Работа мечты: ловить хакеров за $6000 в месяц

На YouTube-канале «АйТиБорода» вышло интервью с «крутым безопасником» Алексеем Новиковым. Он работает директором экспертного центра безопасности Positive Technologies — компании, которая предоставляет другим компаниям продукты, услуги и решения в области security.

В интервью Алексей Новиков рассказал про форензику или компьютерную криминалистику — область, о которой мало говорят даже в айтишных кругах. А зря: по данным Indeed в сфере неплохой доход — $5000-6000 в месяц.

Highload публикует ответы Алексея на самые важные вопросы о специальности форензиста.

Что такое форензика

Русский перевод английского слова «форензика» — «криминалистика». В широком смысле сюда можно включить все направления в расследовании хакерских атак. В узком — только непосредственно техническое исследование.

Так как в центре безопасности Positive Technologies форензисты занимаются узкоспециализированной деятельностью, будем говорить о ней с этой точки зрения.

Как работает форензист

Чаще всего форензисты работают в интересах правоохранительных органов и судов. Например, им приходит изъятый жесткий диск и список вопросов от следователя. Что-то вроде: «Есть ли на этом диске следы компиляции вредоносного ПО?» Форензисту нужно ответить «да» или «нет» и объяснить, на основании чего он сделал этот вывод — то есть на какие технические данные он опирался. 

Жесткий диск — это только пример, потому что такой специалист может работать с сервером, ПК, его образом, исполнительными файлами, браузером и т.д.

Другими словами, форензист — это не тот человек, в которому приходят и говорят «у меня украли бабки», он бросается на помощь и через неделю находит, кто это сделал. Вместо этого он составляет технический отчет о своем исследовании. Этот отчет может быть ответом следователю, если запрос пришел от правоохранительных органов.

Есть и другое развитие ситуации. Например, в компании произошел инцидент — украли деньги с банковского счета. Штатный или внештатный форензист изучил техническое оборудование и сделал свои выводы. Эти выводы в виде отчета прикладывают к заявлению правоохранительным органам.

И в первом, и во втором случаях поимкой злоумышленника будут заниматься уже другие люди. Или не заниматься — потому что некоторые компании умалчивают об инцидентах, особенно если они не повлияли существенно на бизнес.

Какие бывают инциденты информационной безопасности

Под инцидентом информационной безопасности не всегда понимается «кто-то что-то украл». Например, если онлайн-магазин атаковали хакеры и его владельцы не могут на него зайти — это тоже инцидент, ведь они не принимают заказы и теряют деньги.

Другими словами, инцидент информационной безопасности — это результат действий злоумышленника извне (или иногда изнутри). А вот если сайт не открывается не из-за хакерской атаки, а потому что у жесткого диска сбой, то это просто айтишный инцидент.

Оба этих вида инцидентов могут влиять на бизнес, но не всегда существенно. Например, если на сервере компании живет майнер, но «ест» мало ресурса, его могут и не заметить. Из-за этого у большинства компаний инциденты либо были, либо есть прямо сейчас.

Как работают с инцидентами в компаниях

1. Всегда лучше предотвратить, чем бороться. Поэтому прежде всего необходимо подготовиться к инцидентам. В подготовку входит анализ (или построение) инфраструктуры и закрытие всех «дыр».
2. Следующий этап — это мониторинг. Ты определяешь, какие инциденты допустимы. Потому что в разных компаниях на инциденты реагируют по-разному. Например, для завода то, что шифровальщик хакера попал в электронную почту, не будет иметь значения. В то же время для сервиса, который через почту получает запросы от граждан, это серьезная проблема.
3. Третий шаг — это проработка реакций на инциденты с высоким уровнем критичности и важности или incident response. Именно на этом этапе максимально включаются форензисты. Проработанные реакции пошагово выполняются, если инцидент все таки произошел.

Как стать форензистом

Начинающему форензисту нужны такие навыки:

• Понимание сетей. Как устроена сеть, особенности, маршрутизация и т.п.
• Знание, как работать с артефактами операционных систем (начинающим можно углубится в одну систему, например, Windows). Типовой вопрос: «В скольких местах и в каких артефактах можно посмотреть, какие исполняемые файлы запускались в Windows?»
• Понимание, как строится корпоративная IT-инфраструктура. Авторизация, DNS, почта, прокси и пр.

Программирование не обязательно, но помогает для автоматизации деятельности. Высшее образование не обязательно. Навыки можно получить на курсах, например на курсе от Sans — но он платный и стоит $6000. Также информацию можно узнавать на конференциях по информационной безопасности.

Как только появились базовые навыки, можно пробовать работать руками. Просто самому себе задавать вопросы. Например: «У меня есть оперативная память, что я могу по ней узнать?» Дальше набираешь в гугле «дамп оперативной памяти», находишь инструмент типа Volatility, запускаешь, открываешь файл с дампом и по мануалу разбираешься, что есть что и зачем. А обсудить то, что нашел, можно на форуме. 

В профессию можно перейти из другой IT-области или «с нуля». В самих компаниях форензистов обычно нет. Их набирают в компании, которые предоставляют услуги по безопасности других компаниям.

Из софт-скиллов важны стрессоустойчивость и желание развиваться. Потому что каждый день выходит что-то новое и нужно это ресерчить и в этом разбираться.