Odd Hellsaeus är senior cyberarkitekt på IT-Total och en av de mest seniora medarbetarna på företagets SOC, eller Security Operations Center. Han har ofta ett hektiskt schema, men vi fick möjlighet att låna honom en stund för en intervju.

För någon som inte vet, vad är en SOC?
Vår SOC:s huvudsyfte är att övervaka våra kunders IT-miljöer, vi erbjuder den tjänsten. Riktigt stora organisationer har i regel en egen SOC, eller Security Operations Center, och då övervakar de sin egen miljö. Men de flesta organisationer har inte den möjligheten eftersom det kräver mycket arbete och är förknippat med stora kostnader. Övervakningen sker ju dygnet runt året runt för att kunna hantera incidenter snabbt.

Det man tittar efter är avvikelser, sånt som normalt inte höra hemma i nätverket. Idag är det inte helt trivialt. Det handlar väldigt sällan om ett enda nätverk, det är många och ofta komplexa nätverk.

Pandemin innebar en jätteutmaning för alla som jobbar inom den här sektorn.

Pandemin innebar en jätteutmaning för alla som jobbar inom den här sektorn. Helt plötsligt skulle alla sitta hemma och jobba samtidigt som systemen givetvis skulle fungera på ett tillförlitligt och säkert sätt. Det blev en stor belastning på alla system och mycket hårdvara byttes ut.

Så hur ser arbetet ut på en SOC?
I vårt fall handlar det om en relativt liten SOC så vi har ett tajt team. Vi jobbar 24/7 och har en beredskapsfunktion med en person som har jour. Annars är det vanliga kontorstider men, givetvis, sker det en incident så kan det vara så att man får jobba extra.

Sen handlar det också om analysarbete och för oss går det lite ihop med andra arbetsuppgifter. I stora SOC:ar är det mer uppdelat. Då jobbar man i olika nivåer, eller "tiers", i SOC:en baserat på kunskapsnivå. På så sätt kan en mindre SOC vara lite roligare, då man får se och lära sig mycket över hela spektrat. Vi delar mer på arbetsuppgifterna och samarbetar i alla steg. Det blir mer variation och jag tycker det blir mer team-känsla också.

De vanligaste ärendena som kommer in kan vi stänga fort, det här är saker vi ser ofta. Men det kan också komma in ärenden som är mer komplexa. Här finns det egentligen inget stopp på när du "är färdig". Det handlar mer om hur nyfiken du är. Hur djupt kan du gå i kaninhålet? Det här tycker jag gör jobbet kul, utmanande och intressant.

soc-odd.webp

Odd Hellsaeus är senior cyberarkitekt på IT-Total och en av de mest seniora medarbetarna på företagets SOC, eller Security Operations Center.

Vad jobbar du med just nu och hur kan en typisk dag se ut?
Just nu jobbar jag främst med förbättring av våra system. Vi har till exempel olika lösningar som EDR, Endpoint Detection Response och SIEM, Security Information and Event Management.

Med EDR övervakar vi löpande slutanvändarnas enheter för att upptäcka och svara mot exempelvis ransomware och malware. SIEM är ett sätt att upptäcka, analysera och svara på säkerhetshot innan de hinner skada företagets verksamhet. Så det är en del av det jag jobbar med, men jag jobbar även med nätverkssäkerhet och hjälper till med SOC-ärenden. Sen jobbar vi givetvis också med sandbox-verktyg, IPS, Intrusion Prevention System och IDS, Intrusion Detection System för att upptäcka och förhindra angrepp och klassiska verktyg som applikationsbrandväggar och olika antivirus-motorer. Ett tips på en bra och gratis sandbox är svenska Recorded Futures Triage.

En typisk dag går vi igenom ärenden direkt på morgonen. Här har vi ett prioriteringssystem och ligger det flera ärenden så går man enligt prio och tar det som är viktigast först och börjar jobba med det efter bästa förmåga. Ibland kan vi behöva vara fler som hjälps åt, det beror såklart på vad det är för ärenden. Vissa går fort, andra tar längre tid.

Ofta mynnar det ut i att vi gör en förbättring av systemet: "här kan vi göra mer, här kan vi trimma". Vi kan se en händelse, vilket gör att vi upptäcker något annat på vägen. På så sätt kan ett ärende börja men en sak men mynna ut i något annat. Det här tycker jag gör arbetet roligt och omväxlande.

Vill du bli kollega med Odd? Just nu söker IT-Total fler personer till SOC:en. Läs mer om och sök tjänsten som SOC Engineer här.

Vilka kunskaper och vilken utbildning bör man ha för att jobba på en SOC? Bör man vara på något visst sätt som person?
I första hand behöver du vara analytisk, jag tycker att det är en grundförutsättning att man är lagd åt det hållet. Sen handlar det om nyfikenhet, det är absolut en viktig egenskap och om att vara kreativ. De här tre pelarna är de viktigaste i min mening.

Hur tänker de och varför, vad vill de åt?

Det handlar om att kunna sätta sig in i angriparens situation och ställa frågor i stil med: Hur tänker de och varför, vad vill de åt? Varför händer det här just nu och hur händer det?

I fråga om utbildning så är det väldigt olika. Att ha gått data- och systemvetenskap är jättebra men det finns också de som är mer eller mindre självlärda. Har man varit i branschen ett tag är det en fördel om man har gått utbildningar från leverantörer, i vårt fall jobbar vi till exempel nära Aruba, eller kan komma in från utvecklar-hållet. Det är väldigt positivt om man kan programmera lite eller gillar att läsa och analysera kod.

Sen jobbar ju vi i team och det är viktigt att ha kompetens från många olika håll. Det är en fördel att ha olika perspektiv, bakgrund och ålder. Är man yngre kanske man ser saker på ett helt annat sätt än någon som är äldre och har mer erfarenhet. Båda behövs.

Om man är nyfiken på cyberarbete så kan jag tipsa om TryHackMe. Här kan man utbilda sig och tävla gratis på olika nivåer. Det är en bra början för att se om man gillar det eller om man redan är kunnig eller vill utveckla sig inom ett annat område.

ZXSpectrum48k.jpg

För Odd började datorintresset med att hans brorsa tog hem en Sinclair ZX Spectrum. Då fattade han ingenting om hur den fungerade men såg vad maskinen kunde åstadkomma.

Hur kom det sig att du fastnade för det här yrket? Vad är din bakgrund och ditt teknikintresse?
Jag kom från ett helt annat håll eftersom jag jobbade inom grafisk industri från början. Men jag har alltid haft ett stort teknikintresse. Jag fick en ren IT-tjänst för 23 år sedan och sen 2008 har jag mer eller mindre bara jobbat med säkerhet.

I mitten av 2000-talet ökade min nyfikenhet på det här området eftersom jag såg att kraven då började öka rejält. Här någonstans började jag jobba med brandväggar och sen har det spridit sig till fler områden inom IT-säkerhet. Idag är det ett jättestort område. Det finns så många olika delar inom "cyber".

Sen skaffade en kompis PC, innan jag gjorde det själv, och jag kom in i BBS-världen. Det blev dyrt.

Mitt teknikintresse började som för så många andra med gaming vilket ledde till att bygga datorer. Det började med att min brorsa tog hem en Sinclair ZX Spectrum. Jag fattade ingenting om hur den fungerade men jag såg vad maskinen kunde åstadkomma. Det här var på 80-talet och starten för mitt intresse. Sen skaffade en kompis PC, innan jag gjorde det själv, och jag kom in i BBS-världen. Det blev dyrt. Vi ringde andra länder, som till USA. Vi hade ingen aning om att det kostade pengar. Sen kom den där 3-månaders fakturan… Jag tror den var på 30,000 kronor. Vi fick inte koppla upp oss på datorn på bra länge efter det kan jag säga. Det var såklart dumt, men fanns inga spärrar på den tiden. Det var så nytt.

En tid senare fick jag jobb hos en datorleverantör. Jag började tjäna egna pengar och byggde så småningom min första PC själv, då var jag 19-20 år. Det var extremt roligt och sen dess har det blivit många burkar byggda. I och med det här kom jag givetvis i kontakt med SweClockers och har läst på forumet länge, men jag är faktiskt inte medlem. Ett tips om du också var med på den här tiden är att följa Instagramkontot PC_user_486, det är en rejält nostalgikick.

IMG_7905.jpg

I första hand behöver du vara analytisk, Odd tycker att det är en grundförutsättning att man är lagd åt det hållet för att jobba på en SOC.

Vad är det du tycker är spännande med jobbet?
Det skulle jag säga är att det utvecklas konstant och man ser nya saker hela tiden. Det är ett varierande jobb. När det kommer ny teknik så kommer också nya sårbarheter och olika sätt att använda det på dåligt sätt.

Är det här yrket viktigt? På vilket sätt gör man skillnad?
Det är klart att jag känner att det är viktigt. Vi är så beroende av olika IT-system idag. De måste vara tillgängliga, så självklart har jag en känsla av att jag gör någonting bra och är på rätt sida.

Det har hänt väldigt mycket inom det här området. Idag är det på hög politisk nivå med stater som utför cyberangrepp mot varandra. Visst finns det fortfarande en klick som vill tjäna pengar, rena brottslingar, men de är egentligen inte det största problemet. Ofta är det andra intressen som ligger bakom.

Beskriv känslan när en incident sker och ni kan sätta igång med arbetet?
Det blir ett pirr. Är det något ordentligt så hajar alla till och det blir lite känslan av ett ”war room” av det då. Vi känner varandra så pass väl så vi märker om det är något större på gång. Det är en häftig känsla.

Odd tittar på klockan. Plikten kallar och han måste tillbaks till arbetet på SOC:en. Vi tackar för en bra och väldigt lärorik pratstund!

Sponsras av IT-Total

IT-TOTAL.png

Den här artikeln sponsras av IT-Total, som just nu söker säkerhetsmedvetna nätverkstekniker. Har du ett stort intresse för nätverk och säkerhet? Då kan du vara den person de söker. Det viktiga är inte att ha ett flådigt CV, utan praktiska kunskaper och ett starkt driv. Läs mer om vilka tjänster som finns lediga.