Привет, Хабр!
На связи команда PT Cyber Analytics. В этой статье расскажем о работе аналитиков в проектах по кибербезопасности, покажем, чем привлекает эта профессия и какие навыки необходимы, чтобы стать ее частью. Как и многие другие аналитики, мы занимаемся сбором, анализом и интерпретацией данных, отличие лишь в обрабатываемых данных: в нашем случае это информация об уязвимостях, угрозах и мерах защиты.
В Positive Technologies есть множество экспертов, которые проводят анализ защищенности различных систем для других компаний: проверяют их инфраструктуру, веб-приложения, банковские системы и т. д. По результатам этих работ необходимо донести информацию о выявленных проблемах в доступном формате, чтобы клиент смог понять, какие возможны последствия для его бизнеса в случае реальной хакерской атаки. На этом этапе и подключаются проектные аналитики — мы выступаем посредниками между экспертами («белыми» (или этичными) хакерами, расследователями и т. д.) и клиентом: объясняем результаты проведенных проверок, анализируем их, структурируем выводы и даем рекомендации, чтобы обратившиеся к нам компании видели, где их системы можно «взломать», и знали, как это исправить.
Основной нашей рабочей задачей является подготовка отчетов и презентаций по результатам консалтинговых проектов. Среди них:
тестирование на проникновение (спектр работ разный: от проверки сетей Wi-Fi до формата red team),
анализ защищенности веб- и мобильных приложений,
анализ защищенности банковских систем (ДБО, банкоматов, платежных терминалов),
анализ защищенности смарт-контрактов,
анализ защищенности промышленных систем управления,
ретроспективный анализ и расследование киберинцидентов
и многое другое.
Обязанности аналитика
Расскажем немного подробнее о том, что входит в обязанности аналитика.
Типовой отчет по анализу защищенности начинается с получения драфта, в котором «белые» хакеры описывают выполненные в ходе проверки действия, обнаруженные уязвимости и прикладывают скриншоты. Аналитику необходимо проанализировать эти действия, найти дополнительную информацию в разных источниках, правильно классифицировать уязвимости, оценить их уровень критичности и подготовить полные рекомендации о том, как ее исправить и как обнаружить попытки ее эксплуатации. Все необходимо сделать так, чтобы специалисты со стороны клиента, взяв в руки отчет, смогли легко понять, что произошло, какие проблемы выявлены и какие шаги нужно предпринять для их устранения.
Важно, чтобы отчет был понятен не только техническим специалистам, но и руководству, которое также оценивает результаты проведенных работ. Менеджерам нужно знать о последствиях для бизнеса, а не технические детали. Поэтому после описания технической части аналитик переходит к разделу с результатами и их представлению в разных форматах. Здесь мы ранжируем уязвимости, показываем, какие из них стали причиной конкретных угроз, оцениваем последствия для бизнеса и даем итоговую оценку уровня защищенности системы.
Работа над проектом этим не ограничивается: мы также уделяем внимание визуальной части отчета, ведь даже самый качественный анализ теряет ценность, если его трудно воспринять. Чтобы результат был понятен и легко читаем, все разделы отчета необходимо привести к единому стандарту оформления. Для этого у нас есть набор требований, которых придерживаются все в команде. В итоге получается не просто список уязвимостей и шагов для их эксплуатации, а отформатированный и понятный документ.
Кроме проектных задач, связанных с подготовкой отчетов, есть и непроектные, которыми мы занимаемся в свободное от отчетов время. Формат таких задач может быть самым разным — от оптимизации рабочих процессов до внедрения новых подходов и решений. По сути, здесь мы ограничены только доступным временем и идеями команды.
Какие направления могут затрагивать непроектные задачи:
улучшение внутренних баз знаний: мы постоянно актуализируем данные об уязвимостях и рекомендации для их устранения, дорабатываем шаблоны и придумываем, как сделать отчеты удобнее и понятнее;
развитие экспертизы: изучаем новые техники и подходы, чтобы сделать каждый следующий отчет лучше предыдущего;
обмен знаниями с внешним миром: мы пишем статьи, в которых пытаемся разложить сложные вещи по полочкам (например, можете почитать статью про атаки на банкоматы или публикацию про ESC-атаки);
отслеживание событий в отрасли и обмен этими знаниями с коллегами из разных отделов: собираем информацию о новых уязвимостях, техниках атак, инструментах и исследованиях, чтобы быть в курсе и понимать тренды области кибербеза;
автоматизация рутины: мы стремимся упростить работу с документами, например с помощью макросов в Word (если интересно — у нас есть отдельная статья про это);
помощь другим командам и не только: учитывая многолетнюю экспертизу, накопленную внутри нашего подразделения, периодически к нам обращаются за помощью с целью создания экспертных методик оценки защищенности компаний, категорирования нарушителей, проведения пентестов и т. д.
Рассказать обо всех обязанностях аналитика в одной статье сложно, так как их достаточно много. Даже на однотипных задачах или проектах редко бывает, что ты сталкиваешься с одним и тем же, почти каждый раз приходится разбираться с чем-то новым. Поэтому работа оказывается гораздо более разнообразной, чем может показаться со стороны.
Почему становятся аналитиками
Работа аналитика — это самостоятельный профессиональный путь, тесно связанный с деятельностью специалистов в ИБ, например «белых» хакеров, но со своими уникальными навыками и перспективами. Почему же выбирают именно этот путь?
Среди основных причин — широкий спектр проектов и разнообразие задач. Как говорилось выше, проекты могут сильно отличаться друг от друга: сегодня разбираешь атаки на банкоматы, завтра — на смарт-контракты или что-то еще. За счет этого экспертиза растет вширь, а такой разброс не дает заскучать и частично снижает риск выгорания.
Еще одна причина — более предсказуемый результат работы. На различных курсах, посвященных этичному взлому, обычно учат, что уязвимости есть и их нужно просто найти. В реальных проектах все иначе: можно потратить значительное время на анализ и не обнаружить критичных недостатков в системе. Многих это может демотивировать. В аналитике же работа строится вокруг уже выявленных уязвимостей: их нужно исследовать, описать и объяснить. Это позволяет сосредоточиться на результате и его качестве, а не на том, удастся ли что-то обнаружить.
Компетенции и качества характера хорошего аналитика
Как уже отмечалось ранее, аналитик проводит подробный разбор всех обнаруженных уязвимостей и техник, использованных этичными хакерами. Несмотря на то, что мы сами не взламываем системы, нам необходим достаточный технический багаж знаний, чтобы корректно интерпретировать результаты и формулировать практические рекомендации. Наша работа — это не просто оформление отчетов, а полноценный аналитический процесс.
Грамотная письменная речь — один из ключевых навыков аналитика. В нашей работе важно уверенно владеть русским, а для тех, кто планирует участвовать в международных проектах, еще и английским. Отчет — это итоговый документ, по которому оценивается проделанная над проектом работа. Даже классные технические результаты могут потерять ценность, если они изложены неясно или с ошибками. Плюс со знанием английского будет проще работать с документацией в оригинале и не зависеть от переводов, которые иногда передают смысл не совсем точно.
В копилку необходимых для аналитика умений можно также добавить развитый навык коммуникации. Необходимо эффективно взаимодействовать с «белыми» хакерами, коллегами и клиентами: правильно интерпретировать результаты, учитывать бизнес-контекст, прояснять спорные моменты и доносить выводы в отчете. От качества коммуникации напрямую зависит точность анализа и итоговая ценность работы.
Еще аналитик должен уметь объяснять сложные вещи простым языком. Необходимо четко излагать свои мысли, чтобы любой специалист на стороне клиента мог быстро разобраться в проблеме и устранить ее. При этом важно адаптировать подачу под аудиторию: техническим специалистам — конкретные настройки, события и инструменты, менеджменту — вектор атаки, риски для процессов и меры по их снижению. Такая гибкость экономит время, снижает недопонимание и повышает эффективность работы аналитика.
В нашей работе также важна тщательность и внимательность к деталям, так как любая пропущенная в отчете уязвимость или рекомендация по ее устранению может привести к проблемам с защищенностью у клиентов.
Получается, что аналитик — это «швейцарский нож», который обладает широким кругозором и достаточно глубокой экспертизой в сфере кибербеза. Он одновременно понимает, как атакуют хакеры и как от этого можно защититься, умеет грамотно излагать свои мысли и при необходимости вместе с исследователями безопасности защитить результаты своей работы перед клиентами.
Более подробное описание навыков, необходимых аналитику в сфере кибербезопасности, можете найти в нашем роадмапе.
Развитие в профессии
Учеба в университете или на курсах дает лишь базу. Основные знания аналитик получает в процессе работы на реальных проектах. Кроме того, рост специалистов происходит через взаимодействие с коллегами: обсуждение находок, совместный разбор сложных случаев и обмен знаниями помогают быстрее углублять компетенции и видеть разные подходы к одной и той же проблеме. Совокупность этих факторов и постоянное погружение в разные темы позволяют таким специалистам расширять кругозор и профессионально развиваться.
Чтобы стать крутым аналитиком, важно на практике понять, что представляют из себя уязвимости, — научиться делать что-то руками. По личному опыту (более половины экспертов команды имеют опыт успешного прохождения различных обучений и курсов) можем сказать, что работа в роли аналитика выходит на качественно новый уровень после прохождения специализированного обучения, например, сертификаций от компании Offensive Security или курсов от академии Codeby. Благодаря этому лучше понимаешь, как на практике происходит взлом систем и как правильнее описывать уязвимости в отчетах, а также как составлять качественные рекомендации для их устранения. Однако для прокачки навыков необязательно покупать курсы — это можно сделать на платформах с бесплатным контентом, например TryHackMe и Hack The Box.
Кроме того, мы развиваем свои скиллы в грамотной подаче и визуализации данных: учимся делать понятные и красивые презентации и постоянно совершенствуем навыки письма и работы с текстом.
Заключение
Работа аналитика в информационной безопасности сочетает в себе понимание реальных угроз, анализ технологий и трендов, оценку последствий для бизнеса и описание уязвимостей с предложением практических решений, которые помогают компаниям становиться безопаснее. Это и есть та самая «небумажная» кибербезопасность: следить за тем, что происходит в индустрии, разбираться в технологиях и превращать знания в конкретную пользу для компаний. Однако эта работа не только с технологиями и отчетами — это также общение с людьми и постоянное открытие нового. Именно такое сочетание неожиданностей, профессиональных вызовов и коммуникации делает нашу работу увлекательной.
Если после прочтения статьи вы захотели присоединиться к нашей команде, будем рады получить ваше резюме на Career@ptsecurity.com и обсудить возможности сотрудничества. Если на данный момент у вас нет достаточных навыков, то попробовать попасть к нам можно через стажировку — для этого направляйте свои резюме по адресу pt-start@ptsecurity.com с темой письма «Аналитик_Хабр».
