Информационную безопасность часто представляют как скучную «айтишную охрану» — поставил антивирус, настроил пароли и можно спокойно спать. В реальности это высокотехнологичная сфера, где каждый день идут настоящие боевые действия: уязвимости в коде, сложные DevSecOps-процессы, защита миллионов рублей и репутации крупных компаний.
Я, Александр, автор телеграм-канала «Shulepov Code», поговорил с Алексеем Федулаевым — руководителем отдела облачной безопасности МТС Web Service, бывшим руководителем ИБ в Wildberries, автором Telegram-канала «Ever_Secure» и постоянным спикером профильных конференций – о том, как на деле устроена профессия: от детского взлома родительских паролей до защиты корпоративных облаков, почему DevSecOps-специалисты входят в топ самых высокооплачиваемых ИТ-профессий и как в этой сфере не выгореть, когда угрозы появляются каждый день.
От мечты стать врачом к карьере в кибербезопасности
Александр: Алексей, расскажи, как ты попал в информационную безопасность?
Алексей: С детства хотел стать врачом – хорошо давались химия, биология, математика, физика. Учился в химико-биологическом классе. Но понял, что не хочу работать с людьми, с детьми.
Когда я был в девятом классе, дядя, работавший в безопасности, посоветовал поступать на кафедру информационной безопасности. Я подал документы на две специализации – «ИБ телекоммуникационных систем» и «ИБ автоматизированных систем». Прошел на обе, выбрал ту, где был выше проходной балл.
Но настоящее знакомство с безопасностью началось раньше.
Первые хакерские опыты: как обходить родительские пароли
Алексей: В пятом классе у меня появился компьютер. Я любил играть, родителям это не нравилось. Начал учиться обходить пароли на Windows – вынимал батарейку BIOS (базовой системы ввода-вывода), сбрасывал настройки, включал компьютер.
Вечером приходил отец: «А где пароль?»
Я делал удивленное лицо: «А что, пароля не было? Не знал, так бы весь день играл».
Конечно, я весь день играл.
Потом научился вынимать разъёмы, подключать всё правильно, завел запасной шнур питания для компьютера. Всё началось с интереса и любопытства.
Эксперименты с телефонами и взлом Wi-Fi сетей
Алексей: Мы с другом увлекались телефонами. У меня был HTC HD 2 на Windows Mobile – мы перепрошили его под Android 4 на первом курсе университета.
Тогда HTTPS (защищённый протокол передачи данных) толком не существовало. Приходишь в кафе, подключаешься к общественному Wi-Fi, перехватываешь сессию ВКонтакте у случайного пользователя, заходишь на страницу, ставишь аватаркой Джигурду, пишешь что-нибудь в статусе. Технически владеешь чужим аккаунтом.
На первом курсе купил iPhone 3GS из Пензы – залоченный на американского оператора Verizon, о чем не знал. Потратил кучу времени на форумах, чтобы взломать телефон. Пришлось перейти на iPad-прошивку для работы сети. Потом продал дороже, чем купил.
А у друга был Galaxy S3. Учились делать root (получать права суперпользователя) по урокам из интернета, где шанс превратить телефон в кирпич – 50 на 50. Первый раз запороли бутлоадер (загрузчик). Искали в Пензе мастера, который восстановил прошивку.
Макинтош, погружение в мир технологий и переход в безопасность
Алексей: Хотелось Mac – эстетика, любопытство. Винду пробовал, Linux пробовал, а Mac еще нет. Родители подарили Dell-ноутбук – решил сделать макинтош (Hackintosh). Не завелись сеть и звук. Пришлось перебирать драйвера с Linux, перепаковывать их в кексты (расширения ядра) для Mac. Перепробовал кучу дистрибутивов, вытаскивал драйвера, перепаковывал. Завел сеть и частично звуковую карту.
Постоянно хотелось что-то расковырять, разобраться. Этому способствовала атмосфера тех лет – книжки Криса Касперски, очень крутого реверсера (специалиста по обратной разработке). Не путать с Касперским!
Тогда существовали сайты VX Heaven (сейчас VX Underground) – коллекции вредоносного ПО. На первом-втором курсе дописал полиморфный генератор на ассемблере (низкоуровневом языке). Он разделял код кусками, вставлял мусорные инструкции. Каждая перегенерация давала разный код.
Александр: На чем писал?
Алексей: Ассемблер и C. В школе – Pascal и Visual Basic. Интерес прибавился, когда показали, что программированием можно не только числа складывать, но и пакостить.
Во времена Windows 98 можно было управлять элементами интерфейса. Ведешь мышку к кнопке «Пуск» – она убегает. Это развлекало.
На первом курсе глубоко изучил C++, устроился работать. В безопасность не взяли – не хватало знаний. Пошел backend-разработчиком (разработчиком серверной части) на PHP.
PHP очень похож на C, потом перешел на Perl. На втором курсе устроился в информационную безопасность на полноценную работу.
Проект в информационной безопасности, который «вынес мозг»
Александр: Какой проект в твоей работе и деятельности «вынес тебе мозг»?
Алексей: Было несколько таких проектов. Самое интересное – работал в Москве, в открытой мобильной платформе, помогал сертифицировать операционную российскую систему «Аврора». Со мной связались ребята из лаборатории Касперского. Рекрутер на месяц пропал, потом пригласил на собеседование. Пришли Катя Рудзина, Максим Юдзин, другие ребята. Меня так вынесли по информационной безопасности, что я подумал: «В смысле? Как так? Насколько большая разница в понимании?»
Я решил: приду, заберу ваши знания.
Secure by Design и уязвимости Spectre
Алексей: У них был проект над продуктами на Касперский С, Secure by Design (безопасность, заложенная в проекте). Грамотная конструктивная безопасность позволяет защититься даже от еще неизвестных уязвимостей.
Они объяснили про уязвимости Spectre и Meltdown – манипуляции предиктивным исполнением процессора. Процессор не последовательно исполняет команду – пока ждёт, начинает предварительно исполнять вперёд. Просчитывает разные ветки, потом выбирает нужную. Из этих просчитанных веток можно было получить доступ в защищённый сегмент памяти до того, как процессор поймёт, что что-то пошло не так.
Пришел, действительно показали. Частично уязвимость работала, но такого импакта (воздействия) не давала.
Опыт важнее денег
Александр: Ты сразу сказал: «Я приду, заберу ваши знания». Надо идти за опытом, а не за финансами, потому что этот опыт будешь продавать дороже.
Алексей: Да. Обычно это бок о бок идет. Не стоит гнаться только за финансами. Бывает сложный выбор: где-то предлагают больше, но есть другие факторы – коллектив, атмосфера в коллективе.
Если есть большой заряженный коллектив, год работы даст гораздо больше прироста и опыта. Многие путают – стаж не равняется опыту. Можно 10 лет сидеть, штаны протирать. Можно за год поработать с такими людьми, очень многому научиться, выйти специалистом совсем другого уровня. Год в одной компании, год в другой компании – неравны. Я пришел, было много интересного, многому научился.
Александр: Каким проектом гордишься больше всего?
Алексей: Моим образовательным проектом. Их много – много материалов по безопасности, собранных в одном месте.
Когда я всему этому учился, не было книжек, не было курсов. Приходилось вычленять по кусочкам, тренироваться. Сейчас у меня собрано все в одном месте. Плюс усиленно веду образовательную деятельность – донесение понимания безопасности, ценности безопасности в массы.
Первый миллион: путь предпринимателя и эксперта по информационной безопасности
Александр: Когда ты заработал свой первый миллион? Какие ощущения были?
Алексей: Это было много лет назад. У меня была своя компания, мы разрослись. Начинал один, параллельно с основной работой. Нашли интересные заказы.
Первый месяц-полтора – сущий ад. Я это тащил один. Уходил на работу, приходил, сидел до ночи. Суть русского предпринимателя – делал вторую работу. Дальше по кругу.
Потом присоединился друг. Когда стали делать вместе, немножко выдохнул. Месяц-полтора безостановочной работы – начали масштабировать, подтягивать людей. Неплохие контракты, миллионные обороты.
Но все закончилось после 2014 года, когда эти фирмы пролетели. Договор был до 2014 года с определенной суммой, а после – оборудование подорожало в два раза – это ваши проблемы. Часть сопровождения, которым мы занимались, попала под нож. В 15-м году доделали проект – и всё.
В первую очередь купил себе нормальный MacBook, чтобы работать. У меня был уже до этого MacBook 11-дюймовый. Чтобы работать везде и постоянно, взял MacBook Air, один из первых.
Windows, Linux, Mac: какая система действительно безопаснее
Александр: Правда ли, что Linux намного безопаснее Windows?
Алексей: Не согласен. Любая система может быть безопасной или небезопасной – всё зависит от конфигурации.
Старые версии Windows до семерки были дырявыми. Их проектировали как однопользовательские домашние системы. С Windows 8 и 10 ситуация значительно улучшилась.
Почему на Mac меньше вирусов: разрушаем мифы
Алексей: Атак на Windows больше из-за распространенности. История про отсутствие вирусов на Mac – миф. Вирусы есть, просто их меньше. Mac был менее популярен, поэтому злоумышленникам выгоднее создавать вирусы под Windows – больше жертв, больше денег.
Проблема Windows – культура использования
Алексей: В Windows был большой слой неподготовленных пользователей. Вирусы распространялись через торренты. Кто качает пиратский контент? Те, кто не готов платить и не понимает рисков.
Второе – UAC (User Account Control – контроль учётных записей). Когда запускаешь программу с правами администратора, появляется окно подтверждения. Люди устали постоянно кликать, привыкли, перестали воспринимать всерьез. Запускали вредоносное ПО: «Блин, опять винда» – и соглашались.
Linux и культура безопасности
Алексей: В Unix-системах права root (суперпользователя) нужны не всегда. Зашел под рутом (специальный аккаунт), сделал дело, вышел – работаешь под обычным пользователем. Можешь повысить привилегии при необходимости.
В Windows постоянно работаешь администратором с высокими привилегиями. Пользователей не учили создавать обычного пользователя, ставить пароль, не работать с правами админа. Unix-системы нативно подсовывают правильные конструкции безопасности.
Александр: Чем ты пользуешься?
Алексей: С 2013 года не пользуюсь Windows – только Mac и Linux. Ноутбук – Mac для документов.
Александр: Нет проблем с программами на Mac?
Алексей: Не сталкивался. В 2014-2015 нужен был Word для документации. Сначала решал через торренты и Parallels (программа для виртуализации), потом купил Office 365.
Есть способы многократной активации. Купил ключ, активированный на закрытом предприятии. Компьютер может умереть, а я могу переактивировать Office.
Информационная безопасность vs кибербезопасность: в чем разница
Александр: В чем разница между информационной безопасностью и кибербезопасностью?
Алексей: Информационная безопасность – более широкое понятие. Это состояние защищенности информации. Кибербезопасность – устойчивость конкретной системы к кибератакам.
В университете учили, что ИБ – это конфиденциальность, целостность и доступность:
-
Информацию не может прочитать тот, кто к ней не допущен;
-
Её нельзя подменить;
-
В нужный момент можем получить доступ.
Западные книги дали расширенную модель. Классическая триада CIA (конфиденциальность, целостность, доступность) дополняется аутентичностью, достоверностью и подотчетностью.
Простой вопрос: цифровая подпись – это конфиденциальность, целостность или доступность?
Александр: Целостность?
Алексей: Частично. Подпись обеспечивает целостность, но также показывает аутентичность – откуда пришел документ, и кто его создал.
Информационная безопасность – общее понятие без границ. Кибербезопасность ограничена рамками конкретной системы – сети, сервера, облака.
Облачная безопасность: как защищают современные облака
Александр: Что такое облачная безопасность?
Алексей: Как в анекдоте: «Папа, из чего сделаны облака?» – «Из серверов на Linux, сынок».
Облака – распределенные системы, наборы компьютеров. Раньше использовали VMware – систему виртуализации для запуска гостевых машин. Железо объединяли в кластеры, нарезали ресурсы.
Сейчас современные облака – это Kubernetes (платформа оркестрации контейнеров). Позволяет гибче, проще и быстрее приходить к нужному состоянию. Обеспечивает изоляцию между пользовательскими нагрузками через механизмы безопасности Linux.
Что входит в облачную безопасность
Алексей: Это безопасность underlay-инфраструктуры (физической инфраструктуры) – того, что под Kubernetes:
-
Серверы на Linux;
-
Физические сети;
-
Безопасность самого Kubernetes;
-
Корректность настроек компонентов;
-
Оверлейные сети (виртуальные сети поверх физических) для разграничения доступа.
Александр: Злоумышленнику сложнее получить доступ, потому что всё разбросано?
Алексей: Наши девопсы (специалисты по разработке и эксплуатации) постоянно всё переделывают без документации. Злоумышленник, попавший в облако, теряется в незнакомой среде. Хотя бывает, что хакеры разбираются в инфраструктуре лучше сотрудников.
В публичном облаке огромная обвязка: Security Operations Center (центр мониторинга безопасности) с мониторингом, сбор событий безопасности, настройки Control Plane (управляющего слоя) в Kubernetes, политики доступа.
VPN: зачем он нужен и как работает
Александр: В облако любой может зайти через интернет. Как защищаться?
Алексей: Есть внешний периметр и точка входа – VPN (виртуальная частная сеть). Он может быть публичным, но закрыт на аутентификацию. Просто так не зайдешь.
Представь периметр компании: маленький кусок выступает наружу. Внутрь можно попасть, пройдя защиту. Не нужно предоставлять доступ ко всему – только по VPN с логином и паролем.
Как в обычной компании: сайт в публичной сети. Но базы данных, компьютеры сотрудников – доступ только через VPN.
Зачем ограничивать область атаки
Выступающий периметр – всегда риск. Был GitLab hack (Взлом учётной записи) – забыли про тестовую машину с доступом извне. Зашли, эскалировали привилегии (повысили права), зашифровали данные. В GitLab, Exchange постоянно находят уязвимости.
Торчащий периметр должен жестко контролироваться, остальное – за VPN. VPN – просто технология, инструмент. Как молоток: можно сделать ремонт, можно кого-то стукнуть.
Александр: Думал, в банке запускают VPN для обхода блокировок.
Алексей: VPN для обхода блокировок – другое применение. VPN – технология для объединения машин в виртуальную сеть. Использовать можно по-разному.
Для ChatGPT запрос идет не с твоего сервера, а с того, к которому подключен. Так же общаешься со своей закрытой инфраструктурой. Все крупные организации с удаленкой используют VPN – это протокол.
Современные угрозы: как сейчас взламывают компании
Александр: Как сейчас взламывают? DDoS (распределённые атаки на отказ в обслуживании), фишинг?
Алексей: DDoS, фишинг, мисконфигурации (ошибки в настройках) – убрали авторизацию, добавили API endpoint (точку входа интерфейса) без защиты. Пролезли, подняли прокси.
Атаки на цепочку поставок: новая угроза
Алексей: В последнее время актуальны атаки на supply chain (цепочку поставок). Все используют библиотеки, коммерческий софт. Случай SolarWinds: хакеры отравили конвейер разработки, добавили backdoor (скрытый вход).
У мейнтейнеров (поддерживающих разработчиков) крупных библиотек люди годами ждали доступа, чтобы добавить бэкдор и распространить по всем системам. Использование сторонних зависимостей может привести к печальным последствиям.
Пример – Log4j: можно было выполнить код удаленно, просто сформировав определенную команду. Злоумышленнику не нужен был доступ внутрь – он отправлял запрос на выбивающуюся часть веб-приложения. Если был путь до библиотеки, мог исполнять код в закрытом сегменте.
Red Teaming: как тестируют безопасность компаний
Александр: Понравилось в твоем подкасте – люди переодеваются в форму, заходят с лестницами, вставляют флешки. Как в фильме!
Алексей: Я рассказывал про red teaming (тестирование красной командой) – когда компания нанимает команду для атак на себя. Смотрят, как реагирует компания, как работает внутренняя Blue Team (синяя команда защиты).
Если есть возможность физически прорваться в серверную, выдернуть диск или исполнить код – это обговаривается с заказчиком.
Нужно не обязательно украсть данные, а вставить флешку или выполнить программу. Достаточно доказать возможность нанести урон. Компания проверяет не конкретный сайт, а всю безопасность.
Был сериал «Мистер Робот» – там так раскидывали флешки.
DevOps и DevSecOps: почему это высокооплачиваемые профессии
Александр: Кто такие DevOps?
Алексей: DevOps (Development + Operations) – по сути, объединение разработки и эксплуатации.
Раньше была команда разработки – писали софт и инструкции по развертыванию. И команда эксплуатации – развертывала и поддерживала. Неудобно: разработчики не любят писать документацию.
Все сталкивались: сидишь с гайдом, на третьем шаге всё по-другому, не работает. Методология DevOps решила это – команды объединили. Разработчики работают вместе с теми, кто развертывает.
Можно сказать: «Как ты это написал? Что хотел?» Появилась повторяемость.
Раньше нам нужно было развернуть код – не могли. Приходилось ехать в Серпухов к заказчику, чтобы на их компьютере собрать точно такой же код. А у нас не работал или собиралось другое.
Что изменилось с приходом DevOps
Алексей: Стало удобнее, быстрее. Ребята стали делать разные окружения для программистов. За счет контейнеризации пропал конфликт библиотек – всё в контейнерах.
Появилась автоматизация, CI/CD (непрерывная интеграция и доставка) – небольшими шагами делаем кусочек, пушим код, проходит проверки, тесты, выкатывается. Это культура.
Белые и черные хакеры: этика в кибербезопасности
Александр: Кто такие белые и черные хакеры?
Алексей: Белые работают на светлой стороне – используют навыки для улучшения безопасности компаний, поиска слабых мест за вознаграждение.
Александр: Их нанимают?
Алексей: Да. Есть компании, занимающиеся пентестом (тестированием на проникновение), есть багхантеры на bug bounty (программах вознаграждения за уязвимости).
Bug Bounty: можно ли зарабатывать на поиске уязвимостей
Александр: Расскажи про bug bounty – можно зарабатывать?
Алексей: Компания, уверенная в безопасности, может сказать: «Найдете уязвимость – выплатим компенсацию».
Белые хакеры ищут уязвимости, находят, сдают по bug bounty, получают деньги.
Александр: Можно этому посвятить работу?
Алексей: Сейчас нет. Когда были западные площадки, выплаты были интереснее – можно было жить. Бываю на мероприятиях для багхантеров. Есть талантливые люди – 1-2-3 на большое количество. Для остальных это подработка. Хотя есть исключения.
Александр: Bug Bounty – белые хакеры или тестировщики?
Алексей: Люди с навыками взлома. Белые тратят знания во благо, черные – во вред. Сливают данные, продают, шифруют.
Тестировщики в эпоху автоматизации
Александр: Тестировщики смотрят визуальные ошибки?
Алексей: Не только. Раньше смотрели руками. Сейчас огромное внимание автотестам – программируют тесты. Это ближе к DevOps. Пайплайны (конвейеры разработки), всё проверяется автоматизированно.
Даже manual QA (тестировщики, выполняющие ручное тестирование) – тренд учить безопасности. Проверяют, заодно бёрпом (инструментом Burp Suite) потыкают, посмотрят SQL-инъекции, XSS (межсайтовый скриптинг). Им интересно.
Александр: Тестирование меняется?
Алексей: Уже изменилось. Возможно, не до всех компаний дошло. Говорят: «Леша, ты видишь другой мир, работаешь в крупных компаниях». Но автотестеры (специалисты по автоматизированному тестированию) – высокооплачиваемая профессия. По сути, программируют.
3 критические ошибки компаний в безопасности
Александр: Какие частые ошибки совершают компании?
Ошибка №1: Заблуждение – мы не интересны для взлома
Алексей: Первая – пренебрегают безопасностью. «Нас пять лет не ломали, никому не интересны». Нет, вас просто не нашли. Найдут – ляжете, потеряете данные.
С 2022 года очень выросло количество атак.
Ошибка №2: Неправильные приоритеты безопасности
Алексей: Приходишь в компанию – периметра нет, можно делать что хочешь. Говоришь: «Давайте заборчик поставим, чтобы не таскали коров, потом улучшим производство молока».
А они: «Мы молоко улучшаем, автоматизируем». Коров уже не осталось – всё вытащили.
Ошибка №3: Перфекционизм не в ту сторону
Алексей: Даже если понимают, что нужно, пытаются довести до перфекционизма. «Поставим SAST (статический анализ безопасности), всё найдем». При этом RDP (протокол удалённого рабочего стола) со слабыми паролями.
Можно выстроить супер application security (безопасность приложений), но бесполезно, если зайдут и вынесут базы через взломанный endpoint (конечную точку) – потому что не уделяли внимания инфраструктуре.
Реальный пример: root/qwerty123
Алексей: Пришел на работу – дают виртуалку root/qwerty123. Думаешь, вряд ли взломщик подумает, что так просто. Нет.
Есть теневые форумы. Находил мануалы от Lockbit – там написано, как ломать. Ищут точки входа VPN со слабыми паролями, заходят.
Большая часть атак строится на Pass the Hash (передаче хеша пароля) – восстанавливают пароль администратора, полагая, что он везде одинаковый. Получили пароль, зашли туда, где бэкапы, пароль админа скорее всего такой же – шифруют всё, фирма остается ни с чем.
Александр: У меня на Mac 8 паролей слитых, рекомендуют поменять.
Алексей: Значит, пароли в базах утечек. Злоумышленники могут использовать.
Бывает последовательный перебор, но неэффективно. Есть списки: топ-100 паролей, топ-10 тысяч. Самый популярный – QWERTY123.
Password spray (подбор одного пароля на множество учётных записей) – не перебираем одного пользователя, а один пароль на всю инфраструктуру. Вдруг кто-то не поменял дефолтный – легкая точка входа.
Безопасность нужна всем: от стартапа до корпорации
Александр: Каким компаниям нужна безопасность? Нужны ли маленьким или только крупным? Это же корпорации – Wildberries, МТС?
Алексей: Нужна тем, которым есть, что терять, у кого есть, что украсть, работу которых можно остановить с убытками. Грозит ли взлом малому бизнесу? Да!
Отправляете товары, всё заблокировали на неделю. Денег нет, плюс штрафы за невыполнение контрактов. Фотостудия – положили сайт. Теряете клиентов, они заходят – там что-то некрасивое. Отказываются от услуг.
Безопасность – не конечное состояние. Это постоянная работа, как физическое здоровье. Походил в зал месяц – здоров навсегда. Нет, постоянная работа. То же с безопасностью. Новые угрозы, векторы атак, уязвимости. Нужно мониторить, обновляться, проверять.
Александр: Как SEO (поисковая оптимизация) – постоянно работать, иначе съедешь.
Алексей: Точно. Даже без негативного воздействия. Появляются векторы атак – стоишь на месте, уже уязвим.
Как устроена безопасность в крупных компаниях
Александр: Как обстоят дела у крупных компаний с тысячами сотрудников? Отделы, аутсорс?
Алексей: По-разному. Есть аутсорс. Российский бигтех (крупные технологические компании) держит in-house (собственные отделы).
Целые отделы:
-
Управление безопасностью инфраструктуры;
-
Сканирование периметра, внутренней сети;
-
Сканирование веб-части;
-
Пентестеры (тестировщики на проникновение);
-
Безопасная разработка;
-
Security Operations Center (SOC – центр мониторинга безопасности).
Выстраиваются процессы: как софт вводится в эксплуатацию, какие проверки, дизайн-ревью (проверка архитектуры), чтобы не переделывать архитектуру.
Пентесты продукта, security assessment (оценка безопасности) – специалист посидит, проверит. Добавился endpoint – заново проверка. Плюс техдолг (технический долг) по уязвимостям.
Может добавиться bug bounty – уязвимости в работу.
Нейросети в информационной безопасности
Александр: Ты используешь нейросети в своей работе?
Алексей: Нет. Я не противник. Просто ту базовую информацию, которую мне сейчас могут дать нейросети, я получил много лет назад. Нейросети пока не способны на те изыскания, которые я делаю сейчас.
Я пришел в нейросеть, потыкал, посмотрел, что показывает, выдает, закрыл – нет. Давайте объективно: нейросеть может написать код как Junior (начинающий разработчик), может быть Junior+, но многого не сможет сделать именно в той интерпретации, как тебе нужно.
Проблема датасетов (наборов данных)
Алексей: По поводу использования в безопасности – другая проблема. Всё упирается в наличие датасетов (наборов данных), которых не так много, особенно про безопасность. Модель должна быть научена на огромном количестве данных, а огромного количества данных у людей нет.
Банальный пример: можно было бы распознавать уязвимости в коде, но пока мы такого продукта не видим. Видим те, которые помогают распознавать фолзы (ложные срабатывания) с каким-то рейтом (процентом).
Почему этого не видим? Нужно огромное количество данных, чтобы нейросеть научилась. Где их взять? Есть какой-то софт, они же не выложат все свои отчеты за всю жизнь по уязвимостям. Тебе нужно много софтов, много отчетов по уязвимостям, которых нет.
Еще есть агенты – сценарий прописываешь, но это всё больше на автоматизациях. Дообучающиеся нейронки – это как dataset poisoning (отравление набора данных). Я могу обучать не совсем корректно, неправильно размечать отчет – она пойдет обучаться в другую сторону, не в ту, которую задумали разработчики.
Думаю, полноценно это может сформироваться чуть позже, будут выдавать гораздо лучшие результаты. Пока нет таких данных, сами модельки нужно совершенствовать.
Карьера в информационной безопасности: с чего начать
Александр: Что нужно знать, чтобы стать инженером ИБ? Нужно высшее образование?
Алексей: Сейчас высшее не обязательно. Не скажу, что не дает плюсов. Тогда сильно отставало. Сейчас меня приглашают в топовые университеты читать лекции.
Уровень выше, знания свежие от специалистов. Но вижу всё меньше ограничений – человек может прийти без образования, если разбирается. Есть – хорошо, нет – не страшно.
Что нужно знать для разных специализаций ИБ
Алексей: Application security (безопасность приложений): базовое владение языком программирования – придется смотреть код. Популярны Go, JavaScript. Разобраться с JSON (форматом обмена данными), уязвимостями, как работают. Понять процессы, как выстраивать взаимодействие, уметь воспроизвести эксплуатацию.
Общие знания: протоколы, HTTP, HTTPS, как работает, что можно с куками (cookies), какие флаги кук – всё про клиент-сайд (сторону клиента).
SOC (центр мониторинга): можно попасть на первую линию. По системам размазано много сборщиков логов. Логи собирают события, падают в SIEM (систему управления событиями безопасности), который коррелирует. Если что-то нехорошее – передают алерт специалисту, он реагирует. Дают плейбуки (инструкции). Не понимает – передает на следующую линию. Более опытный не разгребает весь поток, а только сложное. Если действительно инцидент – дать реакцию, предупредить команду, начать реагирование.
Нужно: понимание событий Windows и Linux, сислогов (системных логов), опыт администрирования – понимать, куда программа должна идти, что меняется в /etc/shadow (файле с паролями).
Сколько времени нужно на обучение информационной безопасности
Александр: Сколько нужно времени, чтобы найти работу?
Алексей: Сложно сказать. Беру на стажировки ребят.
Парень может рассказать про Linux, повышение привилегий, reverse shells (обратные оболочки), базовое пользование. Что-то знает про контейнеризацию, механизмы изоляции. Умеет в уязвимости работать – может объяснить, как работают. Для стажера достаточно.
К стажёру на старших курсах требования выше – зависит от пройденного. В университете проходят программирование – надо уметь, понимать базовые устройства.
Уязвимости веб-приложений: что нужно знать разработчикам
Александр: Какие уязвимости у фронтенд-разработчика для компании?
Алексей: Весь фронт – JavaScript. Появляется WebAssembly (технология выполнения кода в браузере), но вызов через JavaScript. На клиентской части в браузерах только JavaScript – с ним работаете.
Основные типы уязвимостей сайтов
Алексей: По защите сайта есть определенные best practices (лучшие практики). Это огромный объем задач. У сайта есть фронт-часть и бэк-часть. У каждой свои уязвимости.
Уязвимости фронта:
-
Неправильная интерпретация и инъекция JavaScript-кода
-
DOM-инъекции (инъекции в объектную модель документа)
-
XSS-инъекции в разных видах
Уязвимости бэкенда:
-
Command-инъекции (инъекции команд)
-
IDOR (Insecure Direct Object References – небезопасные прямые ссылки на объекты)
-
Path-траверсалы (обход пути)
-
SQL-инъекции
-
CSRF (Cross-Site Request Forgery – подделка межсайтовых запросов)
Взаимодействие между клиентской и серверной частью должно быть зашифровано. JavaScript не должен получать куки напрямую.
Александр: Слышу много про JavaScript, что через него многое ломают.
Алексей: Есть JavaScript на бэкенде. Cross-site scripting (XSS) позволяет инъектить код на страницу – вытащить куки, карты. На бэкенде это уже remote code execution (удаленное выполнение кода) – можешь делать всё.
Есть подделка запроса со стороны клиента. Скопируешь ссылку на отправку 100 рублей. Поэтому много: как обращаться с куками, выстраивать CORS (механизм обмена ресурсами между разными источниками), передавать данные, обрабатывать, фильтровать символы.
WordPress: почему это проблема безопасности
Александр: После 2022 года ломанули огромное количество сайтов через плагин ACF (Advanced Custom Fields) – взяли, повесили баннеры. Пришлось править.
Алексей: Большой минус WordPress – постоянно проблемы, обхожу стороной.
Как MacBook и Windows – WordPress массовый, постоянно с ним что-то делают. Есть менее массовые движки – их мало ломают.
Фундаментальная проблема: плагины никем не контролируются. Можно сделать вредоносный плагин, люди качают, пользуются – через это проще взломать. Простого решения нет.
ИТ-культура в России: конференции и сообщество
Александр: Выступаешь на конференциях, ездишь по городам. Вижу, что IT-культура в России растет. Раньше конференции только в Москве или Питере, сейчас почти в каждом городе. Так?
Алексей: Да. Ульяновск давал помещение университета для конференции. Ездил в Нижний Новгород на Дефкон – университет выделил актовый зал, помещения, позвали выступить, были воркшопы (мастер-классы). Студенты с удовольствием пришли.
Движется во многих местах. Где-то ярко – Москва и другие. Где-то менее ярко или зачаточно. Но тенденция есть.
Александр: Выступаешь, отдыхаешь, на барабанах играешь.
Алексей: Барабаны, гитара, бас. Недавно забросил. Занимался тайским боксом.
Как справиться с выгоранием в IT
Александр: Выгорание бывает?
Алексей: Да. Всё, надоело, не хочу.
Александр: Как справляешься?
Алексей: Не так работает, что проснулся выгоревшим. Выйдет подкаст про выгорание с психотерапевтом – самый долгий, снимали 4,5 часа.
С опытом начинаешь чувствовать момент. Не в один день встаешь выгоревшим. Постепенно тяжелее. Важно при повышении нагрузки повышать отдых – держать баланс. Путешествия, впечатления, физическая активность. Со временем учишься чувствовать.
Понимаешь: потерплю недельку. Видишь, что дальше идет. В момент понимаешь: если так дальше, будет тяжело. Идёшь к руководству: «Поднапряжемся недельку, потом отдохну». Руководство понимающее.
Как выстраивать здоровую атмосферу в команде
Алексей: Мне как работодателю не интересно, чтобы пришёл человек, за три месяца сгорел, ушел. Хочется выстраивать здоровую атмосферу и баланс.
Бывают инциденты, взломы. Должна быть лояльность с обеих сторон. У меня проблемы – люди задержались, сейчас приветствуется, всё оплачивается. Не как раньше – культ переработок. Они оплачивались, но когда получаешь 20 тысяч, переработки ничего не значат.
Должна быть лояльность к сотрудникам. У всех животные, дети, родители, проблемы, болезни, отпуска. Баланс нужен.
Александр: Надо заставлять отдыхать. «Ребята, мне не надо». – «Нет, надо». Следить за атмосферой, потому что выгорание может закончиться серьезными проблемами по здоровью.
Мечта: новый уровень обучения ИБ в России
Александр: Последний вопрос. Есть мечта?
Алексей: Да. Планирую сделать новый уровень обучения информационной безопасности в России – другое качество материалов. С большим пониманием безопасности будут выходить специалисты. Достойно.
Александр: Не боишься, что не оценят, сложно?
Алексей: Нет. Делаю вебинары – периодически пролетает сложное, уже понял уровень.
Образовательный контент по информационной безопасности для разных уровней
Александр: Я – потенциальный ученик. Мне интересна ИБ. Начал копать, попал на твои конференции – не всё понимал. Я не твоя аудитория?
Алексей: Нет, начал не с того. Берешь выступление на конференции не для новичков – приходят профессионалы, обмениваемся опытом. Входной порог большой. На каждой конференции градация. Последние доклады – хардкор (сложный уровень).
Александр: Твои подкасты смотрел.
Алексей: Если про SafeCode (безопасный код), то да. Смотря какой. Серия Making Home Lab Production( Создание домашней лаборатории для производства) – показываем: виртуализация, как работает. Времени не было, остановился, буду продолжать. Пройдем Git (систему контроля версий), напишем Телеграм-бота, запакуем в контейнер, постепенно дальше. По шагу выдается.
Много видео снимаю для новичков. Под конец года подводил итоги, выкладывал сборки. На конференции не студенты приходят – профессионалы, обсуждаем другие проблемы.
Есть вебинары: «Ломаем сайты» – показываю, как и почему работают уязвимости. В начале. Есть плейлист: введение в безопасность Docker (платформы контейнеризации), как работают побеги, как харденить (укреплять безопасность), OWASP Top 10 (список главных угроз веб-безопасности), эксплуатация уязвимостей, мониторинг в контейнерах, введение в Kubernetes, безопасность Kubernetes.
База, с которой стоит начать. Потом уже, когда приходишь на доклад, где 40 минут ломаем CI/CD (конвейеры разработки), а ты не знаешь, что это, – будет красиво, но непонятно.
Александр: Вижу – хочешь сделать онлайн-школу. Тема интересная, главное – чтобы молодежь не ушла в дебри. Сейчас дроперы (вредоносные загрузчики), хакерские движения могут увести не туда. Ты можешь направить на ИБ в правильном русле. Спасибо, Алексей, что пришел. Было полезно.
Алексей: Спасибо, что позвал.
Итоги, выводы, рекомендации
Для начинающих специалистов ИБ
-
Базовые знания критичны: сети, операционные системы, программирование. Высшее образование не обязательно, но фундамент необходим.
-
Выберите специализацию: application security (безопасность приложений), облачная безопасность, SOC (центр мониторинга), пентестинг (тестирование на проникновение). Станьте экспертом в области, а не посредственным специалистом во всех.
-
Практика важнее теории: участвуйте в CTF (соревнованиях по взлому), изучайте реальные кейсы, создавайте домашние лаборатории. Вебинары для новичков, конференции – для обмена опытом.
-
Следите за балансом: выгорание реально. При повышении нагрузки повышайте отдых.
Для бизнеса
-
Базовая безопасность нужна всем – от стартапа до корпорации. Безопасность – непрерывный процесс, а не разовое действие.
Три главные ошибки:
1. Пренебрежение безопасностью («Нас не ломали пять лет»)
2. Неправильные приоритеты (улучшаем продукт, забыв про периметр)
3. Перфекционизм не в ту сторону (супер-практики при слабых паролях)
-
Слабые пароли – главная проблема: от qwerty123 до повторного использования. Password spray (подбор одного пароля на множество учётных записей) работает до сих пор.
-
Инвестиции окупаются: один серьезный инцидент может стоить дороже, чем годовой бюджет на защиту.
Для действующих специалистов ИБ
-
Держите баланс работы и жизни – выгорание подкрадывается постепенно, учитесь чувствовать момент.
-
Развивайте soft skills (мягкие навыки) – умение объяснять технические вещи бизнесу очень ценно.
-
Участвуйте в сообществе: конференции, митапы (встречи), обмен опытом. Делитесь знаниями – это систематизирует собственный опыт.
-
Работайте на светлой стороне – защищайте, а не атакуйте. Этика важна.
Об эксперте
Алексей Федулаев – руководитель отдела облачной безопасности МТС Web Service, бывший руководитель отдела информационной безопасности WildGrys. Специализируется на облачной безопасности, DevSecOps-практиках (безопасной разработке и эксплуатации), Kubernetes security. Регулярный спикер конференций по информационной безопасности. https://t.me/ever_secure
О подкасте
«Код Автоматизации» – подкаст о технологиях, разработке, информационной безопасности и IT-индустрии. Ведущий Александр Шулепов – опытный разработчик и программист, который приглашает экспертов для откровенных разговоров о профессии и карьере.
Термины информационной безопасности
Аббревиатуры и сокращения
ИБ
Информационная безопасность – состояние защищенности информации, при котором обеспечивается её конфиденциальность, целостность и доступность.
CIA (Triad)
Confidentiality, Integrity, Availability – классическая триада информационной безопасности:
— Конфиденциальность – информацию не может прочитать тот, кто к ней не допущен
— Целостность – информацию нельзя подменить
— Доступность – в нужный момент можно получить доступ к информации
DevOps
Development + Operations – методология, объединяющая разработку (Development) и эксплуатацию (Operations) программного обеспечения. Цель – сократить цикл разработки и обеспечить непрерывную поставку качественного ПО.
DevSecOps
Development + Security + Operations – расширение DevOps с интеграцией практик безопасности на всех этапах разработки. Одна из самых высокооплачиваемых IT-специализаций.
SOC
Security Operations Center – центр мониторинга и управления информационной безопасностью. Команда специалистов, которая круглосуточно отслеживает угрозы и реагирует на инциденты.
SIEM
Security Information and Event Management – система управления информацией и событиями безопасности. Собирает логи со всех систем, коррелирует события и генерирует алерты при обнаружении подозрительной активности.
VPN
Virtual Private Network – виртуальная частная сеть. Технология для создания защищенного соединения через публичную сеть. Используется для:
— Удаленного доступа к корпоративной инфраструктуре
— Защиты трафика
— Обхода географических блокировок
API
Application Programming Interface – программный интерфейс приложения. Набор методов и правил для взаимодействия между программами.
CI/CD
Continuous Integration / Continuous Delivery – непрерывная интеграция и непрерывная поставка. Практики автоматизации сборки, тестирования и развертывания кода.
CTF
Capture The Flag – формат соревнований по информационной безопасности, где участники решают задачи по взлому, криптографии, реверс-инжинирингу и т.д.
DDoS
Distributed Denial of Service – распределенная атака типа «отказ в обслуживании». Множество компьютеров одновременно отправляют запросы к целевому серверу, перегружая его и делая недоступным для легитимных пользователей.
UAC
User Account Control – контроль учетных записей пользователей в Windows. Механизм запроса подтверждения при попытке выполнить действие с правами администратора.
HTTPS
HyperText Transfer Protocol Secure – защищенный протокол передачи гипертекста. Шифрует данные между браузером и сервером.
HTTP
HyperText Transfer Protocol – протокол передачи гипертекста. Основа для обмена данными в веб.
BIOS
Basic Input/Output System – базовая система ввода-вывода. Firmware, запускающаяся при включении компьютера до загрузки операционной системы.
RDP
Remote Desktop Protocol – протокол удаленного рабочего стола от Microsoft. Позволяет управлять компьютером на Windows удаленно.
CORS
Cross-Origin Resource Sharing – механизм, позволяющий веб-странице делать запросы к другому домену, отличному от того, с которого она загружена.
JSON
JavaScript Object Notation – текстовый формат обмена данными, основанный на JavaScript.
XML
eXtensible Markup Language – расширяемый язык разметки для хранения и передачи данных.
SAST
Static Application Security Testing – статическое тестирование безопасности приложений. Анализ исходного кода без его выполнения.
OWASP
Open Web Application Security Project – открытый проект обеспечения безопасности веб-приложений. Известен публикацией OWASP Top 10 – списка самых критичных уязвимостей веб-приложений.
SQL
Structured Query Language – язык структурированных запросов для работы с базами данных.
Основные понятия и технологии Информационной безопасности
Пентестинг (Penetration Testing)
Тестирование на проникновение – легальный взлом системы для поиска уязвимостей. Проводится с разрешения владельца для выявления слабых мест до того, как их найдут злоумышленники.
Bug Bounty
Программа вознаграждения за обнаружение уязвимостей. Компании платят исследователям безопасности (белым хакерам) за найденные и ответственно раскрытые уязвимости.
Red Team / Blue Team
— Red Team – команда, имитирующая действия атакующих для проверки защиты
— Blue Team – команда защиты, отражающая атаки и реагирующая на инциденты
White Hat / Black Hat
— White Hat (Белая шляпа) – этичный хакер, использующий навыки для защиты и улучшения безопасности
— Black Hat (Черная шляпа) – злоумышленник, использующий навыки для незаконных действий
Облачная безопасность (Cloud Security)
Набор политик, технологий и практик для защиты данных, приложений и инфраструктуры в облаках. Включает:
— Безопасность виртуализации
— Изоляцию нагрузок
— Защиту сетевого периметра
— Мониторинг и реагирование на инциденты
Kubernetes (K8s)
Платформа оркестрации контейнеров с открытым исходным кодом. Автоматизирует развертывание, масштабирование и управление контейнеризованными приложениями.
Docker
Платформа для разработки, доставки и запуска приложений в контейнерах. Контейнеры изолируют приложение со всеми зависимостями.
Контейнеризация
Технология изоляции приложений в отдельных «контейнерах», которые включают всё необходимое для работы приложения (код, библиотеки, зависимости).
VMware
Компания и её продукты для виртуализации. Позволяет запускать несколько виртуальных машин на одном физическом сервере.
Виртуализация
Создание виртуальной (а не физической) версии ресурса – операционной системы, сервера, устройства хранения данных или сетевых ресурсов.
Control Plane
Управляющий слой в Kubernetes, который принимает решения о кластере (например, планирование нагрузки, мониторинг состояния).
Underlay / Overlay сети
— Underlay – физическая сетевая инфраструктура
— Overlay – виртуальная сеть, построенная поверх физической для изоляции и сегментации трафика
Типы уязвимостей и атак
XSS (Cross-Site Scripting)
Инъекция вредоносного JavaScript-кода на веб-страницу. Позволяет атакующему выполнить код в браузере жертвы, украсть куки, сессии, выполнить действия от имени пользователя.
SQL-инъекция (SQL Injection)
Внедрение SQL-кода в запрос к базе данных через незащищенный ввод. Позволяет читать, изменять или удалять данные в базе.
CSRF (Cross-Site Request Forgery)
Подделка межсайтовых запросов. Атака, при которой злоумышленник заставляет браузер жертвы отправить запрос от её имени.
IDOR (Insecure Direct Object References)
Небезопасные прямые ссылки на объекты. Уязвимость, позволяющая получить доступ к данным других пользователей, изменив идентификатор в запросе.
DOM-инъекция
Внедрение вредоносного кода в Document Object Model браузера для манипуляции содержимым страницы.
Command Injection
Инъекция команд операционной системы через незащищенный ввод в приложении.
Path Traversal
Обход пути – атака, позволяющая получить доступ к файлам за пределами предполагаемой директории (например, через ../../etc/passwd).
Remote Code Execution (RCE)
Удаленное выполнение кода – критическая уязвимость, позволяющая атакующему выполнить произвольный код на целевой системе.
Фишинг (Phishing)
Социальная инженерия для получения конфиденциальных данных (паролей, номеров карт) путем выдачи себя за доверенное лицо или организацию.
Мисконфигурация (Misconfiguration)
Ошибки в настройке систем, приводящие к уязвимостям (например, открытые без авторизации API, слабые пароли по умолчанию).
Password Spray
Атака распыления паролей – попытка входа с одним популярным паролем (например, «Password123») для множества учетных записей. Эффективна против политик блокировки после нескольких неудачных попыток для одной учетной записи.
Pass the Hash
Техника атаки, при которой используется хеш пароля для аутентификации вместо реального пароля.
Supply Chain Attack
Атака на цепочку поставок – компрометация через уязвимости в ПО третьих сторон, библиотеках, плагинах. Примеры: SolarWinds, Log4j.
Backdoor (Бэкдор)
Скрытый метод обхода аутентификации или шифрования для получения удаленного доступа к системе.
Malware (Малварь)
Вредоносное программное обеспечение – любое ПО, созданное для нанесения вреда или получения несанкционированного доступа.
Ransomware
Программа-вымогатель – тип малвари, шифрующий данные жертвы и требующий выкуп за расшифровку.
Root
Суперпользователь в Unix-системах с полными правами доступа к системе.
Privilege Escalation
Повышение привилегий – получение более высокого уровня доступа в системе.
Reverse Shell
Обратная оболочка – техника, при которой целевая система устанавливает соединение с атакующим, предоставляя ему командную оболочку.
Инструменты и технологии
Burp Suite
Популярный инструмент для тестирования безопасности веб-приложений. Включает прокси, сканер, интрудер для автоматизации атак.
Кексты (Kexts)
Kernel Extensions – расширения ядра в macOS. Модули, работающие на уровне ядра операционной системы.
Хакинтош (Hackintosh)
Компьютер не от Apple, на который установлена macOS. Требует специальных драйверов и настроек.
Git
Распределенная система контроля версий для отслеживания изменений в коде.
Telegram-бот
Автоматизированная программа для взаимодействия с пользователями в мессенджере Telegram.
Parallels
Программа виртуализации для macOS, позволяющая запускать Windows и Linux.
Office 365
Облачная подписка на продукты Microsoft Office.
Development Kit
Набор инструментов для разработки программного обеспечения.
Visual Studio
Интегрированная среда разработки (IDE) от Microsoft.
Windows Phone
Мобильная операционная система от Microsoft (прекращена в 2017 году).
C#
Объектно-ориентированный язык программирования, разработанный Microsoft.
PHP
Скриптовый язык программирования, широко используемый для веб-разработки.
Perl
Высокоуровневый интерпретируемый язык программирования.
Pascal
Императивный язык программирования, часто используемый для обучения.
Visual Basic
Язык программирования от Microsoft с визуальной средой разработки.
Go (Golang)
Компилируемый язык программирования от Google, популярен для backend-разработки.
JavaScript
Язык программирования для веб-разработки, выполняется в браузере (frontend) или на сервере (Node.js).
WebAssembly
Формат бинарных инструкций для выполнения в веб-браузерах с высокой производительностью.
Ассемблер (Assembly)
Низкоуровневый язык программирования, близкий к машинному коду.
Реверс-инжиниринг (Reverse Engineering)
Анализ готовой программы для понимания её работы, поиска уязвимостей или восстановления исходного кода.
Полиморфный генератор
Программа, создающая вредоносный код, который меняет свою структуру при каждой генерации для обхода антивирусов.
Организации и платформы
МТС Web Service
Облачный провайдер, дочерняя компания МТС. Предоставляет облачные сервисы для бизнеса.
WildGrys (Wildberries)
Крупнейший российский маркетплейс.
Lockbit
Группировка кибер-преступников, занимающаяся ransomware-атаками. Известна методичками по взлому инфраструктур.
SolarWinds
Компания-разработчик ПО для IT-менеджмента. В 2020 году стала жертвой масштабной supply chain атаки.
Log4j
Популярная библиотека логирования для Java. В 2021 году в ней была обнаружена критическая уязвимость Log4Shell.
GitLab
Веб-платформа для управления репозиториями Git с инструментами CI/CD.
Exchange
Серверное ПО Microsoft для корпоративной электронной почты и совместной работы.
WordPress
Популярная система управления контентом (CMS) для создания веб-сайтов.
ACF (Advanced Custom Fields)
Популярный плагин WordPress для создания пользовательских полей.
Дополнительные термины
Сислоги (Syslogs)
Системные логи – записи о событиях в операционной системе.
/etc/shadow
Файл в Unix-системах, хранящий хеши паролей пользователей.
Плейбук (Playbook)
Документ с пошаговыми инструкциями для реагирования на определенные типы инцидентов безопасности.
Харденинг (Hardening)
Процесс укрепления системы – отключение ненужных сервисов, настройка политик безопасности, обновление ПО.
Техдолг (Technical Debt)
Технический долг – накопленные проблемы в коде или инфраструктуре, требующие исправления.
Security Assessment
Оценка безопасности – анализ системы на предмет уязвимостей и соответствия стандартам безопасности.
Дизайн-ревью (Design Review)
Проверка архитектуры и дизайна системы на предмет безопасности до начала разработки.
Endpoint
Конечная точка – устройство пользователя (компьютер, телефон), подключенное к сети.
Социальная инженерия (Social Engineering)
Манипулирование людьми для получения конфиденциальной информации или доступа к системам.
Эскалация привилегий
См. Privilege Escalation выше.
Дроперы
Программы-загрузчики, устанавливающие на компьютер жертвы основное
вредоносное ПО.
ссылка на оригинал статьи https://habr.com/ru/articles/1039608/