Написать пост

Как работают специалисты по информационной безопасности

Отредактировано

Рассказ трёх специалистов по ИБ о том, как они пришли в профессию, в чём состоит их работа и какими качествами нужно для неё обладать.

9К открытий9К показов

«Twitter подвергся крупнейшей в истории атаке», «Киберпреступники эксплуатируют тему вакцины от коронавируса», «Хак-группа TinyScouts атакует банки и энергетические компании». Ежедневно мы видим сотни подобных новостей со всего мира.

Три «героя» нашего времени — преподаватели курса «Информационная безопасность» в Нетологии и специалисты по информационной безопасности рассказали, как они пришли в профессию, в чем состоит их работа и как они ежедневно помогают предотвратить и минимизировать громадный ущерб от киберугроз.

Криминалистикой я занимаюсь уже десять лет, а в Group-IB работаю три года. И с каждым годом задачи по информационной безопасности становятся интереснее, а кейсы более запутанными и сложными.

Вообще этой темой — информационной безопасностью я начал увлекаться очень давно, когда мне в руки попался журнал «Хакер». Тогда мне было интересно понять, как происходят кибератаки, какие процессы они затрагивают. В дальнейшем этот интерес-хобби помог мне развиваться в цифровой криминалистике — Digital Forensics.

Карьеру я начинал в правоохранительных органах в Сочи. Такой путь прошли многие мои коллеги: работали в силовых структурах и занимались чаще всего не только цифровой, но и традиционной криминалистикой. И вот когда ты в очередной раз выезжаешь на место происшествия – убийство, грабеж и тд, и это происходит снова и снова, начинаешь задумываешься о том, что может быть пора с этим завязывать. За время работы в Сочи я начал довольно хорошо разбираться в компьютерной криминалистике и успел написать книгу «Windows Forensics Cookbook» — сборник «рецептов» по форензике, которая вышла в британском издательстве.

Вернемся в Сочи, где я работал. В Краснодаре и Сочи заниматься расследованием кибератак было едва возможным — подобные дела были единичными, данных не хватало. Однажды на на конференции в Санкт-Петербурге я познакомился с сотрудником Group-IB, он же позвал меня в компанию и я переехал в Москву. Дело было не в деньгах. Точнее не только в деньгах. Разница в зарплатах специалистов по информационной безопасности в правоохранительных органах и в частном бизнесе очень большая. Но для меня это не было главной мотивацией, я в первую очередь хотел работать с интересными кейсами.

В компании я практически сразу погрузился в расследование кейса преступной группы Silence, которая атакует финансовые учреждения. В один из банков мы приехали сразу после атаки, и нам были доступны абсолютно любые хосты, банкоматы. Мы могли снять все необходимые цифровые улики и получить максимально полную картину, как преступники проникли в сеть, как передвигались, как выводили деньги, чтобы впоследствии ее реконструировать. Это был потрясающий опыт. В другой раз нам удалось предотвратить атаку: мошенники уже были в сети и старались по ней продвинуться, чтобы вывести деньги, но тут команда реагирования банка, которую мы взбодрили своим визитом, сработала оперативно. Мы быстро определили, где конкретно мошенники находились в тот момент, и заблокировали им доступ.

В целом, атаки на самые разные организации происходят ежедневно: это можно понять даже из простой сводки новостей. Чаще всего кибератаки на банки и махинации с кредитными картами совершают люди, которые только что освободились из тюрьмы, и им все равно, что будет дальше. Однако несмотря на то, что сегодня существует огромное количество средств защиты, материалов, статей, блогов и тренингов по информационной безопасности, очень многие специалисты в этой сфере до сих пор ограничиваются стандартным набором бумажек. Если служба информационной безопасности не держит руку на пульсе, чаще всего она не может работать на опережение и узнает об атаке, когда деньги уже ушли со счетов.

Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?

Все просто: как компьютерные криминалисты мы расследуем атаки преступников в компьютерных сетях, объясняем заказчикам, как их взломали, и восстанавливаем всю хронологию событий. Я помогаю компаниям не только разобраться в каждом инциденте, но и укрепить их информационную безопасность. Предугадать, каким будет мой день, сложно: иногда я работаю в спокойном режиме, а бывают моменты, когда могу сутками не спать, потому что произошла атака на какую-то из компаний.

Пять лет назад никто не верил, что действительно существуют группы, которые грабят банки. Даже сами банкиры были уверены, что какие-то инсайдеры внутри банка договариваются и выводят деньги. Сейчас уже многие знают, что есть люди, которые совершают киберпреступления и на профессиональной основе атакуют банки и другие организации.

Какие главные киберугрозы существуют сегодня?

Оборот киберпреступности сегодня можно сравнить с торговлей оружием, наркотиками и проституцией. Можно выделить два главных вида киберугроз — «APT-группы» (APT — advanced persistent threat — сложные кибератаки, направленные на конкретные лица, компании или государства, ред.) и финансовую киберпреступность — традиционный криминал. «APT-группы» — это кибершпионы и диверсанты, зачастую спонсируются каким-либо государством. Они имеют довольно сложную структуру: одни разрабатывают вредоносное ПО, другие выступают в роли операторов, третьи составляют фишинговые письма, четвертые их рассылают. Это не два человека в бункере, как некоторые могут подумать.

Среди традиционных киберпреступников можно выделить группы, специализирующиеся на атаках на банки. Например, Cobalt в основном ориентирован на банки Евросоюза.

Что касается актуальных киберугроз, в моем личном рейтинге сейчас шифровальщики занимают самое первое место — их слишком много, и они проводят огромное количество атак. Сейчас они даже опережают «APT-группы» по массовости и по размеру ущерба. Среди вымогателей в Европе, США и Азии сегодня в тренде полномасштабные атаки на огромные сети компаний с 30 000 – 40 000 компьютеров и оборотами в миллиарды долларов. За дешифровку мошенники просят миллионы долларов, но не факт, что даже заплатив выкуп, жертва сможет расшифровать свои данные.

Самая большая проблема заключается в том, что крупные компании не из банковской сферы сегодня не готовы к подобным атакам — пару лет назад они вообще думали, что не представляют интереса для хакеров. Поэтому сейчас киберпреступники используют в отношении таких компаний те же методы, что и Cobalt пару лет назад. Например, большинство операторов шифровальщиков стали использовать инструменты, которые применяют специалисты по кибербезопасности во время тестов на проникновение: Cobalt Strike, CrackMapExec, PowerShell Empire, PoshC2, Metasploit. Частой практикой среди злоумышленников стало использование банковских троянов на этапе пробива — первичного заражения и проникновения в сеть, а перед тем, как зашифровать информацию, они выгружают важные для жертвы данные.

К сожалению, компании небанковской сферы после атаки не всегда предпринимают решительные действия по реагированию на инцидент и предотвращению новых угроз. Например, крупная австралийская логистическая компания Toll Group за три месяца столкнулась с атакой дважды. После первого инцидента они не сделали практически ничего, чтобы защитить компанию, и на них напали еще раз, только уже другая группа хакеров. Ущерб был огромен.

Еще студенткой я начала работать в международной антивирусной компании, где стала профессионально погружаться в информационную безопасность. Базовые вещи — например, про фишинговые письма — нам рассказали в университете, но на работе я столкнулась с вредоносными программами, преступными группами, стала выезжать на реагирование инцидентов. Поэтому один из советов, который я могу дать: старайтесь совмещать учебу и работу, как можно раньше погружайтесь в профессию.

После года работы меня пригласили в новый департамент компании Group-IB. Тогда он назывался отделом аналитики, и мы занимались абсолютно разными вопросами: от исследований по хактивизму до помощи в идентификации хакеров.

Например, одно из моих первых исследований было связано с хакерскими группами ИГИЛ, запрещенной в России террористической организации. По оценкам Group-IB, хакеры-исламисты из группировок Global Islamic Caliphate, Team System Dz и FallaGa Team атаковали около 600 российских сайтов госведомств и частных компаний.

Я заходила на хакерские форумы, регистрировалась, собирала различную полезную информацию и данные для киберразведки (threat intelligence), и на их основе делала отчеты для наших клиентов.

За семь лет наш департамент аналитики из трех человек вырос до департамента киберразведки с двадцатью сотрудниками. Мы занимаемся не только мониторингом андеграунда, но еще анализируем бот-сети и сложные АРТ-угрозы. В среднем за год появляется 4-5 новых «АРТ-групп», активно же действуют в течение года около 60 группировок. После историй с вирусами-шифровальщиками большинство государств решили завести свои компактные кибер-армии, основная цель которых — шпионаж. Руководители государств поняли, что и в киберсреде существует реальное оружие, с помощью которого можно отключать инфраструктуры, доставать документы о разработке нового вооружения и получать конкурентное преимущество на государственном уровне. Сегодня кибер-армии есть у Китая, России, США, Ирана и Казахстана.

С Ираном, кстати, был забавный случай. В этой стране происходит глобальная вербовка в любую «APT-группу» прямо со студенческой скамьи — ребятам предлагают попробовать себя, дают несколько задач, а только потом начинают платить деньги. Здесь существует параллельно множество групп, и иногда кажется, что в них работают одни и те же люди, т.к. они передают друг другу все наработки. Год назад, собирая материал для одной статьи про иранских хакеров, мы нашли документы с именем и фамилией одного из фигурантов. Сначала мы сомневались, что это имя реального человека. Однако оказалось, что когда-то давно его почта была засвечена на хакерских ресурсах. Раскрутив дело, мы нашли подтверждение тому, что этот человек занимается хакингом на тёмной стороне. А потом, когда статья была опубликована, он написал пост в Twitter: «Почему вы обвиняете людей? Может, человека подставили, или он оступился?». Спустя пару часов он удалил это сообщение, потому что оно полностью его разоблачило.

В большинстве случаев отдельных хакеров сложно найти, но рано или поздно они оставляют следы. Они тоже люди и совершают ошибки. Хрестоматийный пример: северокорейская группа Lazarus пыталась украсть из Центрального Банка Бангладеша $1 млрд и допустила ошибку в назначении перевода. Так их и заметили.

Бывает, что ты долго сидишь и ищешь злодея, пытаешься найти его следы. А потом случайно видишь, что он на левой записке 2008 года указал свою личную почту. Начинаешь копать глубже и с помощью этой почты вычисляешь дополнительные аккаунты, город, где он живет, людей, которые с ним могли взаимодействовать. Так что разведку на основе открытых источников никто не отменял: фотография из соцсетей, тиндера или случайно оставленная записка может легко выдать даже самого скрытного хакера.

Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?

Я бы начала с личного примера: вот ты, обычный пользователь, работаешь и получаешь зарплату. В какой-то момент она пропадает с твоей карты или сберегательного счета. Как специалист по информационной безопасности я начинаю выяснять, почему и как это произошло. Оказывается, что в какой-то момент пользователь открыл какое-то интересное письмо с приглашением на встречу или с информацией о том, что выиграл приз. В этот момент его компьютер или телефон захватывает вредоносный код, который снимает банковские данные и крадет деньги. То же самое происходит и в компаниях: сотрудник совершает неосторожные шаги в интернете, вирус заражает его компьютер, и компания несет большие убытки. Чтобы этого не происходило, нужны сотрудники по информационной безопасности. Если перекладывать это все на уровень государства, то атаки могут привести к более масштабным последствиям, например, к терактам.

Свой рабочий день я начинаю с твиттера. Именно в этой соцсети очень удобно узнавать информацию о новых отчетах, исследования атак. Еще я подписана на парочку профильных телеграм-каналов по APT. После соцсетей я перехожу к текущим кейсам — к этому моменту у меня уже есть информация о том, что было обнаружено нами или другими вендорами. Я начинаю раскручивать обнаруженные идентификаторы, вредоносные документы и ссылки, которые могут быть использованы, и дополняю их нашими данными. Далее я общаюсь с клиентами, чтобы они могли вовремя защитить себя и блокировать нежелательную активность, которая может быть связана с этими индикаторами.

Если говорить про исследования преступных групп, то обычно я начинаю поднимать всю старую информацию о них. Некоторые группы работают десятилетиями, и мне нужно собрать по ним полную картину: чтобы обучить нашу систему, составить правила для «хантинга» и отслеживать их потенциальную и текущую вредоносную активность.

Я пришел в компанию на стажировку в мае 2017 года. Изначально думал, что перейду после в разработку. Но остался работать в компании, поскольку понял, что информационная безопасность больше мне подходит. В начале 2018 года появилась возможность возглавить работу по пилотному проекту, связанному с защитой блокчейн проекта, и результат оказался положительным. Через какое-то время я стал руководителем аналитического направления BrandProtection.

Мой отдел блокирует и устраняет нарушения, связанные с брендами: фишинговые и мошеннические ресурсы, ложные партнерства, а также ресурсы, которые вводят в заблуждение из-за использования товарных знаков клиентов, незаконное и нелегитимное использование авторского права, интеллектуальной собственности и так далее. Если говорить о защите бренда и авторского права, постепенно она становится сугубо технологичной. Например, если в 2012 году можно было лично приехать к хостинг-провайдеру в офис и постучаться в дверь с просьбами о содействии в борьбе с нелегитимным контентом, то сейчас это чаще всего попросту невозможно. Более того, вы уже без специальных технических средств и технологий зачастую не найдёте ни провайдера, ни администратора, ни сам сайт.

Сначала у нас в отделе было 6 человек, сейчас же мы выросли до 24-х сотрудников. Наша команда состоит из аналитиков, которые занимаются непосредственно работой с клиентами, Business Development менеджеров и разработчиков. Если мы понимаем, что человек заинтересован и хочет развиваться, то можем взять его на работу даже без оконченного высшего образования. Потолка зарплат у нас нет, а ставка junior-аналитика начинается от 40 тыс. рублей в месяц.

Мы стараемся постоянно развиваться, но вместе с нами не стоят на месте и злоумышленники: за три года обнаружить и блокировать атаки стало сложнее, а преступники набрались ума и хитрости. Стандартная схема мошенников пару лет назад — прямой фишинг, лежащий на домене «рунета» на второй-третьей строке выдачи в Google или «Яндекс». Сейчас же злоумышленники зачастую создают уникальные ссылки персонально под каждую жертву. Эти ссылки мешают отследить реальный источник нарушения. Наша задача — быть на шаг впереди, поэтому у нас в Group-IB всё построено на инновациях и собственных разработках. В том числе у нас есть огромное количество программ, которые собирают информацию практически по всему интернету, анализируют ее с помощью нейронных сетей. Далее к работе подключаются аналитики и выбирают правильный подход к устранению нарушений. В период пандемии мошенники стали пользоваться тем, что многие компании перешли на удаленку, и поэтому работы у нас прибавилось.

Как объяснить человеку, далекому от IT, чем занимается специалист по информационной безопасности?

У меня для этого есть фраза: «Представь, что мошенники обманули клиента твоей компании: вместо того, чтобы принести деньги тебе, он принес их другим людям. А с претензией он вернется в твою компанию. В итоге ты в двойном минусе — и финансово, и репутационно. И я делаю всё для того, чтобы этого не случилось».

Лично я провожу встречи с клиентами из разных отраслей: банков, ритейла, страхования, e-commerce и прочее. Но несмотря на то, что я — руководитель, часть работ я продолжаю делать руками, чтобы мозг не переставал работать, был заточен и под управленческие, и под «ручные» задачи. Я вообще считаю, что учиться нужно всегда, поэтому сейчас активно изучаю скрипты, веб-программирование, веб-интерфейсы. Мне это нужно для работы, чтобы не происходило следующего: ты открываешь код одной из страниц мошеннического сайта, смотришь на него полчаса и не понимаешь, что делать.

Также я занимаюсь «специальными кейсами» — теми, что обязывают выходить за рамки, проводить нетривиальный анализ, более глубоко реагировать. Например, недавно одна компания пришла к нам со следующим кейсом: чужой сайт выдавал себя за них, но очень аккуратно и юридически грамотно. С законодательной стороны к этому сайту невозможно придраться. Но мы всё равно стараемся помочь клиенту, провести мини-расследование и составить рекомендации.

Как стать специалистом по информационной безопасности

Сегодня в России практически невозможно получить высшее образование в сфере информационной безопасности, ориентированное на практику. Некоторые ВУЗы предлагают специализацию в сфере компьютерной криминалистики, но она чаще всего заточена на юридические аспекты, нежели на технические. Несмотря на то, что в большинстве случаев в компании нанимают людей с профильным образованием, часто встречаются истории, когда человек приходит на начальные позиции из другой сферы и получает опыт на месте. Главное — чтобы у него было понимание IT-сфер, высокая обучаемость и заинтересованность. Однако даже если базовых знаний в IT нет, их можно получить в среднем за год. Все зависит от мотивации конкретного человека. А дальше можно развиваться уже непосредственно в том направлении, которое нравится.

Зарплатная вилка в сфере информационной безопасности для junior-специалистов начинается от 40 до 80 тыс. рублей, а «потолка» зарплаты на более высоких позициях пока не существует. Однако чтобы быть хорошим специалистом в этой сфере, нужно постоянно держать руку на пульсе, даже в нерабочее время. Поэтому человек, который приходит заниматься информационной безопасностью только ради денег, обычно долго не задерживается. Также у такого сотрудника должны быть любопытство и усидчивость: иногда нужно брать очень много данных из разных источников, анализировать их. Например, вы подозреваете мошенничество в 1000 ссылках. Пока вы все их не изучите, не сможете увидеть полную картину. И эту работу, к сожалению, пока невозможно автоматизировать — чтобы ее сделать, нужно думать именно как человек и представлять себя на месте и мошенника, и жертвы.

Практически все кейсы в данной сфере нестандартны. Если человек привык делать всё по накатанной, у него не получится здесь работать. И последнее важное качество — оптимизм. Работа в информационной безопасности означает борьбу, которая никогда не заканчивается. Нужно понимать, что если здесь и сейчас никто не обманул очередную жертву, это уже победа.

Следите за новыми постами
Следите за новыми постами по любимым темам
9К открытий9К показов