Мы продолжаем цикл публикаций «Топ-10 профессий в сфере кибербезопасности». Предыдущие статьи можете почитать здесь, здесь и здесь. Потребность в таких экспертах растет с головокружительной скоростью, «специалист по информационной безопасности» — давно не единая профессия, которая делится на десятки более узких специальностей. И сегодня в рубрике Positive Education — профессия «VM-специалист» глазами человека, который не только досконально разбирается в управлении уязвимостями, но и знает, как выстроить эффективный vulnerability management в компаниях.

На что похожа профессия специалиста по управлению уязвимостями? Может, на работу врача, который следит за здоровьем пациента? Но к врачу обычно пациенты сами приходят с жалобами, а к VM-специалисту никто сам не пойдет. Со временем я понял: работа виэмщика больше всего напоминает работу инспектора из государственного органа надзора… Но обо всем по порядку.

Меня зовут Александр Леонов, я ведущий эксперт PT Expert Security Center. Занимаюсь анализом уязвимостей и пишу об этом в своем блоге «Управление уязвимостями и прочее». Всем, кто только начинает свой путь в ИБ, рекомендую прочитать эту статью, чтобы расставить все точки над i в vulnerability management или, проще говоря, в управлении уязвимостями.

Александр Леонов (@avleonov) — ведущий специалист экспертного центра безопасности Positive Technologies (PT Expert Security Center, PT ESC). Работал в компаниях Mail.ru Group (сейчас VK) и «Тинькофф» (сейчас Т-Банк), где отвечал за развитие управления уязвимостями. В Positive Technologies занимается анализом уязвимостей и развитием практик управления ими.

Регулярно выступает с докладами на российских и зарубежных конференциях. Развивает несколько проектов с открытым исходным кодом, среди которых наиболее известен фреймворк для оценки и приоритизации уязвимостей — Vulristics.

Итак, кто такой VM-специалист? Это профессионал, который следит за уязвимостями инфраструктуры в компании: оперативно выявляет пробелы в защите и контролирует их исправление, чтобы злоумышленники не смогли их использовать при атаке.

Непосредственные обязанности такого специалиста зависят от конкретного VM-процесса, но верхнеуровнево их можно свести к пяти этапам: 1) мониторинг уязвимостей; 2) оценка их опасности; 3) определение методов и приоритетов устранения уязвимостей; 4) устранение; 5) контроль. Однако зона ответственности (область влияния) VM-специалиста может быть значительно шире: именно он, как правило, проводит инвентаризацию IT-активов компании, договаривается с отделом IT о регулярных обновлениях и разруливает ситуации, когда договоренности перестают выполняться.

Узнали того самого «инспектора», с которым я сравнивал виэмщика в начале статьи? Судите сами:

• Его приходу не рады (коллеги из IT- и других подразделений, с которыми работает VM-специалист, могут считать, что он навязывает требования и заставляет переключиться с основных привычных задач).

• К его словам относятся со скепсисом («ну и пусть в соседней компании это привело к недопустимым событиям — у нас такого точно не будет»).

• Если опасность реализуется, крайним становится проверяющий («куда ж он, нерадивый, смотрел»).

Но есть и несколько важных отличий:

• Работодателем инспектора является государство; соответственно, он может закрыть организацию, если требования не будут выполнены. VM-специалисту платит сама компания, и поэтому его основной инструмент — грамотная аргументация.

• Инспектор фокусируется на определенной узкой теме. У виэмщика спектр нежелательных воздействий, которые он должен учитывать, хоть и ограничен областью ИБ, но все равно очень широк. Примерно как если бы один инспектор оценивал возможные последствия пожаров, наводнений, эпидемий, вооруженных налетов бандитов — заканчивая вторжением инопланетян.

• Инспектор выполняет проверку и уходит, тогда как виэмщик работает в одной компании, зато глубоко, постоянно и непрерывно.

• Наконец, инспектору вряд ли скажут: «Все исправить мы не можем — у нас ресурсов нет. Так что покажи, что наиболее опасно, а остальное подождет».

Что же делать VM-специалисту, чтобы быть эффективным? Как «инспектору» без реальных полномочий договориться с IT-службой, чтобы его рекомендации исполнялись?

• Первое — досконально знать требования регуляторов в части управления уязвимостями. Парадоксально, но это самый надежный инструмент виэмщика — впрочем, и самый недооцененный. Конечно, во всем нужна мера: если постоянно ссылаться на регуляторику и грозить неизбежной расплатой, эффективного диалога с IT-подразделением не получится. Лучше приберечь «тяжелую артиллерию» на крайний случай — как туз в рукаве.

• Второе — очевидно, разбираться в уязвимостях, инструментах детектирования и их эксплуатации. Но тут важно делать акценты: а для чего? Для того чтобы самому находить цепочки атак и демонстрировать реальную эксплуатабельность уязвимостей инфраструктуры? Так это задача внутреннего пентеста (red team). Для того чтобы эффективнее убеждать админов? Возможно, иногда это имеет смысл, но главное не скатиться в «докажи, покажи» и исправление только тех уязвимостей, которые получается эффектно продемонстрировать. Для того чтобы детектировать все уязвимости, лучше их приоритизировать и выделять те, которые представляют наибольшую опасность для организации? Вот это, пожалуй, самое главное. Не теряем фокус: мы здесь для того, чтобы внедрять работающий процесс детектирования и исправления уязвимостей, а остальное вторично (еще раз см. п. 1).

• Третье — постоянно прокачивать собственную экспертизу, причем не только в VM. Чтобы эффективно взаимодействовать с администраторами, DevOps-инженерами и разработчиками, нужно понимать предметную область. Иначе требования будут парироваться простым «это невозможно, у нас все сломается». Таким образом, VM-специалист должен сам быть в какой-то степени админом, девопсом, разрабом, но с углубленными знаниями в области управления уязвимостями.

Тяжело ли стать таким специалистом? И да, и нет. Научиться использовать инструменты для детектирования уязвимостей достаточно просто, а вот понимать, что именно продетектировал сканер, в чем опасность и насколько результаты достоверны, — все это требует высокой квалификации. Нужно знать, как уязвимость эксплуатируется (то есть иметь набор скилов, сопоставимый со знаниями исследователей уязвимостей), понимать, как можно ее исправить без последствий для работоспособности IT-систем (то есть обладать навыками системного администратора или девопса). Кроме того, нередко приходится разрабатывать свои утилиты для интеграции систем и анализа данных (то есть уметь программировать). А для конструктивного общения с коллегами, зачастую по чувствительным вопросам, крайне важны софт-скилы — иначе быть убедительным не получится.

Такие специалисты высоко востребованы на рынке ИБ. В чем причина? Во-первых, количество известных уязвимостей растет буквально каждый месяц — только база NVD насчитывает более 245 тысяч уязвимостей. IT-инфраструктура есть в любой организации, и если нет выделенного человека, то за уязвимостями и обновлениями следить никто не будет, а это грозит взломами и реализацией недопустимых для организации событий.

Во-вторых, с 2022 года ситуация в отрасли сильно изменилась: ушли западные VM-вендоры, начался процесс «пересаживания» на российские программные продукты для IT и ИБ. Вместе с тем расширились задачи виэмщиков: добавились проверка обновлений иностранных коммерческих и open-source-продуктов на закладки, учет уязвимостей, которых нет в NVD. Стало сложнее, но интереснее. Уровень зарплат также возрос. К примеру, на hh.ru я недавно видел несколько вакансий VM-специалистов с зарплатой 200 000–350 000 руб. Но это не потолок: как и в любой другой профессии в кибербезе, все определяется индивидуально с учетом квалификации человека.

Как становятся VM-специалистами? Путь в VM довольно часто начинается с первой работы или стажировки студентов или выпускников-безопасников. Им дают первые задачки по раскатке и настройке средств детектирования, разбору уязвимостей, пушингу исправлений или написанию утилит для автоматизации. Постепенно молодые сотрудники втягиваются и вырастают в опытных специалистов. Впрочем, иногда в VM приходят и из IT — например, системные администраторы, решившие сфокусироваться на уязвимостях и безопасном конфигурировании. Истории бывают разные.

Лично я начинал свой путь в VM-вендоре, что дало мне хорошую базу для развития в профессии. Как это случилось? Выучившись на специалиста по ИБ в МГТУ им. Баумана, устроился в Positive Technologies и был привлечен к работе над сканером уязвимостей и мисконфигураций MaxPatrol 8. Проработав шесть лет, заинтересовался практической стороной и решил попробовать себя со стороны клиента — выстраивать VM-процессы внутри компаний. Я посвятил этому восемь лет: сначала в Mail.Ru Group (сейчас VK), затем в Tinkoff (сейчас Т-Банк). А в прошлом году вернулся в Positive Technologies, чтобы использовать весь свой опыт для развития экспертизы в наших продуктах.

Резюмирую: «вкатиться» в VM через стажировку или в качестве джуна достаточно просто. Для этого нужно:

1. Уверенно заявлять о своем интересе конкретно к этой специализации.

2. Подтвердить интерес активностями: курсовые или дипломные проекты, исследования, статьи, доклады, участие в опенсорсных проектах (эксплуатация, детектирование, приоритизация уязвимостей) — чем больше и хардкорнее, тем лучше.

3. Не срезаться на базовых вопросах по ОС и сетям, понимать, как работают сканеры уязвимостей (в идеале — иметь минимальный опыт работы с утилитами), уметь немного программировать (Python все еще наиболее востребован); также полезно знать английский на уровне Intermediate.

4. Прочитать и разобрать нормативку, которой по VM пока мало: «Методика оценки уровня критичности уязвимостей программных, программно-аппаратных средств», «Руководство по организации процесса управления уязвимостями в органе (организации)».

5. Быть в контексте того, что сейчас происходит в отрасли: могу порекомендовать телеграм-канал SecAtor и канал «Управление уязвимостями и прочее».

Выполнение этих условий позволит вам обойти 90% других соискателей и сделать первый шаг в профессии VM-специалиста.

А еще Positive Education приглашает всех заинтересованных на курс «Процесс управления уязвимостями: от теории к практике». Я принимал участие в его подготовке, но о нем лучше расскажут основные авторы курса.

Павел Попов

Лидер продуктовой практики для управления уязвимостями Positive Technologies

Даже начинающим специалистам не приходится объяснять, зачем нужны такие базовые вещи, как работа с антивирусами и файрволами. С vulnerability management все совсем не так. Важность поиска уязвимостей и управления ими, напротив, приходится обосновывать, иногда даже опытным специалистам. Создавая курс, мы ставили перед собой цель увеличить количество грамотных VM-специалистов, чтобы в конечном итоге злоумышленники не могли взломать компании через эксплуатацию уязвимостей.

Держа эту мысль в голове, мы постарались сделать курс кратким, но емким. В четыре недели мы уместили все знания, которые есть у экспертов Positive Technologies и у самой компании как вендора ИБ. На данный момент курс прошли две волны участников, а это более 60 человек, которые дают в 90% случаев положительные отзывы. Остальные 10% подсказывают нам, что можно улучшить в курсе. Многие опытные VM-специалисты отмечают, что в него вложено то, что они изучали в течение 10 лет. Эта программа также интересна тем, что подходит не только для отдельных специалистов, но и для обучения целых команд в корпоративном формате, что делает её идеальной для развития как личных, так и профессиональных командных навыков.

Регистрируйтесь на новый поток, который стартует 8 сентября. Для участников это отличная возможность обрести или систематизировать уже имеющиеся знания об управлении уязвимостями. Начинающие специалисты поймут, с чего начинать работу с ними, а опытные — прокачают свою экспертизу. Удачи!