Тестировщики, архитекторы и охотники — топ-лист киберпрофессий от института SANS
В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так же как и количество незанятых вакансий в этой сфере.В этом году Нетология совместно с НИУ ВШЭ открыла набор на онлайн-магистратуру «Кибербезопасность». Чтобы помочь абитуриентам разобраться, чем занимаются специалисты по кибербезопасности, мы перевели и адаптировали статью от международного института SANS о самых востребованных профессиях в этой области. Институт обучает IT-специалистов и подготовил статью на основе данных статистики по рынку и вакансиям. ОЛЬГА БАЛАШОВААвтор НетологииОхотник за угрозами — Threat hunterЧто делает:Анализирует информацию от систем компьютерной безопасности компании и ищет угрозы, которые смогли незаметно обойти защиту. Отслеживает данные о новых видах кибератак, чтобы суметь их распознать. Находит в информационной системе скрытых злоумышленников, которые долгое время были незаметны для традиционных механизмов обнаружения.Эта роль требует критического мышления, любознательности, внимания к деталям, умения анализировать, знаний компьютерных сетей, понимания процессов разработки и расследования. Охотник действует по двум сценариям: На основе известных данных — например, если есть информация, что злоумышленник уже внутри системы, охотник ищет подтверждение этому и пытается понять, каким способом произошёл взлом. Исходя из гипотез — выдвигает предположение, что у хакеров появилась новая тактика или информационная система уже взломана, но об пока никто не знает. В этом случае охотник определяет, по каким критериям нужно искать признаки компрометации и дальше их ищет.Работа охотника, несмотря на название специальности, больше похожа не на охоту, а на действия сапёра только в цифровом пространстве.В сфере кибербезопасности есть такие понятия, как Красная, Синяя и Фиолетовая команды. Красная команда – сторонняя организация, которая проверяет эффективность системы безопасности компании с помощью приёмов кибератаки. Синяя команда — группа специалистов внутри компании, которая защищает её как от настоящих злоумышленников, так и от Красных команд. Фиолетовая команда — группа, которая обеспечивает и доводит до максимума эффективность работы двух остальных команд.Тестировщик Красной команды — Red TeamerЧто делает: Тестирует информационную систему компании на уязвимость. Имитирует действия злоумышленников с помощью продвинутых методов и инструментов из хакерского арсенала. Тестовую атаку можно назвать полномасштабным киберучением. Её задача — найти слабые и сильные стороны систем защиты, а также собрать информацию, чтобы оценить риски для самых важных данных компании. Сценарий такой проверки индивидуален и зависит от запросов заказчика и поставленных целей. Можно проверять только доступность отдельных систем или анализировать, как работает компания в целом. Пример задачи для Красной команды из аналитического обзора Group IB. Тестировщику предстоит взломать внутренние серверы и получить доступ к финансовым системам компании. Источник: Group IB Защитник Синей команды — Blue TeamerЧто делает: Занимается проектированием и архитектурой сетей.Реагирует на инциденты. Прогнозирует новые нападения и пытаться их предотвратить.Администрирует инструменты безопасности. Создаёт и поддерживает систему информационной безопасности.Это универсальный защитник с широким кругом задач и знаний. В небольшой организации может быть основным экспертом по безопасности, а в крупных компаниях может входить в SOC — Security Operation Center — Оперативный Центр Безопасности.Тестировщик Фиолетовой команды — Purple TeamerЧто делает:Разбирается в управлении безопасностью и уязвимостях информационной системы. Выполняет роль посредника или арбитра между Красной — атакующей — и Синей — защищающей — командами. Наблюдает за процессами атаки и защиты, комментирует и интерпретирует то, что происходит, подсказывает лучшие решения. Таким образом помогает оттачивать навыки специалистам обеих команд. Должен быть высококвалифицированным специалистом, чтобы понимать причину действий — и защитников, и нападающих — и оценивать их пользу и промахи. Предлагает меры безопасности, которые повысят устойчивость систем к новым способам атаки.Аналитик цифровой криминалистики — Digital forensics analystЧто делает: Анализирует взломанные системы и электронные носители.Помогает обнаружить признаки взлома информационных систем.Формулирует отчёты об инцидентах, в том числе для СМИ.Ищет следы действий злоумышленников и улики в цифровой среде — в компьютерах, сетях и облачных данных. Другими словами, сыщик в мире кибербезопасности.Какие навыки пригодятся в работе: умение собирать доказательства;способность постоянно учиться;исследовательский склад ума;экспертность в компьютерных технологиях и судебных вопросах. Выдуманный кейс из практики аналитика цифровой криминалистики от Артёма Артёмова, руководителя Лаборатории компьютерной крим

В 2019 году Всемирный экономический форум (ВЭФ) назвал кибератаки четвёртой по значимости глобальной проблемой для человечества. Спрос в мире на специалистов в области кибербезопасности растёт, так же как и количество незанятых вакансий в этой сфере.
В этом году Нетология совместно с НИУ ВШЭ открыла набор на онлайн-магистратуру «Кибербезопасность». Чтобы помочь абитуриентам разобраться, чем занимаются специалисты по кибербезопасности, мы перевели и адаптировали статью от международного института SANS о самых востребованных профессиях в этой области. Институт обучает IT-специалистов и подготовил статью на основе данных статистики по рынку и вакансиям.
Охотник за угрозами — Threat hunter
Что делает:
- Анализирует информацию от систем компьютерной безопасности компании и ищет угрозы, которые смогли незаметно обойти защиту.
- Отслеживает данные о новых видах кибератак, чтобы суметь их распознать.
- Находит в информационной системе скрытых злоумышленников, которые долгое время были незаметны для традиционных механизмов обнаружения.
Эта роль требует критического мышления, любознательности, внимания к деталям, умения анализировать, знаний компьютерных сетей, понимания процессов разработки и расследования.
Охотник действует по двум сценариям:
На основе известных данных — например, если есть информация, что злоумышленник уже внутри системы, охотник ищет подтверждение этому и пытается понять, каким способом произошёл взлом.
Исходя из гипотез — выдвигает предположение, что у хакеров появилась новая тактика или информационная система уже взломана, но об пока никто не знает. В этом случае охотник определяет, по каким критериям нужно искать признаки компрометации и дальше их ищет.
Работа охотника, несмотря на название специальности, больше похожа не на охоту, а на действия сапёра только в цифровом пространстве.
В сфере кибербезопасности есть такие понятия, как Красная, Синяя и Фиолетовая команды.
Красная команда – сторонняя организация, которая проверяет эффективность системы безопасности компании с помощью приёмов кибератаки.
Синяя команда — группа специалистов внутри компании, которая защищает её как от настоящих злоумышленников, так и от Красных команд.
Фиолетовая команда — группа, которая обеспечивает и доводит до максимума эффективность работы двух остальных команд.
Тестировщик Красной команды — Red Teamer
Что делает:
- Тестирует информационную систему компании на уязвимость.
- Имитирует действия злоумышленников с помощью продвинутых методов и инструментов из хакерского арсенала.
Тестовую атаку можно назвать полномасштабным киберучением. Её задача — найти слабые и сильные стороны систем защиты, а также собрать информацию, чтобы оценить риски для самых важных данных компании.
Сценарий такой проверки индивидуален и зависит от запросов заказчика и поставленных целей. Можно проверять только доступность отдельных систем или анализировать, как работает компания в целом.

Защитник Синей команды — Blue Teamer
Что делает:
- Занимается проектированием и архитектурой сетей.
- Реагирует на инциденты.
- Прогнозирует новые нападения и пытаться их предотвратить.
- Администрирует инструменты безопасности.
- Создаёт и поддерживает систему информационной безопасности.
Это универсальный защитник с широким кругом задач и знаний. В небольшой организации может быть основным экспертом по безопасности, а в крупных компаниях может входить в SOC — Security Operation Center — Оперативный Центр Безопасности.
Тестировщик Фиолетовой команды — Purple Teamer
Что делает:
- Разбирается в управлении безопасностью и уязвимостях информационной системы.
- Выполняет роль посредника или арбитра между Красной — атакующей — и Синей — защищающей — командами.
- Наблюдает за процессами атаки и защиты, комментирует и интерпретирует то, что происходит, подсказывает лучшие решения. Таким образом помогает оттачивать навыки специалистам обеих команд.
Должен быть высококвалифицированным специалистом, чтобы понимать причину действий — и защитников, и нападающих — и оценивать их пользу и промахи. Предлагает меры безопасности, которые повысят устойчивость систем к новым способам атаки.
Аналитик цифровой криминалистики — Digital forensics analyst
Что делает:
- Анализирует взломанные системы и электронные носители.
- Помогает обнаружить признаки взлома информационных систем.
- Формулирует отчёты об инцидентах, в том числе для СМИ.
- Ищет следы действий злоумышленников и улики в цифровой среде — в компьютерах, сетях и облачных данных. Другими словами, сыщик в мире кибербезопасности.
Какие навыки пригодятся в работе:
- умение собирать доказательства;
- способность постоянно учиться;
- исследовательский склад ума;
- экспертность в компьютерных технологиях и судебных вопросах.
Выдуманный кейс из практики аналитика цифровой криминалистики от Артёма Артёмова, руководителя Лаборатории компьютерной криминалистики в европейской штаб-квартире Group-IB:
Представим, что произошла атака на большое промышленное предприятие. Мотив — шпионаж. Мы копаемся на хостах и в сети, день, второй копаемся — и не понимаем, как увели информацию. На третий день хватаемся за небольшую зацепку, от неё попадаем на какой-то сторонний сервер, начинаем копать и минут за сорок находим следы заражения и куски знакомого кода.
Несколько дней находишься в прострации, и вдруг наступает озарение! Начинаешь искать данные, чтобы доказать свою же теорию, поднимаешь записи видеокамер. И всё совпадает: к офису подъезжает машина, человек внутри открывает ноутбук и в это время идёт подключение к сети организации через их wi-fi точку. Да-да, хакеры любят wi-fi. Атакующие пробиваются внутрь, в определённое время вся коммуникация заканчивается, машина уезжает. Щёлк. Пазл сложился.
Мы сделали это!
Источник
Оценить






