Зачем уставшим от отчетности бухгалтерам учиться информационной безопасности

В последние годы в новостях все чаще мелькают громкие заголовки об утечках информации или хакерских атаках на крупные банки. Только недавно «Клерк» писал о появлении в сети данных 12 миллионов клиентов МФО. Но вообще, всем уже привычны заголовки в СМИ об утечках данных банков и сотовых операторов.

На примерах громких случаев атак расскажем, какую роль играет в компании информационная безопасность, и как научиться специальности будущего.

Поможет нам в этом Евгений Строев — эксперт курса «Специалист по информационной безопасности» в Нетологии и руководитель направления безопасности прикладных систем «Тинькофф».

Как это работает: реальные истории взломов

Мы попросили Евгения рассказать на примерах из жизни, как и почему происходят разные виды взлома.

Громкая история Сбербанка

Ситуация: в октябре 2019 года Сбербанк подтвердил утечку сведений о кредитных картах своих клиентов. Сначала заявлялось, что похищены сведения двухсот карт, но затем оказалось их 5000.

Что похитили — ФИО, паспортные данные, место жительства и работы, номера карт и счетов, информацию о лимитах и сроках действия кредиток.

Руководство банка сработало оперативно — были заблокированы и перевыпущены карты, служба безопасности в сотрудничестве с правоохранительными органами обнаружила похитителя буквально за сутки — им оказался сотрудник компании. Хорошо, что базы не содержали СVC-кодов и других средств защиты (кодовых слов, используемых для звонка в службу поддержки, например).

Евгений: «Один из современных принципов безопасности — „Zero trust“ (нулевое доверие). Это значит, что специалисты по инфобезопасности не доверяют никому в компании: ни пользователям, ни другим сотрудникам, ни сервисам, даже себе не доверяют. Все может быть сломано и скомпрометировано. Поэтому важно сделать так, чтобы у злоумышленников даже при таком сценарии не было возможности взломать.»

Переводы в пути, правда не к вам

Платежные шлюзы и сервисы, отвечающие за перевод денег, тоже ломают. Есть такая группировка — GCMAN, они провели операцию с выводом денег на электронные платежные системы.

Опять же не обошлось без рассылки фишинговых электронных писем, которые на этот раз доставлялись HR-специалистам или бухгалтерам, работающим в банках. Преступники ждали, когда сотрудник вызовет сисадмина и можно будет украсть его пароль и логин. Чтобы это точно произошло, они вызывали сбой в программах 1С или MS Office.

Дальше дело техники — пробежать по сети банка и найти средства для перевода денег со счетов. Иногда хакерам не приходилось придумывать велосипед, они использовали специальное ПО, для тестирования — Putty, VNC.

Что похитили: с помощью скрипта ежеминутно (!) проводились переводы на суммы в пределах $200 (лимит для анонимных переводов в России). К некоторым атакам группа готовилась долго — до полутора лет, получая все больше данных.

Евгений: «Security in depth — это еще один принцип, который может помочь в построении надежной системы защиты. Он означает многослойность, многоуровневую защиту и использование всего комплекса мер, которые вообще существуют. Нельзя полагаться только на один какой-то инструмент, сервис или средство защиты.»

Взлом компании

Это уже намного сложнее сделать, ведь придется получить доступ к серверам, но и здесь можно найти лазейку. И даже если система безопасности работает исправно, беда может прийти, откуда не ждали — от разработчиков.

Выпуск нового уязвимого приложения может стать той самой отправной точкой, которой воспользуются преступники. Если запустить сырой продукт, тем более напрямую из зоны процессинга, например (это место, где находятся все данные о счетах и картах клиентов, если речь о банке), в интернет, то взломщик такого сервиса получит прямой доступ к критичной информации.

Ситуация: Это история от коллег нашего специалиста — у компании появился новый сервис, расширяющий функционал для клиентов, но в нарушение инструкций его запустили из зоны процессинга непосредственно в интернет, без выделения специальной зоны DMZ. Demilitarized Zone — демилитаризованная зона, ДМЗ, физический или логический сегмент сети, содержащий и предоставляющий организации общедоступные сервисы, а также отделяющий их от остальных участков локальной сети, что позволяет обеспечить внутреннему информационному пространству дополнительную защиту от внешних атак..

Что похитили: до обнаружения уязвимости при очередном сканировании системы злоумышленники успели получить доступ к личным данным, а также механизмам сервиса и процессингу.

Теперь вы знаете, каким опасностям чаще всего подвергаются организации. Хотя мы рассказывали много о банковской сфере, но на самом деле те же приемы применяют и к любым другим компаниям, от хакеров не застрахован никто. Давайте познакомимся с профессией специалиста по информационной безопасности поближе.

Скажите, как его зовут

Специалиста по информационной безопасности могут называть по-разному. Если зайти на сайт с вакансиями, то там найдется и администратор средств защиты, и инженер по безопасности компьютерных сетей. Под каждой вакансией подразумеваются конкретные специализации, о которых мы расскажем ниже.

Специалистом по информационной безопасности называют того, кто внедряет и поддерживает средства защиты от всевозможных угроз, находит и устраняет уязвимости в приложениях и инфраструктуре.

Можно выделить несколько специализаций:

Специалисты по тестированию на проникновение или пентестеры. Находят уязвимости и недостатки в безопасности систем, помогают их устранить или передают информацию о них администраторам и разработчикам системы. Могут быть как штатными сотрудниками, так и работать по договору за разовое вознаграждение или принимать участие в программе Bug Bounty — любому, кто обнаружит уязвимость предлагается премия.

Специалисты по безопасности приложений. Участвуют в процессе создания программ или приложений, изучая архитектуру и готовый код. Находят ошибки и уязвимости, которые могут привести к взлому. Пример уязвимости — оставить в форме ввода на сайте возможность отправить SQL-инъекцию (т.е. внедрить вредоносный код).

Специалисты по сетевой и инфраструктурной безопасности. Занимаются поиском уязвимостей в аппаратных и сетевых комплексах и создают максимально защищенные системы. Они же знают, как с помощью Windows, Linux или других ОС злоумышленник может установить нужное ПО на компьютер, поэтому настраивают системы так, чтобы в них было трудно попасть.

Вот только некоторые задачи, с которыми придется работать специалисту по ИБ (в разных специализациях они будут отличаться):

• Изучение системы информационной безопасности в компании, нахождение уязвимостей.
• Сбор информации — кто потенциально заинтересован во взломе.
• Составление плана и алгоритма внедрения защиты, проведение самого внедрения.
• Если компания занимается разработкой или внедрением собственного ПО — найти уязвимости и подготовить техзадание на их устранение.
• Провести тест-атаки и оценить результаты.
• Промониторить интерес к системе — узнать, кто интересовался системой, какими способами, как часто.

Иногда специалисту по ИБ достаточно использовать чек-лист или инструкцию, провести анализ и затем внедрить систему защиты. После этого он тестирует ее, выявляет уязвимости, исправляет и снова по кругу. Специалисту приходится эволюционировать параллельно со взломщиками и следить за всеми тенденциями в мире хакинга, чтобы быть готовым к любой ситуации.

Пусть меня научат

Пройдем по самым задаваемым вопросом на тему «как стать специалистом по информационной безопасности?»:

Как пройти обучение?

Для начала стоит пройти курсы в области информационной безопасности или провести время за самообразованием, затем стажировка и собственно переход на полноценную работу. Профи отмечают, что для старта в профессии достаточно 9–12 месяцев, примерно 6 из них — обучение на курсах.

Нужна ли техническая подготовка?

Не обязательно быть IT-профи или иметь опыт в программировании. Инфобезопасность находится где-то на стыке системного администрирования, разработки и консалтинга. В этой сфере много своих тонкостей. При этом конечно подкованность в инженерии или других смежных специальностях приветствуется.

Идеальный вариант подготовки — максимум практики. Теоретическое изучение популярных уязвимостей без практики их нахождения, эксплуатации или защиты от них — бесполезно.

Обязательно ли знать английский язык?

Для начала достаточно владеть минимальными познаниями в языке и уметь работать с Google-переводчиком. В дальнейшем потребуется развитие навыка чтения, потому что оставаться «в теме» позволяют именно зарубежные ресурсы и литература, переводов на русский можно ждать долго.

Выбирая курсы, обратите внимание, включены ли в них занятия по техническому английскому языку. Он понадобится для чтения документации, инструкций и участии в разработке и тестировании.

Что нужно знать для старта?

Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений:

• Много теории и мало практических занятий. Вам рассказывают об уязвимостях, но вы не можете попробовать атаковать или защищаться.
• Только сети. Создается впечатление, что вы попали на курсы сетевых администраторов. Сисадмин это самостоятельная профессия. Хотя он, как и специалист по информационной безопасности, участвует в таких процессах как настройка сети или интеграция сервисов и других продуктов, но у него совершенно другая компетенция.
• Только взлом. Работодатель заинтересован прежде всего во внедрении надежной системы защиты и во вторую очередь в проведении пентестов.

Ищите курсы, где все стороны будут преподаваться гармонично и вас научат полноценному внедрению системы защиты, тестированию на уязвимости и все это законно! Проще говоря, вас должны научить и законам, и хакингу, и защите от взломов.

Примерный чек-лист умений для старта:

• Настроить сетевой стек (взаимодействие всех протоколов, чтобы не было конфликтов, несколько уровней работы взаимодействие узлов в сети).
• Провести аудит системы, найти уязвимые места.
• Атаковать сетевые ресурсы распространенными способами и настроить систему защиты от таких атак.
• Настроить систему мониторинга и систему предупреждения о проблемах.
• Учитывать человеческий фактор в построении защиты.
• Пригодится понимание криптографических и других методов защиты, знание законов и требований госструктур.

Чек-лист инструментов для старта:

До того, как вы пойдете стажироваться на работу рекомендуем проверить знания на практике:

• Linux — сделайте свою сборку, почитайте о популярных уязвимостях системы и внутренних программ.
• Windows — потренируйте навыки настройки как для пользователя, так и для серверных решений. Изучите варианты атак через обновления, подмену драйверов или служебные утилиты.
• Kubernetes. Понадобится для работы в компании, занимающейся облачными технологиями, что сейчас очень востребовано.

Для старта в карьере не обязательно знать все технологические тонкости, достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать. Прокачивайте свои умения — Hard skills (владение профессиональными технологиями и инструментами) и Soft skills (навыки коммуникации, оперативное реагирование на ЧП, дисциплина, ответственность за принятые решения).

Сколько зарабатывают специалисты по ИБ и насколько они востребованы?

В среднем заработок специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей в месяц. Конечно цифра довольно условная, ведь все зависит от того, где именно, в какой компании и на каком уровне вы будете работать.

Для примера (данные по г. Москва):

• Начинающий специалист (без опыта) — 50-60 тысяч рублей
• Junior-позиция — вакансии по 60-80 тысяч
• Специалист с опытом 1-2 года — 100-150 тысяч
• Профи с опытом в 3-5 лет — 150-200 тысяч
• Руководитель — от 200 тысяч рублей
• В регионах заработок специалиста с опытом в 1–2 года составит от 50 до 120 тысяч.

В основном работа подразумевает личное присутствие в офисе, а не удаленку. Но есть и те, кто добился больших успехов в профессии и может позволить себе фриланс, зарплаты таких спецов доходят до 300 тысяч рублей.

Что касается востребованности — спрос на специалистов по ИБ очень высок. Только на бирже HeadHunter обычно находится 800-900 таких вакансий. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.

Где учиться на специалиста по ИБ?

Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.

Вы научитесь:

• выстраивать процесс выявления уязвимостей на всех этапах разработки;
• определять, откуда ждать угроз, как их минимизировать и расследовать последствия атак;
• изучите необходимые нормы законодательства, чтобы действовать в рамках закона.