Da SOC Analyst a Incident Responder: il percorso dello specialista difensivo

Perché questa transizione è il prossimo passo naturale

Per la maggior parte dei SOC analyst che vogliono approfondire più che cambiare ramo, l'incident response è il ruolo successivo ovvio. Resti in difesa, mantieni la stessa disciplina investigativa, ma profondità e ownership cambiano in modo importante. Dove il lavoro SOC finisce in escalation, il lavoro IR inizia in escalation.

La transizione è più breve di SOC verso pentesting perché la mentalità è la stessa. Ciò che costruisci è profondità tecnica, non un nuovo modello mentale.

Cosa si trasferisce

Quasi tutte le abitudini SOC si trasferiscono:

1. Disciplina di triage. Sai già separare segnale da rumore. Il lavoro ora è portare il segnale più lontano, non solo etichettarlo.

2. Rigore di documentazione. I report di incident richiedono la stessa chiarezza delle note SOC, solo con più ampiezza. Hai già la maggior parte della competenza.

3. Comunicazione sotto pressione. Scrivi già velocemente. La comunicazione di incident è simile ma raggiunge più stakeholder.

Cosa devi costruire

Il gap è in profondità tecnica e ownership:

• Forense della memoria. Volatility, Rekall, analisi base di artefatti di memoria. La maggior parte dei SOC analyst non ha mai aperto un dump di memoria.
• Forense del disco. Timeline di filesystem, artefatti di registry, prefetch, shimcache. Le fonti dati standard IR su Windows.
• Forense di rete. Analisi di packet capture completa, ricostruzione a livello protocollo, detection di movimento laterale.
• Ownership del caso. Portare un incident dall'alert iniziale al report finale, comunicazione con gli stakeholder inclusa. Più disciplina che tecnica.

Stack di certificazioni

GCIH (GIAC Certified Incident Handler) di SANS è la credenziale standard per ruoli IR seri. Il corso è caro ma la certificazione pesa. CySA+ di CompTIA funziona come gradino più accessibile riconosciuto da alcuni datori di lavoro. Le certificazioni EDR di vendor (CrowdStrike, SentinelOne, Microsoft Defender) aggiungono peso se conosci lo stack target.

Dove si inserisce il bootcamp

Il Bootcamp Cybersecurity Unihackers copre la base SOC e di gestione incident nei moduli m7 (Security Operations and Monitoring) e m8 (Advanced Security Operations). Per SOC analyst che hanno già queste basi, il bootcamp è eccessivo. Per chi cambia carriera costruendo verso l'IR, è il punto di partenza singolo più efficiente. Vedi il programma del bootcamp per i dettagli.

Blocchi comuni

Tre pattern spiegano la maggior parte delle transizioni SOC verso IR bloccate:

1. Accumulare certificazioni senza pratica di casi. Tre certificazioni IR e zero write-up documentati di incident segnalano abilità d'esame, non capacità di risposta.

2. Evitare la profondità forense. Il maggior gap di competenza è la tecnica forense. Evitare la forense di memoria e disco significa restare nel triage degli alert, non nell'incident response.

3. Sottovalutare la reperibilità. La rotazione di reperibilità è reale e cambia la vita. Chi non si prepara, brucia in dodici mesi.

La transizione è più rapida di SOC verso pentest e premia le stesse abitudini pazienti di documentazione che hai già. Leggi lo guida sullo stipendio per il contesto retributivo di incident responder.

Il ciclo di vita NIST di incident response in cui vivrai

Come SOC analyst, il ciclo di vita finisce alla detection e all'escalation. Come incident responder, vivi dentro il ciclo completo NIST 800-61: Preparazione, Identificazione, Contenimento, Eradicazione, Recovery e Lezioni Apprese. SANS inquadra lo stesso flusso come PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned). Il Mandiant attack lifecycle, usato dalla maggior parte dei report di threat intelligence, mappa il lato avversario dello stesso quadro.

Ogni fase ha proprietari, deliverable e punti di decisione che un SOC L1 raramente vede:

• Preparazione è tutto ciò che fai prima dell'incident: runbook, esercitazioni tabletop, retainer, IR Jump Kit, alberi di contatto, mappe giurisdizionali. I SOC analyst li ereditano. Gli analisti IR li mantengono.
• Identificazione è il punto di sovrapposizione tra SOC e IR. Il cambiamento è passare da "è reale" a "qual è lo scope".
• Contenimento è di breve termine (isolare host, bloccare IP al firewall) e di lungo termine (segmentare, ruotare credenziali, revocare token). L'IR possiede entrambi.
• Eradicazione rimuove l'avversario e la causa radice. Ricostruzioni, reset completi di credenziali, pulizia di persistence.
• Recovery rimette i sistemi in produzione con monitoraggio tarato per rilevare un nuovo ingresso.
• Lezioni Apprese è il postmortem con gli stakeholder. Qui le carriere si fanno o si perdono.

Quando parli con scioltezza di ogni fase con esempi concreti dal tuo home lab, suoni come un candidato IR, non come un candidato SOC.

Dal mindset di triage al mindset di investigazione (il vero cambio)

Un SOC analyst viene premiato per chiudere ticket con precisione e velocità. Un incident responder viene premiato per non fermarsi finché lo scope non è pienamente compreso. Questo è il vero cambio cognitivo.

In pratica si vede così. Un SOC analyst vede una detection di beacon Cobalt Strike su un endpoint, valida, escala con contesto completo e passa al ticket successivo. Un incident responder prende lo stesso alert e chiede: quali altri host hanno fatto beacon allo stesso C2 negli ultimi 90 giorni, quali credenziali aveva l'utente, contro cosa si è autenticato, quali segnali di movimento laterale vediamo, qual è il dwell time. L'investigazione non si ferma a un host perché gli avversari non si fermano a un host.

Costruire questo mindset richiede pratica deliberata. Riapri vecchi caso SOC che hai chiuso e fatti sopra le domande IR. Troverai scope che ti era sfuggito.

Gli strumenti IR che aggiungi sopra al tuo skill set SIEM

Le tue competenze SIEM (Splunk, Sentinel, QRadar, Elastic) si trasferiscono direttamente. Sopra, i team IR usano tipicamente:

• TheHive come piattaforma di case management per gli incident, con task strutturati, observable e TTPs.
• Cortex per arricchimento automatizzato di observable (IP, hash, domini) contro fonti di threat intelligence.
• Splunk SOAR (ex Phantom) o Tines per orchestrare playbook di contenimento tra EDR, firewall, IAM e ticketing.
• Velociraptor per visibilità endpoint a scala e raccolta forense live su migliaia di host.
• KAPE (Kroll Artifact Parser and Extractor) per la raccolta di triage degli artefatti Windows più utili in pochi minuti.
• FTK Imager e Magnet AXIOM per imaging completo del disco quando un incident scala alla preservazione forense.
• Volatility 3 per analisi della memoria quando si sospetta ransomware, malware fileless o persistence avanzata.

Non serve profondità da esperto su tutto al primo giorno. Serve tempo di lab su TheHive, Cortex, KAPE e Velociraptor prima del colloquio, perché sono gli strumenti che ti chiederanno di mostrare.

Threat hunting: perché è la tua skill ponte

Il threat hunting è il ponte più pulito dal lavoro SOC reattivo al lavoro IR proattivo. Un hunt parte da un'ipotesi ("gli avversari stanno abusando le scheduled task per persistence"), la traduce in fonti dati (eventi di processo EDR, eventi di creazione di registry, AutoRuns), esegue query e conferma o respinge.

Costruisci scioltezza di hunting con MITRE ATT&CK Navigator. Scegli una tattica (per esempio TA0003 Persistence), scegli una tecnica (T1053.005 Scheduled Task) e scrivi la logica di detection nel tuo SIEM. Ripeti su dieci tecniche e hai un portfolio di hunt piccolo ma reale. I recruiter lo amano perché mostra che sai pensare in modo proattivo, che è il mindset IR.

Il threat hunting è anche dove la threat intelligence diventa pratica. Tirare fuori TTPs avversari da un report di vendor e trasformarli in hunt è esattamente ciò che fa un analista IR quando esce un advisory CISA.

Scrivere runbook IR e postmortem che interessano ai recruiter

Due artefatti segnano il cambio nel tuo portfolio: un runbook IR e un postmortem.

Un runbook IR codifica come il team gestisce una classe di incident (ransomware, business email compromise, esfiltrazione dati da insider, web shell su un server pubblico). Definisce trigger, ruoli tramite una matrice RACI, punti di decisione, template di comunicazione e percorsi di rollback. Prendi tre classi di incident e scrivi i runbook per ciascuna. Anche in qualità da lab, segnala pensiero senior.

Un postmortem documenta un singolo incident: cos'è successo, quando, chi ha fatto cosa, cosa ha funzionato, cosa no e quali cambiamenti seguono. La sezione lezioni apprese è la parte più letta del documento. Pratica scriverli sugli incident del tuo home lab. La disciplina è la stessa di una nota investigativa SOC, ma il pubblico è più ampio e le conseguenze più grandi.

Realtà salariale: SOC L1 a SOC L2 a IR L2 in UE

La retribuzione in UE segue una curva prevedibile. SOC L1 parte intorno ai 32 a 40 mila euro. SOC L2 si colloca nel range 38 a 50. IR L2 tipicamente si quota a 45 a 60, con ruoli IR di consulenza e retainer di breach response che salgono più in alto grazie a premi di reperibilità e componenti di bonus. Londra e Svizzera tirano verso l'alto. L'Europa dell'Est tira verso il basso.

Il salto salariale è reale ma non è il titolo. Il titolo è la pendenza. I ruoli SOC si appiattiscono attorno a L3 se non ti specializzi. I ruoli IR compongono: ogni engagement aggiunge una storia, ogni nuovo strumento aggiunge profondità, ogni nuovo verticale (finance, healthcare, OT) apre un nuovo mercato. Cinque anni dentro IR la curva è molto diversa da cinque anni dentro SOC.

Lo guida sullo stipendio dà il dettaglio aggiornato per regione e seniority.

Certificazioni che si mappano a questa transizione

La scala di cert per il movimento SOC verso IR è ragionevolmente ben definita:

• Security+ è la tua base se non l'hai ancora. La maggior parte dei SOC analyst la ha già. Ancora il vocabolario fondazionale.
• CySA+ è la credenziale di fascia media naturale. Fa da ponte tra operations SOC e analisi IR con focus su threat detection, incident response e vulnerability management. Una CySA+ solida è il segnale giusto per un primo ruolo allineato a IR.
• GCIH di SANS è il gold standard per lo specialista IR. Cara, ma con alto segnale presso consulenze e retainer.
• BTL1 (Blue Team Level 1) di Security Blue Team è sempre più riconosciuta come alternativa pratica per professionisti blue team con budget più stretto.
• ECIH di EC-Council è anch'essa accettata in alcuni mercati, ma pesa meno di GCIH o BTL1.

Abbina una certificazione a un artefatto forte di portfolio (un runbook, un hunt, un write-up forense). Uno più uno batte tre più zero ogni volta.

Un piano realistico di promozione a 9 mesi

Un piano a nove mesi, in parallelo al tuo ruolo SOC attuale, è così:

1. Mesi 1 a 2. Audita i tuoi caso SOC attuali per scope perso. Prendine cinque e riscrivili con pensiero IR completo. Costruisci un home lab con TheHive, Cortex e un server Velociraptor.
2. Mesi 3 a 4. Lavora a CySA+ se non ce l'hai. In parallelo, scrivi i tuoi primi tre runbook IR (ransomware, BEC, web shell) usando un RACI chiaro.
3. Mesi 5 a 6. Esegui un tabletop su ogni runbook con un peer. Costruisci tre threat hunt mappati a tecniche MITRE ATT&CK. Comincia preparazione BTL1 o GCIH.
4. Mesi 7 a 8. Prendi un ruolo attivo in incident reali presso il tuo datore di lavoro attuale: chiedi di affiancare i retainer IR, candidati per la copertura fuori orario, scrivi la sezione lezioni apprese di ogni incident che hai toccato.
5. Mese 9. Candidati a ruoli IR o spingi per un movimento interno. Porta un portfolio di tre runbook, tre hunt e un write-up forense.

Questo è conservativo. Con competenze forensi forti già in posto, il movimento può andare più veloce. Il punto è la struttura: le certificazioni non sostituiscono mai gli artefatti, gli artefatti non sostituiscono mai le rep operative. Le tre insieme cambiano la conversazione con gli hiring manager da "potenzialmente" a "sì".