За последние несколько лет картина российского ИТ-мира сильно изменилась. Число атак на информационные системы предприятий и компаний возросло лавинообразно. Сегодня любой организации стоит быть готовой к тому, что объектом вторжения может стать ее ИТ-инфраструктура, и сделать все, чтобы оно не увенчалось успехом.

Так сложилось, что в русском языке слово «хакер» имеет скорее негативное значение – умелец, который проникает в информационные системы организаций, чтобы нарушить работу или украсть данные. На самом деле это искажение. Хакер – это специалист, который умеет мыслить нестандартно, находить обходные, неочевидные пути к своим целям и использовать их.

Как и у любой силы, у этой есть темная и светлая стороны. Киберситхи взламывают системы с преступными намерениями. Киберджедаи ищут слабые места в информационной безопасности организации, чтобы их усилить. Они действуют только во благо компании и всегда задумываются о последствиях своих действий. В вакансиях киберджедаев называют специалистами по анализу защищенности, инженерами аудита информационной безопасности и инженерами кибербезопасности. В ИТ-мире они известны как пентестеры, от penetration test – тест на проникновение.

Как становятся пентестерами

Таких специалистов всегда было немного. Дело в том, что на них не учат в вузах, поэтому случайных людей среди пентестеров нет. Нужно приложить слишком много целенаправленных, а главное, самостоятельных усилий, чтобы попасть в число киберджедаев: искать информацию по самым разным источникам, сидеть на специализированных форумах, изучать чужие кейсы. В общем, использовать любые способы, чтобы совершенствовать свои знания и навыки.

Пентестер может вырасти на базе любого ИТ-образования и опыта: в программировании, в информационной безопасности (ИБ), в выстраивании и администрировании сетей и так далее. Имеющиеся знания все равно придется самостоятельно дополнять необходимыми навыками как из смежных ИТ-отраслей, так и специфическими – из сферы поиска уязвимостей информационных систем. Кстати, базовое образование может стать прекрасной основой для специализации пентестера. Ему будет под силу работать с веб- или мобильными приложениями, анализировать программный код, инфраструктуру, бизнес-процессы и так далее.

Если к ИТ-базе прилагается азарт, ярко выраженный интерес к ИТ-системам, желание разобраться в их устройстве, найти возможные пути их использования и любовь к решению нетривиальных задач, то это отличные данные для будущего киберджедая.

Пентестеры УЦСБ составили список качеств, которые, по их мнению, будут полезны на пути киберджедая:

• способность замечать неочевидное;

• умение находить обходные пути;

• постоянное любопытство и информационный голод;

• желание глубоко изучать новые и неизведанные технологии;

• нестандартный взгляд на вещи;

• живость ума;

• внимание к деталям.

Сложите все эти слагаемые и получите идеального пентестера.

Везде есть место исследованию

Считается, что в одних профессиях больше привычной, понятной рутины, а в других – новизны.   Пентестеры как раз про второе. Это Индианы Джонсы от мира ИТ. Их профессиональная жизнь – это увлекательный квест и приключения. Они изучают, исследуют, ищут, анализируют. Проторенные тропинки не помогут, нужно уметь мыслить нестандартно, в обход стереотипов, предугадывать рассуждения потенциальных взломщиков, находить неочевидные связи между элементами. А в результате ждет сокровище – решение задачи, которое поможет какой-то организации усилить свою защиту от киберпреступников.

Рутина в работе пентестеров тоже присутствует, как без нее: разведка, проверка типовых уязвимостей, оформление отчетов, содержание в порядке своих рабочих инструментов. Зато у мозга есть возможность отдохнуть и подзарядиться для решения новых увлекательных задач.

Когда будни интереснее, чем кино

В УЦСБ киберджедаев ждет работа по:

• анализу защищенности внутреннего и внешнего периметра ИТ-инфраструктуры;

• тестированию веб- и мобильных приложений, API-протоколов;

• обследованию исходного кода и анализ по модели White Box.

На практике все это куда увлекательнее, а часто и более непредсказуемо, чем звучит. Например, когда по ходу работу приходится автоматизировать создание скриншотов:

«Однажды удалось подтвердить reflected-XSS, которой была подвержена значительная часть скоупа. Целей было так много, что процесс эксплуатации и создания скриншотов пришлось автоматизировать».

Или осознать, что, сидя на своем диване, можно помешать работе целого предприятия:

«Одним из моих наиболее запомнившихся кейсов было проникновение во внутреннюю сеть завода с улицы через телефон. Поразило сочетание легкости, с которой удалось это сделать, и возможностей, которые открылись. Второй случай – полный захват инфраструктуры градообразующего завода, сидя дома на диване».

Или обнаружить, как может быть беззащитен промышленный гигант, если ему не повезло стать целью умелого специалиста.

«Обычно запоминаются случаи, когда удается сделать что-то, чего никто не ожидает. Например, полностью скомпрометировать инфраструктуру компании, проникнув в сеть через беспроводную мышь начальника отдела кадров. Так было у моего коллеги. Другая категория запоминающихся случаев – когда получаешь какой-то доступ и понимаешь, насколько серьезными могли бы быть последствия, если бы на моем месте был злоумышленник. Это особенно актуально для предприятий промышленности и энергетики. Порой можно, не отходя от ноутбука, вызвать разлив токсичных веществ или остановку энергоблока».

Понимаете, как важно, чтобы такие специалисты становились джедаями, а не ситхами?

Резюме: спрос будет только расти

Во-первых, у киберджедаев нет верхней планки развития. Технологии развиваются стремительно, и пентестеры должны успевать их изучать, иначе результаты их работы не будут адекватными и полезными. Им просто некогда заскучать или застояться.

Во-вторых, обширные знания и опыт этих специалистов делают их востребованными в разных нишах ИТ-индустрии. Если пентестеру надоест проникать за закрытые двери, он всегда сможет найти себе применение в смежных отраслях.

В-третьих, можно продолжать развиваться и углублять знания и навыки на своем месте, ведь спрос на пентестеров стабильно высок. А в 2022 году, когда число кибератак в разы возросло, он велик как никогда. И будет только расти.

Возможно, пришло время примкнуть к светлой стороне силы?