Например, слышал ли ты, что в Group-IB есть отдел, который занимается тестами на проникновение? Видимо, клиенты по‑прежнему не горят желанием светить, кто их ломает, при этом — вполне легально. А вот нам это как раз интересно. Как выяснилось в разговоре, Group-IB наращивает команду и находится в активном поиске свежих пентестерских сил.
Впрочем, не будем забегать вперед и предоставим слово самим ребятам.
— Давайте для начала каждый из участников представится и расскажет немного о себе.
— Меня зовут Андрей, я руководитель департамента аудита и консалтинга в Group-IB. В первую очередь я менеджер, и моя основная задача в том, чтобы всем работалось комфортно, а команда росла. Во время учебы на инфобезной специальности в родном Челябинске я время от времени посещал что‑то вроде «хакерского кружка», где познакомился с кучей интересных и сейчас достаточно известных в ИБ‑шке людей, включая Пашу, который ходил туда значительно более регулярно.
— Привет, я Павел, технический руководитель департамента. Провожу контроль качества, формирую стратегию технического развития, придумываю техники и инструменты для использования на проектах. Моя задача — определять, куда и как конкретно мы движемся в плане используемого инструментария и его совершенствования.
— Привет всем, я Слава, руководитель отдела технического аудита, непосредственно возглавляю команду пентестеров и аналитиков защищенности. Я принимаю проекты в работу, разбиваю на задачи, передаю задачи исследователям, контролирую их исполнение, задаю всякие неудобные дополнительные вопросы по докрутке векторов атак, собираю первичные данные до передачи техписателям и вычитываю финальные версии отчетов, которые потом предоставляются клиенту. Кроме того, управляю процессами профессионального роста исследователей: получения сертификатов, развития навыков, включая так называемые софт‑скиллы. Моя задача — обеспечить поток проектов анализа защищенности с предсказуемыми сроками и высоким качеством.
— Начну с козырей: Group-IB известна в основном не благодаря аудитам. Когда примерно вы стали делать упор на это?
— На рынке Group-IB воспринимают по‑разному. Наверное, многие читатели xakep.ru нас считают этаким киберспецназом, который скорее ловит преступников из засады, чем проводит тесты на проникновение. Это очень неполная картина. Помимо исторической экспертизы по форензике (киберкриминалистика. — Прим. ред.) и расследованию высокотехнологичных преступлений, у Group-IB есть настоящий круглосуточный CERT (Центр реагирования на инциденты кибербезопасности), кстати, первый коммерческий в РФ и Восточной Европе, решения для антифрода и защиты интеллектуальной собственности, мощный блок продуктов для предотвращения атак, основанных на исследовании атакующих, ну и, конечно, аудит, который также питается всеми данными, получаемыми другими нашими отделами, и в свою очередь подпитывает их актуальной экспертизой.
Например, пентестер может общаться с киберкриминалистом и применять те же техники анализа различных девайсов. Узнавать, как не оставлять следов при редтиминге, как понять, что в изучаемой системе ты не единственный пентестер, посмотреть на примеры нагрузок из реальных атак и узнать, как они скрываются от детектов. Group-IB в этом плане прекрасное место для молодых специалистов, жаждущих разностороннего опыта и возможностей видеть «в дикой природе», как работают ребята из Threat Intelligence, что умеют третхантеры, криминалисты, вирусные аналитики, респонсеры, антифрод‑специалисты.
Аудит в Group-IB был всегда, но до определенного момента он был внутренней функцией, не продающейся на рынке.
— Когда вы начали продавать пентесты? На чем вы специализируетесь?
— Примерно десять лет назад аудит стал коммерческим. Конечно, мы делаем классические тесты на проникновение, возможностей для которых у нас несколько больше, чем у многих на рынке, за счет синергии наших направлений, о которых я рассказал выше. Ну и конечно, услуги по оценке защищенности как инфраструктур в целом, так и отдельных объектов — хорошо продаваемое и востребованное нынче направление аудита. Цель здесь — обнаружить уязвимости и недостатки с разным уровнем риска. Сейчас в связи с пандемией анализ защищенности стал еще популярнее: продажи активно ушли в онлайн и теперь все нуждаются в самых разных проверках.
На путь продаж услуги Red Teaming — имитации хакерских атак с использованием реальных инструментов атакующих — мы вступили первыми в РФ. До нас русский редтиминг представлял собой несколько полуинхаусных проектов, а сейчас многие конкуренты также с тем или иным успехом пытаются запустить услуги по редтимингу.
Итогом аудит — это большой бизнес в составе Group-IB, оказывающий услуги по всему миру. Мы активно растем и ищем разных людей, которые умеют в пентест, могут оценивать и налаживать процессы ИБ, а не только искать уязвимости сканером.
— Я бы добавил, что пентесты и редтиминг часто путают, особенно в России, но мы всегда подчеркивали, что редтиминг — это совсем другой вид работ, предназначенный для зрелых заказчиков и крутых систем. Это комплексная имитация сложных атак с использованием самых разных методов и инструментов — таких же, что используют реальные злоумышленники. Здесь мы можем развернуться максимально (но, конечно, в рамках контракта).
Редтиминг может начаться с разведки, OSINT, а продолжиться, к примеру, подбросом флешки. В пентесте же как раз наоборот — там есть поставленные задачи, конкретный перечень работ и соответствующие векторы атак. Все это регламентировано по времени и по конкретным правилам.
— Давайте поговорим о горячих трендах в пентестинге. Что за последний год изменилось в связи с пандемией? Какие прогнозы на ближайшее будущее?
— Если мы говорим о массовых рыночных процессах, то я бы обратил внимание на то, что ковырять периметры становится все сложнее. Весь мир активно переходит в веб, снижая количество самостоятельно обслуживаемых сервисов, вероятность пробоя некорректно настроенных он‑прем‑решений снижается вместе с их количеством, и поэтому на передний план вышли знания веб‑технологий и облачных решений.
Кстати, когда у нас спрашивают, как развиваться в практической ИБ «с нуля», мы уже давно рекомендуем начинать с веба. В этой области доступно много бесплатных материалов, по которым можно учиться, и этот навык определенно пригодится каждому исследователю.
Я бы не стал кивать в сторону пандемии: и до нее мы наблюдали активный переход на облачную инфраструктуру, в том числе на российском рынке, но с весны 2020-го процесс значительно ускорился, так как аргументов к переезду в облака добавилось. Формат работы компаний изменился. Удаленка теперь есть у многих, а значит, появляются и необходимые для этого сервисы. Интересно, что Россия оказалась более готова к удаленке, а вот в Европе многим клиентам понадобился серьезный тайм‑аут, чтобы поменять формат и продолжить нормальную работу.
— Практическая безопасность неотрывно связана с разработкой и администрированием. Со временем технологии сильно усложнились. И я согласен — это не за последний год, тут тренд длиной в семь‑десять лет.
В вебе появилось много фреймворков, которые, казалось бы, при должном использовании должны закрывать типовые уязвимости. Так оно и происходит, тем не менее уязвимости сохраняются, просто акцент сместился на сложные баги, которые связаны скорее с логикой приложений и глубокими особенностями самого языка. Такие ошибки не найти обычными средствами фаззинга, не помогут их избежать и классические самопроверки вида «фильтруй кавычки», которые любят разработчики.
В администрировании похожие процессы. Если раньше можно было админить отдельные операционные системы или службы и чувствовать себя вполне неплохо, то сейчас нужно хорошо знать инструменты массового управления инфраструктурами, кластерами, контейнерные технологии, экосистемы и еще вдобавок понимать, как сильно разные компоненты интегрированы между собой.
Поэтому мы всегда говорим, что хороший аудитор приложений — это как минимум full-stack-программист, который умеет смотреть на разработку с обратной стороны. А хороший пентестер — это в любом случае сильный админ‑инфраструктурщик или сетевик. Для тех, кто еще не очень понимает, куда движется рынок и какое место он хочет в нем занять, всегда можно рекомендовать администрирование и веб‑разработку как первый этап. Точно не прогадаешь.
— Можете попробовать представить, что ждет рынок через пять лет?
— Усложнение технологий уже заметно по обе стороны баррикад. Еще лет пять‑десять назад веб писали, оставляя кучу ошибок. Можно было натравить сканер и получить в ответ целую простыню критических уязвимостей. Сейчас благодаря стандартам и практикам безопасной разработки такое встречается все реже. Ну то есть, если разработчик, далекий от ИБ, захочет сделать все безопасно, он по крайней мере найдет те самые методички, которые позволят обойти большинство камней и граблей.
Сами уязвимости тоже становятся всё изощреннее. Разработчик скорее допустит ошибку в бизнес‑логике, чем SQL-инъекцию. Появляются уязвимости и там, где их не ждали, — например, в последние годы все заговорили о десериализации. Еще не все фреймворки справились с этим, но, когда это произойдет, поиск новых уязвимостей станет еще более нетривиальной задачей.
Взять то же администрирование: раньше серверы администрировали индивидуально, а сейчас уже трудно найти компанию, где нет системы управления конфигурациями. Никто ничего не делает вручную, вместо этого задаются паттерны настроек. В облачных сервисах это тоже повсеместно используется. А дальше все закономерно: количество ошибок снижается, а сложность их нахождения растет.
Также развиваются технологии и средства защиты, которые сильно усложняют обнаружение уязвимостей. Новые WAF, NGFW и NGAV говорят сами за себя. Дальше будет только сложнее.
Нас регулярно пугают тем, что скоро пентестить будут нейронные сети, а всех пентестеров разжалуют в дворники, но я думаю, что это бред. Просто рынок пентеста сузится и вырастет профессионально — до тех специалистов, которые могут раскопать на проекте действительно нестандартные вещи. Конечно, ребята, для которых пентест — это запуск сканера с парой ключей, должны будут подыскать себе новое занятие, но не думаю, что нормальным специалистам что‑то угрожает. По крайней мере, не так скоро.
В общем, нужно ждать сильной специализации всего и вся и еще большего усложнения технологий. И готовиться обгонять прогресс.
— Занятно. А откуда стартовать начинающему, чтобы продвинуться в этом всем и быть в тренде? Если можно, чуть подробнее, чем «админов в пентестеры, программистов в вебщики».
— Я бы советовал в первую очередь понять, что конкретному человеку интересно, с чем он уже знаком и в какую сторону хотел бы развиваться. Не стоит гнаться за технологией, потому что она «модная», — так желание развиваться быстро выгорит. Можно найти немало интересных вещей, просто слушая записи конференций, они доступны бесплатно — достаточно поискать на YouTube.
Для практики можно порекомендовать площадку Hack The Box, если мы говорим о практическом пентесте, или участие в различных Bug Bounty, где в первую очередь много современного веба. Когда что‑то не получается — формулировать вопросы и гуглить, читать райтапы. Также необходимо понимать, как именно работают те инструменты, которые ты применяешь на практике.
— В чем, по‑вашему, типичная ошибка тех, кто решил начать свой путь в пентест?
— Если человек понимает, что такое пентест, — уже хорошо. А если серьезно: часто видим, что кандидаты находятся в поиске единой волшебной книги, курса или другого источника, который научит всему. Так не бывает. Другая крайность: люди впихивают в себя мегабайты текста, зачастую не разбирая его качества и вообще необходимости именно им.
Важно иметь некоторую системную картину вещей, постоянно ее расширять и уметь быстро встраивать новые знания в эту систему. Не нужно также упираться в один источник, иногда выгоднее бегло пробежаться по нескольким, сравнить, а затем выбрать и детально прочитать какой‑то один.
Как ни крути, нужен английский на уровне чтения, так как подавляющее большинство источников на нем. На русском в этой сфере читать даже вредно, так как столкнешься с переводом от энтузиастов, которые не обязаны переводить актуально и точно.
— Давайте сформулируем, что нужно знать пентестеру, чтобы он мог прийти к вам в команду уже подготовленным, со знанием вашего подхода к отбору?
— Для практической безопасности, если говорим о пентесте, нужны некоторые фундаментальные штуки.
Во‑первых, хотя бы обзорное знание сетей и операционных систем, те самые талмуды Олифера и Таненбаума. Пентестер, который бодро сканирует инет и видит какие‑то порты, но который при этом не может уверенно объяснить, где меняется MAC-адрес, а где IP при движении пакетов из его домашней сети в инет, вызывает некоторое недоумение — как он собирается строить туннели при захвате доступа? Каждый второй уверенный пользователь Nmap путается с номером порта, который нужно открыть на файрволе, чтобы заработала команда ping.
Если нужны специфичные штуки — почитай авторов и активных пользователей технологии. Хочешь понять Cisco и что делать с каким‑нибудь SNMP на запись на роутере — бро, иди на форум цисководов. Хочешь написать что‑нибудь низкоуровневое под винду — читай сначала Windows Internals.
Во‑вторых, программирование. Оно важно с точки зрения изготовления своих поделок для хакинга и разбора принципов работы чужих тулз. Поможет при поиске уязвимостей, когда чтение кода станет для тебя относительно легкой задачей. Для современных языков и фреймворков есть целые разделы документации с типичными ошибками, которые может сделать программер. А научиться базовому программированию можно, создавая свои «велосипеды», читай — тулзы по автоматизации, иногда посматривая на чужие готовые поделки для ориентира. Если нужно совсем примитивно — гугли курсы типа Python online для начинающих.
Ну и в‑третьих: читайте про сами подходы к хакингу. Обзорно могут помочь книги типа Hacker Playbook и Hacking Exposed, куда добавляешь знания выше и уже получаешь навык не тыкаться сканером в хосты вслепую, а делать вещи осознанно.
И отдельно скажу про веб. Так получилось, что сюда самый легкий вход. Сети детально знать необязательно, операционки немного подождут, реверс нужен крайне редко, нужно только уметь в веб‑программирование, и то многие живут даже без этого. К веб‑программированию нужно добавить OWASP, целиком, а не только ТОП-10, и практические лабы по работе с типовыми уязвимостями, например https://portswigger.net/web-security. А далее лабы, баг‑баунти и прочее.
Если нравится все организованное и есть деньги — можно вписаться в курсы. Мы не хотим делать рекламы конкретным курсам, поэтому тут смотри сам по отзывам. Рекомендуем опять‑таки зарубежные, как более признаваемые, но они дороже. Наличие сертификатов у человека для нас — это дополнительные темы для разговора, а не абсолютный показатель знаний. Знаем пару людей, которые сверкали сертификатами как новогодняя елка, но сыпались на простых вопросах. Хотя наличие того же честно сданного OSCP говорит, что человек как минимум настойчивый и умеет самостоятельно добиваться целей.
Мероприятия профильные посещай еще. Даже если контент не зайдет, хотя бы пообщаешься с кем‑то.
— Раз уж заговорили о найме. Кого вы ищете в аудит Group-IB?
— Мы ищем специалистов разного уровня. То есть готовы брать и совсем новичков, и перспективных, и готовых специалистов, конечно. Кто же от них сейчас откажется! Главное — чтобы человек все время развивался и был способен сам искать что‑то новое. Иначе в нашей сфере он уже через полгода становится невостребованным.
— А вот говорят, что главное — побольше практики? А где ее взять, если человек еще только учится в вузе или по какой‑то причине решил сменить род деятельности, — этого не говорят. Вы что думаете на этот счет?
— Без практики в практической безопасности делать нечего (кто бы мог подумать?), но практика — это совершенно не обязательно работа. Если кандидат проходил лабораторные работы в вузе, то вполне можно об этом рассказывать на собеседованиях — что было за задание и как его решал. Можешь толково объяснить, как пришел к решению, — уже интересен. Хакзебоксы, собственные проекты, помощь другим на форумах, сертификаты. Практическая подготовка доказывается огромным количеством способов. Главное — не искать опыт там, где это чревато нарушением законов.
— Кстати, про закон. Насколько сложно овладеть практическими навыками «белого хакинга» и при этом не иметь проблем с законом?
— Несложно на самом деле. Нужно просто делать лабораторные работы и не соблазняться на объекты в реальном мире. Лабы, как правило, не берутся из ниоткуда, их собирают по мотивам реальных кейсов, так что они нарабатывают вполне себе релевантный опыт.
А когда лабы станут слишком простыми — можно попробовать Bug Bounty, но в России с ними серьезные проблемы. У большинства компаний таких программ нет вообще, у других вроде бы и есть, но на репорты они не всегда корректно реагируют, уклоняются от оплаты, а могут угрожать или даже писать заявления. Поэтому нужно следить, чтобы у компании была четко прописана политика такой программы и были отзывы о ней.
Еще лучше участвовать через площадку‑посредника вроде HackerOne или SynAck. Тогда гарантий больше и оплата производится быстрее. А вот если начать искать уязвимости, когда компания ничего искать не просила, то это может превратиться в крайне неприятную историю.
Стоит быть аккуратнее с людьми, которые предлагают попентестить их компанию за деньги. Далеко не всегда такие люди действительно работают в компании-«цели». И конечно, ни в коем случае не стоит работать без договора. А договор, который предлагает заказчик, нужно обязательно показать юристу. Это не так дорого, зато может выручить, если по завершении проекта возникнут спорные ситуации. Тем более что рычаг давления на исследователя у компании появляется серьезный. 28 глава УК РФ.
— Так, ну вот закончил с лабами, потыкал баг‑баунти, и захотелось более практического опыта работы. Все — можно и к вам?
— Почему бы и нет? Мы часто приглашаем желающих стажироваться, и, насколько мне известно, это делаем не только мы. Хочешь стажировку — выбирай компании, в которых хочешь в дальнейшем работать, и засылай резюме на ящики HR.
При этом не стоит особенно рваться к реальным проектам. У нас стажеры в них не участвуют, а получают для начала задания на развитие. Неоплачиваемая часть стажировки у нас — это учебные задания, оплачиваемая — участие в разработке инструментов, которые мы используем на проектах. А вот на сами проекты мы пускаем только людей, которые поступают в штат. Надеемся, что и у наших конкурентов похожая политика.
И еще один важный момент. Беречь репутацию нужно смолоду. У нас были очень болезненные для меня лично ситуации, когда человек пришел устраиваться на работу, хорошо себя показал на технических собеседованиях, блестяще прошел тестовые задания. А потом выясняется, что пять лет назад он, условно говоря, торговал какими‑нибудь ворованными кошельками. Такое мелкое сетевое гопничество помешает нам взять его на работу, и оно останется с ним на всю жизнь в качестве личной истории.
— А какие проверки, помимо тестов, проходит кандидат? У вас, говорят, обязателен полиграф?
— Да, есть такое. Обязателен он не только у нас, кстати. В первую очередь и в основном мы хотим убедиться, что у человека нет преступного следа в киберсфере. Что он не засветился во взломах, в финансовом мошенничестве. В любом случае там не будет вопросов, которые касаются личной жизни, политических убеждений, вероисповедания и прочего личного. Нам важно убедиться конкретно в отсутствии криминального прошлого.
Но дело не только в полиграфе, есть еще и аналитика с помощью нашей системы Threat Intelligence. О ней много чего уже рассказано в сети, но, если кратко, она хорошо подтверждает тезис о том, что из интернета ничего никогда не удаляется и все твои следы остаются в памяти TI. Вопрос только в том, кто и как их найдет. Так что лучше не надо. Воспринимайте поговорку про честь смолоду как инвестиции в собственное будущее. Не брать чужую десятку, чтобы не зарезать собственную тысячу.
— Не могу не задать этот вопрос: предложений для пентестеров на рынке много. Почему кандидат должен выбрать вас, помимо того, что у вас много источников данных благодаря смежным отделам, изучающим преступность?
— Действительно, кажется, что конкурентов на рынке много, но ни у кого из них не представлено одновременно столько же направлений, сколько есть у Group-IB, а большое количество специализаций дают уникальную синергию знаний и суператмосферу бурлящего котла, где каждое направление знает о безопасности что‑то свое, а суммарно — это мощнейшая экспертиза не только в РФ, но и на международном рынке.
Другой плюс — возможность участия в комплексных проектах. Мы не просто делаем пентест для одного заказчика, а предоставляем комплекс услуг и работаем командами, в которые входят люди из разных отделов. Кроме того, если тебе со временем покажется более интересной другая сфера — в Group-IB множество путей для «горизонтального перемещения» между направлениями. Глобально у нас тонна плюсов: помимо уникальной культуры Group-IB, это, например, возможность релокации в один из наших международных офисов — в Сингапур или Амстердам, а с этого года и в другие страны.
— Ну и несмотря на то, что мы по количеству людей переросли в большую компанию, нам удается избегать бюрократии и сохранять ламповую атмосферу. Особенно приятно, что у нас можно спокойно решать все рабочие моменты. Можно кому угодно написать, позвонить или прийти в кабинет и пообщаться.
Важно и то, что у нас очень разный уровень проектов. Бывают простые вещи и даже банальные, а бывают дико сложные, составные и разнесенные во времени. Есть и разнообразие по технологиям, так что работа найдется для каждого.
А еще я часто слышу, что в других местах, особенно у интеграторов, из сотрудников выжимают все соки и человеку подкидывают проекты один за другим, не давая прийти в себя. Мы в этом плане лояльнее и стараемся сделать так, чтобы каждый работал с комфортом. Это тем не менее не означает, что есть возможность прохлаждаться: бывают дни, уходящие в ночи, но обычно это в кайф.
— А возможности для обучения у вас есть? Джуниоров и желающих зайти в эту отрасль сейчас много. Есть ли у вас возможность учиться и расти внутри компании?
— У нас очень отзывчивая система. Мы проводим с каждым человеком долгий онбординг и готовы базово обучать порядка трех месяцев. Это стандартный испытательный срок, и за это время большинство людей учится работать самостоятельно и может брать на себя несложные проекты. Постепенно они повышают свой уровень и за несколько лет дорастают до старших специалистов.
Конечно, обучение на этом не заканчивается. Если мы видим, что специалист хочет и умеет узнавать новое, компания оплачивает воркшопы и сертификаты. Есть регулярные технические митапы внутри департамента и компании в целом.
— Если наши читатели соберутся к вам на стажировку или в штат — есть ли у вас какое‑то «входное» задание?
— Да, мы специально для читателей «Хакера» подготовили кое‑что. Это несколько ориентированных на стажеров и джунов вопросов, на которые предлагаем кандидатам ответить с пояснением, предварительно их осмыслив. Это не тест‑экзамен‑зачет, нам придется прочитать и оценить все, что вы напишете. И здесь нам важно понять, как вы мыслите, а не просто получить набор нагугленных ответов.
Проверь себя: пять вопросов от команды аудита Group-IB
-
Есть мобильное банковское приложение, которое выдает такой единственный сессионный токен:
eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJ1c2VyX2lkIjoxMDIyfQ.srkQQcNR4K3xpoK_SW_sspOoaaDAeNUOjhWWmteuKogПредложи, какие могут возникнуть сценарии атак на это приложение. Как их предотвратить?
Представь, что весь текущий мир одномоментно перешел на IPv6. IPv4 больше не используется. Как это изменит сетевую безопасность, с учетом современных подходов по настройке сетей и техник атак на сети?
Ты находишься внутри корпоративной сети и проводишь тестирование на проникновение. У тебя имеется хеш NT доменного пользователя. В Active Directory настроено применение смарт‑карт (USB-токенов) для основной аутентификации на рабочее место (через непосредственное взаимодействие с компьютером) и в RDP. Есть также механизмы входа по паролю, но они защищены одноразовыми кодами. Можно ли обойти эту усиленную аутентификацию?
Exploit-db.com когда‑то был заполнен эксплоитами, эксплуатирующими повреждение памяти в бинарных приложениях 2000-х годов, но все поменялось, и там сейчас преобладают эксплоиты на web, логические баги, мисконфиги. Стоимость эксплоитов на бинарь в частной продаже сейчас возросла до сотен тысяч долларов. Как ты думаешь, почему?
-
Представь, что у тебя появилась суперспособность — ты теперь можешь моментально взломать что‑то одно на твой выбор:
- либо все симметричные (блочные, потоковые) алгоритмы шифрования (то есть расшифровать любой текст, зашифрованный симметричными алгоритмами);
- либо все асимметричные алгоритмы (то есть восстановить любой приватный ключ по публичному);
- либо все хеш‑функции (то есть подобрать коллизию для любого хеша).
Что бы ты выбрал и почему?
Ответы на вопросы шли на ящик fromxaker@group-ib.com. А если ты давно не джун — не стесняйся на тот же ящик заслать резюмешку.
— Есть что‑нибудь по кулстори с проектов?
— Сотни их. С некоторыми можно ознакомиться в наших групайбишных онлайновых медиа. Ну а если текущий формат материала вызовет отклик — мы обязательно вернемся на страницы «Хакера» и накидаем свежака.