Специалист по обнаружению атак в сети: как выглядит эта работа на самом деле

Привет, Хабр!

Меня зовут Андрей Тюленев, я старший специалист отдела обнаружения атак в сети в Positive Technologies. Моя работа — отслеживать атаки, затем разбирать их по косточкам, чтобы не дать злоумышленникам реализовать недопустимое событие, и создавать детекты — чтобы продукты Positive Technologies могли их обнаруживать. Сегодня я расскажу, как выглядит работа специалиста по обнаружению атак, какие инструменты мы используем, как попасть в эту профессию и какие скилы реально важны. Разберем, чем мы занимаемся на практике: от написания правил детектирования и анализа трафика до участия в расследованиях, где на кону — безопасность крупных компаний.

Атака, которую никто не заметил

Прежде чем перейдем к моему ежедневному списку дел, хочу начать с истории, которая лучше всего отражает суть моей работы. Прошлой осенью я обнаружил эксплуатацию уязвимости нулевого дня (то есть о ней не знал даже вендор). В Positive Technologies мы работаем над тем, чтобы наши продукты обнаруживали не только известные уязвимости, но и выявляли атаки по общим признакам — аномалиям, которые могут указывать на компрометацию, даже если сигнатуры конкретной уязвимости отсутствуют. В ходе одной из проверок я наткнулся на следы, похожие на активность reverse shell (метод удаленного управления компьютером).

Правила обнаружения срабатывали на вывод команд Linux (whoami), ошибки Bash и вызовы wget. Удалось получить копию трафика, связанную с указанной выше активностью, и исследовать ее. В ней действительно был reverse shell, что подтверждало успешность атаки: злоумышленник уже находился в сети. Оставалось выяснить, как именно он туда проник, и для этого пришлось копнуть глубже.

Исследовав ранний сетевой трафик к узлу с reverse shell, я выяснил, какой именно продукт там использовался, и обнаружил следы внедрения SQL-кода, о котором не было упоминаний ни в интернете, ни на сайте вендора. Поискал упоминания этой уязвимости в публичных источниках, проверил базы данных эксплойтов — ничего. Тогда начал детальный разбор событий: изучил логи, сравнил поведение системы до и после потенциального взлома, проверил другие уязвимости, характерные для этого ПО. Постепенно стало ясно, что мы столкнулись с чем-то совершенно новым…

Заказчик — крупная организация — предоставил нам дополнительные данные, и буквально за несколько часов мы подтвердили: злоумышленники проникли в сеть, задействовав две уязвимости в системе видео-конференц-связи. Первая связана с внедрением SQL-кода (BDU:2024-08421 — 9,8 балла по шкале CVSS 3.0), а вторая (BDU:2024-08422 — 8,1 балла по шкале CVSS 3.0) — с выполнением произвольного кода с максимальными правами в системе. Комбинация двух уязвимостей позволяла злоумышленнику исполнять вредоносный код без аутентификации в системе с правами суперпользователя.

Важно было действовать быстро. Нам удалось не только изолировать атакующего на первом же узле, но и оперативно разработать меры защиты, чтобы атака не распространилась дальше. В течение 12 часов представители вендора устранили уязвимости и предотвратили возможное заражение российских компаний. Группа обнаружения атак в сети оперативно выпустила правила для PT Network Attack Discovery и PT Next Generation Firewall, которые позволяют выявлять эти уязвимости, а в случае с PT NGFW — и блокировать.

Чем занимается threat hunter

Основная часть моей работы в Positive Technologies связана с анализом сетевого трафика и выявлением подозрительных активностей. В этом помогает PT NAD — система, которая отслеживает аномалии в сети и помогает выявлять атаки. Наши разработки интегрируются и в другие решения компании, например в PT NGFW, PT Industrial Security Incident Manager и PT Sandbox, но в первую очередь я работаю именно с PT NAD.

Что входит в мои задачи:

Написание сигнатурных правил для выявления атак.

Разработка логики обнаружения — сложных алгоритмов, которые позволяют выявлять атаки даже без явных сигнатур, например обнаруживать DNS-туннели или атаки NTLM relay.

Работа с кодом: мы тестируем гипотезы перед передачей в разработку, и иногда приходится программировать самим.

Расследования инцидентов — анализ атак в реальных инфраструктурах заказчиков.

Последний пункт самый интересный. Мы участвуем в расследованиях либо по запросу заказчиков, когда проводим health check продуктов, либо совместно с командой Incident Response. Когда нас подключают к расследованию, мы получаем доступ к PT NAD и начинаем анализировать события. Первым делом просматриваем сработки за последние дни: фильтруем шум, выделяем наиболее опасные аномалии и изучаем их в деталях.

Дальше важный этап — контекстный анализ. Мы смотрим, откуда шла подозрительная активность, куда направлялась, насколько она могла быть легитимной. Если обнаруживаются признаки атаки, выстраиваем цепочку действий злоумышленников:

1. Через какую уязвимость они проникли в сеть?

2. Какие команды выполняли?

3. Какие привилегии у них были и как они их повышали?

4. Каким был следующий шаг атаки?

Самый частый тип атак, с которыми мы сталкиваемся, — удаленное выполнение кода (RCE). Оно позволяет атакующему развернуть бэкдор, украсть данные или запустить шифровальщик. Не менее опасны и атаки, направленные на повышение привилегий, когда злоумышленник пробирается в сеть с минимальными правами, а затем получает админский доступ и двигается дальше.

Иногда в расследованиях случаются забавные моменты. Например, мы видим, что атака проведена с использованием инструментов, в которых везде китайские надписи. Все указывает на Китай: софт, IP-адреса, даже инструкции к инструментам на китайском языке. Но затем — ключевой момент. Мы смотрим команды, которые атакующий вводит во время reverse shell, и вдруг видим кириллические символы. Человек забыл переключить раскладку на клавиатуре и в терминале внезапно появляются кириллические команды. В один момент вся красивая легенда рушится, просто хакеры пытались пустить следствие по ложному пути. Такие мелкие ошибки иногда помогают нам понять куда больше, чем даже сложный технический анализ.

Как попасть в профессию: личный опыт

Я решил связать свою жизнь с информационной безопасностью еще в школе. Тема кибербезопасности, противостояния хакерам всегда казалась мне захватывающей — не бумажная безопасность и не работа с регламентами, а поиск атак, расследования, настоящая охота за злоумышленниками. Возможно, на выбор повлияли фильмы вроде «Матрицы», но главное — мне хотелось заниматься чем-то живым и динамичным.

Университет ИТМО и Positive Technologies ведут совместную онлайн-магистратуру по кибербезопасности. Программа ориентирована на объединение прикладных концепций, навыков и технологий, используемых red team и blue team.

Когда пришло время поступать в университет, я осознанно выбрал направление информационной безопасности в Омском государственном техническом университете. Закончил его с красным дипломом, параллельно подрабатывал программистом. Но понимал, что хочу двигаться именно в ИБ, а не в разработку.

Первые шаги в профессии сделал через стажировку PT Start. Обучение проходило в два этапа:

1. Первый этап — предзаписанные лекции по сетям, инфраструктуре Active Directory, Linux и методам обнаружения атак. К каждой теме прилагались лабораторные работы, которые проверяли сотрудники Positive Technologies.

2. Второй этап — интенсивная практическая часть, где разные команды внутри Positive Technologies набирали стажеров. У каждой был свой набор заданий, и нужно было выполнить их, чтобы получить шанс попасть в команду.

По итогам обучения меня пригласили сразу несколько команд, и я выбрал отдел PT ESC и направление обнаружения атак по сети, где работаю до сих пор. Начав со стажировки в 2022 году, я прошел путь от младшего специалиста до старшего. Работа не дает скучать: задачи постоянно меняются, всегда появляются новые угрозы, требующие исследования.

Границы между уровнями специалистов довольно размытые, но в целом различия такие:

Junior (джун) — занимается разработкой сигнатурных правил для deep packet inspection (DPI, технология проверки сетевых пакетов по их содержимому для регулирования и фильтрации трафика, а также накопления статистических данных), но не участвует в расследованиях и не работает с закрытыми уязвимостями нулевого дня. Главная задача джуна — изучить трафик, разобраться в типах сработок и принципах работы сетей. Мы также постоянно анализируем поток новых CVE и хакерских инструментов: злоумышленники постоянно придумывают новые методы атак.

Middle (мидл) — начинает участвовать в расследованиях, занимается исследованиями и работает над фичами продукта. Также на этом уровне специалист глубже погружается в инциденты у заказчиков, изучает, как именно их атаковали, и взаимодействует с ними в процессе работы.

Senior (сеньор) — занимается не только технической работой, но и управлением процессами, отходит от написания сигнатурных правил и берет на себя стратегические задачи. Например, сейчас я руковожу всей работой с экспертизой в PT NAD: распределяю задачи, приоритизирую их, координирую работу команды.

Какие инструменты и подходы threat hunter использует в работе

Основной инструмент, с которым мы работаем, — Wireshark. Это классика анализа сетевого трафика, и его возможности по разбору протоколов позволяют нам глубже погружаться в уязвимости. Когда разрабатываем новый детект, необходимо воспроизвести атаку, записать трафик, а затем с помощью Wireshark найти характерные признаки вредоносной активности, которые отличают ее от легитимного поведения.

Также используем глубокий анализ трафика: внутри Positive Technologies для этого создан собственный движок PT DPI, именно под него мы пишем сигнатуры. Многие наши правила совместимы с Suricata — популярным опенсорсным анализатором трафика, который используется в различных СЗИ. Более того, мы тоже контрибьютим в open source: часть наших правил доступна для сообщества и может быть использована в Suricata. Это позволяет не только тестировать наши подходы за пределами коммерческих решений, но и вносить вклад в развитие открытых систем обнаружения атак.

Машинное обучение используется в нашей работе, но его роль остается вспомогательной. Например, алгоритмы ML помогают автоматически формировать описания уязвимостей на основе данных из открытых баз, а также выявлять аномалии в сетевом трафике. В сетевой аналитике мы используем ML для обнаружения сложных паттернов, например для идентификации Telegram в потоке данных. Что касается больших языковых моделей, они пока не находят широкого применения в исследованиях: максимум используются для генерации выжимок из длинных статей. Наша работа строится вокруг понимания сетевого трафика: мы изучаем, как выглядит нормальная активность, находим отклонения, выявляем закономерности, а затем превращаем это в работающие механизмы детектирования атак.

Какие хард-скилы важны для threat hunter и где их качать

1. Базовое понимание работы сети и сетевых протоколов

Представьте, что вы пытаетесь найти вора в толпе, не зная, как выглядят обычные люди, — так же сложно выявлять аномалии в трафике, если нет базовых знаний о сетевых протоколах. В моей практике большинство успешных детектирований атак начинались с мысли: «Что-то тут не так». Очень важно разбираться в модели OSI, принципах маршрутизации, механизмах работы ключевых протоколов. Не менее важно понимание протоколов шифрования и их особенностей: современные атаки все чаще используют зашифрованные каналы. Эти знания позволяют выявлять очевидные угрозы и обнаруживать атаки через скрытые коммуникационные каналы.

2. Быстрое освоение технической литературы

По своему опыту скажу, что главная сложность для начинающего специалиста — огромный объем информации, который нужно изучить. Причем большинство источников на английском, а иногда приходится разбираться и с китайскими документами. В сфере ИБ на русском языке доступно очень мало качественных материалов, поэтому умение работать с иностранными источниками — критически важно.

3. Понимание инфраструктур Windows и Linux

В крупных организациях доминируют инфраструктуры Active Directory (Windows). Чтобы выявлять атаки в таких сетях, нужно понимать, что в них является нормальной активностью, а что отклонением. Многие атаки используют малоизвестные особенности AD, поэтому без глубокого понимания инфраструктуры сложно обнаруживать сложные угрозы.

Linux — другая важная область. Это основная среда для серверов, и именно через уязвимости в Linux хакеры часто проникают в инфраструктуру. Большинство атакующих инструментов тоже работают под Linux, поэтому умение разворачивать такие инструменты, анализировать их поведение и моделировать атаки — обязательный навык. Хорошая новость: в процессе работы очень быстро погружаешься в эти технологии, ко мне глубокое понимание пришло именно так.

4. Навыки программирования и автоматизации

В этой сфере программирование — не основная задача, но умение писать код значительно упрощает работу. Основной язык, который используется для автоматизации рутинных процессов, — Python. Он прост в освоении, его достаточно для написания небольших скриптов и анализа данных, он подходит для разбора эксплойтов, доработки исследовательских инструментов и быстрого написания PoC. Если нашли новый уязвимый сервис, но доступный эксплойт работает нестабильно, специалист может адаптировать его под нужную среду или дописать недостающую логику. Также нужно знать синтаксис движка DPI, под который пишутся сигнатуры. Он частично схож с Suricata, но имеет свои особенности. Это важный навык, поскольку позволяет настраивать детектирование атак под реальные угрозы.

Часть знаний можно подтянуть самостоятельно — изучать литературу, разбирать атаки, экспериментировать с инструментами анализа трафика. Но если хочется системного подхода и практики, стоит посмотреть на курс, где преподают мои коллеги, — «Анализ сетевого трафика: искусство обнаружения атак». Он сфокусирован на анализе трафика, работе с Windows и Linux, детектировании атак и использовании инструментов мониторинга. Причем там будут самые последние из доступных кейсов и много практики: такой формат помогает быстрее погрузиться в реальную работу специалиста по network traffic analysis и network detection and response.

Про курс «Анализ сетевого трафика: искусство обнаружения атак»

Кому подойдет: специалистам с базовыми знаниями о сетях и техниках атакующих

Как проходит обучение: онлайн, с еженедельными онлайн-встречами с экспертами

Сколько длится: 6 недель

Какая нагрузка: 5−7 часов в неделю (включая теорию и практику на облачном стенде)

Что в программе: принципы работы сети, способы и инструменты для анализа

трафика, основные протоколы, векторы атак и инструменты злоумышленников

Когда стартуем: апрель 2025 года (то есть вот-вот)

Блиц: что важно знать, перед тем как идти в threat hunter

Кому точно подойдет эта профессия? А кому нет?

Подойдет усидчивым людям, которые готовы постоянно изучать что-то новое. В этой работе нет рутины, но всегда есть необходимость разбираться с новыми уязвимостями, инструментами и методами атак. Если человек не любит глубокий анализ и погружение в детали, ему будет сложно.

Что самое сложное в профессии, но о чем редко говорят?

Ты видишь слишком много внутренней информации заказчиков. Мы работаем с сетями организаций, видим их конфигурации, учетные данные, файлы, и очень важно уметь держать язык за зубами. Сетевые логи раскрывают больше, чем кажется, но мы «белые шляпы» — и защищаем, а не атакуем. Это вопрос профессиональной этики.

Советы тем, кто хочет стать NTA-специалистом

Изучать сетевые протоколы, понимать основы работы сетей, уметь конфигурировать инфраструктуру и работать с сетевым оборудованием. Помогает глубже понять, как устроена инфраструктура и как атакующие ее компрометируют.

Какие Telegram-каналы читать по теме
ESCalator — https://t.me/ptescalator (много полезного по безопасности)
SecurityLab.ru — https://t.me/SecLabNews (покрывает ключевые новости и угрозы)

---