Путеводитель по карьере в кибербезопасности

2.1.3. Архитектура и дизайн безопасности
Деятельность специалистов по архитектуре и дизайну безопасности скорее превентивна, но от этого их роль не становится менее важной. Специалисты из этой области отвечают за то, чтобы придумать, спроектировать и внедрить средства и технологии обеспечения безопасности. Эту работу часто выполняют люди, знакомые с широким спектром технологий, от брандмауэров и средств защиты конечных точек до систем управления инцидентами и событиями информационной безопасности (SIEM, security incident and event management).
  
Они могут взаимодействовать с сотрудниками многих других подразделений организации. Необходимо, чтобы предлагаемые ими технологии были пригодны для широкомасштабного применения. В случае крупных компаний или государственных учреждений это иногда представляет особую проблему. Архитектор безопасности должен уметь взаимодействовать со специалистами, которые не имеют отношения к вопросам безопасности и часто не обладают техническими знаниями; это нужно, чтобы дизайн и архитектура разрабатываемых систем соответствовали потребностям бизнеса.
Также для такого специалиста важно иметь представление о потенциальных угрозах и знать — по крайней мере неформально, — как разрабатывать их модели. Они должны понимать, с какими угрозами сталкивается организация, приоритизировать их в соответствии с общим ландшафтом рисков для бизнеса, а затем разрабатывать решения, которые устраняют или в достаточной степени снижают риски этих угроз.
Как и во многих других направлениях кибербезопасности, здесь коммуникативные навыки играют очень важную роль. Архитектор безопасности отвечает не только за определение требований и разработку решения, но и за представление этого решения на различных уровнях организации, чтобы получить финансирование и поддержку. Вероятно, это наиболее сложный аспект этой специальности, поскольку предполагает преодоление разрыва между техническими и деловыми соображениями. Архитектор должен не только обладать техническими знаниями для разработки эффективных средств защиты, но и понимать мотивы и методы бизнес-профессионалов, чтобы добиться поддержки своих инициатив со стороны высшего руководства.
Архитектору безопасности необходимо иметь богатый и разнообразный опыт, поэтому такая должность может быть одной из самых высокооплачиваемых в организации. Чтобы достичь успеха, он должен уметь опираться на свой опыт работы с различными технологиями, подходами и платформами, а также следить за появлением новых угроз и тенденций. Организациям подчас сложно найти таких специалистов, однако если им это удастся, уровень безопасности бизнеса существенно вырастет.
2.1.4. Оценка и проверка безопасности
Одно из наиболее популярных и широко известных направлений кибербезопасности — ее оценка и проверка. Именно пентестер (или этичный хакер) первым приходит на ум, когда задумываешься о работе в кибербезопасности. Однако это направление не ограничивается тестированием на проникновение.
Оценка и проверка безопасности предусматривает совокупность практик, направленных на защиту организации через выявление и устранение недостатков в системе безопасности. Такие специалисты не только ищут уязвимости, но и отслеживают известные слабые места, чтобы присвоить им должный приоритет и устранить. Эта деятельность может распространяться на сети, компоненты инфраструктуры и программное обеспечение, а также выходить за рамки ИТ-систем и включать физическую охрану, проверку персонала и даже обзор общедоступной информации об организации, также известный какрдзеедкя с использованием открытых источников (OSINT, open source intelligence).
Некоторые виды деятельности, относящиеся к оценке и проверке безопасности в организации, перечислены в табл. 2.1.
Табл. 2.1. Основные виды деятельности, связанные с оценкой и проверкой безопасности
Табл. 2.1. Основные виды деятельности, связанные с оценкой и проверкой безопасности. Окончание
Специалисты по оценке и проверке безопасности должны обладать широким спектром навыков. Совершенно очевидно, что тестирование на проникновение и осуществление атак «красной» и «фиолетовой команд» требует применения множества технических знаний. Профессионалу следует уметь выявлять признаки уязвимостей и понимать методы их эксплуатации. Поскольку зачастую атакуют сетевые устройства, операционные системы, а также системное или прикладное ПО, наличие опыта в соответствующих областях может быть особенно полезным. Например, многие бывшие разработчики ПО нередко специализируются на проведении тестов на проникновение в области приложений, поскольку благодаря опыту лучше распознают ситуации, когда не соблюдаются принципы безопасного программирования.
А вот социальная инженерия обычно требует не глубоких технических навыков, а понимания основ межличностного взаимодействия, психологии и особенностей человеческого поведения, которые позволяют влиять на людей и заставлять их выполнять нужные действия. Психологическое образование или соответствующий опыт работы, например в сфере продаж, часто оказываются полезными специалистам в этой области. Многие навыки социального инженера не поддаются количественной оценке. Здесь требуется человек особого типа: проницательный, способный быстро соображать и обладающий развитыми навыками межличностного взаимодействия. Однако техническая смекалка ему тоже не повредит. Социальные инженеры должны уметь собирать информацию о своих целях, и в этом им может пригодиться определенный технический опыт.
Сочетание технических и нетехнических навыков еще важнее, когда речь идет об оценке физической безопасности. Здесь тоже, безусловно, требуются навыки социальной инженерии, поскольку при проведении подобной оценки специалистам обычно приходится взаимодействовать с охранниками, сотрудниками и другими людьми и влиять на них. Однако им также необходимы особые технические навыки, в том числе умение взламывать замки, глубокие познания в области электроники и даже опыт работы с радиосвязью.
Однако, как говорилось ранее, это направление не ограничивается выявлением слабых мест в системе безопасности. Важнейший компонент деятельности любой организации — управление уязвимостями-, это процессы и системы, которые позволяют каталогизировать, приорити-зировать и устранять выявляемые уязвимости. Кто-то возразит, что такая работа относится к операциям по обеспечению безопасности. Однако с практической точки зрения управление уязвимостями чаще всего тесно связано с ее оценкой и проверкой. В некоторых случаях за управление уязвимостями может отвечать команда специалистов по управлению рисками. Она изучает все виды рисков, которым подвергается организация, и помогает руководителям решить, какие из них необходимо устранить в первую очередь. В этом смысле управление уязвимостями хорошо вписывается в ее сферу ответственности. В конечном счете именно группа, отвечающая за оценку и проверку безопасности, должна обнаруживать слабые места, чтобы их можно было устранить до того, как ими воспользуются злоумышленники.
  
Чтобы еще раз продемонстрировать степень разнообразия карьерных возможностей в этом направлении, я приведу пример Квадво Берджи, старшего аналитика по работе с уязвимостями из Агентства по кибербезопасности и защите инфраструктуры США (CISA), подведомственного Министерству внутренней безопасности (DHS). Берджи выступает посредником между исследователями, выявляющими уязвимости в распространенных программах и продуктах, и организациями, отвечающими за поддержку этих продуктов. В частности, он помогает управлять базой данных общеизвестных уязвимостей информационной безопасности Common Vulnerabilities and Exposures (CVE), принадлежащей некоммерческой организации MITRE. Несмотря на то что его работа не связана с оценкой сетей и программного обеспечения, ему и его команде необходимо понимать соответствующие концепции, поскольку они помогают создавать отчеты о выявленных уязвимостях. Помимо всего прочего, его команда отвечает за то, чтобы поставщики, которым сообщается о выявленных недостатках, адекватно реагировали на эти отчеты.