Comments 21
1) Этапы примерно такие же, как и для других IT-профессий, так что не надо тут про боль.
2) зато потом лафа. Запускай себе всякие тулзы по безопасности кода, библиотек и выкатывай претензии разрабам: пароли из кода вот тут и тут убрать за 2 недели; избавиться от устаревших библиотек таких-то за месяц. Кто не успел, отключим горячую воду (с)
Почему не надо? От этого менее больно не становится)
А потом вишенка на торте: получаешь плевки от разрабов в лицо, челленджи эксплуатабельности найденной уязвимости, бесконечный триаж уязвимостей и драки с продактами за принятие рисков 😌
В какое такое лицо? Кто ж из безопасников покажется вживую разрабам? Только имейлы и все такое. 😎
Более того! Тулзы по коду навешивают на самих разрабов и девопсов, так что остаётся только подписи ставить с умным видом)
получаешь плевки от разрабов в лицо
Ну вот этого-то надо, а? Бывает, что разрабы, так скажем, иронически прищуриваются, но это уж безы сами виноваты: вот недавно подваливают ко мне с предложением проверить статическим анализатором на уязвимости опенсурсный код, на базе которого ведется разработка. Я смотрю на них этаким отеческим взглядом и даю ссылку на репу под yocto на Гитхабе, в которой 6500+ модулей, из которых 5% обновляется еженедельно. Вперед, говорю, ребята, и без меня, пожалуйста... К их чести - отстали, правда, этот флаг руководство подхватило, но это уже другая история.
челленджи эксплуатабельности найденной уязвимости, бесконечный триаж уязвимостей
Я извиняюсь, а когда Вы шли в профессию, Вы представляли себе дорогие рестораны в Майами, неспешные разговоры с вражескими блондинками-безопасницами под шампанское при свечах, в попытке разузнать что-то про последний внедренный АНБ бэкдор в рандомизаторы адресных генераторов в процессоре... Или все же челленджи и триаж - и есть Ваша основная работа? Я правда не понимаю, поделитесь, пожалуйста, как Вы представляли себе ежедневную активность, когда выбирали этот путь?
Мне предлагали перейти в безопасность, не раз и не два, я не пошел, в том числе и из-за этого, но в основном - из-за запредельной регламентированности и большого количества бумаг. Мы в одной комнате сидели, видел, не понравилось. Также видел уходящих сеньоров, которых на полгода сажали за интеграцию патчей к CVE-шкам в продавленном менеджментом форке ядра... Не мое это, в общем.
драки с продактами за принятие рисков
Возможно, я не понимаю сути проблемы, но мне видится общение безопасника с продактом в несколько другом ключе: продакту кладется на стол список выявленных рисков безопасности, с оценкой их уровня и вероятностями эксплуатации, а дальше продакт волен их принять (поставить более низкий уровень), отреагировать (обрезать данный функционал, например), подстраховаться (в юзер мануал включить абзац про потенциальную уязвимость модуля), передать (использовать сторонний сертифицированный модуль) - в общем, классический риск-менеджмент, по аналогии общения ПМа по разработке с юристами, где безопасник выступает в роли юриста. Драться тут за что? Продакт не согласен с классификацией данной уязвимости как критичной? Ну так это его епархия, он сам себе буратино, пускай ставит какую хочет, это его подпись будет стоять под выпущенным продуктом, не Ваша. Зачем брать на себя боль за его судьбу?
Встречаются, конечно, продакты, которые говорят "Мне нужен продукт без уязвимостей вообще, как хотите, так и делайте", но подобных клоунов очень мало, не выживают такие в современном мире, если только они не школьные друзья директора компании.
2 - ага, лафа
Однообразие
Рутина
Незаинтересованность большинства сотрудников в твоей работе (и незнание вообще, чем ты занимаешься, отношение как к безопаснику)
Осознание, что результат твоей работы - это тупо отсутствие инцидентов, которых и так скорее всего не будет
Очень низкие риски, связанные с большинством найденных уязвимостей
Забивание продактами и лидами на фиксинг уязвимостей и улучшение реальной безопасности продукта, несмотря на договоренности, планы и бесконечные беседы по душам
Опекс а не капекс твоей работы
Формальность и бюрократизация в гос или около-госконторах в России, в т.ч. бесконечные коллы ни о чем
Достаточность создания видимости работы
Чтение кода - то еще удовольствие по сравнению с его написанием
Задача разрушить, а не cкреативить
И много всего еще, что может нагнать нереальную скуку и демотивировать
Есть конечно и много плюсов, но это не отменяет того факта, что работать в ИБ - нифига не лафа.
Согласен. 8 часов день, всегда, читать и анализировать чужой код на уязвимости - ещё то занятие. Сам месколько месяцев занимался этим - нет ничего хуже)
А вот насчёт всяких бесед и забивание лидами, тут всё очень просто - без "да" от безопасника продукт не допускается в прод. Всё) Но я бы сам пошёл в безопасники только за реально большие деньги.
Самое смешное это когда начинают в вакансию включать требования для сертификации ФСБ (типа обязательного стажа в акредитованой компании с аналогичным профилем) и тем самым резко снижая круг кандидатов, а потом получается, что берут не по критериям "знания/лояльность/опыт" а банально ради сертификата...
А вы ещё заставляете менять пароли по времени, если они не скомпрометированы?
А откуда вы узнаете, скомпрометирован пароль или нет?
Тогда давайте менять каждый день, чего уж тут
Вы же не знаете, в какой день пароль становится compromised. А потом удивляетесь листочками с паролями
ох уж эта тонкая грань между менять каждый день и не менять никогда ;)
А кто "вы"?)
Любопытно было почитать как это процесс проходит в России. Спасибо.
Удивлён популярностью полиграфа.
Пирамида боли или через что придется пройти кибербезопаснику, чтобы устроиться на работу