Каменный век кибербезопасности - это сейчас

Где работать специалисту по безопасности, и чему научат на профильном курсе GeekBrains — рассказывает преподаватель, сертифицированный этичный хакер Мефодий Цупрунов.
8 минут36465

Каменный век кибербезопасности

В 2012 году мы с одногруппниками шутили, что живём в каменном веке компьютерной безопасности. В 2017 я понимаю, что каменный век — это сейчас, а тогда дела обстояли намного хуже. На меня смотрели как на сумасшедшего, когда я говорил, что взломать сеть можно со смартфона, что украсть конфиденциальную информацию можно, если неправильно настроен Wi-Fi.

Сейчас профессия этичного хакера стала востребованной. Я основатель и генеральный директор компании T&M Group, которая занимается аудитом безопасности. Кстати, здесь пригодилось юридическое образование: я понимаю, как обеспечить безопасность законными способами. Чаще в компаниях выбирают что-то одно, но это не совсем правильно.

Благодаря СМИ слово «хакер» сейчас на слуху, но до сих пор не все понимают, как устроена эта индустрия. Хакеры делятся на три вида:

  • White Hat hackers, хакеры в белой шляпе — это аудиторы безопасности, которые ищут уязвимости в системе, чтобы защитить её от взлома;

  • Black Hat hackers, хакеры в чёрной шляпе — это те самые злоумышленники, которых мы опасаемся и благодаря которым в принципе осведомлены о хакинге;

  • Grey Hat hackers, хакеры в серой шляпе — это чёрные хакеры, которые выдают себя за белых; они приходят в компанию, проводят аудит безопасности, но вместе с этим похищают у организации конфиденциальные данные.

Путь в профессию

Свой первый компьютер я собрал сам. В 15 или 16 лет на уроке написал свой первый вирус. Мне хотелось показать одноклассникам, как легко это сделать на скриптовом языке: просто написать в блокноте и задать расширение файла. Запускать его я не собирался, это сделал мой одноклассник. Программа уничтожила всю школьную компьютерную сеть. И хоть у вируса был отложенный запуск, меня сразу вычислили, потому что больше никто не разбирался в компьютерах на таком уровне.

Директор школы предложил мне два выхода из ситуации: или я восстанавливаю сеть, или представляю учебное заведение на всероссийском конкурсе научных работ. Буквально за два дня я написал доклад о Windows Scripting Host и скриптовых языках программирования и занял с ним первое место.

Долгое время компьютеры оставались моим хобби. А первое высшее образование я получал в Академическом правовом университете при Институте государства и права РАН. Учиться на юриста начал по совету отца. Но параллельно развивался в IT-сфере и через несколько лет после окончания АПУ понял, что хочу получить образование и по этому профилю. На базе первого высшего поступил в МГТУ имени Баумана.

Мне было на тот момент 22 года, и я видел различия между собой и моими однокурсниками, которые только окончили школу. Из-за разницы в возрасте я был ближе к преподавателям, чем к ним. Например, на подготовке к зачёту нашей группе задали вопрос: кто знает, что такое диск FDD 3.5”. Подняли руки всего несколько человек. Включая меня.

К слову, тот зачёт я сдал досрочно, прямо на паре. Я задал группе ещё один вопрос: кто знает, что такое IDDQD? Это код бессмертия в игре DOOM 2. Разумеется, никто не знал этого, кроме преподавателя. Этого оказалось достаточно, чтобы получить зачёт. На другой паре был ещё один «поколенческий» вопрос: с чего начинался интернет в России. Я сказал, что с фидонета. Надо ли говорить, что мои одногруппники просто его не застали.

Начало своего IT-образования я связываю с учебным центром «Специалист» при той же Бауманке. Там я выучил основы программирования, освоил азы кибербезопасности. За всё время прошёл там более 18 курсов и до сих пор нахожусь в ТОП-10 слушателей. Кроме того, я сертифицированный специалист по форензике — криминалистике в сфере компьютерной безопасности — и сертифицированный этичный хакер. В перечне моих квалификаций и дипломов также С|EH (Certified Ethical Hacker), C|ND (Certified Network Defender), C|HFI (Computer Hacking Forensic Investigator), TPD Tactical Perimeter Defense, SIPE Stategic Infrastructure Protection Enterprise и другие.

Хакинг для тех, кто мыслит не по шаблону

Здесь нет заданий шаблонного характера, любая задача носит элемент соревнования. Вероятно, корни интереса к подобной занятости идут из детства, когда было интересно попробовать что-то сломать, чтобы выяснить, что внутри. Только специалисту в сфере компьютерной безопасности за такие попытки ещё и платят.

Когда есть интерес к тому, чем занимаешься, просто не можешь пройти мимо нарушений в безопасности, хочется выяснить, как глубока эта кроличья нора. Потом можно поделиться находкой с компанией, которая допустила изъяны — за «респект» или вознаграждение.

Как и где работает этичный хакер

Этичный хакер не обязательно должен быть занят в корпоративном сегменте. Существует множество площадок с Bug Bounty или Bug Hunting — предложениями от организаций разного масштаба протестировать безопасность их сетей. Это открытые офферы: вы ломаете, они платят. Иногда можно на задачу потратить две недели, иногда — пару вечеров, иногда — 15 минут. Вознаграждение нередко оказывается суммой с шестью нулями. Так что это отличное доходное хобби, над которым можно работать в режиме фриланса — одному или в команде.

Специалист по компьютерной безопасности может работать и в штате компании, и это также перспективное направление. Сейчас профессионалы в этой сфере нужны каждой организации. А сертифицированных этичных хакеров в России всего 560 при населении в 146 млн человек.

Из-за дефицита кадров конкуренция в сфере этичного хакинга стремится к нулю. Если вы хотя бы что-то знаете и умеете, вы востребованы. А когда накопите багаж знаний выше среднего, вас с руками оторвут.

Большая компания — уязвимая компания

Чем больше компания, тем больше у неё вероятность нарушений в безопасности, здесь есть прямая связь между разветвлённостью структуры и степенью уязвимости. Провести аудит фирмы изнутри трудно, и здесь как раз хорошо приглашать сторонних специалистов со свежим взглядом.

Часто бывает, что компания — лидер на рынке, но у неё банальные ошибки в программном обеспечении, которыми могут воспользоваться злоумышленники. Именно из-за таких нарушений этичный хакер не может себе позволить мыслить шаблонно, он должен проверять все потенциальные уязвимости, даже если кажется, что их точно быть не может, потому что хакинг — это всегда непредсказуместь. Потому что все системы построены людьми, а им свойственно совершать ошибки, особенно глупые, потому что на сложных вопросах они концентрируются, а на простых – расслабляются.

70% взломов происходит через людей

Человеческий фактор в целом играет большую роль в обеспечении безопасности. 70% случаев взлома происходят через приёмы социальной инженерии, когда злоумышленник управляет действиями человека, не применяя особых технических хитростей. Например, в большой компании можно позвонить в один отдел, представившись сотрудником другого, и получить конфиденциальную информацию. Поэтому большое внимание должно уделяться тренировке персонала. Есть несколько постулатов, которые должны выполняться сотрудниками неукоснительно:

  • Никогда не открывать того, что они не запрашивали. Речь идёт о картинках, письмах, ссылках и так далее. Один клик по небезопасному объекту может привести к разрушительным для компании последствиям.

  • Быть подозрительным, даже если речь идёт о проверенном источнике. Например, письмо от гендиректора всё равно не будет лишним отправить на анализ на Virus Total.

  • Всегда проверять надёжность переданных данных или лица, с которым сотрудник контактирует. Например, если поступил звонок с вопросом, ответ на который включает конфиденциальные данные, можно перезвонить этому человеку на внутренний номер, чтобы убедиться, что информация нужна действительно ему.

Я сертифицированный специалист в области социальной инженерии и тренер. И могу точно сказать, что нельзя недооценивать обучение сотрудников основным принципам кибербезопасности. Как говорил Альберт Энштейн, «есть только две бесконечные вещи: Вселенная и глупость. Хотя насчёт Вселенной я не уверен».

Эшелонированная защита: три кита безопасности

Абсолютно безопасных для атак систем и структур не существует. Распространённый вопрос от клиентов: каковы гарантии что систему не взломают? Поручиться мы можем только за защиту от существующих угроз. Каждая новая уязвимость требует нового этапа работы по её устранению.

Наиболее эффективным является метод эшелонированный защиты. Он состоит из трёх компонентов: предотвращение, защита, восстановление. Благодаря этому можно сохранить целостность информации.

Первый элемент направлен на предотвращение проникновений в систему, последующие — на уменьшение последствий нарушения безопасности. Обязательно должны быть резервные копии на случай, если в систему попало вредоносное программное обеспечение, чтобы была возможность восстановить утерянные данные.

Важность общения

Благодаря фильмам мы представляем хакеров одиноко сидящими за компьютерами. Это не так, навыки общения для специалиста в сфере безопасности являются основополагающими. Без этого не стать экспертом, в этом 50% успеха в профессии. Сам я много внимания уделяю личному развитию: курсы ораторского искусства, тренинги по нейролингвистическому программированию и так далее. И каждому своему ученику советую развивать коммуникативные навыки, если он хочет развиваться в сфере этичного хакинга, потому что важно донести до заказчиков объём работ и объяснить, какие уязвимости найдены и как с ними бороться, доступным языком. Плюс это позволит расти не только в профессии, но и как личность. Ведь важны не компании, их бренды и технологии, «а личности, что стоят за ними».

Как учиться этичному хакингу

Одна из проблем образования этичного хакера — на русском языке очень мало информации и курсов, на которых научат этой профессии. Поэтому решено было открыть на GeekBrains обучение новой профессии — профессии этичного хакера.

Мы расскажем студентам, как использовать основные инструменты этичного хакера, мыслить нестандартно. Разумеется, познакомим с индустрией в целом, путями развития в профессии. Один из курсов программы — «Атака и защита Web-приложений» —  даст очень востребованные сейчас навыки, потому что 70% интернета — это и есть веб-приложения на различных платформах и CMS-решениях. Он пригодится и программистам, которые научатся делать свои разработки безопасными и устойчивыми к уязвимостям.

Ученики курса получат полноценную базу, с помощью которой будут совершенствоваться в профессии. В первую очередь, это умение использовать готовые инструменты, применяя их нешаблонно. Но надо понимать, что хакинг и безопасность — это те сферы, в которых достигнуть вершины профессионализма просто невозможно. Нельзя стать экспертом на 100%, потому что каждый день выходят новые угрозы. Поэтому учиться, шлифовать мастерство придётся всё время.

Как пройдёт стажировка

Студентам, которые пройдут обучение по профессии этичного хакера, гарантирована стажировка в компании T&M Group. Стажёров объединим в группы, которым будут даны офферы с различных Bug Bounty. Если команда найдёт уязвимости, она получит вознаграждение, всё будет оформлено официально. То есть стажировка даст возможность не только отточить полученные во время обучения навыки, но и заработать в случае успеха. С учётом среднего размера вознаграждения, есть шанс компенсировать затраты на обучение за один проект и даже остаться в плюсе.

Что нужно знать, чтобы начать учиться этичному хакингу в GeekBrains

Чтобы начать обучение этой профессии, каких-то особенных знаний не требуется. Не обязательно уметь программировать, достаточно навыка читать код. Если человек далёк от IT-сферы, лучше заранее познакомиться с азами, например, пройти курсы Основы программирования и HTML/CSS, посмотреть вебинар Сетевой уровень и модель OSI.

На площадке GeekBrains есть также вебинар «Основы безопасности и анонимности в сети»: часть 1 и часть 2. Их стоит посмотреть, чтобы понять, насколько вам интересна индустрия этичного хакинга.

Сам я в профессии более 15 лет и могу точно сказать: решайтесь на погружение в мир этичного хакинга, будет интересно. Stay tuned и до скорой встречи!

хакерствокибербезопасностьвирусызащита данныхбезопасностьвзлом
Нашли ошибку в тексте? Напишите нам.
Спасибо,
что читаете наш блог!