Чтение онлайн

Поскольку IR-группа должна быть в состоянии реагировать на инциденты, затрагивающие любую из технологий организации, требуется, чтобы ее сотрудники имели множество навыков, в том числе работы с сетями и беспроводной связью, а также обладали опытом разработки ПО и были подкованы в теме межличностного взаимодействия. Организации с более зрелыми IR-функциями понимают ценность разнообразия среди сотрудников в группе реагирования на инциденты. В некоторых организациях такая группа также отвечает за цифровую криминалистику, а в других эти роли отделены друг от друга.

Под цифровой криминалистикой понимается расследование инцидентов, связанных с безопасностью (или даже не связанных с безопасностью событий), которое часто происходит уже после разрешения ситуации. Специалисты здесь изучают обнаруженные в системах улики, чтобы выяснить, как именно была осуществлена атака и какие данные и системы она затронула. Также они выявляют, документируют, сохраняют улики, собранные в атакованных системах, и представляют экспертное заключение по ним. В организациях, работающих в строго регулируемых отраслях, эта роль может быть особенно важна.

Все вышесказанное означает, что сотрудникам, занимающимся цифровой криминалистикой, необходимо обладать обширным набором навыков. Понимать не только низкоуровневое поведение систем, но и цепочки ответственного хранения и других концепций, имеющих отношение к работе с уликами. Люди этой профессии должны быть особенно внимательны к деталям и уметь эффективно вести документацию.

Несмотря на то что DFIR-специальности обычно относят к продвинутому уровню, опытные профессионалы из других сфер вполне могут обладать достаточной квалификацией, чтобы занимать такие должности. Бывшие сотрудники правоохранительных органов с опытом проведения расследований и работы с уликами часто находят себе здесь место. То же касается сетевых и системных администраторов, а также специалистов по обслуживанию инфраструктуры, которые хорошо разбираются в данных о событиях и низкоуровневом поведении различных систем. Кроме того, огромное значение здесь имеют навыки устной и письменной коммуникации, поскольку иногда за решение технических задач и документирование результатов отвечают разные люди.

Деятельность специалистов по архитектуре и дизайну безопасности скорее превентивна, но от этого их роль не становится менее важной. Специалисты из этой области отвечают за то, чтобы придумать, спроектировать и внедрить средства и технологии обеспечения безопасности. Эту работу часто выполняют люди, знакомые с широким спектром технологий, от брандмауэров и средств защиты конечных точек до систем управления инцидентами и событиями информационной безопасности (SIEM, security incident and event management).

Они могут взаимодействовать с сотрудниками многих других подразделений организации. Необходимо, чтобы предлагаемые ими технологии были пригодны для широкомасштабного применения. В случае крупных компаний или государственных учреждений это иногда представляет особую проблему. Архитектор безопасности должен уметь взаимодействовать со специалистами, которые не имеют отношения к вопросам безопасности и часто не обладают техническими знаниями; это нужно, чтобы дизайн и архитектура разрабатываемых систем соответствовали потребностям бизнеса.

Также для такого специалиста важно иметь представление о потенциальных угрозах и знать — по крайней мере неформально, — как разрабатывать их модели. Они должны понимать, с какими угрозами сталкивается организация, приоритизировать их в соответствии с общим ландшафтом рисков для бизнеса, а затем разрабатывать решения, которые устраняют или в достаточной степени снижают риски этих угроз.

Как и во многих других направлениях кибербезопасности, здесь коммуникативные навыки играют очень важную роль. Архитектор безопасности отвечает не только за определение требований и разработку решения, но и за представление этого решения на различных уровнях организации, чтобы получить финансирование и поддержку. Вероятно, это наиболее сложный аспект этой специальности, поскольку предполагает преодоление разрыва между техническими и деловыми соображениями. Архитектор должен не только обладать техническими знаниями для разработки эффективных средств защиты, но и понимать мотивы и методы бизнес-профессионалов, чтобы добиться поддержки своих инициатив со стороны высшего руководства.

Архитектору безопасности необходимо иметь богатый и разнообразный опыт, поэтому такая должность может быть одной из самых высокооплачиваемых в организации. Чтобы достичь успеха, он должен уметь опираться на свой опыт работы с различными технологиями, подходами и платформами, а также следить за появлением новых угроз и тенденций. Организациям подчас сложно найти таких специалистов, однако если им это удастся, уровень безопасности бизнеса существенно вырастет.

Одно из наиболее популярных и широко известных направлений кибербезопасности — ее оценка и проверка. Именно пентестер (или этичный хакер) первым приходит на ум, когда задумываешься о работе в кибербезопасности. Однако это направление не ограничивается тестированием на проникновение.

Оценка и проверка безопасности предусматривает совокупность практик, направленных на защиту организации через выявление и устранение недостатков в системе безопасности. Такие специалисты не только ищут уязвимости, но и отслеживают известные слабые места, чтобы присвоить им должный приоритет и устранить. Эта деятельность может распространяться на сети, компоненты инфраструктуры и программное обеспечение, а также выходить за рамки ИТ-систем и включать физическую охрану, проверку персонала и даже обзор общедоступной информации об организации, также известный какрдзеедкя с использованием открытых источников (OSINT, open source intelligence).

Некоторые виды деятельности, относящиеся к оценке и проверке безопасности в организации, перечислены в табл. 2.1.

Табл. 2.1. Основные виды деятельности, связанные с оценкой и проверкой безопасности

Табл. 2.1. Основные виды деятельности, связанные с оценкой и проверкой безопасности. Окончание

Специалисты по оценке и проверке безопасности должны обладать широким спектром навыков. Совершенно очевидно, что тестирование на проникновение и осуществление атак «красной» и «фиолетовой команд» требует применения множества технических знаний. Профессионалу следует уметь выявлять признаки уязвимостей и понимать методы их эксплуатации. Поскольку зачастую атакуют сетевые устройства, операционные системы, а также системное или прикладное ПО, наличие опыта в соответствующих областях может быть особенно полезным. Например, многие бывшие разработчики ПО нередко специализируются на проведении тестов на проникновение в области приложений, поскольку благодаря опыту лучше распознают ситуации, когда не соблюдаются принципы безопасного программирования.

А вот социальная инженерия обычно требует не глубоких технических навыков, а понимания основ межличностного взаимодействия, психологии и особенностей человеческого поведения, которые позволяют влиять на людей и заставлять их выполнять нужные действия. Психологическое образование или соответствующий опыт работы, например в сфере продаж, часто оказываются полезными специалистам в этой области. Многие навыки социального инженера не поддаются количественной оценке. Здесь требуется человек особого типа: проницательный, способный быстро соображать и обладающий развитыми навыками межличностного взаимодействия. Однако техническая смекалка ему тоже не повредит. Социальные инженеры должны уметь собирать информацию о своих целях, и в этом им может пригодиться определенный технический опыт.

Сочетание технических и нетехнических навыков еще важнее, когда речь идет об оценке физической безопасности. Здесь тоже, безусловно, требуются навыки социальной инженерии, поскольку при проведении подобной оценки специалистам обычно приходится взаимодействовать с охранниками, сотрудниками и другими людьми и влиять на них. Однако им также необходимы особые технические навыки, в том числе умение взламывать замки, глубокие познания в области электроники и даже опыт работы с радиосвязью.

Однако, как говорилось ранее, это направление не ограничивается выявлением слабых мест в системе безопасности. Важнейший компонент деятельности любой организации — управление уязвимостями-, это процессы и системы, которые позволяют каталогизировать, приорити-зировать и устранять выявляемые уязвимости. Кто-то возразит, что такая работа относится к операциям по обеспечению безопасности. Однако с практической точки зрения управление уязвимостями чаще всего тесно связано с ее оценкой и проверкой. В некоторых случаях за управление уязвимостями может отвечать команда специалистов по управлению рисками. Она изучает все виды рисков, которым подвергается организация, и помогает руководителям решить, какие из них необходимо устранить в первую очередь. В этом смысле управление уязвимостями хорошо вписывается в ее сферу ответственности. В конечном счете именно группа, отвечающая за оценку и проверку безопасности, должна обнаруживать слабые места, чтобы их можно было устранить до того, как ими воспользуются злоумышленники.