About Teletype
Join
@tenevie_twosouls
Хакинг
July 24, 2023

Информационная безопасность.

В последнее время вы задаёте мне много вопросов касаемо того, как начать работать в информационной безопасности, какие вообще направления там есть и какие сотрудники нужны компаниям в этой сфере.

Лично я никогда не работала официально, потому что я полностью взяла личную ответственность за свою жизнь. Для меня непонятно зачем мне нужны посредники в виде государств и начальников, когда я могу зарабатывать деньги напрямую. Также для меня не понятно почему я должна отдавать государству часть своего дохода в виде налогов, а начальнику часть прибыли, когда я могу все 100% своих заработанных денег оставлять у себя. Но люди разные, кто-то до сих пор мыслит шаблонными категориями, не может зарабатывать самостоятельно и хочет чтобы ему говорили, что делать и какие действия выполнять. Именно для таких людей я и пишу этот пост.

Я расскажу вам какие есть направления в информационной безопасности, с чего начать и как переквалифицироватьcя в безопасника, если вы обычный программист.

Мне частенько пишут студенты, которые учатся в университете на направление ИБ. Самое интересное, что многие из них ещё сами не знают "кем они хотят стать когда вырастут". Поэтому мой пост будет отправной точкой для вашего понимания из чего вообще состоит информационная безопасность.

Чем же вообще занимаются безопасники?

  • Аудит информационных систем с точки зрения информационной безопасности или по другому пентест. Клиенты могут обратиться в компанию ИБ, чтобы та проверила их систему на безопасность и рассказала как её улучшить.
  • Компьютерная криминалистика, по другому её ещё называются форензика. Где-то произошло информационное мошенничество или взлом системы, а вам нужно расследовать это компьютерное преступление.
  • Обучение информационной безопасности. Вы можете обучать людей, создать свои курсы или пойти преподавателем в какое-то заведение.
  • Сертификация. Вы можете помогать в сертификации компаниям, чтобы пройти например процедуру сертификации на определённые мировые стандарты по требованиям тех или иных надзорных органов.
  • Внедрение систем. То есть, это какие-то программно-аппаратные комплексы по обеспечению информационной безопасности. Например установка и настройка оборудования для защиты на каком-то предприятии. Охранные системы, датчики движения, видеокамеры, программное обеспечение и так далее.
  • Разработка безопасного программного обеспечения под заказ компаний.

Это лишь некоторые направления, но на самом деле у этих направлений дополнительных ответвлений очень много. И если разбирать их по порядку, то информационную безопасность можно разделить на два основных направления:

  • Юридическое (бумажное) направление.
  • Техническое направление.

Юридическое направление включает в себя разработку различных стандартов. Как пример стандарт ISO/IEC 27001. Естественно, что такие стандарты должны разрабатывать люди, которые должны понимать в ИБ. Поэтому есть такое юридическое направление.

Далее это разработка корпоративных политик внутри компании. Это когда представитель безопасник внутри компании, как часть этого бизнеса, разрабатывает корпоративные политики информационной безопасности внутри компании. И эти политики можно сделать вообще всеобъемлющими. Например, тот же ISO/IEC 27001 позволяет выстроить политику информационной безопасности в компании от нуля и до космических масштабов. Условно, от журнала у охранника на входе до какого-нибудь пожаробезопасного сейфа, заканчивая забором с электрическим напряжением, сканированием сетчатки глаза перед входом, парольной политикой и так далее. Это стандарты по которым должна жить компания. Чтобы вы понимали компания - это государство в государстве со своими законами.

Следующее в юридическом направлении это законодательные акты в сфере ИБ. Это юридическо-бумажное направление, писать законы государства или компаний. Либо же ходить юристом-адвокатом по судам, чтобы защищать компанию касаемо дел, которые рассматриваются против них, либо же дел, которые ваша компания начала вести против конкурентов судясь с ними.

Это что касается юридического направления.

Теперь расскажу о техническом направлении. Данное направление делится на несколько частей:

  • Offensive Security. Это как раз-таки направление пентеста - легальный хакинг. Вашу компанию нанимает другая компания, которую вы должны попытаться взломать и рассказать им о найденных уязвимостях, а также как их устранить. Это именно атакующая безопасность. Клиент нанимает вашу компанию и говорит: "Взломайте нас". Компания, где вы работаете, взламывает клиента, далее пишет ему отчёт и указывает: "Были найдены такие-то уязвимости. Вот доказательства этих уязвимостей и рекомендации по их устранению." Клиенту полностью показываются все бреши в его информационных системах.
  • Defensive Security. Дело этих людей защищаться от хакерских атак. Если пентестер приходит и взламывает, то представитель Defensive Security строит защиту от хакерских атак.
  • Разработка. Разработка различных программных (инструментов с помощью программирования) и аппаратных инструментов (физических устройств) для информационной безопасности. Эта сфера довольно обширная. Вы можете как защищать какой-то продукт компаний, максимально пытаясь скрыть его исходный код от кражи, заканчивая созданием устройств для спецслужб и шпионов.
  • Компьютерная криминалистика (форензика). Расследование компьютерных атак и преступлений связанных с компьютерами. Кому-то это может показать безумно интересным и захватывающим направлением, дающим вам почувствовать себя в роли охотника. Ваша жертва всегда пытается скрыть свои следы и личность, закрепиться в системе, чтобы её не обнаружили и прочее. А вы в роли следопыта, используете ваши навыки и пытаетесь расследовать действия взломщика. Обычно хакер абсолютно уверен в своей защищённости, он готов отразить все атаки. Представьте, что хакер стоит в бронежилете, его бронежилет протестирован, сделан из самого прочного материала и он говорит: "Давай. Стреляй мне в бронежилет". А вы стреляете ему в колено.

Вернусь к направлению Defensive Security (Защите), потому что в нём также есть много ответвлений:

  • Построение SOC'ов (SECURITY OPERATION CENTER). SECURITY OPERATION CENTER - это такое подразделение, которое в реальном времени мониторит все преступления. То есть, они могут отслеживать какие-то попытки атак. Это центр, который должен оперативно реагировать на все атаки, чтобы максимально быстро их предотвратить.
  • Внедрение различных систем ИБ по типу SIEM, DATA LEAK PROTECTION и других. В общем систем, которые предотвращают утечку данных из компаний или систем по типу SDLC (Жизненный цикл разработки системы). Как пример, у компании есть клиент, который нанял их для взлома его системы. Система оказалась ужасно дырявой и он решает, что проще написать новую систему, чем латать старую. Пока клиент пишет новую систему, ваша компания сопровождает эту разработку. Например, клиент создаёт эту систему целый год и раз в неделю передаёт её компании, которую нанял, компания проверяет этот код на безопасность, выдаёт какие-либо рекомендации и в процессе разработки, программисты клиента уже могут вносить изменения и писать безопасный код. Это позволяет уже не на готовой системе исправлять недочёты, а прямо в процессе. Это огромные плюсы для клиента, потому что во-первых продукт уже сразу будет написан безопасно, а во-вторых разработчики компании клиента в процессе учатся писать безопасный код.
  • Настройка Firewall'ов. Это программные продукты, которые призваны защищать какие-либо веб приложения или системы от атак.
  • Харденинг. Настройка серверов в плане информационной безопасности. Ваша задача создать из сервера неприступную крепость. Сюда входит настройка Firewall'ов, настройка открытости/закрытости портов, правильно настроенные процессы и так далее.
  • Управление Bug Bounty внутри компании, составление списка. Это предложения, которые запускают компании и в ходе этих предложений они платят исследователям за найденные уязвимости. Задача такого сотрудника грамотно создавать Bug Bounty. Например, компания google или другая выложила предложение о том, что любой человек может попытаться найти у них уязвимость, далее обратиться к этой компании по их Bug Bounty предложению, сообщить о найденной уязвимости и компания ему выплачивает вознаграждение. Вот пример такого Bug Bounty от госуслуг в РФ: https://www.gosuslugi.ru/landing/bugbounty.

С Defensice Security разобрались.

Вернусь к направлению Offensice Security (Атака). Это направление включает в себя поиск уязвимостей по различным направлениям. При пентесте основные направления это веб ресурсы (сайты) и локальные ресурсы (сервера, рабочие станции, сети), но тут можно двигаться в различных направлениях:

  • Web. Поиск уязвимостей на сайтах.
  • Binary. Бинарные уязвимости. Это реверс инженеринг (обратная разработка). То есть, человек написал код, а вы его открываете и пытаетесь понять что он делает и как его взломать. Так например взламывают лицензионные компьютерные игры и прочий софт.
  • Network. Поиск уязвимостей в сетях. По сетям очень много нюансов, которые можно рассмотреть с точки зрения информационной безопасности. Это например разграничение сетей, чтобы взломав один сегмент сети нельзя было попасть в другой.
  • Crypto. Криптография. Поиск уязвимостей в криптографических системах и различных системах шифрования.
  • Mobile. Уязвимости в мобильных приложениях. Сейчас это очень популярное направление, потому что мобильные приложения становятся с каждым днём всё более распространены. Вам очень легко будет зайти в эту сферу если у вас до этого был опыт разработки мобильных приложений. Так очень часто бывает, когда после разработки уходят в информационную безопасность.
  • Hardwire. Железное направление. Людей работающих по этому направлению называют железячниками, потому что у них постоянно навалена гора всяких железок в кабинетах. Какие-нибудь микроконтроллеры, они там разбирают технику буквально на атомы, что-то постоянно паяют. Для тех кто умеет держать паяльник в руках и любит низкоуровневое программирование на языке ассемблера, то железное направление именно для вас.

Теперь напишу о разработке и чем можно заниматься там.

  • Железные решения. Это разработка каких-то железных аппаратных комплексов (физических устройств) для атаки и защиты.
  • Сканеры безопасности. Разработка сканеров, которые используются в ИБ. Это могут статические анализаторы кода, они проходят по коду и ищут потенциально опасные участки кода. Также это может быть разработка сетевых сканеров сетей, которые ищут различные уязвимости автоматически, где нажимаете одну кнопку, занимаетесь своими делами, а они ищут уязвимости. По другому они ещё называются инструментами для анализа защищённости.
  • Антивирусная индустрия. Разработка антивирусов.
  • Hardening. Разработка продуктов для защиты серверов. Сюда можно отнести разработку Firewall'ов.

Следующее это компьютерная криминалистика (форензика):

  • Разбор инциндентов. Это изучение лог-файлов и системных журналов по которым можно отследить как действовал взломщик, какие действия предпринимал, какие уязвимости использовал и так далее.
  • Восстановление данных. Очень часто бывает, когда к кому-то попал шифровальщик и зашифровал все данные, либо когда данные были удалены, потеряны, изменены, либо хакер их стёр.
  • Определение причастных ко взлому. На основании полученных данных, лог-файлов, цифровых следов нужно определить причастных к атаке. Например, был ли причастен к этому взлому сотрудник пострадавшей компании или это был внешний фактор.
  • Доказательства и поиск. Окончанием работы по компьютерной криминалистике является отчёт с доказательствами, где указаны злоумышленники, а также на них собраны все доказательства. Определение физического местоположения хакеров.

Всё, что я написала выше касалось работы. А чем вообще занимаются люди в ИБ в свободное время? Так или иначе, люди, которые полностью влились в эту сферу понимают, что безопасность это не та история, когда вы с 10:00 до 18:00 на работе, а после этого вы абсолютно другой человек.

В свободное время безопасники предпочитают участвовать в:

  • Bug Bounty. Вознаграждении за найденные уязвимости (тут официально устраиваться не надо и это очень удобно). Есть две основные площадки на которых абсолютно любой из вас может зарегистрироваться и попробовать. Это HackerOne и BugGrowd. Там вы найти предложения от практически всех крупных мировых компаний. Вы заходите, регистрируетесь, видите предложения и можете сразу приступать к поиску уязвимостей, сообщать об этом представителям компаний и получать деньги. На самом деле таких площадок десятки, но они чуть поменьше.
  • CTF. Хакерские соревнования, в рамках которых, в игровом соревновательном формате нужно находить уязвимости, взламывать команды соперников и получать за это игровые баллы. На самом деле CTF это очень полезная тема. Он очень сильно расширяет кругозор. Нет безопасника универсала, я ещё не разу в жизни не встречала безопасника, который был бы максимально хорош во всех сферах. Потому что один человек не может быть сразу очень крутым реверсером, вебером, сетевиком, админом, пентестером и так далее. У людей одно направление является основным, а все остальные косвенными. Например, вы специалист по web безопасности, а в CTF вам может попасться задача по реверс инженерингу, а там у вас уже очень мало знаний. В рамках CTF вы сможете расширить свой кругозор и изучить новые сферы. На CTF также присутствует вознаграждение и можно выиграть деньги. Сейчас в мире проводится очень много крупных CTF, а вознаграждение там может доходить до нескольких сотен тысяч долларов.
  • Ведение блога. Написание статей и создание видео. Когда вы делитесь информацией, то вы информацию в ответ также получаете от своих подписчиков, находите новые знакомства в этой сфере. Это также очень важная часть жизни безопасника, который хочет развиваться.
  • Конференции. Поездки на живые конференции по ИБ. Опять же получение новой информации, обмен опытом, поиск новых полезных знакомств.

Постаралась расписать вам всё максимально кратко и без воды.

Напоследок. Если вы решили стать безопасником, то это стиль жизни, в котором нужно постоянно развиваться и что-то изучать, особенно в свободное время. Не будет такого, что вы что-то выучили, стали работать и зарабатывать, а дальше можно деградировать. Нет. Технологии развиваются очень стремительно и что было актуально вчера - сегодня уже нет. Если вы застряли в своём развитии, то завтра ваши знания станут никому не нужны, вы потеряете работу, а на ваше место возьмут человека, который развивается. А самое главное, что в этой сфере ваш диплом не нужен вообще, не важно что вы закончили, хоть 9 классов. В адекватной компании у вас даже про образование не спросят, а сразу перейдут к собеседованию. Именно от него будет зависеть - получите вы работу или нет. Работодатели тут смотрят именно на ваши профессиональные навыки, им нужно чтобы вы приносили им деньги и качественно выполняли свою работу, тогда вы будете для них хорошим сотрудником. Изучить в этой сфере также можно абсолютно всё самостоятельно, в несколько раз быстрее и намного качественнее, чем в университетах. Нужно лишь желание.

Безопасник - это не работа, а стиль жизни.

July 24, 2023, 17:47
0 views
18 reactions
0 reposts