Одно интервью из жизни сменного аналитика
Привет, Хабр!
С наступившим Новым годом! Интересно, скольким из вас пришлось работать в новогоднюю ночь? А представьте себе врачей, милиционеров, транспортников и другие «вахтенные» профессии? У нас тоже есть одна релевантная история, которую мы сегодня расскажем вам. Итак, встречайте Бориса Ямпольского, руководителя отдела сменных аналитиков «Лаборатории Касперского».
Боря, можешь рассказать в двух словах, чем отличается работа группы сменных аналитиков от обычных вирусных аналитиков? В чем специфика?
Могу! У сменных аналитиков трудная задача — не пропустить в огромном потоке малвары что-то действительно громкое и опасное. Старшие аналитики из других групп получают уже отобранные файлы, которые требуют внимательного изучения. Всегда должен быть кто-то на страже, одна смена сменяет другую — вот специфика сменных аналитиков. Если антивирус это паровоз, то эти ребята — кочегары, которые круглосуточно подбрасывают уголь в огонь, чтобы паровоз мчался на всех парах.
Ты говорил про громкую малвару — а часто приходится отлавливать что-то эдакое? Может, пару примеров из последних?
Должен все же сказать, что группа сменных аналитиков далеко не единственная, которая отлавливает громкую малвару, мы просто работаем 24 часа 7 дней в неделю. А вообще что-то особенное отлавливаем примерно раз в месяц. Из последнего эдакого я бы назвал Duqu (Trojan.Win32.Duqu), последняя версия TDSS (Rootkit.Boot.Sst.b), а сегодня (26 декабря — прим.редактора), например, пришѐл Trojan-SMS.AndroidOS.Arspam.a — новый троян под Андроид.
График работы у твоих коллег достаточно разнообразен — в общем-то название группы об этом также говорит. Как удается координировать работу такого количества людей с разными графиками?
Координировать сменных вирусных аналитиков проще, чем может показаться. Есть дневная и ночная смены. Каждое утро в 10:00 дневная сменяет ночную и каждый вечер в 20:00 ночная приходит на смену дневной. Вообще, система достаточно гибкая. Даже если кто-то болеет, кто-то в отпуске, кому-то надо сегодня в институт — на смене всегда есть вирусные аналитики, которые смогут быстро отреагировать на появление новой угрозы.
В твоем подразделении достаточно большое количество младших вирусных аналитиков. Кто у вас берет на себя роль наставника?
Наверное, разрушу шаблон, сказав, что у нас нет наставников как таковых. Вернее, он есть первые 2 месяца работы — на испытательном сроке. Это, как правило, старший вирусный аналитик со стажем. Основное же обучение происходит уже в «боевых» условиях на смене. Важно понимать, что меняются не только угрозы, но и наш инструментарий, которым мы пользуемся для борьбы с новыми угрозами. Я знаю многих сотрудников в нашей антивирусной лаборатории и в департаменте исследований и разработок в целом, начавших свой путь в компании в группе сменных аналитиков, но немногие из них смогут прямо сейчас сесть и начать работать на смене. Мы не стоим на месте. У нас каждый день что-то новое.
А как вы взаимодействуете с другими подразделениями Департамента?
Если говорить про департамент, то максимальное взаимодействие у нас происходит с отделами поддержки инфраструктуры и группой выпуска обновлений. Мы обновляем антивирусные базы, после чего они тестируются и выкладываются на публичные серверы. То есть требуется оперативная и слаженная работа, чтобы между временем обнаружения и созданием обновления проходило реально немного времени. Ну и, разумеется, трудно себе представить нашу работу без всего многообразия утилит и различных сервисов.
У вас есть какое-то правило, что аналитики отрабатывают только около 2 лет на смене. А что с ними происходит потом?
Не правило, а скорее традиция! Вирусные аналитики, проработавшие больше 2-х лет, осознают свой дальнейший путь в компании. Как правило, это исследование какой-то узкой области индустрии. Часто вирусные аналитики переходят в группы эвристического детектирования, исследования сложных угроз. Некоторые становятся программистами и создают инструментарий для нас. Многие, когда-то начавшие с работы младшими вирусными аналитиками, сегодня выросли до руководителей отделов, ведущих экспертов, генеральных директоров :). Вот почему я с легкостью принимаю эту традицию, хоть и с некоторой грустью на душе.
И последний, пожалуй, вопрос: Какие у вас требования при приеме на работу?
Ну наконец-то! Кандидат многое получает при устройстве к нам (помимо соцпакета и бесплатных обедов): это бесценный опыт, общение с экспертами, возможность изучать самые свежие угрозы. Поэтому и требования высоки. Главное требование — быть фанатиком в хорошем смысле этого слова. По-настоящему интересоваться индустрией. Не бояться некоторой рутины, с которой неизбежно придется столкнуться при анализе потока подозрительных самплов. Разумеется, есть базовые требования по техническим навыкам: это знание ОС Windows и знание Assembler-а. Ну и напоследок — готовность работать в ночь. Обычно это требование останавливает от работы у нас девушек и семейных кандидатов.
Спасибо большое за интервью! И до встреч в новом году!