Сергей Герасимов: Мы нашли 15 слабых мест в VMware
Безопасность
Сергей Герасимов — специалист в области безопасности киберсферы. Он проделал путь от системного администратора до ведущего эксперта и руководителя проектов по обеспечению информационной безопасности заказчика. Сейчас Сергей специализируется на выявлении уязвимостей в ресурсах компаний и в различном программном обеспечении посредством тестовых атак, согласованных с клиентом. За время работы он сталкивался с самыми разнообразными кейсами, в том числе с ПО VMware vCenter и TrueConf. Эксперт рассказал CNews об этих случаях и своем опыте.
CNews: Сергей, расскажите, почему вас заинтересовала кибербезопасность? Как начался ваш карьерный путь?
Сергей Герасимов: Я начинал свою карьеру в качестве простого системного администратора, но со временем мне стало интересно не только настраивать и сопровождать ИТ-системы. Захотелось развиваться в сторону кибербезопасности, изучая новые технологии. В этой области есть ряд преимуществ.
Во-первых, эта работа очень разнообразна. Она включает в себя различные аспекты: техническое исследование, программирование, аналитику и менеджмент. К тому же, благодаря переходу в эту сферу, со временем мне удалось поучаствовать в проектах с очень известными компаниями и посмотреть, как они устроены изнутри.
Во-вторых, это быстро развивающаяся область. Она требует постоянной переподготовки и обучения новым технологиям. Моя работа не дает мне заскучать: я постоянно сталкиваюсь с передовыми технологиями в ИТ.
В-третьих, в этой сфере я могу помогать другим и положительно влиять на сохранность данных общества. Область кибербезопасности позволяет защищать от угроз компании и их клиентов.
И, наконец, я выбрал эту сферу из-за высокой востребованности. Мы живем в эпоху информационных технологий, которые становятся все более важными. Без них сложно представить даже бытовую жизнь. В это же время угрозы безопасности растут. Поэтому сейчас и в ближайшем будущем карьера в кибербезопасности становится все более актуальна.
Есть занимательная история, с которой начался мой путь в кибербезопасности. Однажды я собирался в отпуск и воспользовался услугами одной из крупнейших компаний туроператоров в России. Ради живого интереса я решил проверить, насколько безопасна их информационная среда. Буквально за несколько минут я получил доступ ко всем клиентам, к информации, кто, куда, когда и за какую стоимость летал и прочее. Разумеется, об этой уязвимости я сообщил компании, получив благодарность в виде почти бесплатного отпуска.
CNews: В чем вы видите главную цель кибербезопасности?
Сергей Герасимов: Основная цель кибербезопасности — это защита информации, систем и устройств от внешних угроз: взлома, вредоносного программного обеспечения, кражи данных и прочего. Моя задача как специалиста в этой области заключается в обеспечении целостности, конфиденциальности и доступности критической информации и ресурсов организации. Опять же, в современном мире, когда многие аспекты жизни ушли в цифровую среду, это становится особенно актуально.
CNews: В чем заключается специфика вашей работы?
Сергей Герасимов: Я выявляю уязвимости в ресурсах компаний и различном программном обеспечении. Очень важно выполнить работу качественно и быстро, чтобы компании или разработчики устранили уязвимости до того, как они будут использованы злоумышленниками.
Также стоит сказать, что обычно это командная работа, поэтому необходимо уметь сотрудничать и координировать действия с другими людьми.
В результате нашего исследования, мы почти всегда получаем доступ к чувствительной информации заказчика. Кроме того, почти вся информация по таким контрактам находится под соглашением о неразглашении. Поэтому мы можем рассказывать только в общих чертах о достигнутых результатах в прессе.
CNews: Расскажите об этапах вашей работы: как вы находите уязвимости в компаниях?
Сергей Герасимов: Есть два направления кибербезопасности — «защита» и «нападение». К первому относятся специалисты, которые выявляют хакерские атаки, осуществляют активное противодействие и расследуют инциденты, связанные с ними. Ко второму относятся эксперты, осуществляющие эмуляцию хакерской атаки на ресурсы заказчика в рамках, согласованных с ним. Сам процесс такой атаки называется пентестом или тестированием на проникновение. Именно ко второму направлению относится моя работа.
Обычно заказчик обращается к нашей компании за услугами по проведению пентестов или аудитов безопасности. В рамках договора фиксируются разрешенные методы атак, какие ресурсы входят в зону тестирования, а также конечные элементы, наиболее критичные для бизнеса. После этого мы осуществляем согласованные атаки и стараемся добиться результата, фиксируя каждый недостаток безопасности. По итогу, мы подготавливаем подробный отчет со списком выявленных уязвимостей и рекомендаций по их устранению.
Я выступал руководителем команды и одновременно был ведущим аудитором на многих проектах с известными компаниями из е-коммерс, банков, крупнейших российских и зарубежных ИТ-компаний. Большинство проектов мы блестяще завершили, выполнив все поставленные заказчиком задачи, и значительно помогли улучшить их безопасность.
Сам поиск уязвимостей обычно можно разделить на несколько этапов. Для начала мы собираем информацию о ресурсах заказчика и подробно исследуем каждый ресурс, выявляем функции, которые он выполняет. Затем мы выявляем ошибки в работе ресурса и отмечаем все обнаруженных недостатки, даем рекомендации по их устранению.
CNews: Расскажите подробнее о работе с VMware и TrueConf: как были обнаружены и устранены уязвимости?
Сергей Герасимов: Бывает, что мы натыкаемся на какие-то уязвимости почти случайно, в ходе работы над другим проектом. К таким случаям можно отнести и ряд недостатков, которые мне удалось выявить в продуктах компаний VmWare и TrueConf.
Во время работы с одним из проектов нам встретилось очень популярное корпоративное ПО VMware vCenter. Мы решили затратить некоторое время на поиск уязвимостей в нем. И мне удалось найти 15 слабых мест разной степени критичности. В том числе, несколько уязвимостей, позволяющих получить полный доступ к данным ПО без авторизации. Мы успешно завершили проект, используя выявленные недостатки в ПО VmWare, связались с отделом безопасности компании VmWare и передали им информацию о всех проблемах. В результате, компания устранила недостатки в кратчайшие сроки и опубликовала бюллетень безопасности с выражением благодарности мне за проделанную работу. Стоит отметить, что это ПО установлено в огромном количестве компаний. Благодаря нашей работе VmWare смогла сделать безопаснее инфраструктуру своих клиентов. Если бы эти уязвимости использовали злоумышленники, сотни компаний могли быть взломаны, и ущерб был бы невероятным.
Похожая ситуация возникла с популярным в России ПО для видеоконференцсвязи TrueConf server. Компания TrueConf устранила все недочеты в кратчайшие сроки после нашего тестирования.
CNews: Можете ли вы поделиться какими-то достижениями, наградами и успехами в профессии?
Сергей Герасимов: За 10 лет работы в области информационной безопасности я выполнял ключевую роль во многих проектах. Но почти все из них находятся под соглашением о неразглашении. В основном, это крупнейшие банки РФ, страховые компании, различные маркетплейсы, крупнейшие ИТ-компании. Акции многих из них торгуются на бирже. Также были и международные проекты. Я помог улучшить безопасность таким компаниям, как AT&T, Hyatt, Sony, Mail.ru, Coursera. А в результате обнаружения уязвимостей в продуктах VMware и TrueConf я являюсь соавтором 17 CVE — баз данных общеизвестных уязвимостей в сфере информационной безопасности.
Среди моих личных достижений могу выделить сдачу экзамена и получения сертификата HTB CPTS. Это сравнительно новый тест для специалистов в области кибербезопасности. На мой взгляд, новые экзамены и вызовы самому себе мотивируют к тому, чтобы держаться в тонусе как профессионалу.■
Полный текст статьи читайте на CNews