Привет, Хабр! На связи Макар Ляхнов, аналитик по информационной безопасности в Innostage. Я киберзащитник-специалист, чью профессию пока трудно назвать популярной. А для чего, казалось бы, выбирать защиту, когда есть все это веселье со взломами, эксплойтами и грандиозными взрывами битов? Отвечу: для спасения цифрового мира, ведь без синих команд с ним давно случился бы коллапс.

Таких киберспасателей в нашей стране тысячи. Для тех, кто уже вступил в ряды blue team или только задумывается об этом, мы подготовили серию статей. Первая из них – о борьбе атакующих и защитников как за ИТ-ресурсы, так и за симпатии в молодежной среде. Разминайте пальцы, очень ждем ваших комментариев по красно-синей теме! Вперед, все под кат!

Представьте, что «синие» - это вратари в большой digital-игре, а летящий в ворота мяч – хакерская атака, которую надо пресечь любыми способами. При этом стражам поручено не только охранять сети и данные (т.е. ворота), но и «латать» их, а также следить за качеством газона, порядком на трибунах и вообще всем, что связано с матчем. Т.е. помимо охраны ИТ-периметра они находят и заполняют дыры в коде, которые ведут к потенциальным хаосу в цифровом пространстве.

А ведь со стороны кажется, что у голкипера самая пассивная роль в команде – облокотился об штангу и следит, как остальные гоняют мяч по полю. И в дворовых играх на эту позицию назначают по остаточному принципу – самого младшего или малоподвижного. Внимание и поддержка зрителей – тоже скорее на стороне атакующих, которые проводят десятки красивых комбинаций и радуют публику красивыми финтами. Но, как я написал выше, на самом деле критически важной работы более чем достаточно именно у вратарей.

Модный цвет

Нередко отношения схематично изображают в форме треугольника. Взаимосвязи ролей в ИБ также можно представить в виде этой фигуры. Три ее вершины – те, кто легитимно ломают (красные), те, кто защищают (синие – незаметные герои) и универсальные бойцы - координаторы (purple team). Рассматривать другие категории (например, green, white, black, orange, gold и других) мы не будем, для этого есть отдельные топики, например, такой.

Роль киберзащитника напрямую связана с теми, кто проводит атаку. Его ключевые задачи – предупреждение и отражение атак, то есть профилактика и ответная реакция на «красный раздражитель». Какой именно метод защиты будет применен – зависит от хода, сделанного red team.

С атакующими, как правило, все проще: даешь ему цель и софт под это, пару-тройку рабочих эксплойтов, ссылку на инструкцию (какие кнопочки и в каком порядке нажимать) и все, дело в шляпе. Да, это объяснение недостаточно полное, но суть от этого не меняется. Фактически, отличие новичка и скилового пентестера только в стаже и наработанных практикой навыках.

Многие новички в сфере ИБ считают, что проще начать карьеру в команде хакеров. И по большей части это верно. Тут, продолжая аналогию с футболом, счет открывают красные, 1:0.

Красные аргументы

Помимо относительно простого и доступного входа в профессию, на решение вступить в лагерь red team может повлиять множество «плюшек» и приятных бонусов. Среди них:

• Интерес и мотивация. Многих привлекает аспект взлома и получение доступа к скрытой информации. Это захватывающий и мотивирующий опыт, который дает лучше понять как уязвимости и атаки, так и фишки построения информационных систем.

• Обучение сразу на практике. Новичку сразу нужен результат, иначе его желание заниматься чем-то новым быстро угасает. Тестирование на проникновение в этом плане очень привлекательно, здесь нет скучной теории. Практика начинается сразу же, как появляются базисные знания ИТ, сетевых протоколов и математики. Начинающим специалистам доступен огромный перечень онлайн-площадок для тренировки своих знаний и при этом с бесплатными задачками: Hack The Box, Web Security Academy (от создателей Burp Suite), Root-Me, VulnHub, Tryhackme, Hacker 101 (от крупнейшей BugBounty площадки HackerOne), Pentesterlab, PentesterAcademy, Hacking-Lab, Hack This Site, Defend the Web, Google Gruyere. Также есть отдельная очень большая подборка ресурсов и платформ в виде роудмапа.

• Доступный инструментарий. По большей части все необходимые инструменты для атакующего доступны широкой аудитории пользователей в виде сгруппированных категорий софта внутри специализированных ОС (kali linux, blacharch linux, tsurugi linuxи т.д.), в виде открытых репозиториев на github, в виде доступных онлайн-инструментов.

• Востребованность. Атакующие первыми выявляют уязвимости в системах и организациях путем легитимных атак, тем самым помогают сохранить информационные активы организации. Их услуги стали неотъемлемой частью обеспечения информационной безопасности организации, и бизнес готов платить легитимным взломщикам немалые деньги.

• Оценка и признание. У специалистов в области наступательной безопасности есть собственные рейтинги, основанные на репутации и деятельности в отраслевых онлайн-сообществах и платформах. К примеру, HTB или bug bounty платформы. Для красных есть большое количество соревнований: различные CTF, киберучения, кибербитвы, CPTC, ECSC и др.

• Участие в Bug Bounty. Это уникальная возможность для начинающих пентестеров учиться на реальных проектах. Можно оттачивать навыки на практике, закрепляя теоретические знания и при этом получая вознаграждение за найденные уязвимости (+1 к мотивации заниматься наступательной безопасностью). Сам факт того, что вам не обязательно обладать всеми навыками «белой шляпы», но при этом вы можете найти брешь в безопасности рабочего продукта, доставляет истинное удовольствие.

Вынужден признать, что «плюшки» усиливают разрыв, счет 2:0 в пользу атакующих.

Потребность в защите

Так исторически сложилось, что для получения ресурсов из соседских общин, человек впервые решил применить каменный топор именно как инструмент для нападения. Он атаковал, чтобы присвоить чужое. В следующий раз трюк, возможно, уже не прошел, так как соседи тоже наточили топоры и приготовились к защите своей собственности. Как следствие, атакующие задумали что-то более революционное и понеслось.

Таким образом, сначала появились атакующие, и до сих пор право первого хода за ними. В наше время именно хакеры и их усиливающие напор и мощь атаки являются двигателем постоянного совершенствования защитных процессов и инноваций в области информационной безопасности. Хакерские атаки – непрерывный вызов компаниям и организациям на постоянное укрепление своих защитных систем и разработку новых технологий кибербезопасности.

На сегодняшний день традиционным системным администраторам нужна помощь в противодействии набирающим обороты APT-группировкам (по типу CozyDuke). Им нужно подкрепление в виде новой категории специалистов, которые могут противостоять не просто одному хакеру-новичку, а организованной и хорошо обученной группе злоумышленников, использующих передовые методы и технологии проведения атак. В ответ на вызов и появилась так называемая синяя команда с почетной миссией спасать самое ценное. «Кто владеет информацией — тот владеет миром» — говаривал банкир Ротшильд, и, на сколько я знаю, это мнение никем не оспорено. Поэтому за обеспечение защиты информации, которая обладает высокой ценностью, сегодня хорошо платят. И быть героем, спасающим цифровой мир, согласитесь - миссия престижная. «Синие» почувствовав спортивный азарт, меняют счет на 1:2.

Синий карьерный взлет

Blue Team – команда инженеров по безопасности, включающая SOC-аналитиков, специалистов по TI и форензике. Чаще всего полноценную blue team можно встретить как в SOC-центрах, так и в крупных компаниях, которым просто не обойтись парой рабочих инструментов и системными администраторами.

В наши дни, когда киберугрозы и технологические атаки на корпоративные сети стали повседневным явлением, роль команд защитников становится критически важной. Они - те, кто на передовой в борьбе за безопасность информации и цифровые активы компании: выстраивают систему и процессы ИБ, отслеживают подозрительную активность, выявляют инциденты ИБ и реагируют на них – занимаются той самой защитой, о которой пошла речь в начале статьи.

Количество кибератак растет, меняется их сложность. Организации все острее нуждаются в специалистах, которые смогут смоделировать нарушителя, собрать максимальные сведения о нем и предсказать его действия. Наблюдая за действиями хакеров и изучая стратегии их поведения, они действуют на опережение, минимизируя риски и последствия атак.

Дополнительный вес профессии прибавляют усиливающиеся регуляторные меры, совершенствующиеся программы вузовской и дополнительной подготовки ИБ-кадров – Молодежи становится проще получить соответствующие знания и получить престижную работу. Итак, счет в поединке сравнивается, 2:2!

Проверка рутиной

Благородная цель «синих» - обнаруживать и пресекать кибератаки, защищать данные и ресурсы компьютерных систем. Государство способствует их развитию, работодатель – ждет еще вчера. Но почему же тогда карьера blue team все еще не входит в списки наиболее непопулярных?

На это есть несколько причин:

• Неприметность. Часто синие команды работают в тени, потому что их задача заключается в защите систем и данных, а не в их взломе или разрушении. Это может приводить к тому, что их усилия менее заметны, чем, например, действия хакеров, которые активно проводят атаки и стараются показать результат своих действий как можно большему количеству человек.

• Меньший адреналин и рутина. Работа blue team менее захватывающая, чем у атакующих. Работа того же SOC-аналитика или администратора политик безопасности сопряжена с рутиной. Далеко не каждому начинающему специалисту понравится ежедневно заниматься монотонным делом. Поэтому многих людей, присматривающихся к старту в ИБ, такие перспективы могут оттолкнуть и заставят поменять карьерные планы.

• Сложность. Защита информационных систем и сетей требует глубоких знаний и навыков как со стороны архитектора и администратора таких цифровых активов, так и со стороны ИБ-специалиста, который, к примеру, может не только отследить подозрительную активность узла через специализированный софт, но и сможет самостоятельно настроить правила корреляции, подключить агенты сбора логов на необходимые узлы и т.д. Для некоторых начинающих ИБ-специалистов это менее привлекательно, чем проведение тех же атак.

• Недостаток публичности. Защитники не могут публиковать результаты своей работы, так как это может пролить свет на внутреннее устройство организации и выдать некоторую часть конфиденциальных данных. Красные команды же наоборот всегда получают уйму внимания и признания в ИБ-сообществе, так как их деятельность более зрелищная и заметная.

• Ограниченные ресурсы. В некоторых организациях командам защитников может недоставать ресурсов (а это недостаток бюджета), что делает их работу более сложной и продолжительной по времени. Условно вместо того, что собрать SOC-центр из слаженных коммерческих инструментов, работающих на хорошем железе, специалисты из blue team вынуждены собирать SOC на open-source составляющих, ставить на те железки, которые есть в наличии, дополнительно их настраивать и связывать между собой.

Увы, в хайпе и адреналине «синие» уступают «красным», и наша виртуальная игра завершается со счетом 3:2 в пользу атакующих.

Пора брать реванш!

Киберзащитники, возможно, остаются в тени, но результативность их действий для обеспечения безопасности информационных систем нельзя недооценивать. Время от времени красные команды могут получать более яркое внимание и признание, но именно синие команды являются надежным щитом, который защищает ценные активы и конфиденциальные данные организации. Важность их роли в мире, где киберугрозы становятся все более сложными и разнообразными, возрастает с каждым днем. Специалисты в сфере кибербезопасности, работающие в синих командах, являются незаменимыми защитниками цифрового пространства и играют ключевую роль в обеспечении стабильности и надежности информационных систем. И даже не смотря описанные в статье сложности, в настоящее время команда blue team медленно, но верно приобретает признание и популярность.

А что, если смешать синих и красных, точнее смешать их способности? Условно, «вырастить» ИБ-специалиста, который шарит за полноценное сканирование уязвимостей, анализ защищенности, проведение тестирования на проникновение, а также умеет анализировать огромные потоки данных, находить в них подозрительную активность и строить системы защиты информации? Вот тогда можно не только взять реванш, но и переменить сам ход многолетнего противостояния!

Предположу, что такие универсальные эксперты смогут давать точные рекомендации о том, как можно закрыть ту или иную «дыру», разрабатывать более эффективные методики реагирования на инциденты ИБ, так как они лучше знают наиболее уязвимые места организаций. В совокупности это повысит уровень информационной безопасности всей организации в целом и уменьшит расходы на содержание разных ИБ-команд и отдельных разрозненных специалистов. Но ответ на вопрос смешения ИБшных красок будем искать в следующей статье ????

И да, мне очень интересно узнать ваше мнение о красно-синем противостоянии и возможном миксе красок. Буду рад как кратким, так и развернутым комментариям!