На YouTube-канале «АйТиБорода» вышло интервью с «крутым безопасником» Алексеем Новиковым. Он работает директором экспертного центра безопасности Positive Technologies — компании, которая предоставляет другим компаниям продукты, услуги и решения в области security.
В интервью Алексей Новиков рассказал про форензику или компьютерную криминалистику — область, о которой мало говорят даже в айтишных кругах. А зря: по данным Indeed в сфере неплохой доход — $5000-6000 в месяц.
Highload публикует ответы Алексея на самые важные вопросы о специальности форензиста.
Русский перевод английского слова «форензика» — «криминалистика». В широком смысле сюда можно включить все направления в расследовании хакерских атак. В узком — только непосредственно техническое исследование.
Так как в центре безопасности Positive Technologies форензисты занимаются узкоспециализированной деятельностью, будем говорить о ней с этой точки зрения.
Чаще всего форензисты работают в интересах правоохранительных органов и судов. Например, им приходит изъятый жесткий диск и список вопросов от следователя. Что-то вроде: «Есть ли на этом диске следы компиляции вредоносного ПО?» Форензисту нужно ответить «да» или «нет» и объяснить, на основании чего он сделал этот вывод — то есть на какие технические данные он опирался.
Жесткий диск — это только пример, потому что такой специалист может работать с сервером, ПК, его образом, исполнительными файлами, браузером и т.д.
Другими словами, форензист — это не тот человек, в которому приходят и говорят «у меня украли бабки», он бросается на помощь и через неделю находит, кто это сделал. Вместо этого он составляет технический отчет о своем исследовании. Этот отчет может быть ответом следователю, если запрос пришел от правоохранительных органов.
Есть и другое развитие ситуации. Например, в компании произошел инцидент — украли деньги с банковского счета. Штатный или внештатный форензист изучил техническое оборудование и сделал свои выводы. Эти выводы в виде отчета прикладывают к заявлению правоохранительным органам.
И в первом, и во втором случаях поимкой злоумышленника будут заниматься уже другие люди. Или не заниматься — потому что некоторые компании умалчивают об инцидентах, особенно если они не повлияли существенно на бизнес.
Под инцидентом информационной безопасности не всегда понимается «кто-то что-то украл». Например, если онлайн-магазин атаковали хакеры и его владельцы не могут на него зайти — это тоже инцидент, ведь они не принимают заказы и теряют деньги.
Другими словами, инцидент информационной безопасности — это результат действий злоумышленника извне (или иногда изнутри). А вот если сайт не открывается не из-за хакерской атаки, а потому что у жесткого диска сбой, то это просто айтишный инцидент.
Оба этих вида инцидентов могут влиять на бизнес, но не всегда существенно. Например, если на сервере компании живет майнер, но «ест» мало ресурса, его могут и не заметить. Из-за этого у большинства компаний инциденты либо были, либо есть прямо сейчас.
Начинающему форензисту нужны такие навыки:
Программирование не обязательно, но помогает для автоматизации деятельности. Высшее образование не обязательно. Навыки можно получить на курсах, например на курсе от Sans — но он платный и стоит $6000. Также информацию можно узнавать на конференциях по информационной безопасности.
Как только появились базовые навыки, можно пробовать работать руками. Просто самому себе задавать вопросы. Например: «У меня есть оперативная память, что я могу по ней узнать?» Дальше набираешь в гугле «дамп оперативной памяти», находишь инструмент типа Volatility, запускаешь, открываешь файл с дампом и по мануалу разбираешься, что есть что и зачем. А обсудить то, что нашел, можно на форуме.
В профессию можно перейти из другой IT-области или «с нуля». В самих компаниях форензистов обычно нет. Их набирают в компании, которые предоставляют услуги по безопасности других компаниям.
Из софт-скиллов важны стрессоустойчивость и желание развиваться. Потому что каждый день выходит что-то новое и нужно это ресерчить и в этом разбираться.
Сегодня мы поговорим о том, как выбрать лучшие курсы Power BI в Украине, особенно для…
В 2023 году во всех крупнейших регионах конкуренция за вакансию выросла на 5–12%. Не исключением…
Unicorn Hunter/Talent Manager Лина Калиш создала бесплатный трекер поиска работы в Notion, систематизирующий все этапы…
Edtech-стартап Mate academy принял решение отправить своих работников в десятидневный отпуск – с 25 декабря…
Служба безопасности Украины задержала в Киеве 46-летнего программиста, который за деньги устанавливал шпионские программы и…
IT-специалист Джордан Катлер создал и выложил на Github подборку разнообразных ресурсов, которые помогут достичь уровня…