кто такой Специалист по информационной безопасности?

С развитием информационных технологий растёт число киберпреступлений в отношении данных, появляются новые способы взлома информационных активов граждан и организаций. Только за первую половину 2022 года в России было совершено 249 000 онлайн-преступлений.
Специалист по информационной безопасности (ИБ) обеспечивает конфиденциальность и сохранность данных на этапе разработки продукта, следит за защитой сетей от внешних угроз, исследует целостность информационной системы и тестирует её слабые места.

Обычно в задачи специалиста по информационной безопасности входит:

Настройка и поддержание защиты данных, контроль несанкционированного доступа.
Определение и оценка возможных угроз и разработка комплексного подхода по их минимизации.
Выявление уязвимостей на разных этапах разработки информационного продукта.
Организация и разработка системы доступа пользователей к техническим, программным средствам и информационным ресурсам.
Внедрение, тестирование и поддержка решений по информационной безопасности.
Внедрение и поддержка антивирусных решений.
Шифрование данных.
Обеспечение защиты сетевой инфраструктуры, проведение тестовых атак на сетевые ресурсы.
Обучение сотрудников правилам компьютерной безопасности.
Разработка программного обеспечения по ИБ.

Требования к специалистам отличаются в зависимости от объектов защиты: для веб-безопасности — одни, а для тестирования систем или сетей на прочность — другие.
Внутри профессии существует разделение по направлениям. Ниже — основные специализации и их функционал:

Пентестеры

Или «белые хакеры». Помогают организациям выявлять и устранять уязвимости в системе безопасности, затрагивающие их цифровые активы и компьютерные сети. Пентестеры моделируют и тестируют возможные угрозы, буквально ставят себя на место злоумышленника и имитируют проникновение в систему. Затем составляют отчёт и дают рекомендации по устранению критических уязвимостей.

базовый стек

Языки: Python, PHP, JavaScript, C, C++
Операционные системы: различные дистрибутивы Linux, Windows, iOS, Android
Сетевые протоколы: HTTP, TCP/IP, DNS, DHCP
Сетевые службы: Proxy, VPN, AD
Веб-технологии: HTML, HTTP, веб-сокеты, CSS, SOP, CORS, cookies
Инструменты: SqlMap, Nmap, Metasploit, Acunetix, Burp Suite, Wireshark, John The Ripper
Понимание работы баз данных SQL, MySQL, SQLite и основных CMS

Разработчики

Данное направление сочетает в себе навыки программиста и специалиста по информационной безопасности. Здесь можно провести внутреннее деление на две специализации:

Первые разрабатывают программное обеспечение для ИБ, включая инструменты для мониторинга, анализа трафика, обнаружения вторжений, выявления вирусов/шпионских/вредоносных программ, антивирусное программное обеспечение и так далее.
Вторые интегрируют компоненты ИБ в прикладное программное обеспечение. В таком случае они работают непосредственно с командой программистов и предоставляют спецификации, проводят тестирования и проектируют отдельные компоненты ПО, чтобы сделать их максимально безопасными.

базовый стек

Языки: Python, PHP, Java, JavaScript, C, C# C++, Perl, ASM, Ruby, Kotlin
Операционные системы: различные дистрибутивы Linux, Windows
Сетевые протоколы: HTTP, TCP/IP
Сетевые службы: Proxy, VPN, AD
Стандарты: NIST, ISO, CIS, SOC2
Веб-технологии: HTML, CSS
Инструменты: SqlMap, Nmap, Metasploit, Acunetix, Burp Suite, Wireshark, John The Ripper
Понимание работы баз данных SQL

Аналитики

Анализируют процессы в информационных и сетевых системах и выявляют инциденты в ИБ. Эти специалисты собирают данные из журналов событий операционных систем или сетевых устройств, маршрутизаторов, антивирусов, брандмауэров и фаерволлов. Затем эти данные необходимо сопоставить между собой, выявить уязвимости, найти взаимосвязь источников и событий и дать рекомендации по оптимизации ИБ и построению стратегии информационной защиты.

базовый стек

Языки: Python, C, C++
Операционные системы: различные дистрибутивы Linux, Windows
Сетевые сертификаты: CCNA/CCNP
Стандарты: NIST, ISO, CIS, SOC2
Инструменты: EDR, NGFW, SIEM, SOAR, MDR\SOC, TI, IDS/IPS, DLP, Antivirus
Понимание работы баз данных SQL

Антифрод-аналитики

Специализируются на безопасности финтех продуктов и услуг, мониторят уязвимости в операциях по картам, отслеживают и анализируют транзакции. Антифрод-аналитики следят за изменениями бизнес-процессов компании, исследуют вредоносное ПО, новые фрод-схемы и способы мошенничества, чтобы заранее предпринять защитные меры.

базовый стек

Языки: R, Python, Perl
Антифрод-системы: процессинг, ДБО ФЛ, ДБО ЮЛ
Понимание принципов работы HTTP, SOAP, REST, XML, JSON
Понимание работы баз данных SQL

Инженеры/администраторы систем безопасности

Администрируют системы ИБ, проводят внутренние аудиты, расследуют инциденты. Занимаются мониторингом и контролем защищённости IT-инфраструктуры, выявлением и устранением уязвимостей защищаемых ресурсов. Инженеры ИБ организовывают работы по выполнению комплексных мер защиты информации, тестируют и внедряют аппаратно-программные комплексы по защите информации.

базовый стек

Языки: Python, JavaScript, C++, Go
Операционные системы: различные дистрибутивы Linux, Windows
Сетевые протоколы: OSI, TCP/IP, DNS, SSH, SNMP
Стандарты: NIST, ISO, CIS, SOC2
Инструменты: MaxPatrol, Qualys, Acunetix, Invicti, Nessus, BurpSuite, ZAP
Понимание работы баз данных SQL

T-shaped специалист

Специалист по информационной безопасности — пример T-shaped специалиста

Специалист в области ИБ находится посередине между программистом, системным администратором, сетевым инженером и консультантом (способен провести аудит системы ИБ и дать обоснованные рекомендации по её оптимизации).

Например, часто встречаются уязвимости, характерные для конкретного языка, поэтому рекомендуется уметь хорошо читать несколько основных.

Вы будете буквально проверять на прочность разработчиков сервисов и приложений и администраторов, пытаясь найти в их работе проблемные места. Поэтому важно обладать и развивать софт скилы — навыки коммуникации и критического мышления.

QIWI — сложный финтех продукт, нуждающийся в комплексной защите информационных систем и своих клиентов. Поэтому информационной безопасности и развитию специалистов в этой сфере мы уделяем особое внимание. Здесь вы сразу получите многогранный практический опыт и сможете развиваться в нескольких направлениях.

Необязательно выбирать и погружаться с головой только в одно направление — можно развиваться сразу в нескольких. Так вы станете T-shaped специалистом.

Концепция Т-образных навыков — это метафора для описания способностей ИТ-специалистов разного профиля. Вертикальная черта на букве T представляет собой глубокую, но узкую экспертизу в одной из областей разработки. Тогда как горизонтальная линия — это черта дженералиста.

Это значит, что вы глубоко погружены в одно направление, но при этом обладаете базовыми навыками других направлений.

Куда расти

Специалисты по информационной безопасности развиваются горизонтально и вертикально. Концептуально, любую специализацию в ИБ можно разделить на два направления — защита (blue team) и атака (red team). Первые ищут тактику и инструменты для защиты, вторые же ищут слабые места и тестируют приложения, системы и сети на прочность. Попробуйте определить для себя, какой их этих подходов вам ближе.

вертикальный рост

Здесь можно выделить 4 возможных ступени. Время перехода зависит от вашего опыта и кадровой политики компании.

Опыт работы: без практического опыта

Вы можете прийти в профессию с нуля, даже не имея базового опыта в IT. На старте легче всего адаптируются сисадмины, поскольку в работе они сталкиваются с обеспечением безопасности сетей или информационных систем. Разработчикам освоение новой профессии тоже будет даваться легче, так как они уже использовали в работе языки программирования.

Как идти дальше

После успешной стажировки вы сможете перейти на позицию джуна.

Опыт работы: ≈1 год

От джунов уже ждут верхнеуровневых навыков и знаний:

Понимание принципов работы сетей и операционных систем;
Понимание принципов маршрутизации, адресации IP, знание протоколов ISO/OSI и TCP/IP;
Базовые навыки администрирования, настройки групповой политики и управления правами пользователей;
Понимание принципов настройки защиты на базе Windows и антивирусного ПО;
Теоретическое знание принципов настройки баз данных — например, MySQL.

Пример задачи

Поставить антивирусное ПО и раздать права пользователям.

Как идти дальше

Тут всё просто — набиваем руку на реальных задачах, пытаемся найти разные подходы к их решению и, как следствие, приумножаем знания. Наставник в помощь.

Опыт работы: ≈3 года

Мидл специалист по ИБ уже может самостоятельно проводить аналитику защищённости информационных систем, создавать фреймворки из инструментов, администрировать операционные системы. Базовые требования к этому уровню:

Понимание принципов работы и построения TCP/IP, ISO/OSI;
Понимание принципов веб-безопасности и сетевой безопасности;
Администрирование Windows и Linux;
Знание Bash, Perl и Python

Пример задачи

Выявить и расследовать инцидент. При этом мидл уже способен сам выбирать инструментарий, проводить пентестинг и аналитику объектов.

Как идти дальше

Пробовать себя в разных проектах, прокачивать hard skills и изучать языки программирования. На этом уровне вы уже будете обладать достаточным опытом и пониманием профессии, чтобы выбрать дальнейшее направление в рамках ИБ — уклон в разработку, администрирование и архитектуру, антифрод или аналитику.Пробовать себя в разных проектах, прокачивать hard skills и изучать языки программирования. На этом уровне вы уже будете обладать достаточным опытом и пониманием профессии, чтобы выбрать дальнейшее направление в рамках ИБ — уклон в разработку, администрирование и архитектуру, антифрод или аналитику.

Опыт работы: 5+ лет

Синьор способен прогнозировать угрозы, строить и обслуживать ландшафт информационной защиты, самостоятельно писать программы на скриптовых языках, расследовать инциденты, управлять специалистами разных направлений. Пример навыков и знаний:

Знание NIST SP800-115, WASC, OSSTMM, OWASP;
Владение профильным софтом: Cisco ASA, Imperva DAM, IBM Qradar,
Maxpatrol, Gigamon Networks Tuffin и другие;
Опыт работы с системами узкого профиля: SCADA, SS7, ERP и прочие

Пример задачи

Обеспечить корректность маскирования данных в тестовых средах с использованием автоматизированных средств. Разработать инфраструктурное решение для обеспечения безопасности корпоративной сети.

А что дальше?

А дальше вы можете стать узконаправленным экспертом в защите систем или приложений, а также в применении профильного ПО, или прокачивать свои лидерские навыки и уходить в менеджерские позиции. Некоторые синьоры становятся независимыми консультантами и предлагают свои услуги крупным компаниям.

Горизонтальный рост

Направления внутри информационной безопасности тесно связаны между собой и функционал специалистов пересекается.

Вы можете изучать другие фреймворки и инструменты, получать опыт обеспечения ИБ для разных продуктов и систем, повышать навыки администрирования, учить другие языки программирования и двигаться между направлениями.
Также вы всегда можете поменять специализацию внутри компании — уйти в разработку, продукт-менеджмент или администрирование. Мы в QIWI поддерживаем инициативу сотрудников и не препятствуем внутренней миграции, если сотрудник понимает, чем ему интересно заниматься и где он может раскрыть свой потенциал.

Однако помните, что при переходе в другую специализацию вам нужно будет время для технической и методологической адаптации.

Скиллы

Харды для джуна

Знание хотя бы одного языка программирования — Python, Bash, JavaScript — на базовом уровне (циклы, условия, типы данных, объекты, массивы, примитивы, аргументы)
Базовое знание инструментов Linux: Wireshark, SqlMap, Nmap, John the Ripper, Burp Suite, OWASP ZAP, nmap
Знание основ криптографических протоколов
Понимание принципов работы сетей и операционных систем
Базовые знания администрирования Linux и Windows
Знание баз данных и понимание запросов к ним
Понимание принципов маршрутизации, адресации IP, знание протоколов ISO/OSI и TCP/IP
Знание принципов построения и работы веб-приложений
Базовый+ уровень владения английским языком
Настраивать систему защиты от кибератак
Опыт настройки антивирусных программ и ОС Windows
Навыки администрирования Active Directory, настройка групповой политики (GPO) и управление правами пользователей

Софты для джуна

Софт скилы не связаны с конкретной профессией, но позволяют выстраивать успешную карьеру — эффективно общаться, решать конфликты, работать в команде. Вот такие «гибкие навыки» требуются junior-специалисту по ИБ, чтобы преуспеть:

Внимательность

Чтобы искать уязвимости, важно уметь фокусироваться, видеть не очевидные и скрытые угрозы.

Аналитические способности

Важно видеть последствия тех или иных решений, находить причинно-следственные связи в инцидентах.

Стрессоустойчивость

В случае атаки и взлома важно сохранять холодную голову и действовать быстро.

Работа в команде

Специалист по ИБ часто взаимодействует с другими подразделениями — здесь пригодится умение работать в команде, договариваться, искать компромиссы.

Словарик терминов

ISEC

Информационная безопасность — определенный набор мер, направленных на защиту информации и осуществляемых с помощью информационных программ (систем) или аппаратных средств

Активная атака

Атака, которая приводит к изменению функций и параметров системы или изменению данных, к нарушению интерактивных операций и взаимодействий в сети и др. Примеры подобных атак — impersonation, man-in-the-middle attack, session hijacking.

База данных

Объективная форма представления и организации совокупности данных.

Поведенческий блокиратор

Блокиратор (механизм блокирования) программ с подозрительным поведением в отличие от сигнатурных или эвристических анализаторов (входящих в состав средств ИБ) интегрируется с ОС хост-компьютера и в реальном времени следит за поведением выполняющихся программ.

Событие

Все, что фиксирует журнал событий.

Инцидент

Событие, которое потенциально может нанести ущерб.

Угроза

Совокупность условий и факторов создающих потенциальную или реальную опасность нарушения информационной безопасности.

Источник угрозы

Физическое лицо, материальный объект или физическое явление, являющееся непосредственной причиной возникновения угрозы информационной безопасности.

Дешифрование

Восстановление с помощью ключа исходной информации.

Потеря данных

Возможные последствия сбоев-отказов системы, выхода из строя оборудования, ненадёжности устройств памяти, действий злоумышленного, вредоносного ПО и т. п.

Логический периметр

Концептуальный периметр, охватывающий всех потенциальных пользователей системы, которые подключены к ней прямо или опосредованно и получают выходные данные системы без надёжного контроля со стороны соответствующей полномочной организации

Управление доступом

Метод защиты информации регулированием использования всех ресурсов информационной системы.

Сетевая атака

Атака, проводимая со стороны компьютерной сети и использующая особенности функционирования сетей, уязвимости в различных сетевых протоколах и службах.

Код-стайл

Общий стиль написания в компании, который соблюдается всеми разработчиками.

Архитектура

Скелет и многоуровневая инфраструктура внутреннего устройства программной системы.

Оффлайн-атака

Атака, в которой злоумышленник вначале добывает необходимые ему данные (обычно путём перехвата сообщений протокола аутентификации или путём проникновения в систему и кражи секретных файлов), после чего анализирует их при помощи системы по собственному выбору.

Пассивное сокрытие

Способ технической защиты информации путём ослабления энергетических характеристик физических сигналов, полей или уменьшения концентрации веществ.

Пентестинг

Поиск уязвимостей и оценки безопасности компьютерной системы, веб-приложения, сети или хоста с помощью взлома, проводимый с разрешения владельца.

Защита периметра

Защита по периметру по аналогии с круговой обороной в военном деле — осуществляется с помощью сетевых экранов, антивирусных сканеров, систем обнаружения атак и др.

Атака путём повтора

Ситуация, когда атакующий перехватывает передаваемую по каналам связи информацию аутентификации или информацию управления доступом, затем ретранслирует её с целью получения несанкционированного доступа (НСД) к системе.

(SIEM) security information and event management

Управление информацией безопасности и событиями безопасности, технология SIEM, общее обозначение категории программных продуктов и сервисов, реализующих управление информацией безопасности (security information management, SIM) и управление событиями (инцидентами) безопасности.

Сигнатурный анализ

Анализ сигнатур,который базируется на совпадении фрагмента кода или последовательности сигналов с эталонным образцом; используется, в частности, для контроля работоспособности аппаратуры компьютера или для защиты от известных вирусов, от атак (вторжений) и др.

Целевая атака

Компьютерная атака, направленная на конкретного пользователя, небольшую группу пользователей, компанию, организацию или на целые отрасли промышленности. Основные цели подобных атак — взлом компьютерных систем и кража конфиденциальной информации, разрушение веб-серверов и других важных ресурсов, нарушение производственных или бизнес-процессов организации, деятельности государственного ведомства и т. п.

Уязвимость

Свойство системы, позволяющее реализовать соответствующую угрозу; это дефекты безопасности, всё, что может привести к намеренному или случайному нарушению политики безопасности, нарушению работы и/или взлому системы.

Атака уровня белого ящика

Атака, предпосылкой для которой является возможность атакующего-злоумышленника проанализировать программный код приложения, получать доступ к соответствующим адресам памяти во время исполнения программы, вмешиваться в ход программы, перехватывать системные вызовы, использовать для атаки самые разные инструменты (отладчики, эмуляторы и др.).

Правила совместной работы

Детальные руководящие указания и ограничения, касающиеся проведения тестирования средств безопасности корпоративной информационной системы (КИС).

Плюсы и минусы работы

плюсы

Большие возможности горизонтального роста
Востребованность в компаниях разной направленности и величины
Высокие зарплаты
Перспективы развития — профессия не потеряет актуальность в ближайшее время
Относительно, это творческая профессия — есть много вариантов для решения задач
Интересная профессия, требующая творческого и нестандартного подхода при противостоянии мошенникам и расследовании атак

минусы

Большая ответственность и вероятность стрессовых ситуаций
Строгие требования к отбору кандидатов
Возможны неожиданные переработки и вызовы во внерабочее время
Зачастую есть привязка к офису и корпоративной технике. Специалиста могут отправлять в командировки
Изменчивость трендов

Вам здорово подойдёт профессия, если

У вас аналитический склад ума
Вы усидчивы и не боитесь рутины, хотя при этом готовы искать новые неочевидные решения
Постоянно изменяющиеся условия и необходимость постоянно учиться новому для вас скорее плюс, чем минус
Знаете английский язык хотя бы на базовом+ уровне
Не боитесь экстренных задач и ответственности