Содержание статьи
Хакер #305. Многошаговые SQL-инъекции
Об аутсорсинге
Руководители служб ИТ и ИБ устали от классических проектов внедрения, когда три месяца уходит на обследование, еще три на проектирование, потом шесть-восемь недель на поставку и еще четыре месяца на внедрение. Все это крайне затратно, но главное — спустя этот год, потраченный на внедрение, одни бизнес-задачи компании уйдут и придут другие, поменяется ландшафт ИТ. В итоге менеджер может обнаружить, что ошибся в выборе и система, которую он холил и лелеял, не соответствует потребностям компании.
Сервис же хорош тем, что работает, как кран в ванной: открыл, потрогал воду, если не понравилась температура — поменял ее или закрыл кран. И при этом не заплатил за установку всего трубопровода. Получается, что SaaS или в случае с более сложными вещами — аутсорсинг гораздо удобнее, в том числе с операционной точки зрения.
Но при этом нужно очень четко понимать, что возможность отдать информационную безопасность на аутсорсинг не снимает необходимость в наличии соответствующей компетенции внутри компании и не нивелирует ценность внутреннего безопасника.
В 2012 году, когда мы только открывали сервисное направление и начинали строить центр мониторинга Solar JSOC, казалось, что почти любой процесс, связанный с информационной безопасностью, можно отдать на аутсорсинг. Одним из наших первых заказчиков был «Лето Банк» (сейчас «Почта Банк»). Он быстро развивался — открывались десятки отделений в месяц. Так что аутсорсинг ИБ подходил банку как нельзя лучше, ведь услугу можно подключить практически сразу. Однако со временем мы поняли, что некоторые функции ИБ-подразделения правильнее оставлять на стороне заказчика. Невозможно отдать вовне ответственность за обеспечение безопасности. Невозможно передать на аутсорсинг функцию принятия решений.
У компании в штате всегда должен быть человек или скорее даже команда, ответственная за информационную безопасность. Можно передать сервис-провайдеру функцию рук и ног, но мозги на аутсорс не отдашь.
Об ответственности и ответственных
Часто, обращаясь к поставщику ИБ-сервисов, заказчик полагает, что тот возьмет на себя ответственность за информационную безопасность организации в целом. Но это не совсем так.
Мы беремся защищать клиентов от вполне конкретных рисков, определенных векторов и сценариев атак. И соответственно, отвечаем мы не за весь комплекс безопасности, а только за те функции, выполнение которых мы на себя взяли. Ответственность за них прописана в SLA — соглашении об уровне сервисов. Мы обязуемся выявлять инциденты в защищаемых сегментах и реагировать на них определенным образом в течение установленного отрезка времени.
При разговоре с клиентом я часто привожу такую, может быть, не очень точную, но зато понятную аналогию. Предположим, у вас есть площадка e-commerce или интернет-банк. Провайдер предоставляет вам канал связи. Вопрос: отвечает ли он за непрерывность вашего бизнеса в целом? Должен ли он возместить вам ущерб и недополученную прибыль, если, скажем, приедет трактор и оборвет линию связи?
Поэтому, чтобы не возникало разрыва между ожиданиями клиента и возможностями сервис-провайдера, заказчик должен четко понимать, что именно он отдает на аутсорсинг.
О службах ИБ в компаниях
Сила внутреннего безопасника — это четкое понимание бизнеса, структуры компании, финансовых вопросов, которое позволяет ему говорить с другими менеджерами на одном языке.
Безопасник должен понимать, что для руководителя компании бизнес-риск — это отнюдь не вирусное заражение. Бизнес-риск — это, например, активности конкурентов, нарушение основных бизнес-процессов компании, действия фискальных органов, изменение законодательства, проблемы у клиентов, репутационные риски, санкции, в конце концов. Руководители рассуждают именно в такой парадигме, и каждый из этих рисков распадается на операционные составляющие, которые уже могут относиться к сфере ответственности служб ИТ и ИБ.
На мой взгляд, то, что безопасник не понимает истинных проблем бизнеса, не умеет слышать руководителя компании, — это сейчас одна из болевых точек многих организаций. На конференциях часто можно слышать выступления ИБ-специалистов, рассказывающих, как обосновать бизнесу необходимость тех или иных средств защиты. По сути — как запугать руководителя и как им манипулировать. Однако в реальности это не сработает: любой бизнес-руководитель на то и руководитель, чтобы пресекать такие вещи.
Именно поэтому безопасник должен говорить с руководителем бизнеса на одном языке, должен уметь построить цепочку от бизнес-рисков до рисков ИБ. Ну и конечно, он должен хорошо понимать, какие риски существуют внутри организации, какими уровнями доступа обладают сотрудники и в чем логика их работы.
Мы периодически встречаемся с сотрудниками служб ИБ, и в разговоре об аутсорсинге они рано или поздно задают вопрос: «А что, нас всех уволят?» Да ничего подобного. Идите, занимайтесь тем, за что вам на самом деле платят деньги, — безопасностью бизнеса, а мы займемся operations.
Об отличии российских бизнес-реалий от западных
Говорят, что в сфере ИТ Россия отстает от Запада на 3–5 лет. И возможно, в отношении разработки новых продуктов, связанных с кибербезопасностью, это утверждение верно. Но тут ничего не поделаешь: у нас в отрасли нет таких инвестиций, чтобы конкурировать с западными корпорациями на должном уровне.
А вот с точки зрения практики обеспечения безопасности мы очень крутые. В России умеют по-настоящему бороться с киберугрозами и ловить злоумышленников. Это наше преимущество. Российским специалистам часто приходится сталкиваться с реальными угрозами и нарабатывать методы их пресечения, что дает ценнейший опыт, к которому за рубежом проявляют большой интерес.
О современных трендах в ИБ
На стороне защиты сейчас можно наблюдать действительно интересные тренды: из-за рубежа идет мода на искусственный интеллект. С одной стороны, я искренне верю, что нейросети и машинное обучение действительно через три, пять, максимум десять лет снимут с людей порядка 90% нагрузки.
Но на данном этапе мы видим, что у безопасника эти технологии пока вызывают скорее негативную реакцию. Предположим, система пару месяцев обучается, затем ее включают и в какой-то момент она сообщает об инциденте. Логично, что у безопасника сразу возникает вопрос: на основании каких признаков система решила, что это инцидент? Нейросеть же не может «объяснить», почему она приняла то или иное решение, и это вызывает у человека некоторое раздражение.
Это естественный этап, который проходит каждая прорывная технология. Чтобы получить широкое распространение, она должна завоевать определенный уровень доверия, и, пока его нет, прорывные изобретения остаются в категории любопытной игрушки. Но я верю, что в будущем машинное обучение станет очень серьезным подспорьем для информационной безопасности.
Сейчас мы сталкиваемся с тем, что даже инженер первой линии центра мониторинга и реагирования на киберугрозы должен очень много знать. Проводя обучение, мы понимаем, что с каждым годом количество информации, которую нужно вложить в его голову, быстро растет. Нам приходится все время интенсифицировать программу обучения, делать гайды, помогающие автоматизировать сбор и отображение всей нужной информации.
Однако всему этому есть предел, и столкнуться с ним придется не через 50 лет, а уже через год-два. Тогда-то мы и будем вынуждены искать технологии, которые станут не просто собирать, очищать и подготавливать информацию, а самостоятельно делать определенные выводы уже на этих ранних этапах.
О карьере и образовании безопасника
Сейчас у нас работает порядка 250 человек. При поиске людей на мониторинг мы очень много работаем с вузами. Забираем студентов с третьего, четвертого, пятого курсов и приглашаем их пройти стажировку в компании. В ходе этой стажировки мы даем студентам базовые практические навыки в области информационной безопасности, рассказываем о типах инцидентов, методах их выявления. Дальше стажер может за год пройти первую линию, перейти на вторую и через два года уже начать заниматься аналитическими задачами. Это хороший трек.
Аналитики — это своего рода «белая кость», они создают ценность компании. Это инженеры, которые умеют видеть качество информационной системы с архитектурной точки зрения, а с точки зрения безопасности — понимать векторы атак и методы противодействия им. Это очень востребованная профессия с очень высокими зарплатами.
Вообще, хороших аналитиков в России сейчас два, может быть, три десятка — по крайней мере, таких, которые действительно могут обеспечить защиту от кибератак. У них отличный кругозор в области информационных технологий, идеальное знание сети и архитектуры операционных систем, глубокое понимание механизмов атак и так далее. Такие специалисты будут востребованы и через три года, и через пять лет.
О проблемах больших зарплат и ожиданий
Сейчас рынок труда в разработке и кибербезопасности сильно перегрет. Из-за этого возникает неприятная тенденция и определенная ловушка для молодых специалистов: опережающий спрос на кадры и готовность работодателей перекупать их друг у друга приводит к опасному превышению зарплат людей над стоимостью их реального опыта, то есть их личной «капитализацией».
Предположим, мы берем специалиста на 100 тысяч рублей, он работает три месяца, пишет в своем резюме о знании Java, Scala и Python, после чего может запросить зарплату уже в 200 тысяч. Дальше некоторая «магия» на собеседовании — о том, как себя продать работодателю, много написано в интернете, — и вот его берут и на 200, и на 250, а если повезет в поисках, то и на 300 тысяч. Но реального опыта у него по-прежнему три месяца, а новый работодатель ожидает, что компетенции сотрудника будут соответствовать его зарплате. Так что в долгосрочной перспективе эта стратегия оказывается проигрышной — как и всегда, когда человек перестает искать развития, новых вызовов и знаний, фокусируясь на сиюминутных заработках.
Моя рекомендация ребятам, которые только начинают, — выбирать профессиональный коллектив, людей, за которыми можно расти, и амбициозные задачи. Это два главных фактора, мотивирующих человека развиваться и расти над собой. И когда специалист переходит от простого кодинга к пониманию архитектуры и внесению своих идей, тогда, конечно, он будет много зарабатывать и его личная стоимость будет принципиально другой.