Привет, Хабр! Одна цифра вместо тысячи слов: специалистов по информационной безопасности в 4 раза меньше, чем требуется отрасли.
Меня зовут Дмитрий Васильев, я директор департамента информационной безопасности Softline. В этой статье я расскажу, какова сейчас ситуация на кадровом рынке ИБ и каких специалистов так долго и тщательно ищут компании.
История из рабочих будней: как мы “захватили” банк
Однажды мы занимались поиском уязвимостей в крупном банке. Стоит сказать, что работа пентестера (специалиста по поиску и эксплуатации уязвимостей) во многом состоит из удачных догадок на базе опыта и экспертизы и проверок разных теорий. В этот раз коллеги составили из открытых источников список учётных записей пользователей, с помощью атаки ASP‑REP вытащили восемь хэшей паролей. Пароли поставили на перебор и таким образом получили доступ к двум учётным записям, одна из которых была привилегированной.
Параллельно начали проверять подключение по сети и обнаружили на одном из компьютеров WEB‑сервер с заводскими учетными данными на административной панели. Антивируса установлено не было. Это, плюс привилегированная учётная запись с расширенными правами, позволило установить скрипт Web Shell и получить доступ на сервер. Далее завели машину на С2-сервер и смогли передвигаться по сети, минуя файрволл. При боковом ��вижении нашли данные ещё одного привилегированного пользователя. Через него захватили контроллер домена, по сути, получив доступ ко всем ресурсам компании. На весь захват ушло около 3 часов.
Конечно, не вся работа специалистов ИБ выглядит как сплошное романтическое (и немного опасное) приключение «на грани», но этого у нас очень много.
Сейчас специалисты по информационной безопасности нужны всем
Причина очевидна: если информационные системы подвергаются атакам, ни компания, ни государственное учреждение не может выполнять свои задачи.
Одним из самых мощных драйверов для сферы ИБ в нашей стране стало принятие в 2017 году федерального закона № 187 «О безопасности критической информационной инфраструктуры» и дальнейшее развитие нормативной базы по этой тематике. Сформировавшийся курс на импортозамещение в ИБ также во многом обусловлен необходимостью обеспечения безопасности критической информационной инфраструктуры и технологической независимости, о чем явно говорится в Указе Президента № 166.
Другой важный и заметный тренд в законодательстве в области ИБ — усиление контроля государства в вопросах обработки и защиты персональных данных, о чём свидетельствует внесение изменений в закон «О персональных данных»: необходимость информирования ФСБ и Роскомнадзора об инцидентах ИБ и связанных с ними утечках ПДН, а также активное обсуждение планов по введению больших оборотных штрафов для операторов за сокрытие фактов утечек персональных данных.
1 мая 2022 года был издан Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации». По некоторым оценкам, он затрагивает до 95% всех предприятий, в том числе тех, кто работает в области здравоохранения, связи, транспорта, энергетики и т. д. Всем этим предприятиям необходимо к 2025 году создать отдел ИБ, назначить заместителя генерального директора по ИБ и поднять безопасность объектов критической информационной инфраструктуры на установленный уровень.
За последние 10 лет в России выросли серьезные игроки в области ИБ, было создано немало качественных разработок. К началу этого года порядка 77% всех решений по ИБ в стране были российскими. Но мало кто ожидал, что после событий февраля оставшиеся 23% могут внезапно «превратиться в тыкву»: железо перестало работать, лицензии были отозваны.
При этом актуальность ИБ только возросла: нагрузка на ресурсы, расположенные на территории РФ, усилилась. Достаточно вспомнить, как в июне чуть ли не каждый день атаковали «Госуслуги».
Вся отрасль столкнулась с проблемой: быстро заместить отечественные решения, причём аналоги должны быть надёжными и производительными, чтобы выдерживать нагрузки. И мало просто создать конкретные продукты — их нужно увязать в инфраструктуру, интегрировать с уже работающими сервисами, да ещё и, по возможности, незаметно для пользователей, без остановки работы.
То есть можно сказать, что востребованность специалистов в ИБ определяется двумя факторами: с одной стороны, они нужны, чтобы компания соответствовала законодательным требованиям в области ИБ; с другой — практические шаги по защите сервиса или инфраструктуры заказчика, противодействие атакам, поиск угроз — вот вещи необходимые здесь и сейчас. По прогнозам Б1 (ex. Ernst & Young) рынок услуг и решений в области ИБ будет одним из самых динамичных в российском ИТ. К 2026 году ожидается общий рост на 11%, а рынок услуг в области информационной безопасности вырастет на 14%.
В Softline мы работаем со всеми отраслями — государственные организации, телеком, финансы, страховые, тяжелая промышленность, энергетика, газ/нефть, средний бизнес — и видим всю картину целиком.
Информационная безопасность как отрасль многогранна и насчитывает 5 ключевых доменов, в рамках которых задачи весьма разнообразны.
Если говорить в общем, то специалисты по ИБ оценивают общую ситуацию в компании — активы и связанные с ними риски, процессы, персонал и многое другое. Дальше разрабатывается комплексное решение, Или рассматриваются сервисы, которые предлагает компания-интегратор. Решение внедряется и поддерживается на постоянной основе, модернизируется.
Соответственно, квалифицированные специалисты нужны на всех этапах. У нас как у системного интегратора это…
Аудит. Огромный блок работы связан с проверкой всех систем заказчика на соответствие требованиям.
Консалтинг. Мы разрабатываем комплексные меры безопасности, оцениваем ситуацию на стороне заказчика. Здесь требуются подкованные ребята с широким кругозором, которые понимают в ИБ и смотрят на перспективу.
Разработка. Учитывая ситуацию, сейчас особенно востребованы инженеры, которые могут работать на отечественных решениях. Разумеется, мы сами переобучаем наших специалистов, но часто в проекте времени очень мало, нужны люди, которые готовы прийти и начать делать.
Буду капитаном Очевидностью и скажу, что для успешной работы в ИБ нужно две вещи: это профильное образование и практический опыт. В безопасность сложно переходить из других отраслей, недостаточно пройти курс на 500 часов, потому что он даст конкретные навыки, но не общее понимание действий. А у нас очень много задач, где нужно не просто писать код, а видеть общую картину, знать, что произойдёт, если сделать так, а не иначе. В то же время, одной теории недостаточно для успешной работы — необходимо владеть инструментами, иметь реальный опыт.
Если говорить о конкретных специальностях, то в ИБ их достаточно много. Приведу несколько описаний самых востребованных вакансий.
СПЕЦИАЛИСТ В SOC (Security Operations Center, Центр информационной безопасности).
Что делать: проводить мониторинг, выявлять и предотвращать угрозы, противодействовать атакам на системы заказчиков.
Что нужно знать: необходимо понимать, как происходят атаки и как с ними справиться.
Стек технологий: кругозор по продуктовой линейке СЗИ, понимание функциональных возможностей каждой из них, знание наиболее распространенных тактик и техник хакеров. Специалист должен из миллионов событий, поступающих в SOC, сфокусировать свое внимание на наиболее уязвимых местах инфраструктуры заказчика и направить существующие инструменты SOC на предотвращение именно этих векторов атак.
----------------------------------
ПЕНТЕСТЕР
Что делать: искать и эксплуатировать уязвимости заказч��ков.
Что нужно знать: понимать, как происходят атаки. Творческая позиция, которая требует огромного технического бекграунда. Требуется провести сбор информации об объекте, поиск точек входа, получить доступ к системе, при необходимости оставить бэкдоры. Для этого мы пытаемся, находясь за пределами компании, изучить о ней всё, что возможно. Это романтическая профессия, белое хакерство — работа похожа на то, что нам показывают в фильмах.
И это всегда исследование, причём новое и оригинальное. Потому что не бывает такого, чтобы информация совпадала с предыдущим заказчиком один к одному.
Стек технологий: пентест, Red Teaming, анализ защищенности.
----------------------------------
АНАЛИТИК СЕРВИСА ETHIC
Что делать: OSINT, изучение Dark NET.
Что нужно знать: у нас в Softline есть сервис Ethic, в рамках которого мы ищем недостатки в информационной безопасности у заказчика. Ребята проводят сбор и анализ информации из публичных общедоступных источников, подключаются к Даркнету, смотрят, какая всплывает информация о заказчике: это бывают учётные записи, иногда целые базы данных, выложенные на закрытых хакерских форумах. Далее специалисты анализируют полученные данные и выдают в виде заключения или образцов баз данных заказчику.
Стек технологий: OSINT, оперативная разработка.
----------------------------------
АНАЛИТИК
Что делать: анализировать инциденты, которые произошли на стороне клиента. Основная задача — автоматизировать механизмы отражение атак и не допустить их повторения в будущем. Эту работу можно сравнить с компьютерной стратегией: есть объект, который нужно защитить, есть ресурсы, и нужно придумать, как из этих экономических или боевых единиц выстроить защиту от самых разных угроз. Так же и здесь, управляя различными элементами информационной безопасности, специалист придумывает логику, по которой они будут отрабатывать ту или иную атаку.
Что нужно знать: требуется не просто умение работать с конкретными продуктами, а понимать общую логику хакеров.
----------------------------------
СПЕЦИАЛИСТ ПО КОНСАЛТИНГУ
Что делать: понимать боли и проблемы клиентов и помогать их решить. Иногда заказчики приходят с конкретными запросами: нам нужен фаерволл. Но чаще всего нужно «просто» обезопасить ИТ-инфраструктуру и данные. И здесь подключается консалтер — он должен разобраться, что действительно важно для Бизнеса, какие есть риски и как их уменьшить. Понять и оценить проблематику – половина дела, нужно помочь заказчику построить процессы ИБ, работающие на практике.
Что нужно знать: достаточно понять, что мы защищаем, от чего защищаем и как защищаем. Ответ на вопрос «что» дает понимание взаимосвязей бизнеса и ИТ, применяемых ИТ-технологий. Знание ключевых угроз и векторов атак отвечает на вопрос «от чего». Понять «как защищаем» помогают различные стандарты и фреймворки, а также знания технологий и принципов работы средств защиты. И дело не только в «технике»: слышать собеседника и структурированно излагать идеи – залог успеха.
Стек технологий: общепринятые стандарты и фреймворки ИБ.
----------------------------------
СЕЙЛЗ-МЕНЕДЖЕР (менеджер по продажам)
Что делать: продавать решения клиентам.
Что нужно знать: технологии, решения и способы их внедрения. Раньше, как и многие на рынке, мы набирали в сейлз ребят со стороны, тех, кто просто хорошо говорит. Но со временем компетенции заказчиков начали вырастать, и сейчас в продажи мы берём грамотных технических специалистов. Техническая составляющая — одна из необходимых базовых компетенций такого специалиста, но не единственная. Помимо глубоких технических знаний необходимы навыки коммуникации. При взаимодействии с клиентами недостаточно только глубоко вникнуть в проблематику, нужно развер��уто проговорить выигрыши и результаты от внедрения того или иного решения при решении задачи. С техническим специалистом на языке техники, с бизнесом — на языке бизнес-показателей. Специалист должен стремиться осваивать инструменты продвижения решений и методологии продаж, уметь показывать ценность продвигаемых решений, работать с возражениями, всегда быть в курсе появления новых возможностей и решений в индустрии информационной безопасности. Тем самым технический специалист в значительной степени корректирует свой карьерный трек и вектор своего профессионального развития.
Стек технологий: информационные технологии, решения по информационной безопасности, методологии продаж, переговорные навыки, публичные выступления, маркетинг.
Карьерная пирамида в ИБ
Поскольку ИБ — это очень широкое и разветвлённое направление, говорить о карьерной лестнице здесь сложно. Скорее уж пирамида.
Стартовый уровень — джуниор-менеджеры. В большинстве направлений ИБ джуны выступают в роли таких подмастерьев — они работают с наставниками, выполняют несложные задачи и постепенно набирают опыт.
Дальше по каждому направлению в крупных компаниях существуют формализованные и понятные грейды: какими навыками нужно обладать, чтобы перейти на следующую ступень. То есть перед человеком стоит чёткая картинка того, как он может расти вверх. Какие требования будут к нему предъявляться, какие ему нужны знания, какой уровень ответственности.
Помимо вертикального роста распространено горизонтальное перемещение. Зачастую, приходя в компанию, подобную нашей, на одну должность, человек изучает смежные темы, взаимодействует с коллегами и находит для себя более интересный или новый проект, переходит в соседнюю команду.
В перспективе информационная безопасность станет ещё более важной и востребованной сферой.
Сейчас в ИБ мы сталкиваемся с жёстким дефицитом кадров. Хорошая новость для рынка — в вузах открываются новые факультеты информационной безопасности, то есть со временем специалистов станет больше. Но до этого ещё как минимум 5-6 лет, а к тому моменту, вероятно, число информационных систем только возрастёт.
Уже сейчас очевиден тренд на автоматизацию — поскольку специалистов мало, повторяющиеся и рутинные задачи стараются передать ИИ. Поэтому, разумеется, те, кто занимается автоматизацией решений, широко востребованы во множестве компаний, как в ИТ-сфере, так и в смежных.
Нельзя не отметить, что, вероятно, со временем борьба за кадры приведёт к тому, что мелкие компании не смогут позволить себе специалистов по ИБ, потому что более крупные будут их перекупать. Среди лидеров и по зарплатам, и по интересным проектам, безусловно, банки, телеком и крупные интеграторы. Это будет значительный «толчок» для развития сервисов по подписке.
Крупные компании, такие как Softline, уже сейчас развивают всё больше интересных и значимых проектов для государственных и коммерческих заказчиков. И чтобы выполнять их на высоком уровне, постоянно расширяют и укрепляют команду. У нас в ИБ сейчас более 20 направлений, и всегда есть вакансии — выбираем лучших :)
