Светозар Яхонтов, генераль? ... Светозар Яхонтов, Arudit Security: Ездить домой и на работу с распечатками аналитических статей в руках – это норма для ИБ-специалиста
Светозар Яхонтов, Arudit Security: Ездить домой и на работу с распечатками аналитических статей в руках – это норма для ИБ-специалиста...
Светозар Яхонтов, генеральный директор Arudit Security, рассказал Cyber Media о перспективах молодых ИБ-специалистов, отличии реальных условий работы от медиаобраза, актуальных условиях и способах борьбы с профессиональным выгоранием.
Cyber Media: В условиях участившихся кибератак как на объекты КИИ, так и на коммерческие ресурсы, как изменился спрос на услуги ИБ? Каким, по Вашему опыту, отдают предпочтение?
Светозар Яхонтов: Можно разделить спрос на формируемый предложением и на спрос формируемый практической ИБ, новыми требованиями регуляторов, произошедшими инцидентами.
В первом случае – это услуги сторонних SOC. Не смотря на десятилетие существования коммерческих SOC, в стране спрос все еще формируется скорее предложением.
Во втором случае вырос обоснованный практическими потребностями спрос на сервисы защиты от DDoS. Также, тендерные площадки пестрят объявлениями закупочных процедур на локальную техническую поддержку решений зарубежных производителей как субститут ранее доступной вендорской технической поддержки.
Остальное либо осталось как было, либо временно отложено до решения первоочередных задач миграции на инфраструктуру ИТ\ИБ доступную в новых реалиях.
Cyber Media: В представлении многих людей, специалист по информационной безопасности – это белый хакер, который борется с киберпреступниками и постоянно ищет уязвимости в своей инфраструктуре, оперативно устраняя их. Насколько этот стереотип отличается от реальности?
Светозар Яхонтов: Как и в других профессиях, образ, формируемый кинематографом, скорее отличается от повседневной действительности.
Функции информационной безопасности регламентированы. Выполнение и отслеживание выполнения регламентов – это рутинные задачи. Естественно, что на повседневную рутину накладываются особые ситуации: и срочные исправления причин и последствий ложноположительных срабатываний средств защиты (это когда коллеги из ИТ подразделений прибегают и сетуют, что из-за блокировок средств защиты перестало все работать), и тестирование и внедрение новых средств защиты, и работа с реальными инцидентами.
В небольшой организации, в которой всего полтора специалиста по информационной безопасности, функции вовсе размыты – специалист занимается и вопросами разработки внутренней организационно-распорядительной документации, и подготовкой отчетов для отраслевых регуляторов, и администрированием средств защиты, и взаимодействием со смежными подразделениями, и рыбок кормит, и цветы поливает.
Такой широкий круг задач имеет и свои плюсы: можно в сравнительно короткие сроки (1,5-3 года) приобрести широкий круг знаний и практических навыков. И в условиях низкой конкуренции на должность руководителя больше шансов получить должность последнего при ротации кадров.
Есть и минусы – можно стать специалистом одной организации, при переходе на новую работу в другую организацию окажется, что знания и навыки ограничены только перечнем инструментов и вопросов имевшихся на такой первой работе.
В крупной ИТ-зависимой организации, к которой предъявляются существенные отраслевые требования по информационной безопасности, характер работы может быть совершенно разным.
В таких организациях можно как расти «вверх» – будет возрастать значимость взаимодействия с другими подразделениями: ИТ, юридическими службами, бизнесом.
Так и «горизонтально» – нарабатывать сильную техническую экспертизу, взаимодействие больше с производителями средств и технологий защиты информации.
В последние годы карьера в ИБ стала более технократичной – специалисты с сильной технической экспертизой и достаточными навыками коммуникаций имеют больше шансов на руководящую должность, чем у просто приятных коммуникабельных менеджеров.
Cyber Media: А где же романтика с хакерами?
Светозар Яхонтов: Такая романтика может встречаться либо в специализированных организациях занимающихся threat intelligence, или в крупных банках, имеющих собственное подразделение с такими задачами. Или в соответствующих управлениях правоохранительных органов.
Cyber Media: В крупных организациях, опять же, чаще в банках из ТОП-20, есть отделы, которые занимаются именно выявлением и устранением уязвимостей. Как это выглядит?
Светозар Яхонтов: Вариант первый: купили коммерческий сканер уязвимостей, запустили в сети, получили N-миллионов срабатываний (банк ведь большой, много устройств и системе). После проверок настроек сканера (что-то как-то много всего нашлось) придется смириться, что мир дырявый насквозь, и заняться работой:
-
классифицировать найденные уязвимости по степени критичности;
-
отсеять ложные срабатывания;
-
сопоставить критичных уязвимостей с моделью угроз;
-
сформировать план устранения уязвимостей;
-
запросить у производителя систем доступные обновления безопасности;
-
составить план тестирования таких обновлений и компенсационных мер;
-
добиться выделения ресурсов для создания тестовой зоны (нельзя же не проверенное обновление на боевую систему устанавливать без тестирования);
-
добиться выделения ресурсов для проведения тестов эксплуатации уязвимости и других тестов, свойственных для системы.
После чего, наконец, выводить такое обновление в боевую сеть и следить, что обновление было везде установлено.
Вариант второй: заказали коммерческий тест на проникновение у «белых хакеров» из специализированной организации.
Затянув сроки втрое, «белые хакеры» дадут отчет о найденных уязвимостях. Далее – как в первом варианте. Особенность – то, что найдут такие «белые хакеры», производитель системы может не посчитать уязвимостью и отказать в предоставлении исправления. Ведь в реестрах CVE этой уязвимости еще нет. Тогда начинается многомесячная переписка с ожиданием релиза.
И борьба с уязвимостями становится рутиной. Рутиной требующей применения профессиональных знаний, творческого подхода в работе с участниками процесса. Если в первые полтора года научиться выполнять рутинные задачи мышечной памятью пальцев (в пальцах нет мышц, оно «само» будет делаться быстро) – появятся время и силы на творческий подход к задачам.
Есть универсальный рецепт не застрять в неперспективной рутине: работать много, работать хорошо, постоянно учиться. И через 1,5 года станешь специалистом. Через 3 года – сильным специалистом, решающим задачи которые другие решить скорее не могут. Через 6 лет – стать, возможно, лучшим в отрасли. Это качественно другие возможности карьерные и профессиональные.
Cyber Media: Какую роль в работе специалиста по ИБ играет самообразование?
Светозар Яхонтов: Самообразование должно стать естественной привычкой. Информационная безопасность – экспертная область знаний. И технологии, и знания в этой области дополняются постоянно.
Молодому специалисту чтобы получить шанс устроиться на работу в крупную ИТ-зависимую компанию (крупный банк, оператор связи) сегодня недостаточно диплома об окончании ВУЗа по специальности.
К моменту начала карьеры значимо уже иметь один или два сертификата о прохождении обучения по прикладным курсам востребованного в отрасли производителя средств защиты информации.
Приоритет отдавать лучше базовым технологиям (знание техник применения промышленной СУБД пригодится и в ИБ). Знание хотя бы одного востребованного языка программирования, даже интерпретируемого скриптового – тоже будет плюсом. Возьмут в какой-нибудь проект «позатыкать дыры» в локальной автоматизации, и это уже практическая задача решаемая в команде с опытными коллегами.
Когда на рабочем месте уже закрепился – учиться придется много и вне рабочего времени. По дороге на работу и с работы, с распечатками и учебниками в руках ездить должно стать нормой. Что не доучил в ВУЗе – придется быстро догнать.
И лучшее подспорье в таком самообразовании – оказаться в окружении сильных специалистов. 80% ответов на вопрос «как подступиться к решению новой незнакомой задачи?» можно получить именно у них.
Cyber Media: Многие специалисты отмечают ненормированность в качестве недостатка работы в сфере ИБ. Злоумышленники, как правило, «приурочивают» свои атаки к вечеру пятницы или выходным, праздникам. Показателен пример с уязвимостью Log4j, которая лишила безопасников «новогодних каникул». Что, в таких условиях, помогает специалисту не выгорать?
Светозар Яхонтов: В отрасли ИБ нет своей специфики рецепта “как не выгорать”. Есть универсальные принципы. Проснулся – заправь постель. С этого начинается упорядоченный день, появляется ощущение решаемости задач. до конца дня. Ощущение результата - лучшая профилактика выгорания.
Обновлять и дополнять круг общения периодически – также предупреждает ощущение зашоренности. Важно ощущать жизнь через новые наблюдения. Найти интересное аутдор увлечение.
Не навязываю, делюсь наблюдением – приобщились с коллегами по отрасли к горному туризму. Даже за неделю приключений вне цивилизации и связи мысли успокаиваются, тревожность, что сейчас кто-то позвонит или напишет про «у нас опять все упало!» пропадает.
Cyber Media: Сейчас все сферы жизни так или иначе испытывают влияние геополитического кризиса. На Ваш взгляд, к чему следует готовиться профильным специалистам уже сейчас?
Светозар Яхонтов: Есть мнение, что надо обновить знание о *nix операционных системах. Так знания всегда надо обновлять. Возможно, в этих обстоятельствах, для молодых специалистов появляются новые карьерные шансы при наличии пройденных курсов по *nix и практике решения профессиональных задач на них.
Но надеяться только на это не стоит. На изменения надо смотреть не только глобально, но и под микроскопом, предметно. Окажется, что уверенное знание базовых технологий применимо в решении любых задач.
Проблема – это задача, для решения которой не хватает ресурса. Информации, денег, людей, времени, воли. Учитесь. Копите деньги на курсы и новые увлечения. Работайте в организации, которая щедро выделяет деньги на ИБ.
Обновляйте и дополняйте круг общения, цените коллег, помогайте друг другу. Не тратьте время на второстепенные дела, всего не переделаете, занимайтесь важным. Встал – заправь постель, это первое дело, которое получается каждый день, остальное подтянется.