Привет, Хабр! Продолжаем делиться интервью наших коллег, чьи истории особенно цепляют нас – и, надеемся, покажутся интересными и вам. В честь профессионального праздника у микрофона Марта Филипенко: ведущий ИБ-аналитик «СёрчИнформ», которая занимается поиском инсайдеров и уже шесть лет заменяет отдел ИБ у нескольких компаний-клиентов сразу.
Как войти в профессию с нуля, в чем специфика внутренней ИБ, от чего защищается малый бизнес и какие инциденты самые типичные? Обо всем под катом.
«Пришла в ИБ, чтоб не скучно было»
Расскажи, как ты пришла в ИБ?
Довольно издалека. Я всегда работала в поддержке – например, на последнем месте занималась сопровождением клиентов в онлайн-школе. Но стало скучно: почти везде поддержка устроена одинаково, в работе все понятно, нет вызова. Хотелось попробовать новое. И вот – увидела вакансию «СёрчИнформ».
Почему выбрала аналитику?
Не то чтобы я пробовалась на совсем незнакомую позицию. Вакансия показалась мне отчасти похожей на техническую поддержку. Но уже на первом собеседовании выяснилась разница: что предстоит не помогать клиентам разбираться в софте, а непосредственно работать с ним. Помогать обнаруживать, предотвращать и расследовать инциденты безопасности. Звучало совершенно непонятно, но очень интересно.
Это был тот самый вызов. Пазл сложился: и интересный продукт, и работа с людьми, и – алло, это настоящие расследования. Кто не мечтал побыть Шерлоком Холмсом? Так что я сразу решила, что тут мне не будет скучно. И не ошиблась: работаю уже почти шесть лет.
Что такое аутсорсинг внутренней ИБ
Чем конкретно ты занимаешься?
Если коротко, с помощью систем защиты «ловлю» в компаниях клиентов инциденты внутренней безопасности: сливы информации, мошенничество, саботаж и т.д.
Вообще ИБ-аутсорсинг – это комплексная услуга по защите данных, которую заказчик использует по подписке. В рамках сервиса клиент как бы арендует защитный софт и специалиста по мониторингу своей ИТ-инфраструктуры. Моя задача – контролировать, чтобы в рамках этой инфраструктуры соблюдались правила ИБ, а заказчик не понес ущерб от нарушений со стороны собственных сотрудников.
То есть с вирусами вы не боретесь и хакерские атаки не отражаете?
Нет, и мы объясняем это сразу: услуга на базе DLP, DCAP-систем и системы автоматического анализа пользовательского поведения. Все инструменты работают во внутреннем периметре, контролируют каналы передачи информации, порядок хранения и обработки данных, защищают от утечек информации по вине внутренних нарушителей.
Всем этим в компаниях зачастую некому заниматься, хотя тот же условный антивирус может настроить штатный ИТ-спец. При этом бизнесу важно контролировать понятные ему риски. Например, есть задачи искать признаки сговоров, откатов, финансовых махинаций. Контролировать загрузку сотрудников. Но все-таки в приоритете защита от утечек данных. Это взаимосвязанные вещи: если клиентские базы или планы разработки попадут к конкурентам, бизнес пострадает. Особенно хорошо это понимают, когда на тесте (это месяц, чтобы бесплатно познакомиться с услугой) показываешь клиенту живые примеры, как часто его сотрудники пытаются эти данные слить.
Кстати
В блоге мы разбирались, как устроен аутсорсинг ИБ в широком смысле, в чем разница между разными услугами на рынке и почему пошли своим путем.
С какими инцидентами приходится сталкиваться чаще всего?
На первом месте утечки. В широком смысле, любая отправка каких-либо документов для внутреннего пользования во вне по доступным каналам: запись на флешки, загрузка в публичные облака и т.д.
Это не означает, что каждый случай – злой умысел и сотрудник попытается перепродать данные конкуренту или слить базу в интернет. Чаще всего сотрудники не понимают, что нарушают правила. Уносят документы с собой, чтобы поработать из дома, или – очень часто – пытаются забрать «наработки» при увольнении. По сути, это просто нелегитимные действия, но они несут определенные риски для компании. Мы обязательно на эти риски указываем.
А часто бывают критичные инциденты? Можешь привести примеры?
Злонамеренные нарушения, увы, не редкость.
Например, однажды меня попросили усилить контроль за увольняющимся сотрудником. Это стандартная задача. А человек уходил не очень хорошо: повысили – не справился с новыми обязанностями, и, хотя увольнение было по согласию сторон, был риск, что он попробует отомстить. И вот я вижу, как за день до увольнения, пока ему еще не закрыли доступы, он отправляет себе архив с кучей внутренней документации. В том числе данные по зарплате сотрудников отдела. Я сразу связалась с заказчиком – со своей стороны они экстренно вмешались.
Или другой кейс. У компании был совместный проект с одним из маркетплейсов: клиенты заказчика проходили обучение и как бонус получали скидочный сертификат на покупки. Но как проект запустили, на заказчика посыпались жалобы: люди пытались активировать скидку в личном кабинете маркетплейса, а она не работала. Согласовали с заказчиком, что проверим сотрудницу, которая занималась этим проектом. Увидели, что после обучения она честно генерировала сертификаты для каждого участника, но активировала их сама, прямо с рабочего ПК. А клиентам отправляла уже отработанные «пустышки».
Что было в этой истории дальше, не знаю. В большинстве случаев нам не рассказывают. Мы передали, мол, у вас такой-то сливает, такой-то ворует, такой-то в рабочее время делает «шабашки» – заказчик принял, и все, дальше разбирается внутри. Поэтому бывает сложно оценить масштабы последствий.
Какие компании обращаются за услугой?
В основном МСБ, реже – компании от 200 ПК. Иногда в таких даже есть свои специалисты, которые занимаются ИБ. Тогда внешнего аналитика привлекают под задачу: делегируют работу, до которой не доходят руки, или доучиваются работе с DLP на «живом примере».
Тут фото
Как научиться видеть инцидент
Расскажи немного про начало своей работы.
Все начинается с обучения. Первые три недели разбираешься с софтом, затем сдаешь экзамен и проходишь практику с реальным клиентом.
Обучение по большей части было техническое: кейсы, теория, практические задачи на рабочих стендах DLP и DCAP. Но формат меня удивил. Например, когда я обучала новичков на прошлом месте, то старалась «разжевать и положить в рот». А тут: дали теорию, дали задачу – разбирайся. Это тоже часть обучения. Важно, чтобы ИБ-аналитик был самостоятельным, умел сообразить, где и как искать информацию, как ее использовать.
После обучения ты сразу стала работать с клиентами? Как строится эта работа?
Сначала была на подхвате у коллег с их клиентами, «вести» своего с нуля мне доверили через месяц. Порядок действий разработали такой. На старте заказчику дается опросник, где нужно указать: оргструктуру, приоритеты контроля, перечень критичных данных, группы риска и т.д. Потом аналитик обязательно созванивается с клиентом, знакомится лично. Объясняет суть своей работы, уточняет информацию из опросного листа, задачи. Часто на этом этапе заказчик не может их сформулировать. Но за время теста становится видно, что могут системы, первые инциденты – это помогает клиенту сориентироваться. Потом важно регулярно держать связь, чтобы корректировать работу. Еще на старте обязательно обговаривается, как часто и в каком формате это будет происходить. И отдельно – с кем связываться в экстренных ситуациях, например, когда нашли инцидент и нужно оперативно вмешаться «на месте».
Кстати
Еще об этом рассказывал наш начотдела ИБ-аутсорсинга Александр Шелоткач: как собрать стартовые вводные, наладить диалог с клиентом и почему так важна обратная связь – вот подробная статья.
Порядок работы с софтом тоже регламентирован?
Да, мы пришли к универсальному порядку действий. Если есть специальная задача от клиента – сначала занимаемся ей. В остальном, в первую очередь проверяем на инциденты, которые с заказчиком определили как критичные. От этих приоритетов отталкиваемся, когда задаем и проверяем политики безопасности.
При проверке, что выявили политики, идем по определенному списку каналов – по которым сливают чаще всего: флешки, облака, некорпоративная почта и т.д. Затем в очереди политики по опасным действиям: например, посещению запрещенных ресурсов. И так далее. Плюс уточняем результаты автоматических проверок ручным поиском, если необходимо расширить контекст инцидента, разобраться в спорных случаях.
Та же логика в работе с DCAP. Автоматические проверки постоянно идут фоном. Мы с оговоренной периодичностью сверяем: не менялись ли права доступа к нужным категориям файлов, не появились ли файлы критичных категорий за пределами «разрешенных» хранилищ. А при необходимости – вручную просматриваем, например, все операции с конкретным документом.
А как научиться самостоятельно распознавать инциденты?
У нас в отделе есть принцип: все, что кажется подозрительным – потенциально инцидент, стоит сообщить клиенту. По мере того, как определяем с ним приоритеты контроля, конечно, что-то отсеивается. Но все новое и неизвестное тщательно проверяем и обязательно спрашиваем: нормально ли, что сотрудник делает то-то, есть ли такой бизнес-процесс.
Есть, конечно, и очевидные вещи. Как я уже говорила, копирование на флешку или выгрузка в облако, например, персданных или документов «ДСП» – для нас всегда инцидент и слив данных. В остальном нужно держать в голове специфику компании.
Например, клиент подозревает, что кто-то из сотрудников шпионит в пользу конкурента. Я ставлю себя на место человека, который такое задумал, прикидываю что ему нужно: доступ к интересным конкуренту данным – раз, канал связи с конкурентом – два, возможность собрать и передать данные – три. Потом думаю, как могла бы это сделать и при этом «не спалиться».
Но «не спалиться» трудно. Всегда будут маркеры: подозрительные копирования файлов, попытки доступа к данным, внезапная активность в «левом» мессенджере вместо корпоративного и так далее. Это те стартовые точки, от которых можно работать. Надо сказать, что большинство таких вещей «зашито» в стандартные политики безопасности в ПО, дефолтные тематические словари при поиске, и т.д. Можно просто брать и использовать, не приходится изобретать велосипед.
И тут фото
Дальше – больше
Ты давно в профессии. Как изменилась твоя работа за это время?
В 2022-м мы запустили франшизу ИБ-аутсорсинга: по нашим стандартам готовим аналитиков у франчайзи, потом их курируем – консультируем, помогаем. Так как новых клиентов теперь берут партнеры, я могу сосредоточиться на нескольких, с которыми работаю уже давно.
Раньше в работе бывало по пять и больше компаний на человека, плюс по новому тесту в месяц. Но это большая нагрузка, от такой практики мы отказались и партнерам не советуем. В этом смысле стало проще. Плюс моя работа с текущими клиентами, рутинные дела сейчас делаются быстрее: появилась «насмотренность» на инциденты, прокачался навык работы с софтом.
Так что больше времени есть на обучение новичков и работу с партнерами.
Как происходит обучение партнеров?
На старте – теория, практика на стенде, экзамен. Одновременно обучаются 10-15 человек, группы набираются примерно раз в месяц. Я читаю лекции, мне сдают практические задания, я вместе с коллегами принимаю экзамен. Если человек проходит сертификацию, может приступать к работе.
За каждым аналитиком франчайзи закрепляется наставник из отдела ИБ-аутсорсинга «СёрчИнформ». Например, у меня в активе четверо партнеров, плюс еще новички. Мы на прямой связи, они могут обратиться за советом в любой момент. Активнее всего подключаемся к тем, кто проводит свои первые тесты, берет первых клиентов: порой даже совместно работаем в DLP у клиента – конечно, с его согласия. Также раз в месяц созваниваемся все вместе, обсуждаем кейсы, вопросы из практики.
Принципиальный вопрос в том, чтобы аналитики у франчайзи строго следовали нашим стандартам. Мы предоставляем им планы по организации бизнес-процессов, все скрипты, шаблоны отчетов, даже маркетинговые материалы. Но главное – подробные пошаговые инструкции, как работать с софтом, клиентом, инцидентами. Например, чек-листы с рекомендациями, какие политики безопасности, настройки систем помогут автоматизировать работу. Там перечислены основные виды инцидентов, которые встречаются в том или ином канале, советы, как их дополнительно расследовать. Чек-листы мы выработали на основе практики клиентов «СёрчИнформ» за многие годы: все-таки софтом пользуются в тысячах компаний по России и миру, они на связи с нашим отделом внедрения и делятся опытом.
Важно, что партнеры работают в регионах под нашим брендом, мы отвечаем за качество их услуг. Поэтому так контролируем их работу.
Что дальше? Какие перспективы ты видишь у себя и у направления?
Я вижу, как на наш ИБ-аутсорсинг все активнее растет спрос. Поэтому ожидаю, что франшиза будет разрастаться, станет больше партнеров. У каждого партнера будет появляться больше аналитиков в штате. Им всем предстоит оказывать поддержку, соответственно, думаю, однажды вся моя работа сведется к их подготовке и кураторству. Но меня это не пугает – это все еще работа с людьми, расследованиями, инцидентами. Заскучать мне пока не грозит 😊
И напоследок: какими качествами, по-твоему, должен обладать ИБ-аналитик?
Первое, что я бы назвала: нужно быть готовым ко всему и не бояться «жести». В работе приходится насмотреться всякого. В моей практике не было компаний, где все были бы паиньками – и я говорю не только про нарушения политик ИБ.
Еще аналитику полезно быть усидчивым, но шустрым, быстро ориентироваться. При этом нельзя позволять себе невнимательность. Как говорится, дьявол кроется в деталях: и наша работа состоит в том, чтобы вовремя их заметить и «раскрутить». Бывает, что буквально одно действие пользователя, один «левый» email-адрес, один странный запрос в гугл – это та зацепка, по которой вытягивается инцидент. Вот это важно.
И еще фото напоследок
P.S. С Днем специалиста по безопасности всех причастных!
ссылка на оригинал статьи https://habr.com/ru/articles/857852/
Добавить комментарий