Андрей Белкин — главный аналитик группы расследования и предотвращения кибератак Райффайзенбанка. Он рассказал о том, как спецы по кибербезопасности защищают компании, заводы и города от технологических катастроф, а также о том, почему в этой профессии важно быть хорошим человеком.
Чем я занимаюсь
Специалист по кибербезопасности защищает IT-системы от взломов и вредоносного ПО, останавливает и предотвращает кражи и утечку данных. Также специалисты по кибербезу работают на опережение: просчитывают возможные риски и уязвимости системы, укрепляют ее защиту.
Кибербезопасность — это огромная сфера, как и IT. Можно сказать, что ты айтишник, и никто не будет уточнять, чем конкретно ты занимаешься. Хотя ты можешь быть backend-разработчиком, frontend-разработчиком, системным администратором. В кибербезопасности такая же история. Здесь много ниш: антифрод-специалисты работают в основном в финтехе и выявляют мошенничество в финансовых операциях, специалисты SOC (Security Operation Center) отслеживают угрозы в реальном времени, 24/7 контролируют, чтобы в инфраструктуре все работало нормально. Есть команды App Security, которые занимаются безопасностью сайтов и веб-сервисов; есть реверсеры, которые изучают вредоносные ПО.
Я занимаюсь расследованием кибератак: восстанавливаю их сценарии, ищу уязвимости системы, которые открыли возможность взлома. Затем это место нужно укрепить и подготовить детекты — алгоритмы, чтобы распознавать и останавливать похожие атаки.
Когда выходит информация о новой уязвимости, мы ее исследуем, проверяем, есть ли в банке сервисы, которые могут быть из-за нее взломаны. Разбираем, как работает эта уязвимость, где ее используют, и пишем детекты.
Также ежедневно мы с командой смотрим, что происходит в инфраструктуре, все ли нормально работает, при помощи систем управления информацией и событиями безопасности (security information + event management, SIEM), систем анализа трафика (network traffic analysis, NTA) и файрвола веб-приложений (web application firewall, WAF).
Когда вы думаете, что полностью изолированы и взлом вашей системы невозможен, в этот момент кто-то уже придумал новый способ кибератаки и готовится опробовать его на вас. Поэтому в этой сфере важно быть бдительным. Невозможно придумать одно решение и успокоиться, это непрерывный процесс.
Здесь каждый год появляется что-то новое
Я закончил МИРЭА по специальности «Информационная безопасность». Как это часто бывает, в процессе обучения в профессии я разочаровался и ушел в другую сторону — в мобильную разработку. Со временем я начал замечать, что в мобильной разработке меняются дизайны, формы кнопок, подходы к архитектуре, но суть остается неизменной. Это не плохо, кому-то это очень нравится, но для меня это перестало быть интересным.
Я понял, что мое первое решение — заниматься кибербезопасностью, — было верным. Здесь каждый год появляется что-то новое: новые системы, рядом с ними сразу возникают хакеры, пытаются взломать и найти уязвимости. Потом приходят безопасники и ищут способы укрепить системы.
Это бесконечное соревнование между красными и синими, которое никогда не остановится и не может надоесть.
Взломать можно все
Многие могут подумать: «Ну взломают мой аккаунт на Госуслугах, и что? Заведу новый». Однако кибербезопасность — это не только про персональные данные. На IT-системах (АСУТП) работают заводы, аэропорты, светофоры. Взлом этих систем может повлечь за собой серьезные проблемы, вплоть до техногенных катастроф.
Ежегодно проходит международный форум кибербезопасности Positive Hack Days. На этом форуме создают макет города со всеми информационными системами, которые мы видим в повседневной жизни: экраны для рекламы, поезда, энергетические компании, нефтепереработка. Команды хакеров пытаются взломать контроллеры, идентичные тем, что есть в каждом городе. Я сам участвовал в этом противостоянии и могу сказать: взломать можно все. Везде есть человеческий фактор, везде есть риски. Результатом взлома может быть выброс нефти, остановка поезда или выдачи билетов на самолет. Эти вещи так или иначе парализуют нормальную работу города.
Главное — быть хорошим человеком
Чтобы работать в сфере информационной безопасности, вам пригодятся эти навыки:
- понимание, как устроены операционные системы Windows и Linux, знание администрирования сетей. Хороший безопасник — это в первую очередь отличный системный администратор;
- программирование на Python — не будет лишним, потому что некоторые задачи нужно будет автоматизировать (мы уже писали, с чего стоит начать изучение Python);
- работа с сетевыми сканерами уязвимостей, например, MaxPatrol 8, RedCheck, с базами данных (MySQL, PostgreSQL); владение хакерским ПО, умение взламывать сети и системы; понимание, по каким принципам происходят кибератаки и какие есть способы защиты от них.
Очень важны soft skills. Я считаю, что их значимость в IT понимают не многие. Во-первых, специалисту по кибербезопасности важно сохранять холодную голову. Когда все вокруг будут паниковать и кричать: «Нас взломали!», вам нужно будет сосредоточиться и пойти делать все, что в ваших силах.
Антистресс-совет: переключайтесь. Вне зависимости от того, был у вас плохой или хороший день на работе, когда приходите домой — отдохните. Думать постоянно о задачах — это быстрый путь к выгоранию. Всем подойдет разное: кто-то отдыхает, когда листает TikTok. Кому-то нужно отдохнуть от экранов, пойти поспать полчаса, потому что глаза устают и болят. Кто-то идет дышать свежим воздухом, кому-то нравится на машине покататься, позвать друзей.
Нужно стараться не быть токсичным и хорошо относиться к людям. Кибербезопасность — это сфера, в которой нужно будет договариваться, искать компромиссы. Если вы будете токсичным, вряд ли кто-то пойдет вам навстречу и захочет помочь.
Как расти в кибербезопасности?
Помимо стандартного роста по грейдам junior — middle — senior — lead, в кибербезопасности можно расти горизонтально.
Один мой хороший коллега долго работал на стороне защиты — blue team. Он отработал на этих задачах три года, ему надоело. Тогда он пришел в red team и спросил: ребята, а что нужно знать? Ему все рассказали, и, обладая хорошей базой, понимая, как работают технологии, он перешел на другую сторону и продолжает карьерное развитие.
Из кибербезопасности всегда можно уйти в разработку. Обладая знаниями в области системного администрирования, скриптовыми языками, можно легко выучить язык разработки. При этом важно понимать, что не знание языка определяет уровень разработчика, а технологический кругозор, насмотренность, которая приобретается в процессе работы безопасником.
Вы никогда не будете знать абсолютно всего
Многие думают, что без высшего образования и знания английского языка жизни в IT и информационной безопасности нет. На самом деле есть.
Не нужно тратить полгода на изучение английского и откладывать старт карьеры. Учите параллельно. Сейчас я вижу такую тенденцию: люди затягивают свое образование. Шесть лет учатся и только потом ищут работу, проходят все существующие курсы, бесконечно что-то читают. Поймите: вы никогда не будете знать абсолютно всего. Пробуйте. Поискать вакансии и стажировки можно, например, здесь.
Работа в кибербезопасности — это постоянный рост, вы каждый раз будете узнавать что-то новое. Поэтому набирайте необходимую базу и идите на собеседования. Понимаю, что получить отказ может быть обидно, но собеседования — это рост над собой. Если вы послушаете, какие вопросы вам задают, на какие вы можете ответить, а на какие — нет, проведете работу над ошибками, то на следующем интервью уже будете к ним готовы.
