giphy (1)

Добрый хакер, злой хакер

Тема хакерства и IT становится все более популярной, в том числе из-за ситуации с выборами в США. Мы поговорили с Даниилом Светловым, выпускником программы “Управление информационной безопасностью” и специалистом по кибербезопасности обо всех тонкостях этой профессии

Даниил Светлов, выпускник программы “Управление информационной безопасностью”

О работе

Раньше я занимался безопасностью инфраструктуры крупного интернет-эквайера и руководил отделом информационной безопасности в банке из топ-100. Сейчас работаю в компании-разработчике программного обеспечения и занимаюсь безопасностью программных продуктов для банков.

Моя главная задача – организация цикла безопасной разработки программного обеспечения и защита компании от проникновений извне

В работе мне часто приходится использовать существующие стандарты безопасности, адаптировать их под нужды компании или создавать новые. Стандарты всегда нужны, если ты начинаешь беспокоиться о качестве выходного продукта или услуги. Представь, что ты организуешь проверку web-приложений на уязвимость в нескольких командах разработчиков. В одной команде проверяют вручную только на присутствие XSS, это такой тип атаки на веб системы (межсайтовый скриптинг, cross site scripting – прим. The Вышка), в другой с помощью сканера ищут другой тип атаки – SQL-инъекции. Очевидно, что оба приложения не будут полностью защищены из-за отсутствия общего для всех команд стандарта тестирования.

Придумывать такой стандарт с нуля, конечно, тоже дело бесполезное, потому как с первого раза этого сделать хорошо не получится. Поэтому берут уже существующий стандарт и адаптируют его для своих продуктов. При защите инфраструктуры задача похожая. Берешь лучшие практики, адаптируешь их для своей инфраструктуры. Так рождаются внутренние стандарты и регламенты.

Информационная безопасность хакинг

Многие считают, что специалисты по информационной безопасности и хакеры – это одно и то же, ведь для тестирования объектов защиты им приходится пытаться их же взломать. Это не так.

Во-первых, специалисты по информационной безопасности “ломают” приложения и сайты не с целью наживы, а чтобы понять, где есть дыры в защите, и залатать их. Во-вторых, защищать всегда сложнее, так как новые способы взлома появляются раньше, чем средства защиты от них, поэтому безопасник всегда находится в роли догоняющего в этой гонке вооружений.

В-третьих, работа хакера в основном связана с техникой. Работа безопасности во многом опирается на других людей.

Главная ценность любой компании – это люди, но они же являются чаще всего самым слабым звеном. Поэтому, не выстроив взаимодействие с остальными сотрудниками, обеспечить безопасность не удастся

Как стать специалистом

Я считаю, что хороший безопасник должен объединять в себе несколько непростых профессий. Он должен быть неплохим программистом, сильным системным администратором и менеджером. Со средней школы я изучал Turbo Pascal, Delphi, C.

Если мне что-то надо было выучить – покупал книги для самообучения. Это помогло мне в работе системным администратором. Например, я купил книги для подготовки к экзамену на знание и администрирование компьютерных сетей. Сдача этого экзамена позволила мне стать хорошим специалистом по администрированию сетей. Всему этому, в принципе, можно научиться, если вы получаете образование по профилю. Куда сложнее стать специалистом, если вы учитесь на филологии, а не на факультете компьютерных наук. К тому же, кроме технических знаний необходимо еще и развить навыки менеджмента, общения и переговоров. В этом мне очень помогла такая вещь, как управленческие поединки. Это такой симулятор, когда два человека вдвоем решают какой-то конфликт. Сейчас, когда я нанимаю сотрудников, использую в том числе и этот метод, так как он прекрасно показывает, как будет вести себя человек в стрессовой ситуации.

Советы от профессионала

  1. Стоит сразу получать образование, связанное с информационными технологиями
  2. Пока учитесь в институте, старайтесь попасть на стажировки в разные компании и на разные направления. Так можно понять, что у вас получается, что вам правда нравится
  3. Лучше всего идти на стажировки в компании, которые имеют продукты с международным признанием. Они часто публикуют информацию о грядущих наборах
  4. В Москве проходит очень много разных тематических встреч, их можно посещать для консультации со специалистами. Например, Positive Hack Days или Zero Nights
  5. Читать журнал «Хакер», там много написано про взломы и безопасность

Текст: Сергей Кузминов

Если Вы нашли опечатку, выделите ее и нажмите Shift + Enter или нажмите сюда, чтобы проинформировать нас.

Также рекомендуем
В авторской колонке Митя Поротиков, один из авторов петиции против «Мисс НИУ ВШЭ», рассуждает об итогах открытых писем студентов и ответных действиях администрации
Бейрут называют «Восточным Парижем», но это может создать неправильное впечатление о городе. В третьей части нашего путеводителя рассказываем, чего не стоит делать в столице Ливана, а также что и где поесть.
Герой нашего материала занимается стратегическим консалтингом в одной из компаний Большой Тройки. Мы поговорили с ним и выяснили все тонкости его профессии
Дисклеймер: мнение редакции может не совпадать с мнением читателей. Как вы знаете, на прошлой неделе мы опубликовали две петиции: за и против конкурса тогда еще «Мисс НИУ ВШЭ». После нам поступила юридически оформленная претензия от представителей конкурса с обвинениями в клевете. Исполняющая обязанности юриста конкурса «Мисс НИУ ВШЭ 2018» потребовала
The Вышка беседует со студентами разных направлений, чтобы выяснить, где к учебному офису претензий нет, а где их так много, что было бы неплохо нажать на красную кнопку.