В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так же как и количество незанятых вакансий в этой сфере.
В этом году Нетология совместно с НИУ ВШЭ открыла набор на онлайн-магистратуру «Кибербезопасность». Чтобы помочь абитуриентам разобраться, чем занимаются специалисты по кибербезопасности, мы перевели и адаптировали статью от международного института SANS о самых востребованных профессиях в этой области. Институт обучает IT-специалистов и подготовил статью на основе данных статистики по рынку и вакансиям.
Охотник за угрозами — Threat hunter
Что делает:
Анализирует информацию от систем компьютерной безопасности компании и ищет угрозы, которые смогли незаметно обойти защиту.
Отслеживает данные о новых видах кибератак, чтобы суметь их распознать.
Находит в информационной системе скрытых злоумышленников, которые долгое время были незаметны для традиционных механизмов обнаружения.
Эта роль требует критического мышления, любознательности, внимания к деталям, умения анализировать, знаний компьютерных сетей, понимания процессов разработки и расследования.
Охотник действует по двум сценариям:
На основе известных данных — например, если есть информация, что злоумышленник уже внутри системы, охотник ищет подтверждение этому и пытается понять, каким способом произошёл взлом.
Исходя из гипотез — выдвигает предположение, что у хакеров появилась новая тактика или информационная система уже взломана, но об пока никто не знает. В этом случае охотник определяет, по каким критериям нужно искать признаки компрометации и дальше их ищет.
Работа охотника, несмотря на название специальности, больше похожа не на охоту, а на действия сапёра только в цифровом пространстве.
В сфере кибербезопасности есть такие понятия, как Красная, Синяя и Фиолетовая команды.
Красная команда – сторонняя организация, которая проверяет эффективность системы безопасности компании с помощью приёмов кибератаки.
Синяя команда — группа специалистов внутри компании, которая защищает её как от настоящих злоумышленников, так и от Красных команд.
Фиолетовая команда — группа, которая обеспечивает и доводит до максимума эффективность работы двух остальных команд.
Тестировщик Красной команды — Red Teamer
Что делает:
Тестирует информационную систему компании на уязвимость.
Имитирует действия злоумышленников с помощью продвинутых методов и инструментов из хакерского арсенала.
Тестовую атаку можно назвать полномасштабным киберучением. Её задача — найти слабые и сильные стороны систем защиты, а также собрать информацию, чтобы оценить риски для самых важных данных компании.
Сценарий такой проверки индивидуален и зависит от запросов заказчика и поставленных целей. Можно проверять только доступность отдельных систем или анализировать, как работает компания в целом.
Защитник Синей команды — Blue Teamer
Что делает:
Занимается проектированием и архитектурой сетей.
Реагирует на инциденты.
Прогнозирует новые нападения и пытаться их предотвратить.
Администрирует инструменты безопасности.
Создаёт и поддерживает систему информационной безопасности.
Это универсальный защитник с широким кругом задач и знаний. В небольшой организации может быть основным экспертом по безопасности, а в крупных компаниях может входить в SOC — Security Operation Center — Оперативный Центр Безопасности.
Тестировщик Фиолетовой команды — Purple Teamer
Что делает:
Разбирается в управлении безопасностью и уязвимостях информационной системы.
Выполняет роль посредника или арбитра между Красной — атакующей — и Синей — защищающей — командами.
Наблюдает за процессами атаки и защиты, комментирует и интерпретирует то, что происходит, подсказывает лучшие решения. Таким образом помогает оттачивать навыки специалистам обеих команд.
Должен быть высококвалифицированным специалистом, чтобы понимать причину действий — и защитников, и нападающих — и оценивать их пользу и промахи. Предлагает меры безопасности, которые повысят устойчивость систем к новым способам атаки.
Аналитик цифровой криминалистики — Digital forensics analyst
Что делает:
Анализирует взломанные системы и электронные носители.
Помогает обнаружить признаки взлома информационных систем.
Формулирует отчёты об инцидентах, в том числе для СМИ.
Ищет следы действий злоумышленников и улики в цифровой среде — в компьютерах, сетях и облачных данных. Другими словами, сыщик в мире кибербезопасности.
Какие навыки пригодятся в работе:
умение собирать доказательства;
способность постоянно учиться;
исследовательский склад ума;
экспертность в компьютерных технологиях и судебных вопросах.
Выдуманный кейс из практики аналитика цифровой криминалистики от Артёма Артёмова, руководителя Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB:
Представим, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от неё попадаем на какой-то сторонний сервер, начинаем копать и минут за сорок находим следы заражения и куски знакомого кода.
Несколько дней находишься в прострации, и вдруг наступает озарение! Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И всё совпадает: к офису подъезжает машина, человек внутри открывает ноутбук и в это время идёт подключение к сети организации через их wi-fi точку. Да-да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определённое время вся коммуникация заканчивается, машина уезжает. Щёлк. Пазл сложился.
Мы сделали это!
Аналитик вредоносных программ или вирусный аналитик — Malware analyst
Что делает:
Изучает вредоносные программы, проводит их углубленный анализ и составляет техническое описание.
Может заглянуть внутрь ПО, чтобы понять, как оно проникло в систему, какую уязвимость использовало и какую угрозу могло принести.
Разрабатывает способы защиты и противодействия вирусным атакам.
Для правильной обработки и анализа файлов должен знать специальные методы и уметь находить в коде его истинные функции. Обладает навыками исследователя и терпеливого наблюдателя — за некоторыми программами приходится следить несколько месяцев, так как они не проявляют свою вредоносную сущность сразу.
Результат действий вирусного аналитика — эффективная работа антивирусного софта. Именно он пополняет базы антивируса данными о вредоносных файлах — это позволяет программе быстро находить и устранять угрозы.
CISO или директор по безопасности
Что делает:
Определяет стратегию информационной безопасности для компании и риски, которые она покрывает.
Формулирует положения и регламенты.
Эффективно управляет персоналом в подчинении;
Обеспечивает нужный уровень информационной безопасности и эффективность работы ИБ-подразделения в компании.
Этот специалист должен одинаково хорошо разбираться как в бизнесе, так и в информационной безопасности. Может влиять на людей и на их решения, вести переговоры. Хорошо знает мировые рынки, политику и законодательство. Понимает, как совместить безопасность и бизнес-цели.
Архитектор-инженер по кибербезопасности
Что делает:
Проектирует, внедряет и настраивает средства управления сетью и данными, чтобы предотвращать, обнаруживать и реагировать на инциденты.
Разрабатывает новые технологические решения для защиты сетей, а также способы обнаружения вторжений и вредоносного ПО.
Участвует в анализе вредоносного ПО.
Собирает метрики атак, составляет и анализирует отчёты по инцидентам.
Этот профессионал должен видеть средства защиты компании в целом как систему, понимать рабочие процессы и бизнес-требования. Он может сбалансировать разные требования, а также политики и процедуры безопасности, чтобы создать надёжную систему защиты.
Член группы реагирования на инциденты
Что делает:
Реагирует на угрозы, обнаруженные системой защиты: заражение вредоносным ПО, хакерские атаки, несанкционированный доступ к данным, фишинг.
Должен вовремя обнаружить атаку, смягчить последствия и прекратить её до того, как злоумышленники достигнут своих целей.
Участвует в разработке сценариев реагирования на инциденты.
Обнаружив атаку, этот специалист собирает необходимую информацию о ней, чтобы удостовериться, что это действительно атака, а не ложное срабатывание системы оповещения. Дальше он может изолировать атакованный сервер от общей сети компании — так злоумышленники не получат доступ к другим её частям. Если нужно, блокирует скомпрометированную учётную запись, через которую взломали систему. Затем сообщает об инциденте руководству.
Ни одну систему нельзя защитить от киберпреступников полностью. Но важно вовремя и адекватно реагировать на атаки, чтобы свести ущерб к минимуму.
Какие скиллы потребуются для этой роли:
быстрое мышление;
умение работать с документацией и техникой;
способность быстро адаптироваться к меняющимся технологиям и методам злоумышленников;
умение эффективно доносить свои выводы до коллег из любого подразделения: начиная с технических специалистов и заканчивая руководством.
Аналитик-инженер по кибербезопасности
Что делает:
Создаёт планы действия на случай успешной атаки на компанию.
Собирает и анализирует информацию из разных источников: из журналов операционных систем, с маршрутизаторов и антивирусных сканеров.
Исследует разные события, которые произошли в информационной сети компании — например, удаление или запуск критически важных файлов. Таким образом пытается увидеть активную угрозу.
Блокирует угрозу или разрабатывает действенный ответ на неё и защиту.
Этот человек понимает, как быстро обнаружить угрозу и эффективно защититься. Поскольку злоумышленники постоянно используют новые инструменты и стратегии, аналитик-инженер должен постоянно изучать новейшие инструменты и методы надёжной защиты.
OSINT-аналитик
Что делает:
Собирает данные из открытых источников — в основном из интернет-ресурсов.
Исследует домены и IP-адреса.
Добывает информацию о предприятиях, людях, проблемах, финансовых транзакциях.
Цель OSINT-аналитика — собрать и проанализировать как можно больше данных. По одному email-адресу он может восстановить цепочку действий пользователя, найти ресурсы, где тот регистрировался, имущество, которым владел, места, где бывал. Эти данные помогают проверить, насколько компания и её ключевой менеджмент устойчивы к компрометации, либо, наоборот, — собрать компромат.
Способен находить и получать данные из источников по всему миру. Знает специальные команды для поисковиков и умеет использовать инструменты поиска — расширения, боты, хакерские поисковики.
Этих экспертов можно назвать службой поддержки для специалистов из других областей кибербезопасности — например, для защитников из Cиней команды.
OSINT-аналитик проводит разведку — активную и пассивную. Пассивная разведка — это работа с информацией: поисковыми системами, базами данных с утечками, вакансиями и метаданными из доступных файлов. К примеру, любой снимок в интернете содержит метаданные о том, где, когда и каким оборудованием он был сделан.
Активная разведка — прямой контакт с объектом исследования. Например, с инфраструктурой организации: нужно отсканировать порты и сети, чтобы найти открытые и уязвимые сервера и определить уровень безопасности компании. Потом эта информация может использоваться для организации хакерской атаки.
Технический директор
Что делает:
Отвечает за технические и IT-процессы компании.
Разбирается в технологиях, умеет планировать и оценивать риски, разрабатывать стандарты и процедуры;
Участвует в создании сильной команды и эффективной системы управления безопасностью бизнеса.
Обладает глубокими знаниями в области кибербезопасности, стратегическим взглядом на инфраструктуру организации и её будущее, а также развитыми коммуникативными и управленческими навыками. Умеет говорить на одном языке с коллегами и знает специфику работы не только технических, но и творческих департаментов. Понимает бизнес-задачи своего подразделения.
Аналитик безопасности облачных сервисов
Что делает:
Отвечает за безопасность облачных сред и сервисов.
Участвует в разработке, интеграции и тестировании инструментов для управления безопасностью.
Даёт рекомендации по улучшению настроек и оценивает общее состояние безопасности облачной среды организации.
Цель этого эксперта — помочь компании безопасно использовать облачные среды для обработки корпоративных данных. Как отдельная должность в России почти не встречается.
SOC-аналитик
Что делает:
Быстро реагирует на вторжение, получая данные об атаке от системы мониторинга.
Работает вместе с инженерами по безопасности, менеджерами SOC и членами группы реагирования на инциденты.
Задача SOC-аналитика — предотвращать, обнаруживать, мониторить и активно реагировать на кибератаки. По сути, это роль стражника у ворот.
Исследователь уязвимостей и разработчик эксплойтов
Что делает:
Работает над поиском уязвимостей нулевого дня. Нулевой день — незамеченная раньше, поэтому пока не имеющая защиты, неустранённая уязвимость. Важно уметь находить их раньше злоумышленников.
Исследователи постоянно находят новые слабые места в популярных продуктах и приложениях. Осенью 2021 года исследователь под ником Illusion of Chaos опубликовал подробное описание и эксплойты для трёх уязвимостей нулевого дня в iOS. Он утверждает, что сообщил о них Apple сразу же, но так и не получил никакого ответа от компании.
Некоторые крупные компании, наоборот, запускают специальные программы и привлекают белых хакеров к поиску уязвимостей в своих сетях. За найденные недостатки в системе исследователи получают вознаграждение — деньги, скидки на продукцию компании, бонусы.
Инженер DevSecOps
Что делает:
Занимается безопасностью программного обеспечения в самом начале его жизненного цикла — пишет код, который будет максимально безопасным и устойчивым к изменения и взломам.
Управляет уязвимостями, разбирается в мониторинге и операциях по обеспечению безопасности.
Этот инженер работает на стыке двух профессий — программиста и системного администратора: умеет разработать ПО, развернуть и внедрить его.
Пентестер
Что делает:
Имитирует действия взломщиков, чтобы найти возможные уязвимости и понять уровень риска, которому подвергается информационная система в случае кибератаки.
Проверяет ПО и оборудование.
По функциям пентестер кажется похожим на тестировщика из Красной команды. Разница в том, что он ищет как можно больше уязвимостей и оценивает риски, а не проверяет, способны ли системы безопасности и защиты обнаружить атаку и быстро среагировать на неё.
Пентестеры помогают вовремя распознать уязвимые места и избежать утечки баз данных, взлома банковских систем или криптокошельков. После успешного взлома компании с помощью пентестеров выясняют причины, по которым атака удалась.
В некоторых компаниях эти специалисты совмещают функции пентестеров и исследователей уязвимостей нулевого дня.
Резюмируем
За время пандемии риск глобального сбоя кибербезопасности заметно вырос. В России ситуация ухудшилась за последние три месяца из-за ухода зарубежных поставщиков IT-решений. Помимо усиления рисков, эти события дают толчок к развитию российской кибербезопасности — освободились новые ниши и появилась потребность в собственных продуктах.
Новый указ Президента РФ «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» также усилил спрос на профессионалов и соответствующие продукты.
Все эти факторы открыли новые возможности для специалистов в сфере кибербезопасности.