Чем занимается специалист по информационной безопасности и чего от него ждут компании

Моя цель - предложение широкого ассортимента товаров и услуг на постоянно высоком качестве обслуживания по самым выгодным ценам.

В нашем блоге уже была статья про инфобез. Но Алексей Федин, ведущий инженер в этой отрасли, сказал, что она неправильная. Мы исправляемся и даём слово Алексею, который решил помочь разобраться в сфере и сделать то, что в ИТ любят больше всего: категоризировать, отсортировать, представить в виде списка и нарисовать схему. Документов и схем в интернете уже создано множество: попроще, посложнее, со связями отдельных элементов или без. Это мало помогает, а иногда и ещё больше запутывает. Основная наша аудитория  — люди, далёкие от инфобеза, а иногда и от ИТ. Поэтому рассказываем обо всём по-простому, своими словами.

Зачем опять про инфобез

Давайте поговорим, что такое информационная безопасность. Если следовать определениям, то мы получим сразу несколько сухих технических фраз, вроде «методы защиты информации путём уменьшения информационных рисков» или «всесторонняя защищённость информации и поддерживающей её инфраструктуры от любых случайных или злонамеренных воздействий, результатом которых может явиться нанесение ущерба самой информации, её владельцам или поддерживающей инфраструктуре». Чтобы ещё больше запутать людей, существует термин кибербезопасность — методы защиты компьютерных систем, их программного и аппаратного обеспечения, хранимых и передаваемых данных, от компьютерных атак. Кибербезопасность — это всего лишь один раздел информационной безопасности, но в России официальные лица его не используют и всё вместе называют информационной безопасностью.

Алексей Федин

Ведущий инженер по информационной безопасности
Работает в IT c 2002 года. Опыт администрирования и работы с сетями — более 10 лет. С 2008 года занимается проектированием и наладкой решений информационной безопасности в промышленности. Работал в компаниях «РТСофт», Positive Technologies, iGrids, Elcomsoft

Эта отрасль ИТ молодая. Она  сформировалась примерно в 70-х годах 20-го века. До этого уже существовали средства технической разведки, криптография и подобные явления, но они относились к разным областям деятельности и традиционно были закреплены за военными и спецслужбами. Для возникновения кибербезопасности должны были появиться компьютеры, сети и программы, которые написаны программистами. А для появления целой отрасли этим всем должен пользоваться широкий круг людей. 

Если переварить всё сказанное, то получим два факта: 

  • Область инфобеза молодая...

  • ...и крайне непонятная для начинающих айтишников.

Кстати, людям все ИТ всё ясно: инфобез — это про хакеров. Остальным предлагаю свою классификацию категорий инфобеза, а в следующей статье расскажу о том, как в этих категориях развиваться.

Широко известные плакаты «из армии»
Широко известные плакаты «из армии»

Переходим к категориям

Для начала рассмотрим направления — домены, в которых может поучаствовать студент, решивший связать свою судьбу с защитой информации. Вот примерный список:

  • Архитектура ИБ. Проектирование защиты систем и сетей компании, построение систем управления уязвимостями, внедрения новых средств и подобная работа на корпоративном уровне. На такую позицию джунов не берут, это относится уже к специалистам с хорошим опытом. Но это направление подразумевает хорошее знание средств защиты, современных практик построения ИТ и ИБ, навыков системного администрирования.

  • Криптография. Если вы не знаете, что такое XOR, или ни разу не слышали про теорию чисел, то лучше с этим направлением повременить — будет странно и непонятно.

  • Бумажная ИБ. Отчасти это направление пересекается с архитектурой, но больше направлено на взаимодействие с регуляторами и госорганами. Здесь требуется знание законов, постановлений, отраслевых документов. Главная цель — убедить проверяющих либо в том, что у вас защищать нечего, либо в том, что всё защищено лучше чем требуется. Многим эта область сразу же покажется неинтересной. Но благодаря несовершенству законодательства и желанию компаний сэкономить на средствах защиты, «бумажные» безопасники будут востребованы всегда.

  • Пентест. Ради этого идут обучаться 99% студентов: взломы систем, эксплоиты, подборы паролей, трояны, учётки админа и так далее. Однако, большинство будущих коллег упускает из виду, что для всего вышеперечисленного нужно знать, как работают те или иные типы приложений, сети, как устроен веб и, скорее всего, более-менее разбираться в программировании. Без этого тоже можно, но только в теории или во сне.

  • Киберкриминалистика. Есть компьютер, с которого месяц назад украли 1000 биткоинов. После этого хозяин три раза переустановил ОС, чтобы не украли остальные (клянётся, что больше ничего не трогал) и просит узнать, кто бы мог быть этим маленьким шалунишкой. Основное направление — исследование содержимого накопителей, дампов оперативной памяти, сохранённого трафика.

  • Анализ угроз. Одновременно вирусная аналитика, аналитика ИБ, аналитика SOC. Здесь требуется разбираться с вредоносной активностью, создавать сигнатуры для всего плохого во имя всего хорошего и осложнять жизнь тем самым 99% студентов. Нужно очень хорошо понимать, как работают сети, операционные системы и средства защиты: антивирусы, IDS, SIEM.

  • Реверс-инжиниринг. Это работа с железом и низкоуровневые задачи, ковыряние в экзешниках, снятие защит, стэк и указатели. Если вы не умеете программировать, не знаете, что такое отладчик, впервые слышите про дизассемблер и декомпилятор, то вам сюда идти не стоит. Зарплаты очень большие.

  • Администрирование средств ИБ. Администратор в этот случае — тот, кто в состоянии настроить хотелки специалистов из всех предыдущих категорий. То есть настроить сеть, развернуть виртуальные машины, настроить SIEM и DLP, установить антивирусы. И всё это поддерживать в рабочем состоянии. Как и любой админ, если это человек с прямыми руками, то будет пахать первые полгода, а потом всё станет хорошо.

  • DevSecOps. Админы, которые «женят» программистов и других админов, настраивают SAST и DAST (программы, которые изучают другие программы), анализируют конфиги, пишут отчёты о том, что всё плохо, а программисты — криворукие. В общем, это обычные девопсы, которые умеют программировать и хотят уйти в сторону ИБ. Основная задача — сделать так, чтобы компания-разработчик выпустила свой продукт как можно более безопасным.

  • Privacy. Раздел бумажной безопасности, связанный с конфиденциальностью информации, защитой персональных данных, режимами обработки персональных данных и так далее. В России эта область пока не очень развита. На Западе специалисты более востребованы, но у них другое законодательство. Если научитесь в этом разбираться, есть шанс попасть в любую крупную международную компанию или компанию-экспортер.

  • OSINT. Ещё одно модное направление. С помощью интернета обещают найти информацию о любом человеке, компании, человеке в компании и наоборот. В работе используют разные странные программы, знают кучу сайтов с ништячками, имеют доступ к базам данных, за которые могут поругать. Получается не у всех.

Естественно, существуют и другие направления кибербезопасности, но они либо нишевые, либо требуют профессионального опыта.

Углубляемся в платформы

Чтобы до конца запутать наших будущих студентов, скажем, что кроме направлений деятельности существуют предметы приложения своих сил и энергий. Назовём эти предметы модным словом платформа. Примерный список платформ, в которых может обрести себя безопасник:

  • Облака и облачные вычисления. То, что находится в интернете, запускается на удалённых серверах или просто там хранится.

  • Виртуальные машины и контейнеры. Сейчас без виртуализации никуда, поэтому кто-то её защищает, кто-то её взламывает и только обычные люди её используют по назначению — для получения прибавочного продукта.

  • Десктопные приложения. Тут всё понятно — обычные программы на обычных операционных системах. Вымирающий вид, так как все переходят в облака и на мобилки. Вымирать будут, как динозавры — миллионы лет. Ладно, для ИТ миллионов лет не существует, но на нашу жизнь их работы точно хватит. Надеюсь.

  • Мобильные приложения. Мобильный банкинг, сообщения с просьбой перевести деньги, читы для игр — всё бурно развивается, так как те самые 99% студентов без телефона уже жить не могут.

  • Сети. Без сетей никуда. Они как бы есть, но обычный пользователь даже не подозревает об их существовании. Сети  развивались и будут развиваться всегда.

  • Веб. Все уже живут там, что и радует безопасников всех мастей — здесь у всех будет работа.

  • Офисные системы. Сети + десктоп + Wi-Fi + мобилки, и не забудем про удалённых сотрудников. Всё должно быть очень защищено и надёжно.

  • КИИ — критическая информационная инфраструктура. Промышленные предприятия, SCADA, контроллеры, противоаварийные защиты. Благодаря российскому законодательству это направление сильно развивается, главное — чтобы был толк.

После того как мы наметили направления в информационной безопасности и поговорили о различных платформах для защиты, у джунов и стажёров могло сложиться впечатление, что пути развития как такового в ИБ нет. Или он представляет из себя причудливый и непонятный лабиринт. Чтобы выйти из классического лабиринта, нужно всё время поворачивать в одну сторону. Посмотрим, что делать специалисту ИБ.

Пути развития в инфобезе

Инженерия и архитектура: инженер ИБ, архитектор ИБ

Это направление для тех, кто балдеет от технологий. Новые операционные системы, новые средства защиты и методики их применения, работа в Linux и настройка криптошлюзов, разворачивание SIEM и IDS — список можно продолжать. Если вы любите рисовать схемы, думать над тем, как улучшить сеть, какие средства внедрить и как их настроить, то вам сюда.

Основная цель работы инженера и архитектора — стабильная работа инфраструктуры компании. Для этого нужна правильная настройка средств безопасности, а от инженера требуется умение видеть картину в целом. На этой позиции можно поучаствовать в расследованиях инцидентов или в тестах на проникновение — всё зависит от ваших возможностей, желаний и времени.

Ключевые технические навыки:

  • сетевое администрирование;

  • системное администрирование;

  • понимание рисков.

Нужные гибкие навыки:

  • умение общаться с людьми — слышать, а не слушать;

  • умение общаться с руководителями;

  • критический и трезвый взгляд на проблемы и методы их решения.

Международные сертификации:

  • CompTIA Security+.

  • Systems Security Certified Practitioner (SSCP).

  • Certified Information Systems Security Professional (CISSP).

  • Google Professional Cloud Security Engineer.

Реагирование на инциденты

Здесь придётся возиться с уязвимостями, атаками и их последствиями, а также устранением последствий этого беспредела. В обязанности входит постоянное наблюдение за сетью компании и мониторинг хакерских форумов на предмет появления новых уязвимостей. Если же что-то пошло не так, предстоит нелёгкий путь расследования и минимизации потерь. Всё это реальность для аналитиков SOC. Если вы думаете, что это спокойная работа без лишних нервов, то это не так.

Ключевые технические навыки:

  • работа со средствами анализа атак;

  • понимание работы сетей;

  • понимание работы ОС;

  • навыки программирования.

Гибкие навыки:

  • наблюдательность;

  • собранность;

  • стрессоустойчивость.

Международные сертификации:

  • GIAC Certified Incident Handler (GCIH).

  • EC-Council Certified Incident Handler (ECIH).

Компьютерная криминалистика

Здесь придётся работать с настоящими следователями, изучать УК, оттачивать словесные формулировки и всё это делать в перерывах между изучением секторов накопителей и раскопками файлов подкачки. Если повезёт, в придачу получите гигабайты трафика в формате pcap.

Ключевые технические навыки:

  • понимание работы ОС;

  • работа с криминалистическими программами.

Личные навыки:

  • внимательность;

  • умение держать язык за зубами и не говорить лишнего;

  • умение работать под давлением (вы хоть раз общались со следователем или прокурором?).

Международные сертификации:

  • Certified Computer Examiner (CCE).

  • Certified Computer Forensics Examiner (CCFE).

Управленцы и менеджеры

Это те люди, которые собирают всех вместе. Если вы не умеете общаться, то это точно не ваш выбор. Предстоит не только обсуждение вопросов внутри команды, но и обоснование увеличения бюджета на ИБ у генерального, акционеров и прочего топ-менеджмента. Если вы думаете, что последние ничего не понимают в ИБ, то вы совершенно правы. Абсолютно ничего не понимают, поэтому денег не дадут.

Главного безопасника на современный манер кличут CISO — chief information security officer. Он отвечает абсолютно за всё безопасное в рамках компании: координацию разных команд, соответствие регламентам и требованиям, закупку новых средств защиты, изменение инфраструктуры и прочее, прочее, прочее.

И помните: если ваш подчинённый скажет, что на досуге «реверснул наш главный продукт и нашёл в нём захардкоженные креды и пару переполнений», то попросить пересказать это более понятными словами вы не имеете права.

Ключевые технические навыки:

  • управление рисками.

Гибкие навыки:

  • умение работать с людьми;

  • лидерские качества;

  • умение наладить работу совершенно разных специалистов.

Международные сертификации:

  • Certified Information Security Manager (CISM).

  • GIAC Certified Project Manager (GCPM).

  • CISSP (Certified Information Systems Security Professional).

Консалтинг

Вы несёте свет, мир и облегчаете жизнь любой компании только одним своим присутствием. На вас и ваши ценные советы вся надежда сотен обычных пользователей обычных компаний. Но и гнев от неправильно выстроенных процессов или зря потраченных бюджетов вам тоже обеспечен.

Некоторые компании ещё только встают на безопасный путь в ИТ. Некоторые уже очень крупные, с развитым отделом ИБ, но при этом сталкиваются со своими специфическими проблемами. В обоих этих случаях иногда требуется помощь со стороны. Именно такая помощь и называется консалтингом.

Выбрав для себя этот путь, вы будете одновременно и защитником, и нападающим: станете проверять системы на уязвимости и разрабатывать рекомендации по улучшению их защищённости. Что вам точно не грозит в роли консультанта — это однотипные задачи.

Ключевые технические навыки:

  • аудит систем;

  • пониманием уязвимостей систем.

Личные навыки:

  • доброжелательность.

Международные сертификации:

  • CompTIA Security+

  • Offensive Security Certified Professional (OSCP).

  • Systems Security Certified Practitioner (SSCP).

  • Certified Security Consultant (CSC).

Пентест и аудит

Наверное, здесь можно ничего не писать. Слова «пентестер» или «этичный хакер» и так манят в ИБ тысячи неокрепших умов, мечтающих о славе супер-хакеров или чеках от $50 000 за успешные программы охоты на жуков, и, конечно же, за много-много зиродеев.

Для тех, кто впервые слышит такие слова, уточним. Пентестер или этичный хакер — это человек, который занимается законным взломом компьютерных систем. Таких людей нанимают компании, чтобы проверить надёжность выпускаемого продукта или своей системы защиты информации. У этой замечательной профессии действительно нет высокого порога вхождения и заоблачных требований к образованию. Ограничением будет только УК.

Ключевые технические навыки:

  • понимание природы уязвимостей;

  • понимание работы сетей;

  • понимание работы ОС;

  • основы программирования.

Гибкие навыки:

  • усидчивость;

  • увлечённость;

  • умение искать обходные пути.

Международные сертификации:

  • Certified Ethical Hacker (CEH).

  • CompTIA PenTest+.

  • GIAC Penetration Tester (GPEN).

  • Offensive Security Certified Professional (OSCP).

DevSecOps

Если вы уже являетесь админом или программистом, но хотите немного сменить область деятельности и стать ближе к ИБ, то вам стоит посмотреть в сторону DevSecOps. Специалисты этой профессии делают безопасным выпуск любого программного продукта, добавляя безопасную прослойку между «раз-два»  и «в продакшн».

Если вам нравится копаться и находить ошибки в чужом коде, разбираться в версиях подключаемых библиотек, Linux давно стоит на вашем компе, вы знаете, что такое сканер безопасности, SAST, BlackBox DAST и WhiteBox DAST, то скажем вам по секрету — спрос на таких специалистов сейчас растёт.

Ключевые технические навыки:

  • сетевое администрирование;

  • администрирование ОС;

  • опыт разработки.

Личные навыки:

  • критический и трезвый взгляд на проблемы и методы их решения.

Международные сертификации:

  • Certified DevSecOps Professional (CDP).

  • Certified DevSecOps Engineer(CDSOE).


Чем больше мир цифровизируется, тем больше информации нужно защищать. Специалисты, которые могут настраивать защиту и сохранять её, очень нужны. В комментариях к прошлой статье многие говорили, что инфобез — это скучно и бесперспективно. Но в ИТ вообще не бывает скучно — слишком подвижна отрасль. А компании готовы платить безопасникам, так что перспективы в сфере есть.

Источник: https://habr.com/ru/company/netologyru/blog/652153/


Интересные статьи

Интересные статьи

Редакция сайта DOU.UA решила подробнее проанализировать, кто получает больше всего на рынке, и попыталась составить инструкцию, как добиться столь высоких результатов. Далее – 11 шагов, которые помогу...
Я - фанат yii2. Да, несмотря на многие его недостатки, я смог его полюбить и примерно 5 лет зарабатываю на хлеб с маслом благодаря его разработчикам.Уже примерно два года я жду релиза Yii3. Я ждал, чт...
Военные испытания, глушащие и подменяющие сигналы GPS – это бомба замедленного действия В один из дней мая прошлого года ранним утром коммерческий самолёт подлетал к международному а...
В одном из прошлых материалов мы проводили опрос о том, информация о какой стране для переезда должна появиться в нашем блоге. С большим отрывом победила Канада, так что сегодня мы ра...
Избегаем оценочных суждений! Дробим предложения. Выкидываем не нужное. Не льем воду. Факты. Цифры. И без эмоций. «Информационный» стиль, прилизанный и гладкий, накрыл технические порталы с го...