Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS15.07.2022 17:47

В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так же как и количество незанятых вакансий в этой сфере.

В этом году Нетология совместно с НИУ ВШЭ открыла набор на онлайн-магистратуру «Кибербезопасность». Чтобы помочь абитуриентам разобраться, чем занимаются специалисты по кибербезопасности, мы перевели и адаптировали статью от международного института SANS о самых востребованных профессиях в этой области. Институт обучает IT-специалистов и подготовил статью на основе данных статистики по рынку и вакансиям.

Охотник за угрозами — Threat hunter

Что делает:

• Анализирует информацию от систем компьютерной безопасности компании и ищет угрозы, которые смогли незаметно обойти защиту.
• Отслеживает данные о новых видах кибератак, чтобы суметь их распознать.
• Находит в информационной системе скрытых злоумышленников, которые долгое время были незаметны для традиционных механизмов обнаружения.

Эта роль требует критического мышления, любознательности, внимания к деталям, умения анализировать, знаний компьютерных сетей, понимания процессов разработки и расследования.

Охотник действует по двум сценариям:

 На основе известных данных — например, если есть информация, что злоумышленник уже внутри системы, охотник ищет подтверждение этому и пытается понять, каким способом произошёл взлом.

 Исходя из гипотез — выдвигает предположение, что у хакеров появилась новая тактика или информационная система уже взломана, но об пока никто не знает. В этом случае охотник определяет, по каким критериям нужно искать признаки компрометации и дальше их ищет.

Работа охотника, несмотря на название специальности, больше похожа не на охоту, а на действия сапёра только в цифровом пространстве.

Тестировщик Красной команды — Red Teamer

Что делает:

• Тестирует информационную систему компании на уязвимость.
• Имитирует действия злоумышленников с помощью продвинутых методов и инструментов из хакерского арсенала.

Тестовую атаку можно назвать полномасштабным киберучением. Её задача — найти слабые и сильные стороны систем защиты, а также собрать информацию, чтобы оценить риски для самых важных данных компании.

Сценарий такой проверки индивидуален и зависит от запросов заказчика и поставленных целей. Можно проверять только доступность отдельных систем или анализировать, как работает компания в целом.

Пример задачи для Красной команды из аналитического обзора Group IB. Тестировщику предстоит взломать внутренние серверы и получить доступ к финансовым системам компании. Источник: Group IB

Защитник Синей команды — Blue Teamer

Что делает:

• Занимается проектированием и архитектурой сетей.
• Реагирует на инциденты.
• Прогнозирует новые нападения и пытаться их предотвратить.
• Администрирует инструменты безопасности.
• Создаёт и поддерживает систему информационной безопасности.

Это универсальный защитник с широким кругом задач и знаний. В небольшой организации может быть основным экспертом по безопасности, а в крупных компаниях может входить в SOC — Security Operation Center — Оперативный Центр Безопасности.

Тестировщик Фиолетовой команды — Purple Teamer

Что делает:

• Разбирается в управлении безопасностью и уязвимостях информационной системы.
• Выполняет роль посредника или арбитра между Красной — атакующей — и Синей — защищающей — командами.
• Наблюдает за процессами атаки и защиты, комментирует и интерпретирует то, что происходит, подсказывает лучшие решения. Таким образом помогает оттачивать навыки специалистам обеих команд.

Должен быть высококвалифицированным специалистом, чтобы понимать причину действий — и защитников, и нападающих — и оценивать их пользу и промахи. Предлагает меры безопасности, которые повысят устойчивость систем к новым способам атаки.

Аналитик цифровой криминалистики — Digital forensics analyst

Что делает:

• Анализирует взломанные системы и электронные носители.
• Помогает обнаружить признаки взлома информационных систем.
• Формулирует отчёты об инцидентах, в том числе для СМИ.
• Ищет следы действий злоумышленников и улики в цифровой среде — в компьютерах, сетях и облачных данных. Другими словами, сыщик в мире кибербезопасности.

Какие навыки пригодятся в работе:

• умение собирать доказательства;
• способность постоянно учиться;
• исследовательский склад ума;
• экспертность в компьютерных технологиях и судебных вопросах.

Аналитик вредоносных программ или вирусный аналитик — Malware analyst

Что делает:

• Изучает вредоносные программы, проводит их углубленный анализ и составляет техническое описание.
• Может заглянуть внутрь ПО, чтобы понять, как оно проникло в систему, какую уязвимость использовало и какую угрозу могло принести.
• Разрабатывает способы защиты и противодействия вирусным атакам.

Для правильной обработки и анализа файлов должен знать специальные методы и уметь находить в коде его истинные функции. Обладает навыками исследователя и терпеливого наблюдателя — за некоторыми программами приходится следить несколько месяцев, так как они не проявляют свою вредоносную сущность сразу.

Результат действий вирусного аналитика — эффективная работа антивирусного софта. Именно он пополняет базы антивируса данными о вредоносных файлах — это позволяет программе быстро находить и устранять угрозы.

CISO или директор по безопасности

Что делает:

• Определяет стратегию информационной безопасности для компании и риски, которые она покрывает.
• Формулирует положения и регламенты.
• Эффективно управляет персоналом в подчинении;
• Обеспечивает нужный уровень информационной безопасности и эффективность работы ИБ-подразделения в компании.

Этот специалист должен одинаково хорошо разбираться как в бизнесе, так и в информационной безопасности. Может влиять на людей и на их решения, вести переговоры. Хорошо знает мировые рынки, политику и законодательство. Понимает, как совместить безопасность и бизнес-цели.

Пример должностных обязанностей CISO из вакансии в технологической компании. Источник: hh.ru

Архитектор-инженер по кибербезопасности

Что делает:

• Проектирует, внедряет и настраивает средства управления сетью и данными, чтобы предотвращать, обнаруживать и реагировать на инциденты.
• Разрабатывает новые технологические решения для защиты сетей, а также способы обнаружения вторжений и вредоносного ПО.
• Участвует в анализе вредоносного ПО.
• Собирает метрики атак, составляет и анализирует отчёты по инцидентам.

Этот профессионал должен видеть средства защиты компании в целом как систему, понимать рабочие процессы и бизнес-требования. Он может сбалансировать разные требования, а также политики и процедуры безопасности, чтобы создать надёжную систему защиты.

Так выглядит ячеистая архитектура кибербезопасности (CSMA) от компании Fortinet Security Fabric. В ней средства контроля безопасности интегрированы в широко распределенные сети и активы. Источник: Fortinet Security Fabric

 Онлайн-магистратура Нетологии И НИУ ВШЭ

Кибер-
безопасность

Узнать больше

• Изучите российские и международные отраслевые стандарты в информационной безопасности.
• Научитесь выстраивать безопасность инфраструктуры, проводить полный цикл работ по установке, развёртыванию, настройке и использованию DLP-систем.
• Начнёте расследовать инциденты на киберполигоне компании «Инфосистемы Джет».

Член группы реагирования на инциденты

Что делает:

• Реагирует на угрозы, обнаруженные системой защиты: заражение вредоносным ПО, хакерские атаки, несанкционированный доступ к данным, фишинг.
• Должен вовремя обнаружить атаку, смягчить последствия и прекратить её до того, как злоумышленники достигнут своих целей.
• Участвует в разработке сценариев реагирования на инциденты.

Обнаружив атаку, этот специалист собирает необходимую информацию о ней, чтобы удостовериться, что это действительно атака, а не ложное срабатывание системы оповещения. Дальше он может изолировать атакованный сервер от общей сети компании — так злоумышленники не получат доступ к другим её частям. Если нужно, блокирует скомпрометированную учётную запись, через которую взломали систему. Затем сообщает об инциденте руководству.

Какие скиллы потребуются для этой роли:

• быстрое мышление;
• умение работать с документацией и техникой;
• способность быстро адаптироваться к меняющимся технологиям и методам злоумышленников;
• умение эффективно доносить свои выводы до коллег из любого подразделения: начиная с технических специалистов и заканчивая руководством.

Аналитик-инженер по кибербезопасности

Что делает:

• Создаёт планы действия на случай успешной атаки на компанию.
• Собирает и анализирует информацию из разных источников: из журналов операционных систем, с маршрутизаторов и антивирусных сканеров.
• Исследует разные события, которые произошли в информационной сети компании — например, удаление или запуск критически важных файлов. Таким образом пытается увидеть активную угрозу.
• Блокирует угрозу или разрабатывает действенный ответ на неё и защиту.

Этот человек понимает, как быстро обнаружить угрозу и эффективно защититься. Поскольку злоумышленники постоянно используют новые инструменты и стратегии, аналитик-инженер должен постоянно изучать новейшие инструменты и методы надёжной защиты.

OSINT-аналитик

Что делает:

• Собирает данные из открытых источников — в основном из интернет-ресурсов.
• Исследует домены и IP-адреса.
• Добывает информацию о предприятиях, людях, проблемах, финансовых транзакциях.

Цель OSINT-аналитика — собрать и проанализировать как можно больше данных. По одному email-адресу он может восстановить цепочку действий пользователя, найти ресурсы, где тот регистрировался, имущество, которым владел, места, где бывал. Эти данные помогают проверить, насколько компания и её ключевой менеджмент устойчивы к компрометации, либо, наоборот, — собрать компромат.

Способен находить и получать данные из источников по всему миру. Знает специальные команды для поисковиков и умеет использовать инструменты поиска — расширения, боты, хакерские поисковики.

Этих экспертов можно назвать службой поддержки для специалистов из других областей кибербезопасности — например, для защитников из Cиней команды.

Так выглядит OSINT-фреймворк — наиболее полная доступная база открытых источников данных. Информация сгруппирована по категориям в интерактивной карте

OSINT-аналитик проводит разведку — активную и пассивную. Пассивная разведка — это работа с информацией: поисковыми системами, базами данных с утечками, вакансиями и метаданными из доступных файлов. К примеру, любой снимок в интернете содержит метаданные о том, где, когда и каким оборудованием он был сделан.

Активная разведка — прямой контакт с объектом исследования. Например, с инфраструктурой организации: нужно отсканировать порты и сети, чтобы найти открытые и уязвимые сервера и определить уровень безопасности компании. Потом эта информация может использоваться для организации хакерской атаки.

OSINT — Open Source Intelligence — в переводе с англ. «расследование по открытым источникам».

Технический директор

Что делает:

• Отвечает за технические и IT-процессы компании.
• Разбирается в технологиях, умеет планировать и оценивать риски, разрабатывать стандарты и процедуры;
• Участвует в создании сильной команды и эффективной системы управления безопасностью бизнеса.

Обладает глубокими знаниями в области кибербезопасности, стратегическим взглядом на инфраструктуру организации и её будущее, а также развитыми коммуникативными и управленческими навыками. Умеет говорить на одном языке с коллегами и знает специфику работы не только технических, но и творческих департаментов. Понимает бизнес-задачи своего подразделения.

Аналитик безопасности облачных сервисов

Что делает:

• Отвечает за безопасность облачных сред и сервисов.
• Участвует в разработке, интеграции и тестировании инструментов для управления безопасностью.
• Даёт рекомендации по улучшению настроек и оценивает общее состояние безопасности облачной среды организации.

Цель этого эксперта — помочь компании безопасно использовать облачные среды для обработки корпоративных данных. Как отдельная должность в России почти не встречается.

SOC-аналитик

Что делает:

• Быстро реагирует на вторжение, получая данные об атаке от системы мониторинга.
• Работает вместе с инженерами по безопасности, менеджерами SOC и членами группы реагирования на инциденты.

Задача SOC-аналитика — предотвращать, обнаруживать, мониторить и активно реагировать на кибератаки. По сути, это роль стражника у ворот.

Исследователь уязвимостей и разработчик эксплойтов

Что делает:

• Работает над поиском уязвимостей нулевого дня. Нулевой день — незамеченная раньше, поэтому пока не имеющая защиты, неустранённая уязвимость. Важно уметь находить их раньше злоумышленников.

Исследователи постоянно находят новые слабые места в популярных продуктах и приложениях. Осенью 2021 года исследователь под ником Illusion of Chaos опубликовал подробное описание и эксплойты для трёх уязвимостей нулевого дня в iOS. Он утверждает, что сообщил о них Apple сразу же, но так и не получил никакого ответа от компании.

Некоторые крупные компании, наоборот, запускают специальные программы и привлекают белых хакеров к поиску уязвимостей в своих сетях. За найденные недостатки в системе исследователи получают вознаграждение — деньги, скидки на продукцию компании, бонусы.

Эксплойт — компьютерная программа, фрагмент программного кода или последовательность команд, которые позволяют использовать уязвимости в ПО и проникать в компьютерную систему.

Инженер DevSecOps

Что делает:

• Занимается безопасностью программного обеспечения в самом начале его жизненного цикла — пишет код, который будет максимально безопасным и устойчивым к изменения и взломам.
• Управляет уязвимостями, разбирается в мониторинге и операциях по обеспечению безопасности.

Этот инженер работает на стыке двух профессий — программиста и системного администратора: умеет разработать ПО, развернуть и внедрить его.

DevSecOps — Development, security & operations — в переводе с англ. «разработка, безопасность и эксплуатация».

Пентестер

Что делает:

• Имитирует действия взломщиков, чтобы найти возможные уязвимости и понять уровень риска, которому подвергается информационная система в случае кибератаки.
• Проверяет ПО и оборудование.

По функциям пентестер кажется похожим на тестировщика из Красной команды. Разница в том, что он ищет как можно больше уязвимостей и оценивает риски, а не проверяет, способны ли системы безопасности и защиты обнаружить атаку и быстро среагировать на неё.

На этом примере видно, какие функции выполняет пентестер, а какие — тестировщик из Красной команды. Источник: Group-IB

Пентестеры помогают вовремя распознать уязвимые места и избежать утечки баз данных, взлома банковских систем или криптокошельков. После успешного взлома компании с помощью пентестеров выясняют причины, по которым атака удалась.

В некоторых компаниях эти специалисты совмещают функции пентестеров и исследователей уязвимостей нулевого дня.

Penetration testing — в переводе с англ. «исследование на проникновение».

Резюмируем

За время пандемии риск глобального сбоя кибербезопасности заметно вырос. В России ситуация ухудшилась за последние три месяца из-за ухода зарубежных поставщиков IT-решений. Помимо усиления рисков, эти события дают толчок к развитию российской кибербезопасности — освободились новые ниши и появилась потребность в собственных продуктах.

Новый указ Президента РФ «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» также усилил спрос на профессионалов и соответствующие продукты.

Все эти факторы открыли новые возможности для специалистов в сфере кибербезопасности.

Мнение автора и редакции может не совпадать. Хотите написать колонку для Нетологии? Читайте наши условия публикации. Чтобы быть в курсе всех новостей и читать новые статьи, присоединяйтесь к Телеграм-каналу Нетологии.