Ленинградский пр-т, д. 80, к. Г125190Москва, Россия
8 495 800-10-01stimes@synergy.ruhttps://synergytimes.ru/img/universal/logo-new.svg
29 августа 2022 г. Строй карьеруПрочитаете за 7 мин

Специалист по кибербезопасности: «Если есть навыки и время, можно зарабатывать миллионы»

Специалист по кибербезопасности: «Если есть навыки и время, можно зарабатывать миллионы»

Из личного архива Е. Савостина

На Западе давно знают, что кибербезопасность крайне важна любой компании. В России это понимание только формируется: крупные корпорации нанимают специалистов, чтобы не терпеть многомиллионные убытки, а малый и средний бизнес то и дело платит штрафы за утечку данных. Редакция Synergy Times решила разобраться в тонкостях профессии. Что должен знать и уметь безопасник, как и сколько он может зарабатывать, чем отличается от взломщика и зачем иногда обманывает коллег, рассказал руководитель направления кибербезопасности и низкоуровневой разработки на заводе электроники «Квант» Евгений Савостин.

Толковые безопасники получаются из тестировщиков, девопсов и сисадминов

В семь лет я прочитал «Энциклопедию профессора Фортрана» (эту книгу многие коллеги вспоминают с теплом). И у меня появилась мечта – стать программистом. В шестом классе я начал программировать на языках Basic и Pascal, потом перешёл на С.

Считаю, что освоить программирование и безопасность можно только через практику. На первом курсе я устроился на стажировку. Занимался низкоуровневым программированием — работал непосредственно с железками, платами, машинными кодами. К третьему курсу прокачал навыки, и меня взяли инженером на приличную зарплату.

Из личного архива Е. Савостина

Через 10 лет мне наскучило программирование. Тут удачно подвернулась работа, где надо было читать бюллетени по обнаруженным уязвимостям в безопасности и исправлять программный код, чтобы их устранить. Так я постепенно переквалифицировался в специалиста по кибербезопасности. Мне нравится обнаруживать уязвимости и придумывать, как использовать их с выгодой для компании.

Это стандартный путь многих коллег: толковые безопасники часто получаются из тестировщиков, Devops-разработчиков, сисадминов.

В вузе можно получить базу знаний и найти единомышленников. Но важнейший навык для безопасников — самообучение. Если умеешь учиться только под чьим-то руководством, для хакера это провал. Постоянно нужно искать актуальную информацию в статьях, книгах, на специальных ресурсах. Умение применять знания и постоянная прокачка навыков даже не обсуждаются.

Высшее образование

Стань специалистом по кибербезопасности на факультете IT
Узнать, как поступить

Хорошие безопасники — по определению продвинутые взломщики

Главная функция специалиста по кибербезопасности — обеспечить устойчивую работу бизнес-процессов компании, чтобы не было убытков. Например, если человек перевёл платёж, а он не дошёл — это катастрофа. Да, банк разберётся, возместит ущерб, извинится, но скандал уже есть. Злоумышленники могут застопорить работу всей компании, похитить секретную информацию или персональные данные сотрудников. Ничего такого быть не должно.

При этом хорошие безопасники — по определению продвинутые взломщики: чтобы грамотно защищаться, нужно знать методики проникновений. Думаю, хороший пример — Сергей Белов, который сначала занимался тестированием проникновений, а потом его взяли в Mail.ru сразу на должность руководителя отдела продуктовой безопасности.

У нас в народе взломщиков принято называть хакерами. Нам, профессионалам сферы, это не очень нравится, потому что это только отчасти правда. По международному стандарту хакер – энтузиаст программирования. А дальше стоит вопрос, как он свои знания применит. Взломщик-злоумышленник — это скорее кракер. Так в частности называли людей, которые в девяностые и нулевые делали ключи для взлома лицензионных программ.

Искусственный интеллект, машинное обучение и глубокое обучение: что это и в чём разница


Читать подробнее

Бегал по этажам, уговаривал людей исправить ошибки и страдал

Строгого порядка работы у безопасника нет. Сначала надо в целом понять, как работает компания и какие в ней есть бизнес-процессы. Потом он исследует, с каких точек можно их атаковать и создаёт «карту» (план защиты). Исходя из этого выстраивается дальнейшая работа.

При этом есть базовые задачи, которые появляются с периодичностью:

  • Регулярное обучение персонала.

    Люди – самое слабое звено в безопасности компании, чаще всего атакуют через них. Поэтому надо просвещать их, какие угрозы существуют, как себя вести. Допустим, не надо открывать письма от странных отправителей или втыкать в комп ничейные флешки (лучше отнести их в отдел безопасности).

    Кажется ерундой, но на флешке может быть троян, с помощью которого злоумышленники будут следить за компьютером. А представьте, если это бухгалтерия – там все финансовые и личные данные сотрудников и партнёров.

  • Аудит безопасности.

    Когда разработчики хотят запустить новый сервис, они сначала создают его на тестовых серверах и дают доступ безопаснику. Он около недели по чек-листу взламывает всё, что можно. На каждую найденную проблему делает отчёт с рекомендациями по исправлению. Разработчики вносят правки, и безопасник даёт добро на запуск сервиса.

  • Дежурство по заявкам.

    Программистам, сисадминам часто бывает нужно открыть доступы к чему-либо или дать совет, как реализовать задачу безопасно. Некоторые задачи они в принципе не могут решить без одобрения безопасника. Для таких повседневных дел назначают дежурного, который разбирает заявки.

  • Оперативная борьба с атаками.

    Если сисадмин фиксирует активность злоумышленника, он тут же обращается к безопаснику. Надо быстро отреагировать и придумать, как одновременно защитить бизнес и заблокировать вредителя так, чтобы его следы не пропали.

  • Обработка заявок из программы Bug Bounty.

    Обычно по Bug Bounty дежурит пара опытных безопасников – они разбирают заявки от хакеров. Сообщения из разряда: «У меня рак, дайте мне 10 миллионов, а то я вас взломаю» — отсеивают. А если хакер написал, что совершил определённые действия и сервер на них отреагировал не так, как надо, мы с этим разбираемся и в зависимости от критичности уязвимости назначаем ему оплату.

Вообще, любая обнаруженная уязвимость – это ошибка в коде. Безопасник отмечает её и даёт программисту рекомендации по исправлению. И тут – главная засада в работе: программисты воспринимают правки в штыки и не хотят ничего менять.

Мне приходилось бегать по этажам и ласково уговаривать людей исправить их ошибки, объяснять, доказывать. Общаться надо много, поэтому коммуникативные навыки, знание психологии, эмпатия очень важны для безопасника. У меня всё это было не сильно развито, и я страдал — психологически не был готов каждый день разруливать конфликты.

Don’t panic! Как справиться со стрессом, если всё выходит из-под контроля


Читать подробнее

Нас считают интровертами, но это не так

Чтобы стать настоящим специалистом, любому, кто связан с программированием, важно знать дискретную математику — бинарную логику, Булеву алгебру. На этом построена вся современная электроника.

Теория вероятности и комбинаторика нужны, например, для оценки рисков в ситуации, когда злоумышленник просто перебирает пароли. На взлом одного пароля может уйти год, а другого — тысяча лет. Второй, соответственно, безопаснее.

Обязательно уметь свободно читать на английском языке, потому что на нём выходят все передовые материалы. Желательно понимать на слух, потому что на международных хакерских конференциях, даже в Москве и Питере, таких как Offzone и Positive Hack Days, говорят на английском.

Кроме базовых дисциплин, обязательно:

  • владеть низкоуровневыми языками Assembly language, C, C++, так как они дают хорошее понимание, как работает компьютер на уровне процессора, оперативной памяти;
  • знать язык Python или Perl, так как это поможет научиться быстро автоматизировать свою работу, плюс знание нескольких языков программирования помогает без труда читать любой код;
  • работать с Metasploit Framework – это база всех существующих ныне уязвимостей, которая постоянно пополняется;
  • знать наизусть топ-10 уязвимостей в мире, которые размещены на сайте OWASP, и понимать, как они ломаются;
  • уметь работать со sqlmap – это программа для автоматизированного поиска уязвимостей в разных базах данных;
  • владеть программой Burp Suite – это швейцарский нож для хакеров на все случаи жизни: помогает сканировать серверы, анализировать их ответы, эксплуатировать уязвимости безопасности;
  • использовать Hack the box – это специальные тренажёры с руководствами, созданные хакерами, новички могут на них тренироваться обнаруживать уязвимости;
  • уметь работать с командной строкой Bash, которая позволяет взаимодействовать с остальными программами на компьютерах под управлением Linux, MacOS, BSD;
  • знать ядро операционной системы Linux, потому что на нём работает большинство современных серверов. Понимание уязвимостей в ядре даёт хакеру возможность продвинуться дальше во взломе систем. Безопасникам надо следить за регулярно появляющимися уязвимостями, оценивать критичность и создавать задачи для администраторов, чтобы они вносили исправления и обновляли ядро на своих серверах.

Надо иметь в виду, что работа безопасником требует усидчивости и сосредоточенности. Часто специалистов считают интровертами — это не так. Просто человеку надо подумать, а галдёж отвлекает. Зато по работе приходится общаться с огромным количеством людей, причём безболезненно для них, так что общительность и дипломатичность помогут в работе.

Что такое профориентация: как найти своё дело самостоятельно или с помощью специалиста


Читать подробнее

Топовый специалист может зарабатывать миллионы

Безопасники бывают разные. Есть те, кто работает только с сопутствующей документацией и не имеет отношения к программированию. Это бывшие силовики, мужчины за 50. Их зарплата – 60-100 тысяч рублей в месяц, в зависимости от компании.

Джуниоры с навыками программиста, которые знают, как работает именно их комп и внутренняя сеть, зарабатывают порядка 100 тысяч в месяц. Мидлы получают 150—250 тысяч в месяц, но эти ребята уже понимают, как работают чужие компьютерные системы и сисадмины.

Карьерной лестницы как таковой нет. Есть рост в функционале и зарплате. Ещё можно заняться своим делом. Так, я руковожу на заводе коллективом, отвечающим за то, чтобы в умных телевизорах были надёжно зашифрованы клиентские карты оплаты и каналы поставщика. Также являюсь соучредителем дочерней IT-компании.

Из личного архива Е. Савостина

Что умеют топовые специалисты, никто, кроме них, не знает. Понятен лишь результат: они обнаруживают уязвимости, которые до них никто не находил, причём в больших количествах. Как правило, это люди, которые известны либо по рейтингу Bug Bounty, либо по открытым ими уязвимостям, которые они представили на конференциях.

Их доходы нигде не оглашают, но в целом они не ограничены. Всё зависит от навыков, времени и доли везения. Так, Google платит $30—50 тысяч за обнаружение уязвимости. Чаще всего багхантеры целенаправленно ищут уязвимости из мирового топ-10. Если они делают это сутками, то могут зарабатывать миллионы в месяц.

Иногда на что-то можно наткнуться случайно. Однажды компания, где я работал, заключила партнёрство со страховой медицинской организацией. Я зашёл посмотреть свой полис, и цифры в адресной строке показались мне странными – будто порядковыми. Я поменял одну цифру и попал в карточку своего коллеги, потом ещё, и ещё.

Пришёл к сотрудницам, которые заключали договоры, чтобы они передали информацию об этой уязвимости партнёрам, а они меня не поняли. Для них утечка данных и безопасность — пустой звук. Потом одна спросила: «А там можно увидеть историю посещений врачей?» Было нельзя, но я соврал, что можно. Все всполошились и мигом дозвонились до партнёров. Те всё исправили и нас поблагодарили.

Высшее образование

Стань специалистом
по кибербезопасности на факультете IT

Преподают ведущие практики отрасли. Для студентов проводят экскурсии, мастер-классы и хакатоны. Обучение нацелено на проработку реальных навыков. Выпускники уже в роли джуниора получают от 100 тысяч рублей ежемесячно.

#профессии #кибербезопасность #хакеры #карьера #it #личный опыт

Читайте также: