Добрый хакер, злой хакер
Тема хакерства и IT становится все более популярной, в том числе из-за ситуации с выборами в США. Мы поговорили с Даниилом Светловым, выпускником программы “Управление информационной безопасностью” и специалистом по кибербезопасности обо всех тонкостях этой профессии
Даниил Светлов, выпускник программы “Управление информационной безопасностью”
О работе
Раньше я занимался безопасностью инфраструктуры крупного интернет-эквайера и руководил отделом информационной безопасности в банке из топ-100. Сейчас работаю в компании-разработчике программного обеспечения и занимаюсь безопасностью программных продуктов для банков.
Моя главная задача – организация цикла безопасной разработки программного обеспечения и защита компании от проникновений извне
В работе мне часто приходится использовать существующие стандарты безопасности, адаптировать их под нужды компании или создавать новые. Стандарты всегда нужны, если ты начинаешь беспокоиться о качестве выходного продукта или услуги. Представь, что ты организуешь проверку web-приложений на уязвимость в нескольких командах разработчиков. В одной команде проверяют вручную только на присутствие XSS, это такой тип атаки на веб системы (межсайтовый скриптинг, cross site scripting – прим. The Вышка), в другой с помощью сканера ищут другой тип атаки – SQL-инъекции. Очевидно, что оба приложения не будут полностью защищены из-за отсутствия общего для всех команд стандарта тестирования.
Придумывать такой стандарт с нуля, конечно, тоже дело бесполезное, потому как с первого раза этого сделать хорошо не получится. Поэтому берут уже существующий стандарт и адаптируют его для своих продуктов. При защите инфраструктуры задача похожая. Берешь лучшие практики, адаптируешь их для своей инфраструктуры. Так рождаются внутренние стандарты и регламенты.
Информационная безопасность ≠ хакинг
Многие считают, что специалисты по информационной безопасности и хакеры – это одно и то же, ведь для тестирования объектов защиты им приходится пытаться их же взломать. Это не так.
Во-первых, специалисты по информационной безопасности “ломают” приложения и сайты не с целью наживы, а чтобы понять, где есть дыры в защите, и залатать их. Во-вторых, защищать всегда сложнее, так как новые способы взлома появляются раньше, чем средства защиты от них, поэтому безопасник всегда находится в роли догоняющего в этой гонке вооружений.
В-третьих, работа хакера в основном связана с техникой. Работа безопасности во многом опирается на других людей.
Главная ценность любой компании – это люди, но они же являются чаще всего самым слабым звеном. Поэтому, не выстроив взаимодействие с остальными сотрудниками, обеспечить безопасность не удастся
Как стать специалистом
Я считаю, что хороший безопасник должен объединять в себе несколько непростых профессий. Он должен быть неплохим программистом, сильным системным администратором и менеджером. Со средней школы я изучал Turbo Pascal, Delphi, C.
Если мне что-то надо было выучить – покупал книги для самообучения. Это помогло мне в работе системным администратором. Например, я купил книги для подготовки к экзамену на знание и администрирование компьютерных сетей. Сдача этого экзамена позволила мне стать хорошим специалистом по администрированию сетей. Всему этому, в принципе, можно научиться, если вы получаете образование по профилю. Куда сложнее стать специалистом, если вы учитесь на филологии, а не на факультете компьютерных наук. К тому же, кроме технических знаний необходимо еще и развить навыки менеджмента, общения и переговоров. В этом мне очень помогла такая вещь, как управленческие поединки. Это такой симулятор, когда два человека вдвоем решают какой-то конфликт. Сейчас, когда я нанимаю сотрудников, использую в том числе и этот метод, так как он прекрасно показывает, как будет вести себя человек в стрессовой ситуации.
Советы от профессионала
- Стоит сразу получать образование, связанное с информационными технологиями
- Пока учитесь в институте, старайтесь попасть на стажировки в разные компании и на разные направления. Так можно понять, что у вас получается, что вам правда нравится
- Лучше всего идти на стажировки в компании, которые имеют продукты с международным признанием. Они часто публикуют информацию о грядущих наборах
- В Москве проходит очень много разных тематических встреч, их можно посещать для консультации со специалистами. Например, Positive Hack Days или Zero Nights
- Читать журнал «Хакер», там много написано про взломы и безопасность
Текст: Сергей Кузминов