Всем привет! В Positive Technologies есть большая команда PT Cyber Analytics (мы уже немного рассказывали про нее ранее), в которую входит сразу несколько направлений: подготовка отчетов по пентестам, прогнозирование угроз ИБ, построение результативной кибербезопасности и то, про что я вам хочу рассказать в этой статье — написание исследований.

Если читать (а не только быть подписанным и замьютить) различные ТГ-каналы с новостями в сфере кибербеза, то можно заметить, что каждая уважающая себя компания в этой сфере постоянно рассказывает, как атакуют те или иные отрасли и страны, какое ВПО используют злоумышленники, сколько фишинговых писем дошли до своих адресатов и тому подобное. Это же можно увидеть и в федеральных СМИ, особенно когда случается какая-то громкая кибератака.

Откуда же берется эта информация? Как понять, что сейчас в тренде — как среди атакующих, так и защищающихся? А как будут атаковать в будущем ту или иную компанию, или отрасль, или страну? Какие новые технологии могут на это повлиять? На эти и многие другие вопросы отвечают аналитики-исследователи PT Cyber Analytics. Все наши исследования можно найти на сайте Positive Technologies вот здесь. А руковожу этим подразделением я — Ирина Зиновкина.

Немного о себе: почему я люблю исследования так же, как и они меня

С кибербезом мы идем рука об руку уже семь лет, с первого курса университета. Моя alma mater достаточно необычна именно с точки зрения нашей специальности — я закончила Московский государственный лингвистический университет. Однако эта «необычность» оказалась мне на руку, ведь вместе с основами кибербеза я выучила два иностранных языка (причем именно профильных).

Свой карьерный путь я начала с консалтинга: выстраивала в компаниях процессы, необходимые для эффективной защиты от внутренних утечек конфиденциальной информации. После этого работала экспертом по информационной безопасности в страховой компании, а потом опять вернулась в консалтинг, но уже в качестве руководителя (если не можешь победить — возглавь). Следующим шагом в моей карьере стало руководство исследованиями в Positive Technologies (и вот я здесь).

За что я так полюбила именно исследования? В первую очередь, это уникальный шанс прокачаться в самых разных аспектах кибербеза — редко случаются однотипные задачи, при этом разброс тем очень большой. Кроме того, буквально каждое исследование дает раскрыть себя и свои скиллы с абсолютно разных сторон. Честно говоря, про зону комфорта в нашем направлении и не слышали — хотя, может, ею как раз и является ее отсутствие…

Для меня важной частью работы является деятельность в публичном пространстве. Так как в направлении агрегируется и накапливается огромная сумма знаний по различным вопросам, мы считаем своим долгом (практически святым) обмениваться ею как с сообществом, так и со всеми заинтересованными людьми. Именно поэтому мы участвуем в качестве спикеров на различных конференциях, даем много комментариев в СМИ, а также участвуем в пресс-конференциях, круглых столах и во всех подобных мероприятиях.

Прежде чем перейти к рассказу непосредственно про исследования, небольшой disclaimer: все наши материалы мы разрабатываем исходя из трех основных принципов. В первую очередь это доверие: мы отвечаем (практически головой) за каждую цифру, тезис, букву, которые написаны в наших исследованиях. Вторым пунктом является актуальность  исследование появляется в то время, когда написанное там актуально для читателей. И третий момент (но ни в коем случае не по значимости), которого мы придерживаемся, это польза. Цель исследования  помочь компаниям выстроить процессы ИБ или рассказать об актуальных проблемах в мире кибербеза.

Что за исследования и как мы их выбираем

Наши исследования направлены на актуальные тренды и вызовы в кибербезопасности. Мы рассказываем организациям, а также целым отраслям и государствам о том, какие киберугрозы актуальны для них сейчас, от чего в целом зависит ландшафт кибергуроз, чего ждать в будущем и, самое главное, как от этого всего защититься. Это и есть основные задачи, которые мы решаем при помощи наших аналитических отчетов.

Наши исследования можно разделить на offensive, defensive, перспективные технологии и защиту целых отраслей и государств. С конца 2023 года мы также активно работаем над международными исследованиями: делаем аналитику по Ближнему Востоку, Латинской Америке и другим регионам. Это делается для того, чтобы глубже понять проблемы того или иного региона и помочь им выстроить полноценную результативную безопасность. Как мы решаем, про что будем писать в следующий раз?

Часть исследований — постоянные и выходят с определенной периодичностью. Самым ярким примером является квартальная аналитика, где мы рассказываем, что произошло в прошедшем квартале. Совсем недавно мы запустили новые исследования, которые касаются конкретно утечек информации из организаций. Они будут выходить каждые полгода, а свое первое подобное исследование мы отпраздновали вебинаром. Темы для остальных исследований выбираются вместе с экспертами (которых в нашей компании огромное количество), а также коллегами из пиара и маркетинга. Мы проводим большую предварительную работу, чтобы понять, что актуально не только сейчас, но и в будущем.

В основу наших исследований ложатся как данные из публичного пространства, так и огромные экспертные знания Positive Technologies в самых различных аспектах (это могут быть данные из наших продуктов, результаты пентестов и так далее). Когда мы говорим об актуальных киберугрозах, понятное дело, что картина становится неполной без данных «из первых рук». Наши коллеги (которые тоже относятся к PT Cyber Analytics, кстати говоря) ищут данные в дарквебе, исследуют объявления и форумы, смотрят слитые базы данных — вся эта экспертиза вместе со всеми остальными данными попадает в руки аналитику-исследователю, который на ее основе формирует тезисы, строит выводы, предлагает варианты решения проблем и, конечно, красиво и понятно все визуализирует.

Стоит отметить, что мы работаем практически со всеми подразделениями компании, которым в той или иной мере нужна экспертиза по самым разным вопросам. Это могут быть запросы из разряда «а как атакуют ту или иную отрасль?» или «какие уязвимости в топе по результатам проведенных пентестерами работ?» (конечно, это только два примера из тысячи). Иногда мы реализуем с коллегами совместные проекты, из которых рождаются крутые и полезные материалы — например, дайджесты трендовых уязвимостей.

Важной частью нашей работы стала аналитика атак на обычных пользователей. Данная задача не очень ложится в привычный формат наших исследований, однако вместе с компанией мы всячески пытаемся привнести свой вклад в повышение осведомленности людей в вопросах кибергигиены и рассказать о сложном простыми словами.

Быстро или долго, вот в чем вопрос

Процесс написания исследований трудно назвать унифицированным, но каких-то рамок мы все же стараемся придерживаться (по аналогии с «какой-то тактикой»). Давайте разберем процесс написания квартальной аналитики, про которую я уже писала ранее.

Цель квартальной аналитики: определить наиболее актуальные киберугрозы, выявить изменения и новые тренды, чтобы читатели понимали, что на данный момент несет наибольшую угрозу для киберустойчивости.

Целевая аудитория: широкая публика.

В отличие от других исследований, «кварталка» (как мы ласково называем это исследование) выверена по срокам написания чуть ли не до дня. Сбор данных об успешных атаках из публичных источников происходит беспрерывно все три месяца квартала. Здесь стоит отметить, что эти данные в дальнейшим будут использованы практически во всех других исследованиях. Например, когда мы пишем исследование про ВПО (как тут), то, понятное дело, надо посмотреть, насколько этот метод атаки был популярен среди злоумышленников, какова динамика использования шифровальщиков на финансовые организации от года к году, и так далее. Соответственно, аналитик, отвечающий за сбор данных в рамках выделенного квартала, по факту влияет на будущие наши материалы в том числе (поэтому мы за ним пристально следим, ведь здесь важно помнить про наш первый принцип — доверие).

Когда данные собраны, аналитик приступает к их финальному анализу. Описать это таинство достаточно тяжело, однако по факту он смотрит динамику изменений, интересные кейсы, крупные утечки и тому подобное, чтобы определить тренды всего квартала. Здесь важно еще понять, какие прогнозы можно построить на следующий квартал или на более .…период.

В рамках этого процесса аналитик строит различные диаграммы. У нас есть часть диаграмм, которые обязаны повторяться от кварталки к кварталке (например, последствия атак), но некоторые могут быть уникальными в зависимости от трендов.

Когда с трендами все понятно, диаграммы отрисованы, а прогнозы сделаны, аналитик приступает к написанию текста. Некоторые считают это лучшим этапом, для других написание текста намного сложнее, чем сбор данных. Но тут дело в развитии соответствующих скиллов. Несмотря на то что исследования вычитываются нашими коллегами-техрайтерами, изначально текст все равно должен быть написан качественно.

Квартальное исследование у нас является боевым крещением для всех аналитиков, потому что все через него проходят.

Что должен уметь аналитик-исследователь и где мы таких берем

Когда пытаешься формализовать все навыки этих сверхлюдей, начинает казаться, что сделать это практически невозможно — в голове незамедлительно появляется аналогия с «Витрувианским человеком» Да Винчи. Но все же я постаралась это сделать.

В нашей команде работает много аналитиков-исследователей, которые совмещают в себе несколько ролей — аналитика, дизайнера, спикера и менеджера. Мы сами пишем все материалы, делаем диаграммы и презентации, участвуем в пресс-конференциях и даем комментарии в СМИ. Какими же знаниями должен обладать специалист, чтобы успешно совмещать такое количество достаточно разноплановых задач? В первую очередь, это профессиональные навыки: знание международных классификаций уязвимостей, процедур анализа защищенности, угроз ИБ; отличное знание тактик и техник матрицы MITRE ATT&CK; знание инструментов ИБ и средств защиты, а также типовых недопустимых событий для отраслей; разработка аналитических материалов любого уровня для любой аудитории.

Среди soft skills, необходимых для работы, можно выделить:

  • внимательность, усидчивость и умение работать с большим потоком информации;

  • умение излагать свои мысли устно и письменно;

  • коммуникативные навыки;

  • широкий кругозор;

  • организованность;

  • умение самостоятельно работать над проектом, а также быстро разбираться в деталях новых техник атак, уязвимостях и угрозах;

  • (и стрессоустойчивость)

А еще, если вы занимаетесь или занимались научной работой, например в рамках обучения в университете, то у нас с вами большие шансы сработаться!

Важно ли высшее образование? Для нас — да. При отборе мы смотрим на наличие профильного образования в сфере кибербеза. Если наш будущий коллега еще и знает английский, то это заставляет нас рассмотреть его кандидатуру еще более пристально. Отдельно хочется сказать, что наше направление является постоянным участником стажировок PT-Start. Стажировку могут пройти студенты и выпускники вузов по специальностям «Информационная безопасность» и «Информационные технологии». Участников ждет обучение в формате видеолекций и лабораторных практикумов, а также возможность познакомиться с работой экспертных подразделений на интенсивах от ведущих специалистов компании. По окончании интенсива мы даем потенциальным стажерам тестовое задание, по результатам которого предлагаем успешным кандидатам оплачиваемую стажировку у нас в направлении. Мы стажировки очень любим — участвуем в каждой из них, и много наших аналитиков начали свой карьерный путь именно с нее.

Горизонтально, вертикально (главное, не вниз)

Куда может расти аналитик-исследователь? Путь до старшего аналитика довольно понятен и «обкатан» многими, в том числе стажерами: мои коллеги наращивают объем экспертных знаний, развивают софт-скиллы, берут на себя лидирующую роль в написании того или иного исследования, что позволяет им расти внутри компании. Так, стажеры, которых мы взяли в штат после прошлой летней стажировки, показали отличные результаты и уже доросли до middle-аналитиков. Руководитель исследовательской группы внутри направления начинал свой путь с позиции младшего аналитика (кстати, своим докладом Федя открывал фестиваль Positive Hack Days 2024). Эти примеры лучше всякой теории говорят о том, что главное — это желание развиваться.

Но не все хотят быть руководителями, и это совершенно нормально. Если аналитик не хочет развиваться вертикально, то без потери амбиций и всего сопутствующего он может развиваться в нашем направлении горизонтально и становиться мега-супер-пупер-экспертом.

Финита ля комедия и привет, PT Start

В этой статье я попыталась рассказать, что такое исследования и кто за ними стоит. Когда я провожу стажерский интенсив, то могу два часа без остановки рассказывать о подробностях работы аналитика-исследователя (заканчивать приходится не потому, что тема исчерпалась, а потому, что голос пропадает). Надеюсь, вам этот рассказ показался интересным. Еще сильнее надеюсь, что эта статья привлечет внимание наших будущих аналитиков-исследователей, которые захотят стать частью PT Cyber Analytics. Ну и приходите к нам на стажировку PT Start, новый интенсив собран и стартует 26 августа. В настоящее время идет набор стажеров и уже через несколько дней ребята попробуют себя в кибербезе.

Ирина Зиновкина

Руководитель направления аналитических исследований Positive Technologies