Карьера в IT: специалист по кибербезопасности

Меня зовут Виталий Балашов, я сотрудничаю с компанией ЕРАМ в роли Senior Security Engineer и руковожу профильной командой, распределенной по городам Украины. В материале расскажу о своем пути развития в этом направлении и поделюсь рекомендациями для начинающих специалистов.

Image by Chris Koehler

О себе

В сферу кибербезопасности я попал еще в студенческие годы. Осваивал специальность «Телекоммуникации» и параллельно с третьего курса работал в аккредитованном центре сертификации ключей. Делал это преимущественно по ночам и в выходные. Мне повезло с руководителем: он щепетильно относился к безопасности. Благодаря этому уже в студенческие годы я получил хороший фундамент знаний и закрепил практикой академическую базу (без последней в этой специальности, кстати, сложно).

После выпуска из университета я работал в Харьковском НИИ судебных экспертиз имени засл. проф. М. С. Бокариуса Министерства юстиции Украины. Там пять лет занимался форензикой (компьютерной криминалистикой — ред. ), компьютерной и телекоммуникационной судебной экспертизой, после еще два года руководил профильной лабораторией.

Это была интересная работа. Мы с командой старались помогать в расследовании цифровых преступлений, распутывали схемы различных махинаций с подделкой цифровой информации, вместе с одной из сторон защищали свои заключения в суде (это было совсем не просто). Нам хотелось знать как можно больше и разбираться в форензике как можно глубже, расследовать серьезные взломы информационных систем, отслеживать проникновение хакеров, находить железные доказательства их вмешательства. Я получил там колоссальный опыт.

А карьеру в IT-бизнесе начал с самой базовой ступени: внешней обучающей программы по направлению DevOps в рамках EPAM University Programs. Это была необходимая мера, потому что даже с профильным образованием и опытом работы в государственной организации я не мог получить production-позицию в крупной IT-компании. Но мне по-прежнему было интересно объединять знания из области системной инженерии с предыдущим опытом, обращать внимание коллег на угрозы безопасности и предлагать варианты их уменьшения.

Уже в составе команды ЕРАМ я помог экспертам организовать внутренние криминалистические процессы для повышения безопасности систем и развернуть инструменты, которыми коллеги пользуются до сих пор. В целом за последние три с половиной года я участвовал во многих проектах: как внутренних, так и внешних.

Особенности направления

Профессионал в сфере любой безопасности понимает, что на 100% защититься не получится: атаки будут. Однако можно эффективно снизить риски. В этом и состоит главная задача профильного специалиста: предвидеть потенциальные угрозы, держать их под контролем, оценивать и принимать решения по адекватности их снижения. Поясню последний пункт: иногда требуются очень большие средства, чтобы защитить клиента от одной из угроз. Вопрос в том, оправданы ли траты, если в реальности наступление такой угрозы крайне маловероятно. В некоторых случаях вопрос не в том, случится кибератака или нет, а в том, когда она произойдет и как нивелировать последствия.

Как пример могу привести распространенный кейс: в коде приложения обнаруживаем опасные уязвимости, но его кодовая база уже не поддерживается разработчиками. Соответственно, заказчику для устранения уязвимости нужно привлечь специалиста на какое-то время, что может быть дороже, чем закрыть WAF’ом возможность эксплуатации. Получается, что риск все равно остается, но он значительно снижен, и владелец приложения принимает это.

Эта специальность требует высокой квалификации в плане инженерии. Эксперт по кибербезопасности должен хорошо владеть технологиями, понимать угрозы, риски и то, как с ними работать. Здесь у многих безопасников бывает слепое пятно: они могут быть неплохими специалистами, но владеть ограниченным набором технологий.

Также понадобится глубокое понимание принципов работы информационно-телекоммуникационных систем, теории электросвязи, базовой криптографии и многих других вещей. Потому без профильного высшего образования в кибербезопасности расти непросто, хотя и возможно.

В эту профессию приходят очень разные люди. Есть среди них бывшие системные администраторы и системные инженеры, инженеры по безопасности, непосредственно программисты (хотя их пока в сфере мало, но они ценны) и многие другие.

Некоторые компетентные специалисты даже не называют себя экспертами по кибербезопасности: они могут работать IT-директорами или главными системными администраторами предприятий, покрывая задачи по безопасности, которые находятся в их зоне ответственности. В целом в этой сфере, как и в любой другой, важны способности и желание человека: бывший системный администратор может войти в команду защитников сети (Blue Team), но не знать тонкостей SCADA-систем, а эксперт по SCADA — не разбираться в процессах разработки и софта или разведки угроз. Специализаций в кибербезопасности много, главное — найти подходящую и интересную для себя.

На рынке сейчас востребованы специалисты, которые умеют писать код и создавать продукты, но хотят сфокусироваться на безопасности ПО. Классические программисты отлично понимают внутренние процессы, которые происходят в продукте, знают лучшие практики для написания кода, а это важно для обеспечения его максимально возможной безопасности.

Отдельная специализация, которая стала очень популярной — пентестеры. Так называют специалистов, которые тестируют системы на проникновение. Я бы назвал эту специальность самой романтизированной во всей сфере кибербезопасности. В нее приходят люди, которым нравится хакерское движение, своеобразная тусовка. Этих ребят легко заметить даже на конференциях: молодые, начинающие пентестеры порой выглядят как представители некой субкультуры. Мы таких экспертов называем Security Testers. Им необязательно хорошо писать код, хотя этот навык — большой плюс.

Какой-то строгой классификации специализаций не существует, каждая компания называет должности так, как считает нужным, и распределяет обязанности по такому же принципу. Так, например, во многих компаниях можно встретить всего одну позицию под безопасника, который отвечает за все: от обучения бухгалтеров не совать флешки от незнакомцев в рабочие машины до пентеста, пресейлов и непосредственной конфигурации сетевого оборудования. В других же можно встретить команды, отвечающие как за ІТ-саппорт, так и за безопасность. Работодатель это просто подразумевает. Сколько компаний, столько и вариантов.

В нашей компании есть четкое распределение специализаций. Сразу отмечу, что список может быть неполным и названия — не универсальными. Но эта классификация эффективно работает у нас на глобальном уровне. Итак, в кибербезопасности в EPAM есть такие направления:

Несмотря на некоторые различия в специализациях, задачи перед экспертами стоят похожие. Клиент всегда хочет, чтобы безопасность его продукта была максимальной. Наша цель — обнаружить угрозы, риски и уязвимости, проанализировать их, выдать рекомендации по устранению в зависимости от ситуации и уменьшить вероятность их реального возникновения. Это может происходить как на этапе готового продукта, так и с первых дней его разработки.

Задачи и обязанности

Application Security

Этот специалист активно участвует в построении Secure Software Development Lifecycle (то есть жизненного цикла безопасной разработки) проекта. Он все время на связи с командой разработчиков, сообщает о том, что хорошо и что плохо в их коде с точки зрения безопасности. Также общается с Product owner’ом и информирует его о возможных рисках и приблизительной стоимости их предотвращения.

Делает он это на основании результатов статического анализа кода, динамического тестирования приложения, code review, анализа с помощью моделирования угроз и так далее.

Пожалуй, самым большим плюсом и одновременно минусом этой работы является масса консультационной и аналитической работы. С одной стороны, нужно все время следить за ситуацией, видеть полную картину происходящего (этот навык прокачан, увы, не у всех инженеров), уметь работать со многими методологиями подсчета рисков, давать грамотные консультации.

Это все круто и интересно, но отнюдь не просто. С другой стороны, у эксперта нет времени работать с технологиями «руками». Например, можно строить модель угроз в Kubernetes, но с трудом разворачивать его и поднимать что-либо внутри. Все дело в отсутствии регулярной практики.

DevSecOps

Этот специалист занимается внедрением автоматизированных инструментов контроля безопасности в CI/CD и конфигурацией самого процесса таким образом, чтобы другим инженерам безопасности, разработчикам и менеджерам работалось легче и удобнее.

Это может быть как автоматизированный сбор различных метрик с построением последующих графиков, так и развертывание вспомогательных инструментов вроде репозитория уязвимостей, обеспечение безопасности контейнеров, проверка на наличие «забытых» в коде секретов (в том числе в скриптах развертывания) и даже Compliance as Code. Конечно, все это происходит в облаке, потому знание клауда и обеспечение его безопасности с применением нативных инструментов тоже ложится на DevSecOps.

Несомненный плюс этой специализации — hard skills, которые можно быстро и сильно прокачать. Такой эксперт по своим навыкам чем-то похож на популярный десять лет назад образ «всемогущего сисадмина», который делает свою тайную магию, и всем от этого работать легче.

Я отлично помню ситуацию, когда мой коллега-джуниор реанимировал упавшие окружения, прыгая в Tmux-подобной консоли из Vim в Jenkins и куда-то еще. В течение 40 минут PM, лид разработчиков и лид тестировщиков-автоматизаторов наблюдали за ним. Никто, кроме него, не понимал, что происходит. Естественно, парень все починил. С тех пор его авторитет нерушим, а подобные работы он проводил еще много раз.

Итого: в обязанностях такого специалиста — настоящая организация и автоматизация процессов, солидно прокачивающая технические навыки, особенно если это связано с облаком. Но есть и минусы. Задачи не всегда напрямую связаны с безопасностью. Также не всегда DevSecOps’ам удается держать в голове целостную картину проекта. Зацикливание на технологиях иногда доходит до стадии превознесения их над бизнесом. Здравый баланс в подходе может служить неплохим показателем зрелости специалиста.

Enterprise IT Security

Специалист в этом направлении обеспечивает безопасность корпоративной сети клиента. Большинство талантов на украинском рынке труда сфокусированы как раз в этой зоне. В частности, это связано с тем, что такие сотрудники нужны широкому спектру компаний, а не сугубо IT-бизнесу. Enterprise IT Security инженеры занимаются vulnerability-менеджментом, отыскивают устаревшие компоненты систем, обеспечивают мониторинг всей сети, менеджмент мобильными устройствами, внедряют системы аутентификации/авторизации, следят за применением корпоративных политик безопасности во все системы и так далее.

Очевидными плюсами этой специализации является высокая ликвидность навыков на рынке и приближенность экспертов непосредственно к бизнесу. Именно эта команда вероятнее всего первой отражает атаки и должна делать это эффективно. Но если нет поддержки руководства, работать будет тяжело, придется постоянно «лепить» решения из палок и вспомогательных материалов.

Как показывает практика, поддержка руководства есть далеко не везде. Выгорание у таких специалистов наступает быстро. Также присутствует некий потолок профессионального развития (хотя это больше зависит от самого человека). Кто хочет развиваться, тот развивается несмотря ни на что. Если руководство компании поддерживает этого специалиста и его команду, можно креативить бесконечно.

SOC Analyst

Некоторые организации отдают Security Operations Center на аутсорс компаниям с бизнес-моделью, похожей на охранное агентство: один пульт мониторит разные участки, отслеживает аномалии и проверяет, случайны ли они или требуют вмешательства. Такие подрядчики предоставляют разные пакеты услуг и могут обеспечить определенный уровень безопасности.

Мы в компании предоставляем услуги с построения SOC с нуля, а также обеспечиваем работу существующего центра силами наших экспертов. За счет того, что компания представлена в разных уголках земного шара, стараемся использовать Follow-the-sun подход, чтобы все люди работали днем.

Сильные стороны этой специализации состоят, на мой взгляд, в том, что, работая фильтром непрерывного потока живых инцидентов, можно быстро прокачать свои знания в сфере реальных угроз и атак, увидеть их изнутри и получить бесценный боевой опыт. Научиться отличать реальные атаки от ложных угроз, понимать, как им противодействовать — важнейшие уроки.

А вот минус — работа «на шифте», то есть посменно. Это означает выход на дежурство в ночь, в праздники, выходные. Таковы неотъемлемые атрибуты обеспечения работы 24/7. Также к минусам я бы отнес длительность интереса к работе. С увеличением боевого опыта SOC-аналитика обратно пропорционально уменьшается количество интересных для него инцидентов. Методы борьбы с этой ситуацией есть, например, переход на более высокую «линию обороны», но это тема отдельной статьи.

Security Testing

Типичный рабочий день экспертов, которые широко известны как пентестеры, выглядит примерно так: они получают объект (приложение, сеть, инфраструктуру, устройство и так далее) и начинают его тестировать, отыскивая слабые стороны в безопасности с помощью соответствующих методик и личного профессионального чутья. После этого анализируют результаты и составляют отчеты, по которым безопасность продукта улучшают уже разработчики.

Работа — интересная и, наверное, именно потому такая популярная. Она требует определенной фантазии, креативного подхода, и отсюда, вероятно, исходит романтизация этой специальности, о котором я упоминал ранее.

Весомый плюс — востребованность. При правильном подходе тестирование безопасности продать заказчику в разы проще, чем ее обеспечение. Не только в Украине, но и во всем мире, подход заказчиков сейчас таков: для начала наймем пентестеров, а если сломают что-то серьезное, тогда будем предпринимать активные действия.

Я надеюсь, что однажды логика большинства клиентов все же будет начинаться с анализа «а что у нас вообще есть и в каком оно состоянии». И только после совершенствования системы будут переходить к найму пентестеров для проверки. Конечно, существующий подход экономически обоснован, так что бизнес понять тоже можно.

Из весомых минусов специальности — невероятное количество информации о новых уязвимостях и различных техниках, которую нужно пропускать через свой мозг. Ну и, конечно, минус профессии, как и профессии тестировщика — это отсутствие чувства созидания. Хотя есть люди, которым это неважно, и они прекрасны в своей роли.

Security Architecture

Как и в случае с архитектором решений, таким специалистом должен быть человек с богатым инженерным опытом, достаточным для выстраивания архитектуры технологического решения, хорошими soft skills, навыками взаимодействия с клиентами на уровне пресейла и лидерскими качествами, чтобы эффективно руководить командами и процессами.

Эксперт такого уровня обеспечивает результат, опираясь на свои силы и ресурсы команды. Плюсы специализации в том, что быть архитектором — по умолчанию быть авторитетом до тех пор, пока не будет доказано обратное. Архитектор берет на себя ответственность, видит все решение полностью. Многих мотивируют эти вещи. Отдельный плюс — хорошая оплата труда.

Минусы: повышенная ответственность, необходимость перманентно быть в современных трендах и постоянно увеличивающаяся пропасть между специалистом и работой руками. Это связано с типом решаемых задач: от архитектора не просят писать код, но требуют описать систему так, чтобы ее могли создать инженеры и она работала. Соответственно, архитектор больше думает, просчитывает и моделирует, чем занимается имплементацией. Это непростая задача. Не так много архитекторов, которые сами «педалят» проекты вместе с командой. Но они есть, и я рад знакомству с ними :)

Преимущества и недостатки карьеры в кибербезопасности

Первое преимущество — в целом на рынке Украины конкуренция пока очень слабая, спрос на профессионалов уже есть (сейчас на DOU есть почти полсотни открытых вакансий ), а значит, оплата труда договорная. Главное, чтобы были достойные аргументы в виде профессионального опыта и глубины знаний.

Еще одно преимущество — эта сфера активно развивается. Каждая IТ-система — объект работы инженера по безопасности. Профессия растет вместе со всей отраслью, и речь не только об IT-бизнесе, но и о цифровой трансформации всех сфер жизни.

Учитывая скорость прорастания цифровых инструментов в жизнь каждого человека, разнообразного бизнеса и даже государства, спорить с этим бессмысленно. Значит, в профессии есть и будет достаточно места для профессионального развития, роста качества сервисов и услуг, которые предоставляют специалисты и компании.

Кстати, еще один важный момент: в кибербезопасности практически не бывает случайных людей. Специалисты точно знают, зачем и куда они идут, копают глубоко и любят свое дело. Находиться в таком окружении приятно, это мотивирует.

А вот к минусам можно отнести высокий риск выгорания. Мне иногда кажется, что 98% людей в кибербезопасности выгорели уже по несколько раз. Дело в том, что донести свою точку зрения до руководства бизнеса, смириться с тем, что не всегда клиенты принимают дальновидные решения, столкнуться со множеством тупиковых ситуаций в непосредственной работе (ведь практически все угрозы — не на поверхности) — непросто. Решения редко бывают в руках инженера по кибербезопасности. Здесь важно сохранять огонь в глазах.

Кроме того, порог входа в профессию достаточно высокий. Надо копать глубоко, чтобы чувствовать себя уверенным специалистом. Найти работу джуниору непросто. Тут происходит классический замкнутый круг новичка: нет опыта — не берут на работу; нет работы — нет опыта. В самом деле, кто доверит безопасность своего продукта специалисту с минимальным багажом знаний? И серебряной пули для выхода из этой ситуации пока не придумали.

Старт карьеры и перспективы

Как я уже упоминал, у многих специалистов уникальный багаж опыта и, соответственно, путь в профессию. Если располагаете временем — получите профильное высшее образование. Университет даст широкую базу знаний, которая позволит твердо стоять на ногах. Но помните, что сугубо теории будет мало и университет — это только фундамент.

Теорию можно прокачать и самостоятельно, хотя и придется посвятить этому много сил и времени. Конкретные книги посоветовать сложно. Старайтесь выбирать те, в которых до мозга костей разбирают сети, операционные системы и языки программирования, криптографию. После этого я рекомендовал бы переходить к материалам по обеспечению безопасности автоматизированных систем. Выбор сейчас очень большой.

На следующем этапе стоит почитать различные документы с требованиями и изучить методологии:

Также я бы рекомендовал отраслевые сертификации, ведь иногда курс подготовки к экзамену может заменить 60% университетской программы.

Можно даже не ставить цель сдать экзамен, а просто учиться по этим материалам. Довольно уважаемой сертификацией является OSCP. Чтобы ее сдать, нужно выполнить массу не самых простых практических задач. Упор именно на hands-on практику, никаких тестов с правильными или неправильными ответами.

Решайте и практические задачи. Мне по душе root-me.org , cryptohack.org и attackdefense.com . Также популярны Hack The Box , CTFTime , лабы от PortSwigger и другие.

Всегда и везде говорю новичкам: вы можете знать теорию наизусть, но без практики картина не будет полной.

Выходите за рамки. Напроситесь к знакомым, у которых есть, например, интернет-магазин. Проанализируйте безопасность их сети, поймите, как можно перехватить информацию, какой урон это нанесет бизнесу, а следом постарайтесь минимизировать риски.

Независимо от вашей специализации и текущего уровня знаний стоит понимать, какой продукт и от чего вы защищаете, так что не поленитесь разобраться в деятельности клиента. Создайте pet-проект или условный стартап, который позволит решать реальные вещи, искать угрозы. Таким образом вы или действительно создадите стартап, или получите необходимый практический опыт, о котором сможете упомянуть на собеседовании.

С точки зрения карьерного развития возможностей много. Например, погрузиться в управление (углублять свои знания до уровня Security Architect’а или даже Chief Information Security Officer’а), или в предпринимательство, создавая собственные продукты (чем дольше вы будете работать на рынке, тем больше новых ниш увидите). Кроме того, можно преподавать в вузе. Если совмещать, то будет полезно и для вас, и для стремительно развивающейся сферы кибербезопасности.


Читайте также: Советы сеньоров: как прокачать знания junior security specialist

Опубліковано: 04/11/20 @ 11:00
Розділ Різне

Рекомендуємо:

Для чего Back-end разработчику учить JavaScript
Путеводитель по синдрому самозванца: как его побороть. Часть 3
Отмечайте достижения, проводите 1-to-1 и избавляйтесь от слабых звеньев. 10 правил по работе с сотрудниками от основателя ІТ-компании
Интервью с Анной Ященко, автором Топ Базы и seoandme.ru
Интервью с Анной Ященко, автором Топ Базы и seo-know-how.ru