Журнал / польза

Чем занимается инженер по безопасности и как им стать

Зачем компании нанимают инженеров по информационной безопасности, какие задачи они решают и что нужно уметь специалисту? Рассказывает Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтех.

Что такое информационная безопасность и почему востребованы такие специалисты

Информационная безопасность — кросс-дисциплинарная наука, которая не может существовать сама по себе. Поэтому инженер по информационной безопасности — это разносторонне развитый специалист, который глубоко разбирается в своей сфере и параллельно владеет смежными областями: информатикой, информационными технологиями и математикой. Это и делает профессию такой захватывающей и многогранной.

Спрос на информационную безопасность сильно растёт в последнее время. Громкие взломы, утечки данных, а также государственная регуляция в разных странах заставляют компании уделять всё больше внимания защите.

Безопасность становится важным элементом бизнеса, без которого он не может существовать и получать инвестиции.

Чем занимается инженер по безопасности

Многие представляют инженера по информационной безопасности как хакера из фильмов. Он использует секретные техники и технологии и может взломать самый защищённый сервер или украсть все биткоины в мире. В этом даже есть доля правды. Например, создатели знаменитого сериала про хакера «Мистер Робот» специально использовали существующие техники и уязвимости, пытаясь приблизить происходящее на экране к реальности. Но на самом деле не всё так романтично, работа инженера немного отличается.

Можно попробовать образно поделить безопасность на offensive- и defensive-часть.

Offensive — здесь инженер ищет пути взлома сервисов и описывает проблемы, которые нашёл, в аудиторском отчёте. Offensive чаще встречается в консалтинговых компаниях и нацелена на то, чтобы найти уязвимости у заказчика и рассказать, как можно использовать их во вред компании и как их исправить.

Defensive важна для продуктовых компаний — например для Яндекса — и направлена на улучшение безопасности сервисов и самой компании. В отличие от offensive, в defensive инженеры не только ищут способы взлома сервисов, но и создают собственные системы безопасности, которые помогают защитить компанию от злоумышленников.

Вот список задач, с которыми сталкивается defensive-инженер:

— Выстраивает безопасный процесс CI/CD, безопасность на этапах жизненного цикла продукта.

— Консультирует по вопросам безопасности администраторов, разработчиков, продуктовых менеджеров.

— Участвует в ревью безопасности новых сервисов, аудите кода, развивает инструменты безопасности.

— Помогает компании получить сертификаты безопасности.

— Участвует в поиске киберзлоумышленников.

— Расследует инциденты, связанные с безопасностью.

— Описывает предлагаемые решения в формате риск-ориентированного подхода.

Как стать инженером по безопасности

Для этого нужно стать хакером (конечно, в хорошем смысле этого слова). Это значит решать сложные технические задачи, которые никто до вас не решал. Пригодится любознательность и умение находить нестандартные подходы к ПО. Вот ещё ряд знаний и навыков, которые нужны инженеру по безопасности.

Английский язык. Один из базовых навыков, без него возможности слишком ограничены. Большинство статей, документации и исследований пишутся на английском. Без знания языка вы также ограничиваете себя в общении с мировым сообществом по безопасности.

Программирование. Инженер должен уметь программировать, чтобы лучше понимать, какие ошибки можно допустить при разработке систем. Сложно представить, как найти уязвимости в коде и «взломать» приложение, ни разу не написав и не спроектировав архитектуру своего.

Программирование поможет автоматизировать рутинные задачи и создать инструменты, которые позволят специалисту и бизнесу получить более безопасные продукты. Мой выбор — Golang и Python.

Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха

Общий кругозор в IT. Изучайте, как работают системы и почему они устроены именно так. Попробуйте спроектировать свой сервис. Например, разберитесь в доставке секретов или протоколе OAuth. В этом помогут материалы по проектированию систем. Такой навык позволит в будущем перейти к моделированию угроз — это невозможно без понимания, как работает ваша система.

Коммуникация. Работа инженера во многом состоит из того, чтобы рассказывать об уязвимостях понятным языком людям с разным опытом — например разработчикам или менеджерам. И часто безопасность — это tradeoff, поэтому умение вести переговоры — важный навык для любого инженера. И здесь поможет развитие эмоционального интеллекта, критического и стратегического мышления. Все эти навыки требуют постоянной практики.

Для меня работа инженера по безопасности — это постоянное изучение нового, движение вперёд, возможность заниматься интересными и сложными задачами, взаимодействуя с большим количеством умных и целеустремлённых людей.

Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха

Что поможет учиться и развиваться в профессии

Курсы и книги. Они могут стать отличным стартом и развитием. Полезные книги и ресурсы можно посмотреть в подборке. Если решите совершенствоваться в безопасности web-приложений, то must have для вас — онлайн-обучение от создателей Burp Suite. А вот статья о том, как стать хакером.

CTF и сообщества. CTF (Capture the Flag) — спортивные соревнования среди инженеров по безопасности в формате игры. Обычно в них участвуют команды — можно присоединиться к уже существующим или создать собственную. Это поможет прокачать хард-скиллы и научиться новому, попробовать найти и эксплуатировать технические недостатки систем на реальных сервисах.

Есть множество сообществ, например при университетах, которые заинтересованы в развитии таких команд. В подобных комьюнити можно делиться знаниями, обсуждать новые техники и уязвимости. Это разовьёт навыки командной работы и решения сложных задач в короткое время. В Санкт-Петербурге, например, существует большое сообщество SPbCTF.

Bugbounty. Это открытые программы по поиску уязвимостей, которые помогают компаниям узнавать о проблемах, а исследователям безопасности — получать вознаграждение и практический опыт. Пользуйтесь такой возможностью, участвуйте также в программах без вознаграждения, так как там проще найти уязвимости. А ещё читайте отчёты и описания других участников: например, подпишитесь на дайджесты публичных репортов с HackerOne или Bugcrowd.

И ещё: не проходите сертификации ради сертификатов, это бесполезное занятие. Смотрите на это как на возможность получить и улучшить практические навыки в той сфере, что вам интересна.

Многие крутые инженеры по безопасности не имеют никаких сертификатов. Но это не значит, что сертификации совсем не нужны. Вот некоторые из тех, что я лично советую. Не зацикливайтесь только на сертификациях по безопасности: возможно, в вашей задаче будут полезны сертификации по сетям и базам данных.

Андрей Абакумов, руководитель группы безопасности Яндекс 360 и Финтеха