurança (SOC) da Rússia, destacando sua evolução desde 2012 e o papel crucial de seus especialistas na proteção contra ameaças cibernéticas. O texto também apresenta depoimentos de profissionais, revelando suas experiências e perspectivas sobre a carreira em cibersegurança.
MundiX News·28 de maio de 2026·10 min de leitura·👁 12 views
32K+
Cobertura em 30 dias
Solar
111,88
Classificação
76 161
Assinantes
Assinar
SolarSecurity
Há 49 minutos
14 Anos de Solar JSOC: Quem Está por Trás da Defesa Contra Ameaças Cibernéticas no Maior SOC Comercial do País
8 min
1.6K
Blog da Empresa Solar
Segurança da Informação
*
Carreiras na Indústria de TI
No final dos anos 2000, a cibersegurança parecia ser algo bastante simples: um antivírus no endpoint, um firewall na periferia e um pentest uma vez por ano. Poucos poderiam imaginar que os hackers ficariam por muito tempo dentro das redes, mascarando-se como ações legítimas, e que o número de ataques à infraestrutura crítica excederia todos os limites imagináveis.
A ideia de criar um centro comercial de monitoramento de ameaças surgiu em 2009 — como uma premonição da crescente complexidade dos ataques. Em abril de 2012, ela se materializou em um projeto específico. Foi então que o JSOC surgiu como Jet Security Operations Center — um projeto da empresa “Infosystems Jet”, ou seja, mesmo antes da fundação da própria “Solar”. Mais tarde, ele se transformou em um SOC comercial sob a marca Solar, e a letra “J” no nome foi preservada como uma homenagem à história.
Hoje, o Solar JSOC é o maior centro comercial de monitoramento e resposta a ataques cibernéticos na Rússia e está entre os cinco maiores provedores de serviços gerenciados de cibersegurança na Europa. Diariamente, processamos mais de 200 bilhões de eventos de segurança da informação, protegendo mais de 1.500 clientes dos setores público, financeiro e de negócios de todos os tamanhos. O trabalho é realizado 24 horas por dia, 7 dias por semana. Neste material, contaremos como surgiu a ideia de criar o JSOC e como seus especialistas trabalham.
Em 2012, tudo começou com dois tipos de clientes e uma pergunta simples: como proteger os negócios sem forçá-los a comprar hardware? No início, a equipe se concentrou no setor bancário e no varejo. As organizações de crédito e finanças já eram maduras o suficiente na área de segurança da informação, mas a fraude permaneceu (e permanece) uma ameaça constante. Foi precisamente essa lógica — resolver problemas reais de negócios, e não apenas fornecer ferramentas — que formou a base do JSOC.
“Um certo impulsionador para a transição do serviço por cliente para o serviço em massa foi a sensação de demanda do mercado. Tivemos um diálogo com cinco ou seis clientes, onde eles disseram que gostariam de obter um serviço 'chave na mão', tudo em um só lugar, onde não há despesas de capital, mas há licenças e equipamentos que são fornecidos para aluguel <…> Mas então percebemos que era necessário passar de serviços pontuais prestados a clientes específicos para serviços regulares”, — disse Vladimir Dryukov, diretor do centro de combate a ataques cibernéticos Solar JSOC, logo após o surgimento do JSOC.
Hoje, quando o monitoramento de ameaças cibernéticas, por definição, só pode ser 24 horas por dia, é interessante lembrar nosso ciclo de artigos no Habré sobre o JSOC de setembro de 2016 (lá você também pode encontrar as conclusões que nosso centro fez nos primeiros meses):
“Na fase inicial, a equipe do JSOC consistia em três pessoas: dois engenheiros de monitoramento, cobrindo o intervalo de tempo das 8h às 22h, e um analista/administrador, que estava envolvido no desenvolvimento de regras. O SLA para o serviço, designado aos clientes, também era bastante flexível: o tempo de reação a um incidente detectado — até 30 minutos, o tempo para análise, preparação de um relatório analítico e informação ao cliente — até 2 horas”.
Em 14 anos, a tecnologia mudou, novos fornecedores e players apareceram no mercado. Centenas de especialistas agora trabalham no JSOC, mas a abordagem, que se baseia em pessoas, permaneceu a mesma. Alguns vêm até nós como profissionais experientes da indústria de defesa, outros — de áreas distantes da segurança da informação, e outros — diretamente de suas especialidades da universidade. E cada um tem sua própria história.
Por exemplo, antes de entrar no JSOC, o engenheiro da primeira linha de monitoramento, Sergey Belichkov, trabalhou como farmacêutico por oito anos. A transição para a segurança da informação levou um ano e meio de auto-preparação e estágios, e a própria mudança de profissão exigiu uma decisão consciente de perder temporariamente na renda pelo bem do crescimento futuro. Ele trabalha em nossa empresa há mais de dois anos.
“Levei cerca de um ano e meio para entrar na profissão, se contarmos o estágio. Antes disso, perguntei a conhecidos da indústria o que precisava saber para me preparar. A base são redes e o modelo OSI, os cursos em vídeo de Andrey Sozykin são bons aqui. Em seguida, pesquisei no Google. No primeiro estágio, não cheguei nem à metade do caminho, mas entendi o que precisava estudar mais profundamente: anotei Kerberos, MITRE ATT&CK em um bloco de notas — e gradualmente entendi. Não consegui concluir o segundo estágio também devido à falta de tempo, pois continuei trabalhando. Então, reservei propositadamente fundos, pedi demissão e fui para o terceiro estágio já totalmente focado. Quando tive mais tempo — tudo correu bem. O conhecimento mais importante foi dado pelo estágio — ele ajudou a entender onde cavar mais fundo. E quando entrei na empresa, ficou ainda mais fácil expandir meu conhecimento: há muitas pessoas experientes por perto que estão sempre prontas para ajudar e explicar. Nunca me arrependi de ter mudado de profissão, mesmo que financeiramente tenha perdido no início”, — diz Sergey.
Agora, o chefe do grupo de monitoramento de incidentes em Nizhny Novgorod, Denis Grigoriev, lembra-se de seu primeiro dia na “Solar” com um sorriso. Um grupo de estudantes da Universidade Estadual de Nizhny Novgorod em homenagem a N.I. Lobachevsky na área de “Segurança da Informação de Sistemas de Telecomunicações” foi convidado para nossa filial em Nizhny Novgorod: mostraram o escritório, contaram sobre o que a empresa faz e convidaram para um estágio.
“Cheguei à 'Solar' como engenheiro na primeira linha de monitoramento. Alguns anos depois, tornei-me gerente regional, e as responsabilidades mudaram drasticamente: havia muito menos tarefas técnicas, mas o volume de trabalho gerencial aumentou, assim como o nível de responsabilidade”, — diz Denis.
Denis trabalha no Solar JSOC há mais de oito anos e, segundo ele, os engenheiros que sempre vêm com um novo problema interessante ou uma pergunta inesperada o ajudam a não se afogar na rotina gerencial.
Mas nem todos vêm até nós como novatos.
O chefe do grupo de gerenciamento de projetos externos do TsMRK, Vladimir Astashov, juntou-se ao JSOC com uma sólida experiência — ele tem muitos anos de oposição à inteligência técnica estrangeira no Instituto de Pesquisa Científica Central de Engenharia de Precisão e operação de ferramentas de proteção de informações em um grande integrador, seguido de uma imersão em atividades em torno da construção de um SOC interno. A experiência total é de mais de 13 anos, incluindo três anos na “Solar”. Um dos primeiros grandes projetos de Vladimir em nossa empresa foi a migração de um cliente do ArcSight para o KUMA — uma plataforma SIEM russa.
“Ouvi um podcast antes do SOC-forum e descobri que a 'Solar' prevê uma crise com fornecedores estrangeiros e está preparando uma SIEM alternativa. 'Que bom', pensei, 'gostaria de ver como isso é feito na infraestrutura real!'”, — ele lembra.
No fórum, Vladimir conheceu representantes da “Solar” e, alguns meses depois, já estava liderando este mesmo projeto. Os arquitetos do JSOC implantaram o componente principal do KUMA, configuraram os primeiros tenants, e Vladimir coordenou as partes interessadas. E também, junto com outras equipes, ele garantiu a proteção cibernética das eleições presidenciais de 2024.
“Muitas pessoas pensam que o gerente de projeto trabalha com um contrato e termos de referência. Mas esta é apenas a ponta do iceberg”, — diz ele. “Existem dezenas de partes interessadas em torno de qualquer projeto: o cliente, contratados, arquitetos, reguladores. Suas opiniões precisam ser ouvidas, levadas em consideração e, às vezes, gentilmente persuadidas. O contexto não é estático: hoje tudo está normal, e amanhã — escalada devido a mudanças nos requisitos. A tarefa do gerente de projeto é comunicar as mudanças em doses, para que a equipe não se queime, mas trabalhe”.
Por cinco anos, Vladimir ministrou palestras para estudantes do terceiro ano na Universidade Estadual de Tecnologia e Gerenciamento de Moscou em homenagem a K.G. Razumovsky e agora faz parte da comissão estadual de certificação da escola técnica. Durante seu trabalho em segurança da informação, ele formulou uma recomendação simples, mas importante, para iniciantes: “Escolha a área de segurança da informação que lhe interessa — e o progresso no estudo não demorará a chegar”.
Como é o dia de trabalho de um especialista do JSOC
Denis Grigoriev:
“O dia de trabalho regularmente traz surpresas, e muitas vezes você está envolvido em algo completamente diferente do que planejou. Na maioria das vezes, pela manhã você verifica o que aconteceu no turno da noite e se há alguma situação problemática que exija intervenção. Quando todos os problemas noturnos são resolvidos, você pode começar as tarefas diárias. Somos vários líderes regionais e executamos tarefas semelhantes por vez. Às vezes, isso é verificar e analisar relatórios diários, às vezes elaborar um cronograma para engenheiros de monitoramento (e são cerca de 100 pessoas) ou simplesmente controlar o que está acontecendo nas linhas. Também existem tarefas pontuais que são distribuídas entre os chefes de grupo. Por exemplo, ajudar um gerente de serviço a lidar com uma situação que ocorreu com um cliente, elaborar um esquema de trabalho personalizado para um novo cliente, reescrever as instruções para um processo de trabalho alterado e muito mais. Da mesma forma, você precisa encontrar tempo para se comunicar com a equipe, tanto em formato de conversa amigável na cozinha quanto em formato de reuniões 1-a-1. E sempre há espaço para pensar e implementar novas ideias. Ou pelo menos tentar automatizar parcialmente os processos de trabalho”.
Vladimir Astashov:
“Meu trabalho é ser capaz de definir metas e planejar como alcançá-las com os recursos disponíveis e dentro dos prazos necessários. O motor aqui é a responsabilidade pessoal pelo sucesso do projeto, é isso que o faz agir. Como resultado, meu dia de trabalho é uma comunicação contínua com todas as partes: definir uma tarefa, coletar feedback, verificar os prazos, entender o status, se necessário, ir para a escalada. Os componentes do coquetel 'Dia de Trabalho do RP' são sempre os mesmos, a única questão é em que proporções eles se misturarão hoje”.
Sergey Belichkov:
“O dia de trabalho começa com a verificação da linha no sistema de tickets e no mensageiro interno. A principal ferramenta é o SIEM. O engenheiro constrói canais de correlação por eventos — por exemplo, eventos 4625 (logons malsucedidos) — e analisa o contexto: host, conta, processos em execução (incluindo Mimikatz), sessões VPN, reputação de IP externo. Os tickets são classificados por SLA: Baixo (2 horas), Médio (1 hora), Alto (30 minutos). A criticidade é determinada não apenas pelo tipo de ataque, mas também pela conexão com outros eventos — por exemplo, força bruta em um delta com o lançamento de utilitários maliciosos se torna um incidente. Em média, 50 a 70 tickets são processados por turno, 90% do tempo é gasto em investigação e preparação de notificações para o cliente.
Se você está de plantão, então você simplesmente assume o turno do plantonista anterior e, em seguida, monitora a carga na linha, ou as correlações e respostas dos clientes sobre os tickets já notificados, tudo depende de qual plantonista você é”.
O que você recomendaria aos jovens especialistas?
Denis Grigoriev:
“Cerca de 90% dos novos funcionários do grupo de monitoramento de incidentes são estudantes, e a 'Solar' é o primeiro trabalho sério para eles. É claro que os jovens especialistas precisam aprender muito, precisam se adaptar e se acostumar com muitas coisas. Mas gostaria de enfatizar que, apesar da importância de construir uma carreira, você não pode esquecer de si mesmo e da vida fora do trabalho, pois no desejo de alcançar tudo e, de preferência, amanhã, é muito fácil se esforçar demais e se decepcionar com seu trabalho”.
Sergey Belichkov:
“No início do caminho, é difícil entender o que será útil no trabalho. Portanto, é importante levar a sério todo o conhecimento adquirido — mesmo que agora pareça desnecessário. Mais tarde, fica claro: quase qualquer informação encontra aplicação. Especialmente nos primeiros meses — quando há tempo para aprender, mas os resultados ainda não são exigidos. Quanto mais você absorver então, mais confiante você trabalhará mais tarde”.
Em vez de uma conclusão, perguntamos aos colegas o que os energiza e os motiva no trabalho
Denis Grigoriev:
“Inspira, como acredito, e a maioria das outras pessoas, quando algo funciona. Especialmente, se aconteceu exatamente como planejado, e se a ideia original era muito ambiciosa, então isso inspira muito a inventar e implementar algo mais”.
Vladimir Astashov:
“Eu gosto e me energiza — a responsabilidade pelo resultado e a oportunidade de influenciar diretamente o processo de trabalho. Participação em negociações complexas com o cliente, que exigem experiência técnica. A escala dos projetos implementados e sua complexidade. A consciência de que, graças à contribuição pessoal para a causa comum, o mundo cibernético está se tornando mais seguro”.
Sergey Belichkov:
“Energiza quando você lida com uma tarefa difícil, ganha nova experiência ou conhecimento e sabe com certeza que da próxima vez você fará algo semelhante com mais confiança. Bem, os indicadores finais do trimestre também motivam muito, mas apenas se forem bons”.
O centro de combate a ataques cibernéticos Solar JSOC é o primeiro e maior SOC comercial na Rússia. Está entre os TOP-5 MSSP (Managed Security Service Provider) europeus em termos de volume de negócios. Mais de 300 organizações de diferentes setores da economia estão sob a proteção do centro, e a equipe de especialistas em cibersegurança excede 750 pessoas. As regras, indicadores de comprometimento e assinaturas do SOC são continuamente enriquecidos com dados do centro de pesquisa Solar 4RAYS, que hoje acumula a maior base de conhecimento sobre ameaças cibernéticas na Rússia. Assim, a experiência do Solar JSOC ajuda a identificar e interromper rapidamente as tentativas de ataque, incluindo criminosos cibernéticos profissionais.
Tags:
solar
cibersegurança
soc
monitoramento
amenças cibernéticas
segurança da informação
Habr:
Blog da Empresa Solar
Segurança da Informação
Carreiras na Indústria de TI
0
0
0
32K+
Cobertura em 30 dias
Solar
Site
16K+
Cobertura em 30 dias
33
Karma
@SolarSecurity
Usuário
Assinar
Comentar
Melhores do dia
Semelhantes
🛡️⚡
Pare de pesquisar. Comece a hackear.
O MundiX é seu copiloto de pentest com IA: comandos exatos, análise de outputs e próximo passo na kill chain — em segundos.
Sem cartão para começar · Planos a partir de R$49/mês
32K+
Cobertura em 30 dias
Solar
111,88
Classificação
76 161
Assinantes
Assinar
SolarSecurity
Há 49 minutos
14 Anos de Solar JSOC: Quem Está por Trás da Defesa Contra Ameaças Cibernéticas no Maior SOC Comercial do País
8 min
1.6K
Blog da Empresa Solar
Segurança da Informação
*
Carreiras na Indústria de TI
No final dos anos 2000, a cibersegurança parecia ser algo bastante simples: um antivírus no endpoint, um firewall na periferia e um pentest uma vez por ano. Poucos poderiam imaginar que os hackers ficariam por muito tempo dentro das redes, mascarando-se como ações legítimas, e que o número de ataques à infraestrutura crítica excederia todos os limites imagináveis.
A ideia de criar um centro comercial de monitoramento de ameaças surgiu em 2009 — como uma premonição da crescente complexidade dos ataques. Em abril de 2012, ela se materializou em um projeto específico. Foi então que o JSOC surgiu como Jet Security Operations Center — um projeto da empresa “Infosystems Jet”, ou seja, mesmo antes da fundação da própria “Solar”. Mais tarde, ele se transformou em um SOC comercial sob a marca Solar, e a letra “J” no nome foi preservada como uma homenagem à história.
Hoje, o Solar JSOC é o maior centro comercial de monitoramento e resposta a ataques cibernéticos na Rússia e está entre os cinco maiores provedores de serviços gerenciados de cibersegurança na Europa. Diariamente, processamos mais de 200 bilhões de eventos de segurança da informação, protegendo mais de 1.500 clientes dos setores público, financeiro e de negócios de todos os tamanhos. O trabalho é realizado 24 horas por dia, 7 dias por semana. Neste material, contaremos como surgiu a ideia de criar o JSOC e como seus especialistas trabalham.
Em 2012, tudo começou com dois tipos de clientes e uma pergunta simples: como proteger os negócios sem forçá-los a comprar hardware? No início, a equipe se concentrou no setor bancário e no varejo. As organizações de crédito e finanças já eram maduras o suficiente na área de segurança da informação, mas a fraude permaneceu (e permanece) uma ameaça constante. Foi precisamente essa lógica — resolver problemas reais de negócios, e não apenas fornecer ferramentas — que formou a base do JSOC.
“Um certo impulsionador para a transição do serviço por cliente para o serviço em massa foi a sensação de demanda do mercado. Tivemos um diálogo com cinco ou seis clientes, onde eles disseram que gostariam de obter um serviço 'chave na mão', tudo em um só lugar, onde não há despesas de capital, mas há licenças e equipamentos que são fornecidos para aluguel <…> Mas então percebemos que era necessário passar de serviços pontuais prestados a clientes específicos para serviços regulares”, — disse Vladimir Dryukov, diretor do centro de combate a ataques cibernéticos Solar JSOC, logo após o surgimento do JSOC.
Hoje, quando o monitoramento de ameaças cibernéticas, por definição, só pode ser 24 horas por dia, é interessante lembrar nosso ciclo de artigos no Habré sobre o JSOC de setembro de 2016 (lá você também pode encontrar as conclusões que nosso centro fez nos primeiros meses):
“Na fase inicial, a equipe do JSOC consistia em três pessoas: dois engenheiros de monitoramento, cobrindo o intervalo de tempo das 8h às 22h, e um analista/administrador, que estava envolvido no desenvolvimento de regras. O SLA para o serviço, designado aos clientes, também era bastante flexível: o tempo de reação a um incidente detectado — até 30 minutos, o tempo para análise, preparação de um relatório analítico e informação ao cliente — até 2 horas”.
Em 14 anos, a tecnologia mudou, novos fornecedores e players apareceram no mercado. Centenas de especialistas agora trabalham no JSOC, mas a abordagem, que se baseia em pessoas, permaneceu a mesma. Alguns vêm até nós como profissionais experientes da indústria de defesa, outros — de áreas distantes da segurança da informação, e outros — diretamente de suas especialidades da universidade. E cada um tem sua própria história.
Por exemplo, antes de entrar no JSOC, o engenheiro da primeira linha de monitoramento, Sergey Belichkov, trabalhou como farmacêutico por oito anos. A transição para a segurança da informação levou um ano e meio de auto-preparação e estágios, e a própria mudança de profissão exigiu uma decisão consciente de perder temporariamente na renda pelo bem do crescimento futuro. Ele trabalha em nossa empresa há mais de dois anos.
“Levei cerca de um ano e meio para entrar na profissão, se contarmos o estágio. Antes disso, perguntei a conhecidos da indústria o que precisava saber para me preparar. A base são redes e o modelo OSI, os cursos em vídeo de Andrey Sozykin são bons aqui. Em seguida, pesquisei no Google. No primeiro estágio, não cheguei nem à metade do caminho, mas entendi o que precisava estudar mais profundamente: anotei Kerberos, MITRE ATT&CK em um bloco de notas — e gradualmente entendi. Não consegui concluir o segundo estágio também devido à falta de tempo, pois continuei trabalhando. Então, reservei propositadamente fundos, pedi demissão e fui para o terceiro estágio já totalmente focado. Quando tive mais tempo — tudo correu bem. O conhecimento mais importante foi dado pelo estágio — ele ajudou a entender onde cavar mais fundo. E quando entrei na empresa, ficou ainda mais fácil expandir meu conhecimento: há muitas pessoas experientes por perto que estão sempre prontas para ajudar e explicar. Nunca me arrependi de ter mudado de profissão, mesmo que financeiramente tenha perdido no início”, — diz Sergey.
Agora, o chefe do grupo de monitoramento de incidentes em Nizhny Novgorod, Denis Grigoriev, lembra-se de seu primeiro dia na “Solar” com um sorriso. Um grupo de estudantes da Universidade Estadual de Nizhny Novgorod em homenagem a N.I. Lobachevsky na área de “Segurança da Informação de Sistemas de Telecomunicações” foi convidado para nossa filial em Nizhny Novgorod: mostraram o escritório, contaram sobre o que a empresa faz e convidaram para um estágio.
“Cheguei à 'Solar' como engenheiro na primeira linha de monitoramento. Alguns anos depois, tornei-me gerente regional, e as responsabilidades mudaram drasticamente: havia muito menos tarefas técnicas, mas o volume de trabalho gerencial aumentou, assim como o nível de responsabilidade”, — diz Denis.
Denis trabalha no Solar JSOC há mais de oito anos e, segundo ele, os engenheiros que sempre vêm com um novo problema interessante ou uma pergunta inesperada o ajudam a não se afogar na rotina gerencial.
Mas nem todos vêm até nós como novatos.
O chefe do grupo de gerenciamento de projetos externos do TsMRK, Vladimir Astashov, juntou-se ao JSOC com uma sólida experiência — ele tem muitos anos de oposição à inteligência técnica estrangeira no Instituto de Pesquisa Científica Central de Engenharia de Precisão e operação de ferramentas de proteção de informações em um grande integrador, seguido de uma imersão em atividades em torno da construção de um SOC interno. A experiência total é de mais de 13 anos, incluindo três anos na “Solar”. Um dos primeiros grandes projetos de Vladimir em nossa empresa foi a migração de um cliente do ArcSight para o KUMA — uma plataforma SIEM russa.
“Ouvi um podcast antes do SOC-forum e descobri que a 'Solar' prevê uma crise com fornecedores estrangeiros e está preparando uma SIEM alternativa. 'Que bom', pensei, 'gostaria de ver como isso é feito na infraestrutura real!'”, — ele lembra.
No fórum, Vladimir conheceu representantes da “Solar” e, alguns meses depois, já estava liderando este mesmo projeto. Os arquitetos do JSOC implantaram o componente principal do KUMA, configuraram os primeiros tenants, e Vladimir coordenou as partes interessadas. E também, junto com outras equipes, ele garantiu a proteção cibernética das eleições presidenciais de 2024.
“Muitas pessoas pensam que o gerente de projeto trabalha com um contrato e termos de referência. Mas esta é apenas a ponta do iceberg”, — diz ele. “Existem dezenas de partes interessadas em torno de qualquer projeto: o cliente, contratados, arquitetos, reguladores. Suas opiniões precisam ser ouvidas, levadas em consideração e, às vezes, gentilmente persuadidas. O contexto não é estático: hoje tudo está normal, e amanhã — escalada devido a mudanças nos requisitos. A tarefa do gerente de projeto é comunicar as mudanças em doses, para que a equipe não se queime, mas trabalhe”.
Por cinco anos, Vladimir ministrou palestras para estudantes do terceiro ano na Universidade Estadual de Tecnologia e Gerenciamento de Moscou em homenagem a K.G. Razumovsky e agora faz parte da comissão estadual de certificação da escola técnica. Durante seu trabalho em segurança da informação, ele formulou uma recomendação simples, mas importante, para iniciantes: “Escolha a área de segurança da informação que lhe interessa — e o progresso no estudo não demorará a chegar”.
Como é o dia de trabalho de um especialista do JSOC
Denis Grigoriev:
“O dia de trabalho regularmente traz surpresas, e muitas vezes você está envolvido em algo completamente diferente do que planejou. Na maioria das vezes, pela manhã você verifica o que aconteceu no turno da noite e se há alguma situação problemática que exija intervenção. Quando todos os problemas noturnos são resolvidos, você pode começar as tarefas diárias. Somos vários líderes regionais e executamos tarefas semelhantes por vez. Às vezes, isso é verificar e analisar relatórios diários, às vezes elaborar um cronograma para engenheiros de monitoramento (e são cerca de 100 pessoas) ou simplesmente controlar o que está acontecendo nas linhas. Também existem tarefas pontuais que são distribuídas entre os chefes de grupo. Por exemplo, ajudar um gerente de serviço a lidar com uma situação que ocorreu com um cliente, elaborar um esquema de trabalho personalizado para um novo cliente, reescrever as instruções para um processo de trabalho alterado e muito mais. Da mesma forma, você precisa encontrar tempo para se comunicar com a equipe, tanto em formato de conversa amigável na cozinha quanto em formato de reuniões 1-a-1. E sempre há espaço para pensar e implementar novas ideias. Ou pelo menos tentar automatizar parcialmente os processos de trabalho”.
Vladimir Astashov:
“Meu trabalho é ser capaz de definir metas e planejar como alcançá-las com os recursos disponíveis e dentro dos prazos necessários. O motor aqui é a responsabilidade pessoal pelo sucesso do projeto, é isso que o faz agir. Como resultado, meu dia de trabalho é uma comunicação contínua com todas as partes: definir uma tarefa, coletar feedback, verificar os prazos, entender o status, se necessário, ir para a escalada. Os componentes do coquetel 'Dia de Trabalho do RP' são sempre os mesmos, a única questão é em que proporções eles se misturarão hoje”.
Sergey Belichkov:
“O dia de trabalho começa com a verificação da linha no sistema de tickets e no mensageiro interno. A principal ferramenta é o SIEM. O engenheiro constrói canais de correlação por eventos — por exemplo, eventos 4625 (logons malsucedidos) — e analisa o contexto: host, conta, processos em execução (incluindo Mimikatz), sessões VPN, reputação de IP externo. Os tickets são classificados por SLA: Baixo (2 horas), Médio (1 hora), Alto (30 minutos). A criticidade é determinada não apenas pelo tipo de ataque, mas também pela conexão com outros eventos — por exemplo, força bruta em um delta com o lançamento de utilitários maliciosos se torna um incidente. Em média, 50 a 70 tickets são processados por turno, 90% do tempo é gasto em investigação e preparação de notificações para o cliente.
Se você está de plantão, então você simplesmente assume o turno do plantonista anterior e, em seguida, monitora a carga na linha, ou as correlações e respostas dos clientes sobre os tickets já notificados, tudo depende de qual plantonista você é”.
O que você recomendaria aos jovens especialistas?
Denis Grigoriev:
“Cerca de 90% dos novos funcionários do grupo de monitoramento de incidentes são estudantes, e a 'Solar' é o primeiro trabalho sério para eles. É claro que os jovens especialistas precisam aprender muito, precisam se adaptar e se acostumar com muitas coisas. Mas gostaria de enfatizar que, apesar da importância de construir uma carreira, você não pode esquecer de si mesmo e da vida fora do trabalho, pois no desejo de alcançar tudo e, de preferência, amanhã, é muito fácil se esforçar demais e se decepcionar com seu trabalho”.
Sergey Belichkov:
“No início do caminho, é difícil entender o que será útil no trabalho. Portanto, é importante levar a sério todo o conhecimento adquirido — mesmo que agora pareça desnecessário. Mais tarde, fica claro: quase qualquer informação encontra aplicação. Especialmente nos primeiros meses — quando há tempo para aprender, mas os resultados ainda não são exigidos. Quanto mais você absorver então, mais confiante você trabalhará mais tarde”.
Em vez de uma conclusão, perguntamos aos colegas o que os energiza e os motiva no trabalho
Denis Grigoriev:
“Inspira, como acredito, e a maioria das outras pessoas, quando algo funciona. Especialmente, se aconteceu exatamente como planejado, e se a ideia original era muito ambiciosa, então isso inspira muito a inventar e implementar algo mais”.
Vladimir Astashov:
“Eu gosto e me energiza — a responsabilidade pelo resultado e a oportunidade de influenciar diretamente o processo de trabalho. Participação em negociações complexas com o cliente, que exigem experiência técnica. A escala dos projetos implementados e sua complexidade. A consciência de que, graças à contribuição pessoal para a causa comum, o mundo cibernético está se tornando mais seguro”.
Sergey Belichkov:
“Energiza quando você lida com uma tarefa difícil, ganha nova experiência ou conhecimento e sabe com certeza que da próxima vez você fará algo semelhante com mais confiança. Bem, os indicadores finais do trimestre também motivam muito, mas apenas se forem bons”.
O centro de combate a ataques cibernéticos Solar JSOC é o primeiro e maior SOC comercial na Rússia. Está entre os TOP-5 MSSP (Managed Security Service Provider) europeus em termos de volume de negócios. Mais de 300 organizações de diferentes setores da economia estão sob a proteção do centro, e a equipe de especialistas em cibersegurança excede 750 pessoas. As regras, indicadores de comprometimento e assinaturas do SOC são continuamente enriquecidos com dados do centro de pesquisa Solar 4RAYS, que hoje acumula a maior base de conhecimento sobre ameaças cibernéticas na Rússia. Assim, a experiência do Solar JSOC ajuda a identificar e interromper rapidamente as tentativas de ataque, incluindo criminosos cibernéticos profissionais.
Tags:
solar
cibersegurança
soc
monitoramento
amenças cibernéticas
segurança da informação
Habr:
Blog da Empresa Solar
Segurança da Informação
Carreiras na Indústria de TI
0
0
0
32K+
Cobertura em 30 dias
Solar
Site
16K+
Cobertura em 30 dias
33
Karma
@SolarSecurity
Usuário
Assinar
Comentar
Melhores do dia
Semelhantes
📤 Compartilhar & Baixar
🧰 Ferramentas recomendadas
Divulgação: alguns links são patrocinados. Podemos receber comissão se você comprar — sem custo extra para você. Só indicamos o que faz sentido para a comunidade.
