Чтение онлайн

В самом начале карьерного пути, побудившего взять в руки эту книгу, вам может оказаться трудно найти свое место в сообществе, если вы не увидите среди его участников тех, с кем будете себя ассоциировать. В этот момент вспомните, о чем шла речь в этом разделе, и поймите: вам здесь не просто рады — в вас здесь нуждаются. В следующей главе мы подробно рассмотрим направления в сфере кибербезопасности, в которых вы можете найти себя.

— Кибербезопасность — это совокупность исследований, технологий и практик, используемых для защиты взаимосвязанных технологических систем, данных и пользователей от атак, несанкционированного доступа и/или повреждения.

— Цели кибербезопасности зависят от контекста, однако в цифровом мире взаимосвязанных систем все они сводятся к защите нашего образа жизни.

— Сфера кибербезопасности может существенно выиграть от разнообразия опыта и культур, и сообщество уже работает над тем, чтобы устранить недостаток в этом разнообразии.

В главе 1 мы говорили о том, что такое кибербезопасность и для чего она нужна. Теперь пришло время копнуть чуть глубже и рассмотреть различные карьерные направления, существующие в этой сфере сегодня,

В первой главе вы узнали, что разнообразие играет огромную роль в защите цифровых ценностей — одного из столпов нашего общества на протяжении уже долгого времени. Здесь вы увидите, что направления в сфере кибербезопасности также отличаются большим разнообразием.

Если вы хотите построить карьеру в кибербезопасности, вам следует начать с анализа ее направлений. В каждом из тех, что перечислены на рис. 2.1, можно выделить ряд специальностей, которые непрерывно эволюционируют и меняются. Понимание того, какие направления больше всего соответствуют вашим способностям, опыту и интересам, поможет вам лучше фокусировать усилия при построении карьеры, Учитывая динамичный характер специальностей в этой сфере, составить их исчерпывающий список и поддерживать его в актуальном состоянии невозможно.

Рис. 2.1. Основные направления в сфере кибербезопасности

Кроме того, не существует общепринятой системы должностей и категорий, хотя многие представители сообщества не раз пытались ее создать. И технология, и подходы продолжают меняться, а с ними меняются должности и методы их категоризации. Тем не менее мы попробуем выделить хотя бы основные направления, чтобы вы получили общее представление о широте и разнообразии современных специализаций. Также мы обсудим множество руководящих позиций, существующих внутри них.

Говоря об операциях по обеспечению безопасности, мы имеем в виду людей на переднем крае этой сферы, которые отвечают за повседневное управление системами, мониторинг, приоритизацию и первоначальное реагирование на атаки. Эти специалисты, как правило, обладают большим набором навыков, поскольку несут ответственность за поддержание определенного уровня безопасности всех технологий организации.

Получается, что спектр обязанностей у этих специалистов широк. За операции по обеспечению безопасности обычно отвечает центр оперативного управления информационной безопасностью (SOC, security operations center). Во многих организациях такой отдел постоянно проверяет систему на наличие признаков, связанных с безопасностью событий, Обнаружив потенциальный инцидент, сотрудники центра должны определить, атака ли это, а затем при необходимости надлежащим образом на него отреагировать.

Однако операции по обеспечению безопасности не ограничиваются рамками деятельности SOC. Зачастую к ним также относится администрирование основных средств защиты организации: этим могут заниматься сотрудники службы технической поддержки или отдельные лица в единой структуре. В конечном счете они несут ответственность за повседневное техническое обслуживание, в том числе за администрирование учетных записей пользователей и управление программным обеспечением, защищающим настольные компьютеры. В более крупных организациях над этим иногда работают целые группы специалистов. Например, те, кто обслуживает конкретные средства защиты, могут взаимодействовать с группой из SOC и службой технической поддержки, отвечая при этом за фактическое обслуживание и настройку самих средств.

Специалисты этого направления также взаимодействуют с представителями многих других направлений, о которых речь пойдет далее. Например, при выявлении атаки они могут привлечь группу реагирования на инциденты, чтобы дать более комплексный ответ (подробнее об этом мы поговорим чуть позже). Они также должны иметь представление о текущем ландшафте угроз, а потому им очень важно регулярно получать информацию от сотрудников службы киберразведки.

Многие люди, желающие построить карьеру в сфере кибербезопасности, начинают именно с этого направления. Такие специалисты часто работают с автоматизированными системами и решают однотипные задачи, оттого обучение на рабочем месте получается эффективным. Кроме того, они могут легко использовать опыт в ИТ-сфере в повседневной деятельности. Наконец, благодаря самой сути таких должностей и широкому кругу обязанностей работа в этом направлении будет отличным способом познакомиться со множеством технологий и концепций, которые специалисты по кибербезопасности призваны защищать.

Один из ключевых аспектов кибербезопасности — реагирование на атаки и выявление их источников и последствий. Область, охватывающая такие задачи, известна как цифровая криминалистика и реагирование на инциденты (DFIR, digital forensics and incident response). Оценивает потенциальные атаки и принимает первичные меры защиты от них SOC, но если атаке подвергся широкий спектр систем и требуется более скоординированный и специализированный ответ, то к делу может быть привлечена группа реагирования на инциденты (IR-группа).

Задача IR-группы — обеспечить скоординированный и методичный ответ на инциденты, связанные с безопасностью. Критерии подобных инцидентов могут существенно различаться в разных организациях. В их определении часто играют роль такие факторы, как терпимость к риску, степень важности бизнеса и ресурсы SOC. Процессы реагирования также могут сильно различаться в зависимости от организации. Размер, возможности, нормативно-правовая база, бизнес-модель и многие другие факторы влияют на то, как организация реагирует на инциденты, угрожающие безопасности.

Критерии определения инцидента и порядок реагирования на него часто документируются в плане реагирования на инциденты. Каждой организации необходимо подготовить такой план и в нем подробно описать процесс оповещения о потенциальных инцидентах, изложить последовательность действий IR-группы, а также перечислить все отделы, которые должны быть задействованы в случае необходимости.

За разработку и обновление такого плана, как правило, отвечает IR группа. Однако, учитывая, что он так или иначе затрагивает все части организации, IR-группа часто сотрудничает с юридическим отделом, отделом по маркетингу и связям с общественностью, SOC, другими группами специалистов по безопасности и даже с командами, отвечающими за развитие бизнеса и разработку продуктов.