В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так же как и количество незанятых вакансий в этой сфере.  

В этом году Нетология совместно с НИУ ВШЭ открыла набор на онлайн-магистратуру «Кибербезопасность». Чтобы помочь абитуриентам разобраться, чем занимаются  специалисты по кибербезопасности, мы перевели и адаптировали статью от международного института SANS о самых востребованных профессиях в этой области. Институт обучает IT-специалистов и подготовил статью на основе данных статистики по рынку и вакансиям.  

Охотник за угрозами — Threat hunter

Что делает:

  • Анализирует информацию от систем компьютерной безопасности компании и ищет угрозы, которые смогли незаметно обойти защиту. 

  • Отслеживает данные о новых видах кибератак, чтобы суметь их распознать. 

  • Находит в информационной системе скрытых злоумышленников, которые долгое время были незаметны для традиционных механизмов обнаружения.

Эта роль требует критического мышления, любознательности, внимания к деталям, умения анализировать, знаний компьютерных сетей, понимания процессов разработки и расследования. 

Охотник действует по двум сценариям:

  1. На основе известных данных — например, если есть информация, что злоумышленник уже внутри системы, охотник ищет подтверждение этому и пытается понять, каким способом произошёл взлом.  

  2. Исходя из гипотез — выдвигает предположение, что у хакеров появилась новая тактика или информационная система уже взломана, но об пока никто не знает. В этом случае охотник определяет, по каким критериям нужно искать признаки компрометации и дальше их ищет. 

Работа охотника, несмотря на название специальности, больше похожа не на охоту, а на действия сапёра только в цифровом пространстве.

В сфере кибербезопасности есть такие понятия, как Красная, Синяя и Фиолетовая команды.

Красная команда – сторонняя организация, которая проверяет эффективность системы безопасности компании с помощью приёмов кибератаки.

Синяя команда — группа специалистов внутри компании, которая защищает её как от настоящих злоумышленников, так и от Красных команд.

Фиолетовая команда — группа, которая обеспечивает и доводит до максимума эффективность работы двух остальных команд.

Тестировщик Красной команды — Red Teamer

Что делает: 

  • Тестирует информационную систему компании на уязвимость. 

  • Имитирует действия злоумышленников с помощью продвинутых методов и инструментов из хакерского арсенала. 

Тестовую атаку можно назвать полномасштабным киберучением. Её задача — найти слабые и сильные стороны систем защиты, а также собрать информацию, чтобы оценить риски для самых важных данных компании.   

Сценарий такой проверки индивидуален и зависит от запросов заказчика и поставленных целей. Можно проверять только доступность отдельных систем или анализировать, как работает компания в целом.   

Пример задачи для Красной команды из аналитического обзора Group IB. Тестировщику предстоит взломать внутренние серверы и получить доступ к финансовым системам компании. Источник: Group IB 
Пример задачи для Красной команды из аналитического обзора Group IB. Тестировщику предстоит взломать внутренние серверы и получить доступ к финансовым системам компании. Источник: Group IB 

Защитник Синей команды — Blue Teamer 

Что делает: 

  • Занимается проектированием и архитектурой сетей.

  • Реагирует на инциденты. 

  • Прогнозирует новые нападения и пытаться их предотвратить.

  • Администрирует инструменты безопасности. 

  • Создаёт и поддерживает систему информационной безопасности.

Это универсальный защитник с широким кругом задач и знаний. В небольшой организации может быть основным экспертом по безопасности, а в крупных компаниях может входить в SOC — Security Operation Center — Оперативный Центр Безопасности.

Тестировщик Фиолетовой команды — Purple Teamer  

Что делает:

  • Разбирается в управлении безопасностью и уязвимостях информационной системы. 

  • Выполняет роль посредника или арбитра между Красной — атакующей — и Синей — защищающей — командами. 

  • Наблюдает за процессами атаки и защиты, комментирует и интерпретирует то, что происходит, подсказывает лучшие решения. Таким образом помогает оттачивать навыки специалистам обеих команд. 

Должен быть высококвалифицированным специалистом, чтобы понимать причину действий — и защитников, и нападающих — и оценивать их пользу и промахи. Предлагает меры безопасности, которые повысят устойчивость систем к новым способам атаки.

Аналитик цифровой криминалистики — Digital forensics analyst

Что делает: 

  • Анализирует взломанные системы и электронные носители.

  • Помогает обнаружить признаки взлома информационных систем.

  • Формулирует отчёты об инцидентах, в том числе для СМИ.

  • Ищет следы действий злоумышленников и улики в цифровой среде — в компьютерах, сетях и облачных данных. Другими словами, сыщик в мире кибербезопасности.

Какие навыки пригодятся в работе: 

  • умение собирать доказательства;

  • способность постоянно учиться;

  • исследовательский склад ума;

  • экспертность в компьютерных технологиях и судебных вопросах. 

Выдуманный кейс из практики аналитика цифровой криминалистики от Артёма Артёмова, руководителя Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB:

Представим, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от неё попадаем на какой-то сторонний сервер, начинаем копать и минут за сорок находим следы заражения и куски знакомого кода.

Несколько дней находишься в прострации, и вдруг наступает озарение! Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И всё совпадает: к офису подъезжает машина, человек внутри открывает ноутбук и в это время идёт подключение к сети организации через их wi-fi точку. Да-да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определённое время вся коммуникация заканчивается, машина уезжает. Щёлк. Пазл сложился.

Мы сделали это! 

Аналитик вредоносных программ или вирусный аналитик — Malware analyst

Что делает:

  • Изучает вредоносные программы, проводит их углубленный анализ и составляет техническое описание. 

  • Может заглянуть внутрь ПО, чтобы понять, как оно проникло в систему, какую уязвимость использовало и какую угрозу могло принести. 

  • Разрабатывает способы защиты и противодействия вирусным атакам. 

Для правильной обработки и анализа файлов должен знать специальные методы и уметь находить в коде его истинные функции. Обладает навыками исследователя и терпеливого наблюдателя — за некоторыми программами приходится следить несколько месяцев, так как они не проявляют свою вредоносную сущность сразу.    

Результат действий вирусного аналитика — эффективная работа антивирусного софта. Именно он пополняет базы антивируса данными о вредоносных файлах — это позволяет программе быстро находить и устранять угрозы. 

CISO или директор по безопасности

Что делает:

  • Определяет стратегию информационной безопасности для компании и риски, которые она покрывает.

  • Формулирует положения и регламенты.

  • Эффективно управляет персоналом в подчинении; 

  • Обеспечивает нужный уровень информационной безопасности и эффективность работы ИБ-подразделения в компании.

Этот специалист должен одинаково хорошо разбираться как в бизнесе, так и в информационной безопасности. Может влиять на людей и на их решения, вести переговоры. Хорошо знает мировые рынки, политику и законодательство. Понимает, как совместить безопасность и бизнес-цели. 

Пример должностных обязанностей CISO из вакансии в технологической компании. Источник: hh.ru
Пример должностных обязанностей CISO из вакансии в технологической компании. Источник: hh.ru

Архитектор-инженер по кибербезопасности 

Что делает: 

  • Проектирует, внедряет и настраивает средства управления сетью и данными, чтобы предотвращать, обнаруживать и реагировать на инциденты. 

  • Разрабатывает новые технологические решения для защиты сетей, а также способы обнаружения вторжений и вредоносного ПО. 

  • Участвует в анализе вредоносного ПО. 

  • Собирает метрики атак, составляет и анализирует отчёты по инцидентам.

Этот профессионал должен видеть средства защиты компании в целом как систему, понимать рабочие процессы и бизнес-требования. Он может сбалансировать разные требования, а также политики и процедуры безопасности, чтобы создать надёжную систему защиты. 

Так выглядит ячеистая архитектура кибербезопасности (CSMA) от компании Fortinet Security Fabric. В ней средства контроля безопасности интегрированы в широко распределенные сети и активы. Источник: Fortinet Security Fabric
Так выглядит ячеистая архитектура кибербезопасности (CSMA) от компании Fortinet Security Fabric. В ней средства контроля безопасности интегрированы в широко распределенные сети и активы. Источник: Fortinet Security Fabric

Член группы реагирования на инциденты

Что делает: 

  • Реагирует на угрозы, обнаруженные системой защиты: заражение вредоносным ПО, хакерские атаки, несанкционированный доступ к данным, фишинг. 

  • Должен вовремя обнаружить атаку, смягчить последствия и прекратить её до того, как злоумышленники достигнут своих целей. 

  • Участвует в разработке сценариев реагирования на инциденты.

Обнаружив атаку, этот специалист собирает необходимую информацию о ней, чтобы удостовериться, что это действительно атака, а не ложное срабатывание системы оповещения. Дальше он может изолировать атакованный сервер от общей сети компании — так злоумышленники не получат доступ к другим её частям. Если нужно, блокирует скомпрометированную учётную запись, через которую взломали систему. Затем сообщает об инциденте руководству.

Ни одну систему нельзя защитить от киберпреступников полностью. Но важно вовремя и адекватно реагировать на атаки, чтобы свести ущерб к минимуму.

Какие скиллы потребуются для этой роли: 

  • быстрое мышление;

  • умение работать с документацией и техникой;

  • способность быстро адаптироваться к меняющимся технологиям и методам злоумышленников;

  • умение эффективно доносить свои выводы до коллег из любого подразделения: начиная с технических специалистов и заканчивая руководством.

Аналитик-инженер по кибербезопасности 

Что делает: 

  • Создаёт планы действия на случай успешной атаки на компанию. 

  • Собирает и анализирует информацию из разных источников: из журналов операционных систем, с маршрутизаторов и антивирусных сканеров. 

  • Исследует разные события, которые произошли в информационной сети компании — например, удаление или запуск критически важных файлов. Таким образом пытается увидеть активную угрозу. 

  • Блокирует угрозу или разрабатывает действенный ответ на неё и защиту.

Этот человек понимает, как быстро обнаружить угрозу и эффективно защититься. Поскольку злоумышленники постоянно используют новые инструменты и стратегии, аналитик-инженер должен постоянно изучать новейшие инструменты и методы надёжной защиты. 

OSINT-аналитик 

Что делает:

  • Собирает данные из открытых источников — в основном из интернет-ресурсов.

  • Исследует домены и IP-адреса.

  • Добывает информацию о предприятиях, людях, проблемах, финансовых транзакциях. 

Цель OSINT-аналитика — собрать и проанализировать как можно больше данных. По одному email-адресу он может восстановить цепочку действий пользователя, найти ресурсы, где тот регистрировался, имущество, которым владел, места, где бывал. Эти данные помогают проверить, насколько компания и её ключевой менеджмент устойчивы к компрометации, либо, наоборот, — собрать компромат.

Способен находить и получать данные из источников по всему миру. Знает специальные команды для поисковиков и умеет использовать инструменты поиска — расширения, боты, хакерские поисковики. 

Этих экспертов можно назвать службой поддержки для специалистов из других областей кибербезопасности — например, для защитников из Cиней команды. 

Так выглядит OSINT-фреймворк — наиболее полная доступная база открытых источников данных. Информация сгруппирована по категориям в интерактивной карте
Так выглядит OSINT-фреймворк — наиболее полная доступная база открытых источников данных. Информация сгруппирована по категориям в интерактивной карте

OSINT-аналитик проводит разведку — активную и пассивную. Пассивная разведка — это работа с информацией: поисковыми системами, базами данных с утечками, вакансиями и метаданными из доступных файлов. К примеру, любой снимок в интернете содержит метаданные о том, где, когда и каким оборудованием он был сделан.

Активная разведка — прямой контакт с объектом исследования. Например, с инфраструктурой организации: нужно отсканировать порты и сети, чтобы найти открытые и уязвимые сервера и определить уровень безопасности компании. Потом эта информация может использоваться для организации хакерской атаки.   

Технический директор

Что делает: 

  • Отвечает за технические и IT-процессы компании. 

  • Разбирается в технологиях, умеет планировать и оценивать риски, разрабатывать стандарты и процедуры;

  • Участвует в создании сильной команды и эффективной системы управления безопасностью бизнеса. 

Обладает глубокими знаниями в области кибербезопасности, стратегическим взглядом на инфраструктуру организации и её будущее, а также развитыми коммуникативными и управленческими навыками. Умеет говорить на одном языке с коллегами и знает специфику работы не только технических, но и творческих департаментов. Понимает бизнес-задачи своего подразделения.

Аналитик безопасности облачных сервисов

Что делает: 

  • Отвечает за безопасность облачных сред и сервисов. 

  • Участвует в разработке, интеграции и тестировании инструментов для управления безопасностью. 

  • Даёт рекомендации по улучшению настроек и оценивает общее состояние безопасности облачной среды организации. 

Цель этого эксперта — помочь компании безопасно использовать облачные среды для обработки корпоративных данных. Как отдельная должность в России почти не встречается.

SOC-аналитик

Что делает: 

  • Быстро реагирует на вторжение, получая данные об атаке от системы мониторинга. 

  • Работает вместе с инженерами по безопасности, менеджерами SOC и членами группы реагирования на инциденты. 

Задача SOC-аналитика — предотвращать, обнаруживать, мониторить и активно реагировать на кибератаки. По сути, это роль стражника у ворот.

Исследователь уязвимостей и разработчик эксплойтов 

Что делает:

  • Работает над поиском уязвимостей нулевого дня. Нулевой день — незамеченная раньше, поэтому пока не имеющая защиты, неустранённая уязвимость. Важно уметь находить их раньше злоумышленников. 

Исследователи постоянно находят новые слабые места в популярных продуктах и приложениях. Осенью 2021 года исследователь под ником Illusion of Chaos опубликовал подробное описание и эксплойты для трёх уязвимостей нулевого дня в iOS. Он утверждает, что сообщил о них Apple сразу же, но так и не получил никакого ответа от компании.

Некоторые крупные компании, наоборот, запускают специальные программы и привлекают белых хакеров к поиску уязвимостей в своих сетях. За найденные недостатки в системе исследователи получают вознаграждение — деньги, скидки на продукцию компании, бонусы. 

В начале февраля компания ВКонтакте объявила о перезапуске программы обнаружения уязвимостей Bug Bounty и повысила выплаты исследователям безопасности
В начале февраля компания ВКонтакте объявила о перезапуске программы обнаружения уязвимостей Bug Bounty и повысила выплаты исследователям безопасности

Инженер DevSecOps 

Что делает:

  • Занимается безопасностью программного обеспечения в самом начале его жизненного цикла — пишет код, который будет максимально безопасным и устойчивым к изменения и взломам. 

  • Управляет уязвимостями, разбирается в мониторинге и операциях по обеспечению безопасности. 

Этот инженер работает на стыке двух профессий — программиста и системного администратора: умеет разработать ПО, развернуть и внедрить его.  

Пентестер 

Что делает:

  • Имитирует действия взломщиков, чтобы найти возможные уязвимости и понять уровень риска, которому подвергается информационная система в случае кибератаки. 

  • Проверяет ПО и оборудование.

По функциям пентестер кажется похожим на тестировщика из Красной команды. Разница в том, что он ищет как можно больше уязвимостей и оценивает риски, а не проверяет, способны ли системы безопасности и защиты обнаружить атаку и быстро среагировать на неё. 

На этом примере видно, какие функции выполняет пентестер, а какие — тестировщик из Красной команды. Источник: Group-IB
На этом примере видно, какие функции выполняет пентестер, а какие — тестировщик из Красной команды. Источник: Group-IB

Пентестеры помогают вовремя распознать уязвимые места и избежать утечки баз данных, взлома банковских систем или криптокошельков. После успешного взлома компании с помощью пентестеров выясняют причины, по которым атака удалась.

В некоторых компаниях эти специалисты совмещают функции пентестеров и исследователей уязвимостей нулевого дня. 

Резюмируем

За время пандемии риск глобального сбоя кибербезопасности заметно вырос. В России ситуация ухудшилась за последние три месяца из-за ухода зарубежных поставщиков IT-решений. Помимо усиления рисков, эти события дают толчок к развитию российской кибербезопасности — освободились новые ниши и появилась потребность в собственных продуктах. 

Новый указ Президента РФ «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» также усилил спрос на профессионалов и соответствующие продукты. 

Все эти факторы открыли новые возможности для специалистов в сфере кибербезопасности. 

Комментарии (0)