Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Alternatywne, neutralne płciowo nazwy dla stanowiska: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Polskie propozycje

• Specjalista/Specjalistka ds. cyber threat intelligence (CTI)
• Analityk/Analityczka ds. informacji o cyberzagrożeniach
• Osoba na stanowisku specjalisty ds. wywiadu o cyberzagrożeniach
• Kandydat/Kandydatka na stanowisko specjalisty ds. analizy cyberzagrożeń
• Specjalista/Specjalistka ds. analizy TTP i aktorów zagrożeń

Angielskie propozycje

• Cyber Threat Intelligence Specialist
• Threat Intelligence Analyst

Zarobki na stanowisku Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

W zależności od doświadczenia możesz liczyć na zarobki od ok. 10 000 do 25 000 PLN brutto miesięcznie (w dużych miastach i sektorach regulowanych zdarzają się stawki wyższe). Na poziomie juniorskim typowe widełki są niższe, natomiast seniorzy i osoby z kompetencjami łączącymi CTI z IR/SOC lub inżynierią detekcji osiągają górne zakresy.

Na wynagrodzenie wpływają m.in.:

• Doświadczenie zawodowe (CTI, SOC, IR, analiza malware, threat hunting)
• Region/miasto (Warszawa, Kraków, Wrocław, Trójmiasto vs. mniejsze ośrodki)
• Branża/sektor (bankowość, telco, energetyka, administracja, dostawcy usług bezpieczeństwa)
• Certyfikaty i specjalizacje (np. GCTI, Security+, CISSP, GIAC, OSINT, malware)
• Zakres odpowiedzialności (budowa programu CTI, briefingi dla zarządu, praca z danymi niepublicznymi)
• Model pracy i rozliczeń (UoP vs. B2B, dyżury on-call, premie)
• Znajomość języków (angielski na poziomie swobodnej pracy, czasem inne języki)

Formy zatrudnienia i rozliczania: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

W Polsce najczęściej spotkasz tę rolę w zespołach cyberbezpieczeństwa dużych organizacji (wewnętrzne działy bezpieczeństwa) lub u dostawców usług (MSSP/SOC). Model pracy bywa hybrydowy albo zdalny, ale część pracodawców (zwłaszcza sektor regulowany) preferuje pracę z biura lub w trybie mieszanym.

• Umowa o pracę (pełny etat; rzadziej część etatu, zwykle w ramach większego zespołu SOC/CSIRT)
• Umowa zlecenie / umowa o dzieło (sporadycznie, raczej do projektów: raporty, analizy, szkolenia)
• Działalność gospodarcza (B2B) (częsta w IT/cyber, szczególnie przy pracy projektowej lub konsultingu)
• Praca tymczasowa / sezonowa (rzadko; czasem wsparcie przy wdrożeniach, audytach, budowie feedów CTI)
• Inne: kontrakty konsultingowe, retainer (stała gotowość i wsparcie dla klienta)

Typowe formy rozliczania to miesięczna stawka (UoP/B2B) oraz stawka dzienna/godzinowa w konsultingu; w części firm występują premie roczne, uznaniowe oraz dodatki za dyżury on-call.

Zadania i obowiązki na stanowisku Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Zakres obowiązków obejmuje budowę i prowadzenie procesu CTI: od pozyskania danych, przez analizę i walidację, po przekazanie rekomendacji, które można wdrożyć w detekcjach i zabezpieczeniach.

• Opracowywanie i rozwijanie strategii CTI w organizacji (cele, priorytety, odbiorcy, metryki)
• Projektowanie procedur pozyskiwania, klasyfikacji i dystrybucji informacji o zagrożeniach
• Zbieranie danych z OSINT, źródeł komercyjnych i społecznościowych oraz źródeł wewnętrznych (logi, incydenty, telemetry)
• Walidacja i korelacja danych (np. IoC), ocena wiarygodności źródeł i jakości informacji
• Identyfikowanie i ocena aktorów zagrożeń istotnych dla organizacji (motywacje, cele, możliwości)
• Analiza TTP i mapowanie do MITRE ATT&CK, przygotowanie hipotez detekcyjnych
• Tworzenie raportów taktycznych/operacyjnych/strategicznych oraz briefingów dla interesariuszy
• Wsparcie SOC/CSIRT w triage incydentów i priorytetyzacji alarmów na podstawie kontekstu CTI
• Rekomendowanie działań ograniczających ryzyko (hardening, polityki, blokady, poprawa detekcji)
• Koordynacja wymiany informacji o zagrożeniach z partnerami, dostawcami, CERT/CSIRT (w ramach uprawnień)
• Dbanie o zgodność działań z prawem, etyką, tajemnicą przedsiębiorstwa i zasadami przetwarzania danych
• Współpraca z działem prawnym, audytem, IT i zarządzaniem ryzykiem przy ocenie skutków i priorytetów

Wymagane umiejętności i kwalifikacje: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Wymagane wykształcenie

• Najczęściej: wyższe (informatyka, cyberbezpieczeństwo, teleinformatyka, automatyka i robotyka, matematyka stosowana, analiza danych) lub równoważne doświadczenie praktyczne
• Atutem są studia podyplomowe z cyberbezpieczeństwa/zarządzania ryzykiem/analizy danych

Kompetencje twarde

• Podstawy cyberbezpieczeństwa: sieci (TCP/IP, DNS, HTTP), systemy Windows/Linux, IAM
• Rozumienie ataków i obrony: phishing, malware, ransomware, exploity, lateral movement
• OSINT i tradecraft analityczny: selekcja źródeł, ocena wiarygodności, weryfikacja informacji
• Znajomość MITRE ATT&CK, kill chain, typowych TTP i sposobów mapowania do detekcji
• Analiza IoC (hash, domeny, IP, URL), kontekstualizacja i ograniczanie false positives
• Podstawy pracy z SIEM/EDR oraz zapytań analitycznych (np. KQL/SPL/SQL – zależnie od środowiska)
• Automatyzacja i skrypty (często: Python, bash, podstawy API) oraz praca z formatami STIX/TAXII (mile widziane)
• Umiejętność tworzenia raportów: jasne wnioski, rekomendacje, poziomy pewności, priorytety
• Bardzo dobry angielski (czytanie raportów, komunikacja, analiza źródeł)

Kompetencje miękkie

• Myślenie analityczne i krytyczne, cierpliwość oraz dociekliwość
• Komunikacja z różnymi odbiorcami (SOC/IT vs. biznes/zarząd)
• Umiejętność priorytetyzacji i pracy pod presją czasu (np. podczas incydentu)
• Rzetelność, dyskrecja, etyka i odpowiedzialność za informację
• Współpraca zespołowa i zdolność do koordynacji między działami

Certyfikaty i licencje

• GIAC GCTI (Cyber Threat Intelligence) lub inne certyfikaty GIAC (zależnie od profilu)
• CompTIA Security+ (baza), CySA+ (analityka bezpieczeństwa)
• CISSP (dla bardziej doświadczonych, szersza perspektywa)
• Szkolenia/certyfikaty OSINT (różnych dostawców), kursy analizy malware (opcjonalnie)
• Certyfikacje dostawców narzędzi (np. SIEM/EDR) – zależnie od miejsca pracy

Specjalizacje i ścieżki awansu: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Warianty specjalizacji

• CTI taktyczne – szybka praca na IoC, wsparcie SOC w bieżących alarmach i blokadach
• CTI operacyjne – profilowanie aktorów, kampanii i TTP, budowanie kontekstu do polowań i detekcji
• CTI strategiczne – ocena ryzyka, raporty dla zarządu, trendy, rekomendacje inwestycyjne i polityki
• Brand/Digital Risk Intelligence – monitoring wycieków, podszywania się pod markę, dark web, fraud
• Detekcja i inżynieria przypadków użycia – przekładanie CTI na reguły SIEM/EDR i scenariusze detekcji

Poziomy stanowisk

• Junior / Początkujący – wsparcie zbierania danych, proste analizy IoC, przygotowanie notatek i krótkich raportów
• Mid / Samodzielny – prowadzenie analiz TTP/aktorów, regularne raportowanie, współpraca z SOC/IR
• Senior / Ekspert – projektowanie programu CTI, budowa wymiany informacji, mentoring, wpływ na strategię detekcji
• Kierownik / Manager – zarządzanie zespołem CTI, budżetem, priorytetami, komunikacją z zarządem i audytem

Możliwości awansu

Typowa ścieżka to przejście od analityka bezpieczeństwa (SOC/IR) do samodzielnej roli CTI, następnie do seniora budującego procesy i standardy raportowania. Częsty rozwój to kierunek threat hunting/detection engineering, architektura bezpieczeństwa lub stanowiska liderskie w CSIRT/SOC (np. CTI Lead, SOC Lead, Security Manager). W organizacjach międzynarodowych możliwy jest awans do ról globalnych, obejmujących region CEE/EMEA.

Ryzyka i wyzwania w pracy: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Zagrożenia zawodowe

• Przeciążenie informacyjne i ryzyko błędów w ocenie wiarygodności danych (dużo szumu, mało sygnału)
• Stres i nadgodziny w okresach aktywnych incydentów oraz przy presji szybkich rekomendacji
• Ryzyko naruszenia poufności (praca na danych wrażliwych, objętych tajemnicą przedsiębiorstwa)
• Ryzyko wypalenia zawodowego wynikające z ciągłej ekspozycji na negatywne scenariusze i presję

Wyzwania w pracy

• Przekładanie języka technicznego na decyzje biznesowe (co zrobić, za ile i dlaczego teraz)
• Utrzymanie jakości CTI: metodyka, poziom pewności, mierzenie skuteczności
• Integracja CTI z procesami SOC/IR (żeby informacje faktycznie zmieniały detekcje i reakcję)
• Szybko zmieniające się TTP i narzędzia atakujących, konieczność stałego uczenia się

Aspekty prawne

W pracy istotne są zasady ochrony danych i poufności oraz zgodność z regulacjami obowiązującymi w danym sektorze. Przy wymianie informacji o incydentach i zagrożeniach trzeba dbać o podstawy prawne udostępniania danych, minimalizację oraz właściwe upoważnienia. W organizacjach regulowanych ważne są też procedury audytowe, retencja danych i wymagania dotyczące raportowania incydentów.

Perspektywy zawodowe: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Zapotrzebowanie na rynku pracy

Zapotrzebowanie na specjalistów CTI w Polsce rośnie. Wynika to z eskalacji zagrożeń (w tym ransomware i ataków na łańcuch dostaw), rosnących wymagań compliance w sektorach regulowanych oraz potrzeby szybszego podejmowania decyzji o ryzyku. Coraz więcej firm buduje wewnętrzne zespoły SOC/CSIRT i potrzebuje kontekstu wywiadowczego, który zwiększa skuteczność detekcji i reakcji.

Wpływ sztucznej inteligencji

AI jest przede wszystkim szansą: automatyzuje wstępne podsumowania, klasteryzację kampanii, deduplikację IoC i tłumaczenia oraz pomaga szybciej przeszukiwać duże zbiory danych. Nie zastępuje jednak kluczowych elementów pracy CTI: oceny wiarygodności, rozumienia kontekstu organizacji, priorytetyzacji ryzyka i komunikacji z interesariuszami. Rola będzie przesuwać się w stronę nadzoru nad jakością danych, projektowania workflow, weryfikacji wniosków modelu i łączenia CTI z detekcją/reakcją.

Trendy rynkowe

Widoczne trendy to: większa integracja CTI z inżynierią detekcji (Detection Engineering), automatyzacja przez SOAR i API, standaryzacja wymiany danych (STIX/TAXII), większy nacisk na ryzyko biznesowe (raporty strategiczne) oraz rozwój obszarów typu Digital Risk Protection (monitoring podszywania się pod markę i wycieków). Rośnie też znaczenie współpracy międzyorganizacyjnej (branżowe grupy wymiany informacji, CSIRT/CERT) oraz potrzeba mierzenia efektywności CTI (metryki, SLA, wpływ na redukcję ryzyka).

Typowy dzień pracy: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Typowy dzień łączy pracę analityczną (monitoring i weryfikacja informacji), przygotowanie komunikatów dla zespołów technicznych oraz raportowanie wniosków dla biznesu. Harmonogram zależy od tego, czy organizacja jest w trybie „business as usual”, czy obsługuje aktywny incydent.

• Poranne obowiązki: przegląd alertów i doniesień z kanałów CTI/OSINT, weryfikacja ważnych informacji dla branży i organizacji
• Główne zadania w ciągu dnia: korelacja danych (IoC/TTP) z telemetryką wewnętrzną, analiza kampanii i aktorów, aktualizacja ocen ryzyka
• Spotkania, komunikacja: krótkie synchronizacje z SOC/CSIRT, przekazanie rekomendacji (np. blokady, reguły detekcji, hunting)
• Zakończenie dnia: przygotowanie notatki/raportu dziennego lub tygodniowego, aktualizacja bazy wiedzy i backlogu tematów

Narzędzia i technologie: Specjalista do spraw pozyskiwania i analizy informacji o cyberzagrożeniach

Narzędzia zależą od dojrzałości organizacji, ale w CTI typowe jest łączenie platform wywiadowczych, narzędzi analitycznych oraz systemów SOC (SIEM/EDR). Celem jest szybkie pozyskanie danych, ich wzbogacenie (enrichment), korelacja oraz dystrybucja wniosków.

• Platformy CTI/TIP (Threat Intelligence Platform) i repozytoria wiedzy o zagrożeniach
• Źródła OSINT i agregatory informacji (portale branżowe, raporty vendorów, kanały społecznościowe)
• Standardy i integracje: STIX/TAXII (wymiana danych), API do automatyzacji
• SIEM (np. klasy narzędzi do korelacji logów i tworzenia reguł detekcji)
• EDR/XDR (telemetria endpointów, polowania, weryfikacja IoC)
• SOAR (automatyzacja enrichmentu i obiegu zgłoszeń)
• Narzędzia do analizy ruchu i artefaktów (np. sandbox, analizatory plików, WHOIS/DNS)
• Języki i narzędzia analityczne: Python, SQL, arkusze, notebooki, narzędzia do wizualizacji
• MITRE ATT&CK Navigator lub podobne rozwiązania do mapowania TTP