Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
Карьера Современные профессии

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS

В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так же как и количество незанятых вакансий в этой сфере.

В этом году Нетология совместно с НИУ ВШЭ открыла набор на онлайн-магистратуру «Кибербезопасность». Чтобы помочь абитуриентам разобраться, чем занимаются специалисты по кибербезопасности, мы перевели и адаптировали статью от международного института SANS о самых востребованных профессиях в этой области. Институт обучает IT-специалистов и подготовил статью на основе данных статистики по рынку и вакансиям.


Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS

ОЛЬГА БАЛАШОВА

Автор Нетологии

Охотник за угрозами — Threat hunter

Что делает:

  • Анализирует информацию от систем компьютерной безопасности компании и ищет угрозы, которые смогли незаметно обойти защиту.
  • Отслеживает данные о новых видах кибератак, чтобы суметь их распознать.
  • Находит в информационной системе скрытых злоумышленников, которые долгое время были незаметны для традиционных механизмов обнаружения.

Эта роль требует критического мышления, любознательности, внимания к деталям, умения анализировать, знаний компьютерных сетей, понимания процессов разработки и расследования.

Охотник действует по двум сценариям:

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS На основе известных данных — например, если есть информация, что злоумышленник уже внутри системы, охотник ищет подтверждение этому и пытается понять, каким способом произошёл взлом.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS Исходя из гипотез — выдвигает предположение, что у хакеров появилась новая тактика или информационная система уже взломана, но об пока никто не знает. В этом случае охотник определяет, по каким критериям нужно искать признаки компрометации и дальше их ищет.

Работа охотника, несмотря на название специальности, больше похожа не на охоту, а на действия сапёра только в цифровом пространстве.

В сфере кибербезопасности есть такие понятия, как Красная, Синяя и Фиолетовая команды.

Красная команда – сторонняя организация, которая проверяет эффективность системы безопасности компании с помощью приёмов кибератаки.

Синяя команда — группа специалистов внутри компании, которая защищает её как от настоящих злоумышленников, так и от Красных команд.

Фиолетовая команда — группа, которая обеспечивает и доводит до максимума эффективность работы двух остальных команд.

Тестировщик Красной команды — Red Teamer

Что делает:

  • Тестирует информационную систему компании на уязвимость.
  • Имитирует действия злоумышленников с помощью продвинутых методов и инструментов из хакерского арсенала.

Тестовую атаку можно назвать полномасштабным киберучением. Её задача — найти слабые и сильные стороны систем защиты, а также собрать информацию, чтобы оценить риски для самых важных данных компании.

Сценарий такой проверки индивидуален и зависит от запросов заказчика и поставленных целей. Можно проверять только доступность отдельных систем или анализировать, как работает компания в целом.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
Пример задачи для Красной команды из аналитического обзора Group IB. Тестировщику предстоит взломать внутренние серверы и получить доступ к финансовым системам компании. Источник: Group IB

Защитник Синей команды — Blue Teamer

Что делает:

  • Занимается проектированием и архитектурой сетей.
  • Реагирует на инциденты.
  • Прогнозирует новые нападения и пытается их предотвратить.
  • Администрирует инструменты безопасности.
  • Создаёт и поддерживает систему информационной безопасности.

Это универсальный защитник с широким кругом задач и знаний. В небольшой организации может быть основным экспертом по безопасности, а в крупных компаниях может входить в SOC — Security Operation Center — Оперативный Центр Безопасности.

Тестировщик Фиолетовой команды — Purple Teamer

Что делает:

  • Разбирается в управлении безопасностью и уязвимостях информационной системы.
  • Выполняет роль посредника или арбитра между Красной — атакующей — и Синей — защищающей — командами.
  • Наблюдает за процессами атаки и защиты, комментирует и интерпретирует то, что происходит, подсказывает лучшие решения. Таким образом помогает оттачивать навыки специалистам обеих команд.

Должен быть высококвалифицированным специалистом, чтобы понимать причину действий — и защитников, и нападающих — и оценивать их пользу и промахи. Предлагает меры безопасности, которые повысят устойчивость систем к новым способам атаки.

Аналитик цифровой криминалистики — Digital forensics analyst

Что делает:

  • Анализирует взломанные системы и электронные носители.
  • Помогает обнаружить признаки взлома информационных систем.
  • Формулирует отчёты об инцидентах, в том числе для СМИ.
  • Ищет следы действий злоумышленников и улики в цифровой среде — в компьютерах, сетях и облачных данных. Другими словами, сыщик в мире кибербезопасности.

Какие навыки пригодятся в работе:

  • умение собирать доказательства;
  • способность постоянно учиться;
  • исследовательский склад ума;
  • экспертность в компьютерных технологиях и судебных вопросах.

Выдуманный кейс из практики аналитика цифровой криминалистики от Артёма Артёмова, руководителя Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB:

Представим, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от неё попадаем на какой-то сторонний сервер, начинаем копать и минут за сорок находим следы заражения и куски знакомого кода.

Несколько дней находишься в прострации, и вдруг наступает озарение! Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И всё совпадает: к офису подъезжает машина, человек внутри открывает ноутбук и в это время идёт подключение к сети организации через их wi-fi точку. Да-да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определённое время вся коммуникация заканчивается, машина уезжает. Щёлк. Пазл сложился.

Мы сделали это! 🙂

Аналитик вредоносных программ или вирусный аналитик — Malware analyst

Что делает:

  • Изучает вредоносные программы, проводит их углубленный анализ и составляет техническое описание.
  • Может заглянуть внутрь ПО, чтобы понять, как оно проникло в систему, какую уязвимость использовало и какую угрозу могло принести.
  • Разрабатывает способы защиты и противодействия вирусным атакам.

Для правильной обработки и анализа файлов должен знать специальные методы и уметь находить в коде его истинные функции. Обладает навыками исследователя и терпеливого наблюдателя — за некоторыми программами приходится следить несколько месяцев, так как они не проявляют свою вредоносную сущность сразу.

Результат действий вирусного аналитика — эффективная работа антивирусного софта. Именно он пополняет базы антивируса данными о вредоносных файлах — это позволяет программе быстро находить и устранять угрозы.

CISO или директор по безопасности

Что делает:

  • Определяет стратегию информационной безопасности для компании и риски, которые она покрывает.
  • Формулирует положения и регламенты.
  • Эффективно управляет персоналом в подчинении;
  • Обеспечивает нужный уровень информационной безопасности и эффективность работы ИБ-подразделения в компании.

Этот специалист должен одинаково хорошо разбираться как в бизнесе, так и в информационной безопасности. Может влиять на людей и на их решения, вести переговоры. Хорошо знает мировые рынки, политику и законодательство. Понимает, как совместить безопасность и бизнес-цели.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
Пример должностных обязанностей CISO из вакансии в технологической компании. Источник: hh.ru

Архитектор-инженер по кибербезопасности

Что делает:

  • Проектирует, внедряет и настраивает средства управления сетью и данными, чтобы предотвращать, обнаруживать и реагировать на инциденты.
  • Разрабатывает новые технологические решения для защиты сетей, а также способы обнаружения вторжений и вредоносного ПО.
  • Участвует в анализе вредоносного ПО.
  • Собирает метрики атак, составляет и анализирует отчёты по инцидентам.

Этот профессионал должен видеть средства защиты компании в целом как систему, понимать рабочие процессы и бизнес-требования. Он может сбалансировать разные требования, а также политики и процедуры безопасности, чтобы создать надёжную систему защиты.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
Так выглядит ячеистая архитектура кибербезопасности (CSMA) от компании Fortinet Security Fabric. В ней средства контроля безопасности интегрированы в широко распределенные сети и активы. Источник: Fortinet Security Fabric

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS Онлайн-магистратура Нетологии И НИУ ВШЭ

Кибер-
безопасность

Узнать больше

  • Изучите российские и международные отраслевые стандарты в информационной безопасности
  • Научитесь выстраивать безопасность инфраструктуры, проводить полный цикл работ по установке, развёртыванию, настройке и использованию DLP-систем
  • Начнёте расследовать инциденты на киберполигоне компании «Инфосистемы Джет»

Член группы реагирования на инциденты

Что делает:

  • Реагирует на угрозы, обнаруженные системой защиты: заражение вредоносным ПО, хакерские атаки, несанкционированный доступ к данным, фишинг.
  • Должен вовремя обнаружить атаку, смягчить последствия и прекратить её до того, как злоумышленники достигнут своих целей.
  • Участвует в разработке сценариев реагирования на инциденты.

Обнаружив атаку, этот специалист собирает необходимую информацию о ней, чтобы удостовериться, что это действительно атака, а не ложное срабатывание системы оповещения. Дальше он может изолировать атакованный сервер от общей сети компании — так злоумышленники не получат доступ к другим её частям. Если нужно, блокирует скомпрометированную учётную запись, через которую взломали систему. Затем сообщает об инциденте руководству.

Ни одну систему нельзя защитить от киберпреступников полностью. Но важно вовремя и адекватно реагировать на атаки, чтобы свести ущерб к минимуму.

Какие скиллы потребуются для этой роли:

  • быстрое мышление;
  • умение работать с документацией и техникой;
  • способность быстро адаптироваться к меняющимся технологиям и методам злоумышленников;
  • умение эффективно доносить свои выводы до коллег из любого подразделения: начиная с технических специалистов и заканчивая руководством.

Аналитик-инженер по кибербезопасности

Что делает:

  • Создаёт планы действия на случай успешной атаки на компанию.
  • Собирает и анализирует информацию из разных источников: из журналов операционных систем, с маршрутизаторов и антивирусных сканеров.
  • Исследует разные события, которые произошли в информационной сети компании — например, удаление или запуск критически важных файлов. Таким образом пытается увидеть активную угрозу.
  • Блокирует угрозу или разрабатывает действенный ответ на неё и защиту.

Этот человек понимает, как быстро обнаружить угрозу и эффективно защититься. Поскольку злоумышленники постоянно используют новые инструменты и стратегии, аналитик-инженер должен постоянно изучать новейшие инструменты и методы надёжной защиты.

OSINT-аналитик

Что делает:

  • Собирает данные из открытых источников — в основном из интернет-ресурсов.
  • Исследует домены и IP-адреса.
  • Добывает информацию о предприятиях, людях, проблемах, финансовых транзакциях.

Цель OSINT-аналитика — собрать и проанализировать как можно больше данных. По одному email-адресу он может восстановить цепочку действий пользователя, найти ресурсы, где тот регистрировался, имущество, которым владел, места, где бывал. Эти данные помогают проверить, насколько компания и её ключевой менеджмент устойчивы к компрометации, либо, наоборот, — собрать компромат.

Способен находить и получать данные из источников по всему миру. Знает специальные команды для поисковиков и умеет использовать инструменты поиска — расширения, боты, хакерские поисковики.

Этих экспертов можно назвать службой поддержки для специалистов из других областей кибербезопасности — например, для защитников из Cиней команды.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
Так выглядит OSINT-фреймворк — наиболее полная доступная база открытых источников данных. Информация сгруппирована по категориям в интерактивной карте

OSINT-аналитик проводит разведку — активную и пассивную. Пассивная разведка — это работа с информацией: поисковыми системами, базами данных с утечками, вакансиями и метаданными из доступных файлов. К примеру, любой снимок в интернете содержит метаданные о том, где, когда и каким оборудованием он был сделан.

Активная разведка — прямой контакт с объектом исследования. Например, с инфраструктурой организации: нужно отсканировать порты и сети, чтобы найти открытые и уязвимые сервера и определить уровень безопасности компании. Потом эта информация может использоваться для организации хакерской атаки.

OSINT — Open Source Intelligence — в переводе с англ. «расследование по открытым источникам».

Технический директор

Что делает:

  • Отвечает за технические и IT-процессы компании.
  • Разбирается в технологиях, умеет планировать и оценивать риски, разрабатывать стандарты и процедуры;
  • Участвует в создании сильной команды и эффективной системы управления безопасностью бизнеса.

Обладает глубокими знаниями в области кибербезопасности, стратегическим взглядом на инфраструктуру организации и её будущее, а также развитыми коммуникативными и управленческими навыками. Умеет говорить на одном языке с коллегами и знает специфику работы не только технических, но и творческих департаментов. Понимает бизнес-задачи своего подразделения.

Аналитик безопасности облачных сервисов

Что делает:

  • Отвечает за безопасность облачных сред и сервисов.
  • Участвует в разработке, интеграции и тестировании инструментов для управления безопасностью.
  • Даёт рекомендации по улучшению настроек и оценивает общее состояние безопасности облачной среды организации.

Цель этого эксперта — помочь компании безопасно использовать облачные среды для обработки корпоративных данных. Как отдельная должность в России почти не встречается.

SOC-аналитик

Что делает:

  • Быстро реагирует на вторжение, получая данные об атаке от системы мониторинга.
  • Работает вместе с инженерами по безопасности, менеджерами SOC и членами группы реагирования на инциденты.

Задача SOC-аналитика — предотвращать, обнаруживать, мониторить и активно реагировать на кибератаки. По сути, это роль стражника у ворот.

Исследователь уязвимостей и разработчик эксплойтов

Что делает:

  • Работает над поиском уязвимостей нулевого дня. Нулевой день — незамеченная раньше, поэтому пока не имеющая защиты, неустранённая уязвимость. Важно уметь находить их раньше злоумышленников.

Исследователи постоянно находят новые слабые места в популярных продуктах и приложениях. Осенью 2021 года исследователь под ником Illusion of Chaos опубликовал подробное описание и эксплойты для трёх уязвимостей нулевого дня в iOS. Он утверждает, что сообщил о них Apple сразу же, но так и не получил никакого ответа от компании.

Некоторые крупные компании, наоборот, запускают специальные программы и привлекают белых хакеров к поиску уязвимостей в своих сетях. За найденные недостатки в системе исследователи получают вознаграждение — деньги, скидки на продукцию компании, бонусы.

Эксплойт — компьютерная программа, фрагмент программного кода или последовательность команд, которые позволяют использовать уязвимости в ПО и проникать в компьютерную систему.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
В начале февраля компания ВКонтакте объявила о перезапуске программы обнаружения уязвимостей Bug Bounty и повысила выплаты исследователям безопасности

Инженер DevSecOps

Что делает:

  • Занимается безопасностью программного обеспечения в самом начале его жизненного цикла — пишет код, который будет максимально безопасным и устойчивым к изменения и взломам.
  • Управляет уязвимостями, разбирается в мониторинге и операциях по обеспечению безопасности.

Этот инженер работает на стыке двух профессий — программиста и системного администратора: умеет разработать ПО, развернуть и внедрить его.

DevSecOps — Development, security & operations — в переводе с англ. «разработка, безопасность и эксплуатация».

Пентестер

Что делает:

  • Имитирует действия взломщиков, чтобы найти возможные уязвимости и понять уровень риска, которому подвергается информационная система в случае кибератаки.
  • Проверяет ПО и оборудование.

По функциям пентестер кажется похожим на тестировщика из Красной команды. Разница в том, что он ищет как можно больше уязвимостей и оценивает риски, а не проверяет, способны ли системы безопасности и защиты обнаружить атаку и быстро среагировать на неё.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
На этом примере видно, какие функции выполняет пентестер, а какие — тестировщик из Красной команды. Источник: Group-IB

Пентестеры помогают вовремя распознать уязвимые места и избежать утечки баз данных, взлома банковских систем или криптокошельков. После успешного взлома компании с помощью пентестеров выясняют причины, по которым атака удалась.

В некоторых компаниях эти специалисты совмещают функции пентестеров и исследователей уязвимостей нулевого дня.

Penetration testing — в переводе с англ. «исследование на проникновение».

Резюмируем

За время пандемии риск глобального сбоя кибербезопасности заметно вырос. В России ситуация ухудшилась за последние три месяца из-за ухода зарубежных поставщиков IT-решений. Помимо усиления рисков, эти события дают толчок к развитию российской кибербезопасности — освободились новые ниши и появилась потребность в собственных продуктах.

Новый указ Президента РФ «О мерах по обеспечению технологической независимости и безопасности критической информационной инфраструктуры Российской Федерации» также усилил спрос на профессионалов и соответствующие продукты.

Все эти факторы открыли новые возможности для специалистов в сфере кибербезопасности.


Мнение автора и редакции может не совпадать. Хотите написать колонку для Нетологии? Читайте наши условия публикации. Чтобы быть в курсе всех новостей и читать новые статьи, присоединяйтесь к Телеграм-каналу Нетологии.

Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS

Ольга Балашова

Автор Нетологии

Оцените статью

Средняя оценка 5 / 5. Всего проголосовало 10

Телеграм Нетологии