Информационная безопасность с чего начать
Перейти к содержимому

Информационная безопасность с чего начать

  • автор:

Кибербезопасность. Учебник

Добро пожаловать на вводный курс по кибербезопасности.

Этот курс служит отличным учебником по многим различным областям кибербезопасности.

Обучение чтением

Мы создали 16 обучающих страниц, чтобы вы могли изучить основы кибербезопасности:

Базовая кибербезопасность

Обучение с помощью викторины

Проверьте свои навыки кибербезопасности с помощью викторины.

ПАЛИТРА ЦВЕТОВ
ПРИСОЕДИНЯЙТЕСЬ!

Получите ваш
Сертификат сегодня!

Связь с админом

Если вы хотите сообщить об ошибке, а также внести предложение о работе сайта, добавить объявление или рекламу на сайт, не стесняйтесь отправить админу электронное письмо на email:

Топ Учебники
Топ Справочники
Топ Примеры
Веб Сертификаты

Этот сайт оптимизирован для обучения и тестирования. Примеры могут быть упрощены для улучшения чтения и базового понимания. Учебные пособия, ссылки и примеры постоянно пересматриваются, чтобы избежать ошибок, но мы не можем гарантировать полную правильность и работоспособность всего контента. Используя этот сайт, вы соглашаетесь с тем, что прочитали и приняли условия использования, cookie и политику конфиденциальности.
Также вы можете абсолютно бесплатно скачать офлайн версию сайта W3Schools на русском архивом с GitHub и пользоваться локально на своём компьютере.
Также доступна версия сайта W3Schools на украинском языке.
Copyright 1999-2021 by Refsnes Data. All Rights Reserved.
Сайт работает на фреймворке W3.CSS.

С чего начать обеспечение информационной безопасности? Ключевые угрозы и средства защиты

Системы безопасности

Наверняка многие мои коллеги, работающие в сфере информационной безопасности, попадали в ситуацию, когда, приходя на новое место работы, понимали, что с точки зрения технологий и бизнеса компания работает вполне успешно, но информационной безопасности никогда не уделялось должного внимания, и сейчас необходимо начать ее грамотное внедрение “без остановки рабочей машины”, то есть на ходу, без прерывания бизнес-процессов, обеспечивающих основной доход. Так часто происходит, потому что руководство не всегда осознает, что безопасность критичных процессов необходимо внедрять еще на этапе их разработки, а не тогда, когда “стало понятно, что нужно это защищать”. Этот подход будет проблемнее и затратнее, но, пока на горизонте не видно прибыли или существенных рисков ее потери, об информационной безопасности никто не задумывается. В статье я поделюсь опытом обеспечения ИБ компании в подобной ситуации

Первое, что необходимо сделать, — определить направление, в котором будет двигаться ваша защита относительно конкретной организации. Оно зависит от того, чем занимается компания, каковы ее основные информационные активы, критически важные процессы и т.д. Исходя из основных аспектов работы, вы уже должны понимать, на какой из уровней будущей защиты будете делать основной упор. Рекомендую также выстроить грамотные отношения с коллегами из департамента информационных технологий, так как именно они способны помочь вам ознакомиться со всеми бизнес-процессами и информацией, которую будет необходимо защищать.

Основная и главная задача любого отдела информационной безопасности в том, чтобы находить и устранять новые уязвимости в системах и процессах компании до того, как они перерастут в полноценные угрозы с немалой степенью риска их реализации. Я предлагаю всегда разделять угрозы на внутренние и внешние.

Внутренние угрозы

Подавляющее большинство угроз — внутренние. Они возникают из-за отсутствия понимания коллег, имеющих доступ к защищаемой информации, того, в каких случаях ошибка в действиях может повлечь за собой серьезную угрозу. Поэтому в первую очередь я рекомендую позаботиться о внутренних угрозах, если нет возможности разделить обязанности с коллегами на параллельно выполняющиеся, но это уже кадровый вопрос для вашего отдела информационной безопасности.

Инфологическая модель

Чтобы иметь полное и наглядное представление о том, как основные процессы и отделы в организации функционируют между собой, стоит разработать инфологическую модель компании (или несколько для каждого сложного процесса или отдела). Благодаря этому у вас должно сложиться представление, как движется информация в компании, какие системы используются для ее обработки, где она хранится, а также как она попадает в компанию и куда передается вовне. Если добавить к инфологической модели грамотную оценку критичности информационных активов, то вам станет ясно, какие области и процессы являются наиболее критичными. С них и стоит начать поиск уязвимостей.

рис. 1. Инфологическая модель

Нормативные документы информационной безопасности

Нормативные документы информационной безопасности помогут проинформировать ваших коллег об определенных рисках и правилах во время выполнения своих служебных обязанностей. Я бы рекомендовал взять за основу следующий комплекс документов:

  • политика информационной безопасности;
  • парольная политика;
  • политика обработки персональных данных;
  • инструкции для пользователей и администраторов ИС;
  • инструктаж по информационной безопасности;
  • периодические рассылки для сотрудников.

Само собой, этот перечень документов не является исчерпывающим, но если у вас в компании их нет, значит, нормативная база со стороны информационной безопасности проработана не лучшим образом.

Доступ к ресурсам

Хотелось бы заострить внимание на процессе предоставления доступа к различным ресурсам и автоматизированным информационным системам компании. Данный процесс поможет обеспечить грамотное распределение ролей сотрудников и снизит определенные риски наступления инцидентов, связанных с действиями по неосторожности или же незнанием правил работы той или иной системы. Для правильного функционирования этого процесса необходимо подготовить понятный для сотрудников компании регламент.

Режим коммерческой тайны

Установка режима коммерческой тайны в организации — важная часть обеспечения приемлемого уровня защищенности инфраструктуры. В различных рабочих ситуациях, а также и при наступлении инцидентов правового характера наличие режима коммерческой тайны сыграет большую роль в принятии решения об исходе инцидента.

Внешние угрозы

Под внешними угрозами, как правило, понимаются те случаи, когда реализация уязвимости в системе приходит из внешних пределов защищаемого контура. Чтобы таких угроз стало значительно меньше, по крайней мере на сетевом уровне, используются различного рода программные и аппаратные средства.

Как правило, уязвимости для защиты от внешних угроз находятся в ресурсах компании, которые открыты для публичного просмотра. Например, это может быть сайт компании, мобильное приложение или лендинговая страница, в которой клиент может оставить свои контакты. Эти уязвимости формируются на этапе разработки, а также при введении в работу и обновлении данных ресурсов.

Безопасная разработка

Если ваша компания использует такие публичные страницы, как свой основной “магазин”, и содержит свой штат разработчиков, которые постоянно выпускают новые программные релизы, стоит подумать о внедрении процесса безопасной разработки. Он предполагает наличие в штате тестировщиков на проникновение (пентест), которые постоянно ищут новые уязвимости на публичных ресурсах компании, а также проверяют и тестируют предрелизные версии продукта на проникновение. Так вы можете обеспечивать безопасность вашего основного онлайн-ресурса еще на этапе разработки, снижая риски наличия критичных уязвимостей при его обновлении на новую версию.

Что касается основных технических средств для обеспечения должного уровня информационной безопасности, вам необходимо определить самостоятельно их набор, так как он зависит непосредственно от организации и направления, которое вы выбрали после изучения ее основных процессов и активов. Но я предлагаю рассмотреть самые основные и часто встречаемые и них:

  1. Антивирус. Безусловно, важная часть в любой инфраструктуре, без которой наверняка не обходится ни одна организация. Но, что более важно, следует грамотно настроить политику работы антивируса, а также систему оповещений, чтобы всегда быть в курсе вероятных угроз.
  2. Средства контроля доступа к ресурсам. Сотрудники компании должны иметь доступ только к тем ресурсам, которые необходимы им для выполнения своих служебных обязанностей. В противном случае мы имеем повышенный риск вероятной ошибки в малознакомой системе либо же намеренной утечки информации.
  3. Файрвол. Также незаменимый инструмент защиты от внешних угроз. Стоит отметить настройки и проанализировать его работу на предмет наличия уязвимостей.
  4. Анти-DDoS. Решение необходимо, так как практически все компании так или иначе размещают свои данные на сайтах, приложениях и т.д.
  5. Файрвол веб-приложений (WAF). Необходим для компаний, активно продвигающих свои услуги через онлайн-сервисы. Позволяет закрыть большую часть внешних уязвимостей и существенно снизить риски взлома и повысить отказоустойчивость сервиса. Рекомендуется, если у компании нет своего штата разработчиков или ресурсов для введения процесса безопасной разработки, о котором я упоминал выше.
  6. Система контроля действий сотрудников (DLP). Система внутреннего контроля за действиями сотрудников компании на автоматизированных рабочих местах. Повышает вероятность предотвращения ошибок/нарушений пользователей, администраторов, руководителей во время работы. Главный инструмент расследований внутренних инцидентов в области информационной безопасности.

УЗНАЙТЕ О ВОЗМОЖНОСТЯХ ЛИДОГЕНЕРАЦИИ И ПРОДВИЖЕНИИ ЧЕРЕЗ КОНТЕНТ

5 советов из практики

В заключение хотелось бы дать несколько советов всем работникам сферы информационной безопасности относительно поведения с коллегами во время выполнения ваших рабочих обязанностей.

С чего начать изучение информационной безопасности в 2022 году

Приветствую тебя, дорогой читатель, сегодня поговорим о том, где брать знания и навыки конкретно из области информационной безопасности, а ещё хотелось бы поделиться собственным опытом, как лично я начинал свой путь.

Вести рассказ предстоит нам по следующим пунктам:

  • Беседа о ресурсах и источниках: принципы, советы
  • О собственном опыте изучения сферы ИБ

Терминология, упомянутая в этой статье:

  1. ИБ — Информационная безопасность.
  2. OC — Операционная система.
  3. ПО — Программное обеспечение.

Должный уровень: что, зачем и почему – определим основное

Если хотите стать пентестером или специалистом по ИБ, нужно иметь познания некоторых базовых вещей.

Желательный ординар знаний должен быть, как минимум, таковым:

  • Вы должны понимать синтаксис и уметь писать базовые скрипты на таких языках программирования, как : Python, JS, PHP ( включая SQL). Просто быть ознакомленным с синтаксисом HTML и CSS.
  • Иметь познания о принципах работы глобальной паутины – Интернет: суть модели OSI, TCP , IP, Ethernet. Также стоит учесть типы сетей и существующие сетевые устройства.
  • Уметь работать в Windows и UNIX-подобных системах, разбираться в их настройке.

Личное заключение автора состоит в том, что он пытался несколько раз сделать первые шаги по просторам ИБ, но у него мало что получалось. После его затянуло программирование, где он достиг определённых успехов, вернувшись к тематике информационной безопасности – стал понимать намного больше, что написано в материалах, представленных ниже и его это увлекло.

Операционные системы: что выбрать, кто лучше

Серьёзно говоря, на данный момент на просторах Всемирной паутины уйма скриптов, методов и программ, выискивать каждую, а после проверять, анализировать и составлять перечень должного – очень долго и трудоёмко, поэтому люди объединили всё в одном, создав специальную OC.

Строго подходящих под наши задачи, а именно тестирования на проникновения, операционных систем достаточно много, но я выделил два дистрибутива Linux, которые на мой взгляд самые совершенные:

  • Kali linux
  • Parrot OS

Вторая, лично на мой взгляд походит больше для WEB тестов, потому мой взор упал, как и многих других, именно на Kali.

Kali Linux

Сам использую и рекомендую, стоит на втором диске, совместно с гражданской ОС.

«Почему Linux? Создали же какую-то Ninjutsu OS на Windows», — скажут некоторые.

Windows больше для геймеров, блогеров и рядовых пользователей , а Unix-подобные ОС больше подойдут для пентестинга. Так как ядро Linux бесплатное и с открытым исходным кодом, соответственно дистрибутивы на базе Linux тоже являются бесплатными.

Ninjutsu OC не такая проверенная, как Kali или Parrot, например, внутри Ninjutsu OC могут быть майнеры или другого рода вредоносное ПО, потому склоняюсь к использованию того, что имеет доверие на базе многолетнего использования .

Список полезной литературы: какие книги почитать же

Не дошёл до узко специализированных книг по Reverse или по криптографии, поэтому перечислю перечень известных и обобщенных:

  • Certified Ethical Hacker Review Guide.(Это руководство для экзамена на сертифицированного хакера).
  • Hacking: the Art of Exploitation (Переведена на русский).
  • The Basics of Hacking and Penetration Testing: Ethical Hacking and Penetration Testing Made Easy
  • Gray Hat Hacking The Ethical Hackers Handbook
  • The Shellcoder’s Handbook: Discovering and Exploiting Security Holes (Переведена на русский).
  • RTFM: Red Team Field Manual
  • Kali Linux 2018: Assuring Security by Penetration Testing (Переведена на русский, Читаю сам, перевод местами плохой, приходится самому по смыслу догадываться).
  • Компьютер глазами хакера. 3-е изд. М. Е. Фленов
  • Тестирование на проникновение с помощью Kali Linux 2.0

После этих книг приступайте к узкоспециализированным. Например по Reverse или уязвимостях самой популярной операционной системы для мобильных – Android.

На английском литературу загружаю в переводчик документов. Если размер книги слишком велик, делю на части. Иногда, перевод странный, но понять можно.

Список можно дополнить, но я оставлю ссылки на библиотеки с книгами. Не советую выбирать старые книги, информация уже, наверное, устарела с момента их написания:

  • Библиотека Codeby!
  • CoderNet
  • MonsterBook
  • Information Security Squad

Обучение за деньги

Курсов много, поэтому выделю парочку хороших, если хотите пройти качественное обучение, то рекомендую сначала проходить первые два:

  • Курсы от Codeby (Прошёл первый Paranoid, много полезного о анонимности).
  • Курсы от Offensive Security (Курсы от разработчиков Kali linux. Прохожу PWK, читаю методичку — переводчик в помощь).
  • CEH от учебного центра «СПЕЦИАЛИСТ»( Подготовка к CEH на русском).

Информационные порталы: форумы, блоги и много полезного в свободном доступе

  • codeby.net (Первый форум из области ИБ, на который зарегистрировался, много полезных вещей и статей).
  • Habr (Известный и крутой сайт, регистрируемся, выбираем категорию, интересующую вас, и читаем полезные статьи).
  • SecurityLab (Новости, статьи и многое другое).
  • Information Security Squad (Хороший сайт по IT тематике)
  • VLMI

Информационные каналы мессенджеров :

  • Инкогнито
  • Инкогнито SOFT
  • Social Engineering
  • IT&Безопасность

Это список каналов которые мне нравятся:

  • Codeby
  • Nethunter For You
  • Облако
  • Библиотека Хакера

CTF: что это такое

CTF (Capture the flag) — Захват флага, игры для специалистов по ИБ, полезно и интересно, посмотрите.

Руки ещё не дошли до изучения, но есть что порекомендовать:

  • CTF в России
  • Курс молодого бойца
Где найти платный контент
  • NNM club (Мой любимый торрент трекер: Много полезного и обновляется часто, рекомендую).
  • Rutracker
  • Курс PWK от Offensive Security
Мотивация: как бензин для двигателя

Ваш запал мотивации будет со временем сходить на нет, дабы его поддерживать , советую фильмы и сериалы про хакеров и ИБ!

Фильмы:

  • «Кто Я»
  • «Хакер»(2016г)
  • «Кибер»
  • «Пластик»
  • «Сноуден»(2016г)

Сериалы:

  • «Мистер Робот»

Смотреть фильмы и сериалы нужно в перерывах между изучением, или во время нехватки мотивации, но не злоупотреблять. Больше изучайте, чем смотрите!

Рассказ о моём изучении информационной безопасности, как науки

Вы помните коронавирус и как мы сидели дома? Именно в карантин я начал изучать IT углубленно: Python, PHP, JavaScript. Я скачал курс Python-разработчик от Skillbox и курсы с udemy и прошёл. Скачал полный курс по JavaScript и по PHP от WebForMySelf, прошёл, но всё равно не всегда понимаю этот язык.

Хотелось написать программы, но не было идей, решил снова попробовать ИБ и стал понимать, что читаю!

Сейчас прохожу PWK (от Offensive Security), читаю книгу «Kali Linux 2018: Assuring Security by Penetration Testing». Я хочу больше углубиться в низкоуровневое программирование(C++) и как устроен компьютер.

В перерывах читаю А.В.Столяров «Программирование: введение в профессию» смотрю «Mr Robot» и читаю статьи на Codeby.

Три раза в неделю занимаюсь спортом, всем, а особенно для людей с сидячей профессией очень советую.

Где использую? К примеру: проверил свой WIFI, настроил везде защищенные пароли, на фрилансе тоже иногда пригождается. Каюсь, пару раз разыгрывал друзей.

Когда ещё больше узнаю, буду защищать что-нибудь.

Желаю находить качественную информацию. Не ленитесь и будьте активными. Удачи всем, пока.

Рекомендую отличную статью по теме «С чего начать изучение Информационной безопасности» — вот она: Welcome to the club, buddy! Или как начать свой путь в ИБ?

Гайд по кибербезопасности для разработчиков и начинающих специалистов

Как стать специалистом по кибербезопасности, нужно ли для этого уметь программировать и какие инструменты и сертификаты понадобятся.

Иллюстрация: Polina Vari для Skillbox Media

Мария Даровская

Михаил Курзин

Head of Security в ManyChat Armenia. Любит спорт, в частности баскетбол и горный трекинг.

Ссылки

Я возглавляю направление безопасности в ManyChat — это международная SaaS-компания, которая помогает автоматизировать маркетинг и общение с клиентами в мессенджерах. Мы работаем больше шести лет и успели зайти в разные регионы по всему миру и набрать базу лояльных клиентов.

Мы зарабатываем только на одном SaaS-продукте, а значит, его безопасность и безопасность данных наших клиентов для нас — приоритет. Тем более, в отличие от огромных игроков, практически монополистов, которые время от времени попадают в скандалы с утечкой персональных данных, мы такого себе позволить не можем — любой кейс с защищённостью нашей платформы может разрушить доверие клиентов, и мы потеряем деньги и репутацию.

При этом мы не так боимся за утечку, например, исходников своего продукта — ведь доля рынка держится не только и не столько на технологиях, сколько на бренде, хорошем маркетинге, продажах, долгой планомерной работе и сильной технической команде, которая постоянно дорабатывает и расширяет функциональность платформы. То есть даже если бы кто-то теоретически смог получить исходный код ManyChat, то ему было бы нелегко воссоздать наш продукт.

Что такое кибербезопасность?

Кибербезопасность — это деятельность по защите информации в различных её аспектах, начиная от защиты баз данных и заканчивая защитой переговоров руководства компаний.

Иногда считают, что кибербезопасность — это направление, которое относится только к технологиям. Но это не так: технологии не работают без процессов и людей, которые их поддерживают, а процессы не работают без технологий. Они взаимосвязаны.

Вот примеры направлений, за которые отвечает кибербезопасность (на самом деле их гораздо больше):

  • защита веб-приложений,
  • защита сетей,
  • защита промышленных систем,
  • соответствие законодательным актам по информационной безопасности,
  • компьютерная криминалистика
  • и многие другие.

В каждом из этих направлений можно развиваться годами и находить для себя новые и интересные задачи.

По всему миру сейчас выросла нагрузка на службы информационной безопасности в госкомпаниях, банках, медиакомпаниях, телекомах. Кибербезопасность сейчас в фокусе не только на корпоративном, но и на государственном уровне.

Работа специалиста по кибербезопасности — это постоянное соревнование между «мечом» и «щитом». Компании стараются регулярно выпускать обновления, выполнять требования регуляторов, появляются новые технологии, которые надо защищать, а злоумышленники или исследователи продолжают челленджить системы защиты и искать уязвимости.

Как стать кибербезопасником и какую специализацию выбрать

Потребность в специалистах по кибербезопасности существует и в Европе, и в США, и в Китае, и в Индии — во всём мире. За последние несколько лет мне не раз доводилось собеседовать ребят, которые только выпустились из института. Это был печальный опыт, потому что знаний, которые дают преподаватели, по крайней мере в вузах СНГ, явно недостаточно для того, чтобы выпускник был готовым джуном.

Станет ли человек хорошим специалистом, зависит только от желания развиваться в этом направлении. Хорошо себя проявляют ребята, которые сами в процессе обучения проявляют инициативу — занимаются на онлайн-платформах, добирают знания по программированию, ставят перед собой амбициозные вызовы, участвуют в соревнованиях по кибербезопасности. Вот какой путь я рекомендую тем, кто решил стать кибербезопасником.

Изучать дополнительные материалы

Например, внутри технических вузов развита культура CTF-соревнований (Capture the Flag) — на них команды соревнуются между собой в поиске уязвимостей. Одним из самых известных в СНГ является RuCTF, в мире — Def Con или Google CTF. Это хорошая тренировка. Те, кто просто ходит на лекции и не занимается дополнительно, не смогут стать хорошими специалистами сразу после вуза, потому что кибербезопасность, как и все информационные технологии, каждый год активно развивается, а учебные программы часто стоят на месте.

Также перед тем, как что-то защищать, нужно понимать, как это устроено. Базовые знания Computer Science — просто мастхэв: операционные системы, протоколы, понимание стека веб-технологий, устройства интернета, основных сетевых протоколов. Получить необходимые знания сейчас легко, ведь в Сети куча бесплатных и платных площадок с качественными курсами — тот же знаменитый курс CS50 от Гарвардского университета. Это серьёзное отличие от 2000-х годов, когда в интернете было мало информации и знания мы получали из легендарных журналов «Хакер» или Phrack.

Сам я регулярно читаю отчёты на HackerOne (крупнейшая площадка отчётов Bug Bounty) и профильные Telegram-каналы. Много курсов есть на YouTube, на бесплатных площадках типа Coursera, Khan Academy и на платных площадках вроде Pluralsight или Kontra.

Выбрать направление

Будущему специалисту лучше выбрать одно направление кибербезопасности ещё во время учёбы в вузе, чтобы всю свою энергию инвестировать в него. Сейчас направления кибербезопасности очень сильно сегментированы и специалист в одной области может совершенно не разбираться в другой. Поэтому нужно решить на старте, чем именно вы хотите заниматься: искать уязвимости, безопасно конфигурировать сетевое оборудование или защищать веб-системы — и исходя из этого строить план обучения.

Я уже говорил, что любому специалисту в сфере кибербезопасности нужны знания Computer Science, а теперь расскажу, какие нишевые знания понадобятся в направлениях кибербезопасности:

  • Специалисту по криптографии нужны математика, линейная алгебра, теория вероятностей, теория чисел, потому что нужно понимать, как работают алгоритмы шифрования, насколько они устойчивы к атакам.
  • Специалисту по защите сетей понадобится знание сетевых протоколов, современных сетевых устройств, роутеров, межсетевых экранов и сетевой архитектуры.
  • Специалисту по защите веб-приложений пригодится знание современных языков веб-программирования — PHP, JavaScript, Python, фреймворков типа Laravel, Django, Symfony и других, а также знание видов современных атак на веб-приложения (например, на базе стандарта OWASP Top 10).
  • Специалисту по защите ОС — знание языков системного программирования, например С++, ну, и, конечно, знание архитектуры и систем защиты самих ОС.
  • Для защиты устройств и микроконтроллеров — знание схемотехники, ассемблера и архитектуры самих микроконтроллеров.

Ещё существуют compliance-специалисты — это спецы по информационной безопасности с юридической направленностью, они отвечают за соответствие различным законам и стандартам по информационной безопасности, знают, как они меняются и как действуют регуляторы. Им технические знания нужны в меньшей степени.

Подготовиться к сертификации

Специалисту по поиску уязвимостей в веб-технологиях желательно получить международную сертификацию, например OSCP или CEH для «белых» хакеров. С ней ему будет легче найти работу во многих компаниях по всему миру. У них чёткая программа, которая с годами оттачивалась, постоянно модифицировалась, совершенствовалась. Эта программа включает и современные уязвимости — то есть она актуальная, современная и имеет практическую направленность.

Если вы поставили себе цель получить сертификацию, нужно подготовиться. Есть много курсов, которые помогают подготовиться к ней. Если не хватает знаний по веб-программированию, можно подучить JavaScript или РНР. Существуют и сертификации по сетевым технологиям, в том числе по безопасности сетей (например, от компании Cisco — CCNP Security).

Как правило, у любой сертификации есть определённые грейды. Сначала нужно сдать базовый уровень, потом расширенный — при наличии фундамента знаний подготовиться к таким экзаменам можно за 3–6 месяцев. Для OSCP-сертификата нужны будут и знания в области программирования, так что подготовка может занять полгода-год.

Важно помнить, что кибербезопасность — это больше про практику, а не про теорию. На курсах всегда дают лабораторные практические задания по конфигурации, взлому, поиску уязвимостей.

Получить больше практики можно, участвуя в распространённых программах Bug Bounty — им уже больше 25 лет. Суть такая: с разрешения и по просьбе компании любой разработчик может попробовать найти уязвимости в продукте. Такие челленджи публикуют Google, VK, Microsoft, Slack и многие другие компании.

В условиях подробно прописывается, какая уязвимость к какому уровню критичности относится, какие уязвимости принимаются к рассмотрению, какие нет. В зависимости от критичности назначается вознаграждение тому, кто нашёл уязвимость.

Отчёты иногда публикуются публично. Отсюда один из советов новичкам — читать отчёты по уязвимостям, которые выходили в блогах Shopify или Google. Они достаточно хорошо расписаны, а уязвимости, как правило, нетривиальные.

Освоить программирование и изучить уязвимости

Уязвимости находят сплошь и рядом, потому что программные продукты сложные, разрабатываются сотнями людей и отследить все зависимости очень сложно. Большинство уязвимостей — это дыры, которые позволяют запускать произвольный код, читать данные без должных полномочий, перехватывать и расшифровывать трафик, выполнять произвольные запросы в браузере без ведома пользователя, перенаправлять трафик в другой источник и так далее.

Важно понимать, какие типы уязвимостей вообще существуют и как их можно устранить. Для этого приходится часто общаться с разработчиками. А вот программировать лично мне приходится нечасто — хотя порой нужно смотреть чужой код во время релизов в поисках уязвимостей.

Вообще, навыки программирования у безопасников сильно зависят от специализации. Например, наш стек — РНР и React. Именно эти технологии в основном используются в ManyChat. А в процессе изучения или поиска уязвимостей, работы в направлении Application Security, выстраивания системы безопасной разработки без навыков программирования просто не обойтись.

Какие инструменты применяют для поиска уязвимостей

В работу специалиста по кибербезопасности обязательно входит работа с инструментами для поиска уязвимостей в системах и IT-инфраструктуре. Они бывают нескольких видов:

  • Для поиска уязвимостей в инфраструктуре. Qualys, Tenable, Nexpose, OpenVAS. Этим инструментам задают внешние IP-адреса или доменные имена сервисов, и они проводят автоматизированное сканирование, находят базовые уязвимости в инфраструктуре: в операционных системах, протоколах, веб-серверах.
  • DAST -сканеры для поиска уязвимостей внутри веб-продукта. Они сканируют только веб-приложения. Примеры — Burp Suite, OWASP ZAP и Acunetix VS.
  • Сканеры софта на уязвимости, связанные с опенсорс-библиотеками. Например, у GitHub есть встроенный механизм Dependabot. Из коммерческих продуктов можно выделить Snyk, Black Duck.
  • Статические анализаторы кода, которые анализируют весь код строчка за строчкой, выявляя в нём уязвимости. Примеры решений: Fortify, CodeQL, Black Duck.
  • Инструменты для выявления уязвимостей в Kubernetes и Docker-контейнерах, в облачных средах. Они фиксируют неправильные настройки конфигурации и уязвимости в этих средах. Например, Prisma, Aqua Security.

И это мы разобрали только типы инструментов по поиску и устранению уязвимостей. А ведь в кибербезопасности есть ещё десятки других типов систем безопасности и тулов, которые обеспечивают защиту информации в других областях: защита от вирусов на разных уровнях, управление учётными записями, мониторинг инцидентов информационной безопасности, защита от утечек конфиденциальной информации и другие.

Все эти инструменты можно внедрять параллельно, чтобы выявлять уязвимости сразу на разных уровнях. А какие именно будут внедряться, зависит от компании и задач.

Чем занимается руководитель по безопасности

В компании ManyChat у нас небольшая команда по кибербезопасности. Поэтому приходится заниматься практически всем и сразу — в настоящий момент в моей зоне ответственности находятся следующие задачи:

  • Внедрение, сопровождение и мониторинг различных инструментов безопасности — антивирусов, сетевой защиты, систем мониторинга и реагирования на инциденты.
  • Внедрение процессов по безопасной разработке. В том числе обсуждение реализации рисковых фич в продукте, например — какие изменения лучше сделать в нашем биллинге, чтобы они были безопасны.
  • Защита рабочих ноутбуков сотрудников, чтобы их нельзя было заразить вредоносными вирусами и троянами.
  • Выявление уязвимостей в IT-инфраструктуре и продукте, чтобы их устранить.
  • Задачи по комплаенсу — у нас международная компания, а значит, мы проходим различные международные сертификации и должны соблюдать законодательство различных стран по защите персональных данных, антиспам-регулированию и не только.
  • Защита облачной инфраструктуры и бизнес-систем.

Кибербезопасность в России и за рубежом

В России есть достаточно сильные и крутые специалисты по кибербезопасности — особенно в сравнении с рынком Европы и США. Всем известно, что российские white-box-хакеры всегда в цене — так что в части экспертности и талантов у России серьёзное преимущество.

При этом в России также достаточно развито законодательство в сфере информационной безопасности — защите критической инфраструктуры, которое появилось раньше европейского. У нас достаточно давно развиваются законы о защите персональных данных, и многие компании опираются на этот закон в ежедневной практической деятельности. У нашего Центробанка очень хорошо развита нормативная база, которая регулирует кибербезопасность в финансовых компаниях. Так что в России законодательная база даёт достаточно сильный толчок развитию информационной безопасности в стране. Хотя есть моменты в законе, над которыми стоило бы поработать. Например, штрафы за нарушение закона о персональных данных не сильно мотивируют компании инвестировать в это направление. Также технические меры по защите персональных данных в последний раз пересматривались четыре года назад и не поспевают за современными реалиями.

В Европе многие компании существуют гораздо дольше, чем российские, поэтому процессы и бизнес-системы, которые в них внедрены, были разработаны десятилетия назад и с тех пор не сильно обновлялись, поэтому исторически содержат много уязвимостей. По этой причине в Европе гораздо чаще, чем в России, возникают атаки на компании вирусами-шифровальщиками. Страдают обычно более инертные и консервативные компании, которые меньше вкладывались в кибербезопасность.

Основная проблема кибербезопасности в России — в качестве производимых средств защиты. Существуют сотни различных типов средств защиты, которые создаются под конкретные узкие задачи — и в России есть отличные продукты по многим направлениям. Однако на то, чтобы реализовать на должном уровне все типы средств защиты, у местных вендоров просто не хватает ресурсов. Хотя существуют отдельные очень известные решения типа «Касперского», которые распространены во всём мире. Мировые вендоры, которые работают на глобальном рынке, конечно же, могут гораздо больше ресурсов вкладывать в развитие своих продуктов.

В отличие от России, на Западе любая компания может выбирать средства защиты из гораздо большего пула решений, многие из которых для российских компаний недоступны, особенно в текущей ситуации, когда многие зарубежные вендоры в основном ушли с российского рынка.

* Решением суда запрещена «деятельность компании Meta Platforms Inc. по реализации продуктов — социальных сетей Facebook и Instagram на территории Российской Федерации по основаниям осуществления экстремистской деятельности».

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *