Рассуждаем, из кого сделать ИБ-специалиста

С развитием информационных технологий развивалась и сфера мошенничества в ИТ, вирусных и хакерских атак. Естественно, вырос спрос и на услуги Информационной Безопасности (ИБ). Он всегда был, но с повсеместной компьютеризацией он сильно увеличился. Ведь сейчас трудно представить современный мир без кучи различных гаджетов и компьютерной техники. Конечно, есть уголки мира, куда прогресс ещё не дошел в полной мере, но сейчас не о них. 

Речь о том мире, где есть мобильный интернет, гостевой беспроводной интернет в развлекательных, государственных и общественных местах. Люди из этого мира уже перестали удивляться разблокировке по лицу на своем телефоне, биометрии при входе на работу, когда надо приложить палец, чтобы пройти к рабочему месту, чайнику, включаемому через мобильный телефон, системе, сообщающей, кто пришел домой, и даже умной колонке, способной заказать вам ужин. Это уже обыденность, привычные вещи, как одежда для ношения или завтрак по утрам. 

Кроме повседневных вещей, в нашей стране на развитие ИБ еще повлияла ситуация с санкциями, уходом зарубежных компаний и повышением уровня кибератак. В этой связи вырос уровень и ответственности за информационную безопасность, как в социальном плане, так и в нормативном. 1 мая 2022 года вышел указ Президента РФ номер 250, который назначил персональную ответственность за ИБ в рамках некоторых предприятий. Причем не на бумаге, а на деле. В совокупности данных факторов спрос на специалистов по ИБ возрастает, в связи с этим рассмотрим сценарии, когда происходит не наем специалиста, а его переквалификация в рамках предприятия.

d2f5a880b12eecd12f26195127bb8e5f.jpeg

Естественно, это касается и разных компаний, и учреждений во всех областях. Инфраструктуры становятся сложнее, а пользователям стараются упростить работу (иногда даже при их полном нежелании использовать нововведения). Но с эволюцией IT-систем и их увеличением в количестве увеличивается и число более уязвимых мест, которые могут повлиять на работу систем. Конечно же, для защиты от этого создаются более износостойкое оборудование, решения для бесперебойной работы, системы децентрализованного функционирования или полная копия инфраструктуры в отличном от основного месте. Но это факторы, скажем так, аварийные, на которые человек может повлиять косвенно или опосредованно. Конечно, саботаж тоже никто не отменял, но это скорее исключение из правил, если рассматривать физическое воздействие. Но ведь разговор об информационных технологиях в контексте удобства, когда не надо вставать хотя бы с рабочего места, чтобы делать работу. 

Сейчас уже достаточно инструментов для удаленной диагностики, администрирования и просто работы, за исключением случаев физического выхода из строя оборудования. И вот как раз эти удобства помогают злоумышленникам. Причем самым разным: от обычных хулиганов до целенаправленных взломщиков, совершающих атаки с целью кражи и вымогательства. И вот тут вступает в дело ИБ. Как раз решения из этой отрасли защищают от внешних проникновений и внутреннего саботажа и шпионажа в сфере IT. И если раньше было достаточно выделить человека в IT-отделе, который бы занимался кроме обычного администрирования еще и ИБ-системами, то в 2022 году можно уже спокойно приглашать целую ИБ-компанию на аудит уязвимости систем или создавать отдельную структурную единицу в рамках компании, а лучше и то, и другое. И вот тут хотелось бы порассуждать на эту тему.

d1de16fff7b36bbd84d0fd2150ef81e1.jpeg

Существуют несколько мнений на тему специалистов по информационной безопасности. В целом они сводятся где-то к двум основным тезисам: первое — лучше вырастить из специалиста по информационным технологиям специалиста по информационной безопасности, второе — проще взять человека, разбирающегося с нормативными актами по информационной безопасности, а потом его обучить информационным технологиям. И да, естественно, есть третий вариант — взять на постоянный контракт фирму, специализирующуюся на ИБ —, но он не рассматривается. Этот вариант вполне рабочий, но, например, на госструктурах не всегда сработает. 

Итак, если совсем просто, вопрос звучит так: чтобы стать специалистом по ИБ, лучше начинать с айтишника, потом в безопасность, или с безопасника, потом в IT? У данной темы, скорее всего, нет однозначного решения. Больше хочется порассуждать и посмотреть, где и какие могут быть скрытые и неочевидные трудности. Также сразу оговорюсь: в данной статье рассматривается вариант работы, когда ИБ-специалист выступает не зарабатывающей силой компании, то есть деятельность его компании напрямую не связана с индустрией ИБ.

46b1abbbc18ff8ec4f55256fd7862001.jpeg

 Итак, рассмотрим первый вариант. К нему приходят тоже несколькими путями. Обычно его раньше (лет 20 назад) использовали, когда надо было установить и настроить сервер антивируса, и клиенты на АРМ считались достаточным для закрытия всех уязвимостей. Ну и настроить правила хождения трафика на граничном маршрутизаторе. Сразу хочется оговориться: это было заблуждением уже тогда. И в большинстве фирм уже задумывались о чем-то более серьезном, включая мониторинг уязвимостей, работу по прогнозированию внутренних и внешних угроз. Но это было далеко не везде. Даже сейчас, если поднять статистику по некоторым отраслям, можно увидеть не самое лучшее состояние ИБ.  

Но иногда использовался и другой путь, когда специалист начинал работу в интеграторе в отделе общих IT-проектов, и по работе ему надо было самостоятельно разбираться не только с IT, но и с некоторыми ИБ-проектами. Хотя бы простая установка и настройка клиент-серверной части антивируса или программного файрвола. И вот здесь уже IT-специалисту надо понимать юридическую часть информационной безопасности, так как внутренние, местные и федеральные нормативные акты никто не отменял (стандарты ФСТЭК, ФСБ, федеральные законы, внутренние инструкции компании и так далее). Его IT-опыт тут может сыграть злую шутку, потому что «как удобнее» может не подходить по правилам ИБ и нормативным актам. Зато IT-опыт в совокупности с нормативными и юридическими актами вполне могут помочь как с точки зрения анализа существующих и возможных проблем в своей компании, так и в компаниях-клиентах.

677f393e1e875cf9c6c0d0e142cb8ef9.jpegДарья Глебачева 

Ведущий менеджер по привлечению талантов, Positive Technologies

 »Учитывая последние события в мире, сейчас компании как никогда нуждаются в реальной кибербезопасности, а это требует от специалистов действительно глубоких знаний. Необходимо понимание не только нормативки, хотя без этого безусловно никуда, но и сильные технические знания, которые помогают справляться с киберугрозами. Сейчас растет уровень сложности задач, с которыми приходится сталкиваться ИБ-специалисту, это больше не только администрирование продуктов, но и полноценная организация работы SOCа, внедрение и настройка большой цепочки сложных продуктов. Для такой работы широкие знания в ИТ просто необходимы как база, на которую потом очень логично ложится специфика ИБ. Основываясь на рынке и опыте общения с кандидатами, мое мнение — более зрелые и успешные эксперты получаются если из ИТ-экспертизы начинают наращивать скилы в ИБ. Но важно, что карьерные треки индивидуальны, и бывают очень разные кейсы».

С другой стороны, существует и альтернативный вариант. Он больше присущ предприятиям, которые работают с какими-то государственными ведомствами или были когда-то государственными предприятиями, например, предприятиями госкорпорации, или же людям, долго служившим в каких-то войсках или подразделениях, связанных с секретной и сверхсекретной информацией. Понятно, что почти все они работают с секретной информацией. Но сейчас больше разговор о военных специалистах в области связи и всех связанных с этой областью вещами.

В последнее время мы замечаем, что небольшим компаниям становится сложно (и накладно) держать свои службы ИБ, поэтому все чаще к защите периметра от киберугроз приглашают сторонних специалистов. 

Если рассматривать специалиста, который работал на госпредприятиях в отделах, относящихся к безопасности (во всех бывших гос- и госпредприятиях есть так называемый первый отдел), или пришел почти сразу работать с нормативными документами и актами, через некоторое время ему будет сложнее погрузиться в IT-отрасль, так как придется начинать с самой базы. Конечно же, сейчас, в 21 веке, скорее всего есть представление о разных протоколах, работе серверов, взаимодействии доменов у многих пользователей, но для понимания предотвращения взлома или выяснения, скомпрометированы ли те или иные данные пользователя, этого явно не достаточно.

И да, хочется оговориться еще раз, что сейчас идет разговор об информационной безопасности в рамках предприятий, фирм и компаний, которые не предоставляют услуги по ней. То есть там, где ИБ-службы представляют обслуживающую функцию, как IT-службы или бухгалтерия. Основная отрасль у этих фирм другая, не связана с рынком услуг и продуктов по ИБ.

d5063eea18fe980d4f50b890dc9a0f63.jpeg

Тут уже каждый сам решает: либо вникать в документы около года, либо несколько лет вникать в сложную большую устоявшуюся отрасль. Причем она еще и развивается. Все-таки юридическая и нормативная часть не настолько быстро развивается, как IT-область.

6c15679a793084412582799b865f465d.pngЮлия Чернобыльская

Руководитель Отдела привлечения талантов Group-IB

«Специальности в ИБ очень разные, а для разных ролей — нужен разный опыт.

Конечно, лучше, когда данные специалисты приходят из разработки или других технических направлений. Такой опыт помогает шире оценивать риски. Но на рынке намного больше специалистов с опытом в «бумажной безопасности».

Можно разобрать на примерах.

У технологических компаний, особенно у тех, которые разрабатывают свой продукт, более строгие требования к ИБ специалистам. Например, AppSec —те, кто занимается безопасностью разработки, — обычно выходят из пентестеров и/или разработчиков.

Абсолютно во всех компаниях должна быть обеспечена сетевая безопасность, а это точно работа специалистов с обширным техническим опытом.

С другой стороны ИБ аналитикам, специалистам blue team знания нормативной базы и СЗИ будут более приоритетны. Даже в резюме CISO встречаются чаще задачи по бумажной безопасности, чем по реагированию на инциденты.

Такие роли в компаниях вводят для того, чтобы они обеспечивали соответствие внутренней документации требованиям законодательства. К сожалению, соответствовать нормам не равно обеспечить безопасность внутренней инфраструктуры. Поэтому данные даже технологических гигантов сливаются. А технические специалисты по ИБ становятся все более востребованы».

И это я еще не разбирал непосредственно хакерскую деятельность, напрямую связанную с программированием, ведь кроме социальной инженерии хакеры пользуются брешами в ПО, а для этого они непосредственно изучают код продукта. И кибербезопасник должен очень хорошо разбираться в программировании. Не факт, что он должен быть программистом. Сейчас во многих компаниях системные администраторы так или иначе сталкиваются с написанием скриптов каких-то небольших программ. Это нельзя называть программированием в прямом смысле слова, но это точно ближе к проблемам, связанным с кибербезопасностью, чем юридические документы. Хотя часть, связанная с нормативными актами, расследованием инцидентов, не имеющих отношения напрямую к IT-отрасли (компрометация данных из-за передачи третьим лицам, простой пароль от критической учетной записи, отсутствие обновлений ПО), тоже требует детальной проработки и навыков, которые не получишь, просто изучая информационные технологии.

Резюмируя, хочется подметить, что мои рассуждения были основаны на моем опыте работы в разных компаниях, начиная с 2006 года. Я работал IT-инженером, системным администратором и в технической поддержке. Тема дискуссионная, но мои убеждения сейчас претерпели некоторые изменения — лучше взять сразу кибербезопасника. Сейчас это самостоятельная отрасль, которая всё больше развивается. Поэтому заниматься информационной безопасностью должен человек, обученный именно информационной безопасности. 

© Habrahabr.ru