Всем привет!

В стремительно меняющемся цифровом мире управление уязвимостями – уже не просто техническая задача, а жизненно важный аспект успеха любой организации. Компаниям, которые хотят оставаться на шаг впереди потенциальных киберугроз, нужны спецы, которые могут не только выявлять слабые места в системе, но и устранять их с продуманностью шахматного мастера.

Вместе с этим, по результатам исследования «Солара» и hh.ru, половина ИБ-специалистов начального и среднего уровня не проходят технические собеседования, и VM-эксперты среди них — увы, не исключение. Это происходит отчасти и потому, что порой собеседования на позиции в VM превращаются в настоящие интеллектуальные испытания, где важно показать не только свои знания, но и способность мыслить на опережение.

Чтобы помочь желающим освоить профессию ИБ-специалиста, мы начинаем цикл статей о том, как делать карьеру в сфере кибербезопасности.

В этом тексте мы погрузимся в ключевые аспекты подготовки к собеседованию на позицию технического специалиста по устранению уязвимостей: разберем наиболее популярные вопросы «на засыпку», которые, по нашему опыту, вводят в ступор большинство профессиональных кандидатов (даже если на первый взгляд они кажутся очень простыми).

Также мы предложим не готовые шпаргалки или шаблоны, а опишем подходы к решению задач и навыки, которыми должен обладать собеседник, и которые положительно выделят его на фоне других кандидатов.

Вопрос 1. Что такое управление уязвимостями в вашем понимании?

Неправильно:

• «Управление уязвимостями — это просто установка всех доступных обновлений на системы»;

• «Мы занимаемся управлением уязвимостями только тогда, когда что-то пойдет не так, или когда появляется информация о большом инциденте»;

• «Это просто использование какого-нибудь инструмента сканирования, чтобы найти уязвимости»;

• «Для меня управление уязвимостями — это ведение отчетов и документации о найденных уязвимостях».

Правильно:

Нужно помнить, что управление уязвимостями – это постоянный процесс, который включает в себя не только регулярные оценки, но и классификацию, приоритизацию найденных уязвимостей, а также применение ряда мер для снижения риска их эксплуатации. Основная цель – свести к минимуму поверхности атаки и обеспечить максимальную безопасность систем от потенциальных угроз.

Вопрос 2. В чем разница между уязвимостью, угрозой и риском? 

Неправильно:

• «Уязвимость — это когда кто-то пытается взломать систему, риск — это когда это у них может получиться, а угроза — это все, что связано с уязвимостями»;

• «Уязвимость — это любой вирус или вредоносное ПО, которое попадает в систему»;

• «Риск — это просто количество денег, которое мы можем потерять из-за угроз»;

• «Угроза — это просто плохая вещь, которая может произойти с любым компьютером»;

• «Риск — это просто то, что мы может пропустить, если не будем сканировать уязвимости.

Правильно:

• Уязвимость — это слабое место или недостаток в системе (и далеко не только в ПО), который может быть использован злоумышленником.

• Угроза — это потенциальное событие или действие, которое может использовать уязвимость для нанесения ущерба активам организации. Угрозы могут исходить из различных источников, включая кибератаки, природные катастрофы и т.д.

• Риск — это оценка вероятности и потенциального влияния эксплуатации уязвимости с учетом имеющихся угроз, он комбинирует вероятность наступления угрозы и возможный ущерб, который может быть причинен.

Вопрос 3. Какие этапы процесса управления уязвимостями вы знаете? 

Неправильно:

• «Мы просто исправляем каждую обнаруженную уязвимость»;

• «Я просто использую CVSS Score, который всегда достаточно точен».

Правильно:

Процесс обычно включает в себя множество шагов, который включает не только постоянный мониторинг окружающей среды на предмет уязвимостей и угроз, но и:

• Анализ и поиск активов, нуждающихся в защите;

• Использование правильных инструментов и техник для оценки, приоритезации и устранения обнаруженных уязвимостей;

• Документирование результатов и принятых мер по устранению.

Все эти шаги одинаково важны, и пропуск любого из них может говорить о низкой квалификации специалиста.

Вопрос 4. Вы нашли уязвимость. Какие шаги по приоритезации и устранению?

Неправильно:

• «Отправляю уязвимость в общую очередь на устранение, не заботясь о том, как скоро она будет исправлена»;

• «Устранять уязвимости в порядке поступления, начиная с самых свежих».

Правильно:

Профессионал ответит, что на приоритизацию и устранение влияют несколько факторов. Лучше перечислить как можно больше из них:

• Критичность уязвимости, которая часто определяется различными системами оценки, например — CVSS;

• Вероятность эксплуатации уязвимости;

• Потенциальный ущерб от эксплуатации, включая потерю данных, финансовое воздействие и ущерб репутации;

• Значимость затронутой системы для работы организации.

• Регуляторные требования — обязательства по соблюдению нормативных актов могут определять срочность устранения. К ним, например, относятся 187-ФЗ, ГОСТ Р 57580, приказы ФСТЭК и др.

Вопрос 5. Какие инструменты или системы оценки уязвимостей обычно используете для поиска и приоритизации?

Неправильно:

• «Какой дали инструмент, таким и буду пользоваться»;

• «Я просто выбираю самый дешевый инструмент, чтобы сократить расходы»;

• «Мне не важно, как часто выходят обновления, главное, чтобы инструмент работал»;

• «Интерфейс и удобство использования не имеют значения, я просто дам команде инструкцию, как использовать тот или иной инструмент».

Правильно:

Назвать конкретные платформы, рассказать об инструментарии с их особенностями и личным опытом использования. Будьте готовы ответить на технические вопросы: работодатель опасается, что соискатель соврал в резюме. Если в опыте не так много используемых инструментов, лучше честно в этом признаться и рассказать только о тех, в которых вы правда хорошо разбираетесь.

Что касается систем оценки, здесь подход такой же – следует назвать только те, с которыми есть опыт работы и рассказать, на чем основывается та или иная метрика.

Вопрос 6. Как вы справляетесь с уязвимостями «нулевого дня»?

Неправильно:

• «Установлю патч или буду ждать, когда он появится в открытом доступе»;

• «Я могу просто отключить все системы на всякий случай, если узнаю об уязвимости нулевого дня».

Правильно:

Будущий работодатель ожидает, что кандидат назовет как минимум несколько шагов. Это и активный мониторинг признаков эксплуатации, и информирование всех заинтересованных сторон, и временные меры контроля, и наличие четкой стратегии на случай реагирования на подобные инциденты. 

Вопрос 7. Как справляться с уязвимостью, которую нельзя сразу устранить с помощью патчей? А если продукт снят с поддержки или он вообще — open-sourse?

Неправильно:

• «Я передам отчет с уязвимостью без рекомендаций по дальнейшим действиям, оставлю как есть»;

• «Я подожду, пока объявят о патче, даже если продукт снят с поддержки».

Правильно:

Грамотно оценить риски и назвать как можно больше мер для компенсации неустраненной уязвимости. Это может быть и сегментация сети, и ограничение доступа или системы обнаружения вторжений, и взаимодействие с вендором, и альтернативные СЗИ, которые помогут заблокировать попытки эксплуатации до появления постоянного исправления.

Вопрос 8. Как вы оцениваете эффективность вашей программы управления уязвимостями?

Неправильно:

«Нет инцидентов/крупных инцидентов — значит работа выполняется качественно».

Правильно:

Эффективность можно измерить не одним, а сразу несколькими методами. Вот лишь три из них — но чем больше вы назовете, тем лучше:

• Проведение внутренних или внешних аудитов для оценки существующих процессов и контроля.

• Отслеживание таких метрик, как количество выявленных уязвимостей, время на их устранение и процент обновленных систем.

• Проведение регулярного тестирования на проникновение для проверки эффективности внедренных мер безопасности.

Вопрос 9. Каковы распространенные проблемы в управлении уязвимостями?

Неправильно:

• «Во всем виноваты другие департаменты или отделы»;

• «У нас нет проблем, потому что мы используем лучшие инструменты»;

• «Проблемы возникают только с устаревшими системами»;

• «У нас никогда не бывает никаких проблем с управлением уязвимостями».

Правильно:

Не перекладывать ответственность на ИТ-, бизнес-департаменты или другие смежные подразделения, а также не отрицать существование проблем. Нормально сообщить о таких подводных камнях, как большие и сложные ИТ-инфраструктуры, в которых сложнее обнаружить уязвимости, ограничения в бюджете и персонале, нехватка времени и ресурсов, меняющийся ландшафт угроз и т. д. Важно правильно формулировать свою мысль — никого не обвинять в ошибках и проблемах, а четко рассказать о тех усилиях, которые были и должны быть предприняты для устранения уязвимости.

Вопрос 10. Как вы остаетесь в курсе последних уязвимостей и угроз?

Неправильно:

• «Использую один источник информации, например — бюллетени вендоров»;

• «Я не слишком озабочен отслеживанием новых уязвимостей, у нас для этого есть инструменты»;

• «Я просто жду, когда нам сообщат об этом сверху, если это важно».

Правильно:

Использовать сразу несколько источников. Это могут быть обновления от поставщиков, ИБ-компаний и профильных регуляторов, участие в форумах и использование сервисов разведки угроз.

Также важно постоянное прохождение курсов и участие в вебинарах, например – в рамках образовательного направления Solar Method, состоящего из интерактивных занятий, сессий Q&A, отработки навыков на нашем киберполигоне и индивидуальной обратной связи от экспертов с многолетним опытом отражения кибератак.

Вопрос-бонус. Что важнее — Vulnerability Assessment или тестирование на проникновение?

Неправильно:

• «Назвать только один вариант»;

• «Я не думаю, что одно из них необходимо, у нас уже есть брандмауэр».

Правильно:

Два одинаково важных процесса, которые должны осуществляться параллельно друг с другом. Нельзя ограничиться только VM или пентестом, если претендуешь на высокий уровень зрелости ИБ. Также на собеседовании важно пояснить, чем один процесс отличается от другого.

Вместо итогов

Становится очевидным, что успех в области управления уязвимостями требует глубоких знаний и гибкости. Успешные кандидаты должны демонстрировать не только техническую компетентность, но и стратегическое мышление, умение эффективно общаться и сотрудничать с другими командами. Именно поэтому важно действительно глубоко погрузиться в специальность перед тем, как идти на собеседование на данную позицию.

Помня о важности баланса между техническими навыками и навыками взаимодействия, специалисты по управлению уязвимостями смогут лучше справляться с возникающими угрозами и способствовать укреплению защиты своей организации. Именно такой всесторонний подход будет определяющим в обеспечении безопасности и успешном карьерном росте в сфере кибербезопасности.

Спойлер: в следующей части мы расскажем, как перейти из ИТ в ИБ.

Авторы:

Роман Долгий, руководитель направления специальных сервисов Solar JSOC, ГК «Солар». 

Юрий Брежнев, аналитик группы эксплуатации сервисных платформ ГК «Солар».