Но что вообще включает в себя эта сфера, информационная безопасность? Вместе с экспертами Никитой СЫЧЕВЫМ, организатором Ugra CTF, и Ильей ШАПОШНИКОВЫМ, руководителем исследовательской группы в отделе RedTeam «Ростелекома», мы подготовили для вас материал об инфобезе, кибербезопасности и CTF.
В чем отличия?
Информационная безопасность отвечает за безопасное (как бы тавтологично это ни звучало) хранение и проведение разных операций над информацией любого вида: бумажного или электронного.
Кибербезопасность – это направление в инфобезе, отвечающее за обеспечение безопасности информации, которая хранится в электронной форме. Как только вы отсканируете бумажный документ, задача обеспечения безопасности этой цифровой копии уже относится к направлению кибербезопасности.
CTF – Сapture the Flag, или Захват флага,– это соревнования, главной целью которых является захват уникальной комбинации символов, называемой «флагом».
– Есть такая поговорка: «лучшая защита – это нападение», – рассказывает Никита Сычёв, организатор Ugra CTF. – Применительно к инфобезу и CTF она как нельзя кстати: мне кажется, что лучший способ защитить какую-то систему от угроз – понять, как будет думать человек, который попытается её взломать.
А подробнее про CTF можно?
CTF – Сapture the Flag – чаще всего бывает двух форматов: jeopardy и attack-defense. Давайте вместе с нашим экспертом Никитой Сычёвым разберемся, чем они отличаются:
Новички обычно начинают играть в CTF с формата jeopardy. В таких соревнованиях участникам даются задания из разных категорий: например, в задании на веб нужно найти уязвимость в веб-сайте, а в категории crypto – расшифровать сообщение. Каждое задание имеет свою цену: чем сложнее, тем больше очков дают. Формат похож на «Свою игру» (от неё и название) – разве что «Кота в мешке» нет (Jeopardy! – американская телевизионная игра-викторина, выходящая с 1964 года, в России известен ее аналог под названием «Своя игра» – прим. ред.).
Если в реальной жизни при нахождении уязвимости можно достать данные настоящих пользователей и другие секреты, то в jeopardy вместо них вы найдёте флаги. За каждый сданный флаг вы получаете очки.
Формат attack-defense посложнее – и поинтереснее: каждая команда управляет уже целым набором сервисов. Этими сервисами пользуются боты жюри, например, переводят деньги в виртуальном банке или пишут сообщения друг другу – и, соответственно, оставляют свои секретные данные. У команд сразу несколько целей: поддерживать свои сервисы в рабочем состоянии, исправлять уязвимости и красть секретную информацию с помощью найденных уязвимостей с сервера противников.
Что должен уметь делать специалист по инфобезу?
– У информационной безопасности есть множество направлений: криптография, анализ защищенности информационной системы, безопасность приложений, реверс-инжиниринг, «бумажная» безопасность, расследование киберинцидентов и т.д. У каждой из этих областей есть свой список требуемых знаний и навыков, – поясняет наш эксперт Илья Шапошников, руководитель исследовательской группы в отделе RedTeam, Ростелеком.
Но есть несколько главных качеств, которыми должен обладать специалист по инфобезу. Рынок и технологии быстро развиваются, поэтому ИБ-специалист должен:
– определять список тем, которыми он должен владеть для своего направления и своевременно обновлять его;
– быстро обрабатывать информацию;
– мыслить за пределами обозначенных рамок.
Как развиваться и что читать?
Ответ на этот вопрос будет зависеть от профиля, который вам интересен, а профилей, как мы уже писали выше, очень много – рекомендуем вам самим поискать информацию и познакомиться с ними поближе. Например, пентестеры могут решать пентест-лабы и участвовать в киберполигоне The Standoff.
Попробовать себя в этой сфере можно еще в школьные годы. Наш эксперт Никита Сычев, например, ещё со средней школы интересовался тем, как устроены компьютеры и софт и какие «трюки» с ним можно делать. В 2016 году у них в городе проводили CTF – тогда вообще никто не знал, что это такое. Никиту попросили собрать школьную команду, потому что он «хорошо знал информатику». С командой они случайно заняли первое место – и благодаря этому Никита втянулся в CTF и через два года сам стал организатором этих соревнований.
Наш эксперт дает общий совет: следите за новыми уязвимостями и какими-то полезными инструментами в своей области. Для этого регулярно мониторьте интернет и различные тематические источники. Вот, например, небольшой список полезных мест от Никиты:
– Hacker News: https://news.ycombinator.com/
– r/cybersecurity: https://www.reddit.com/r/cybersecurity/
– Журнал «Хакер»: https://xakep.ru/
– Хаб на Хабре: https://habr.com/ru/hub/infosecurity/
– Календарь CTF-соревнований: https://ctftime.org/
А специалисты востребованы?
Почти все компании в России сегодня работают с использованием цифровых технологий, а там, где используются цифровые технологии, появляются риски информационной безопасности. Поэтому в штате таких компаний требуется специалист по ИБ. Некоторые организации отдают эту работу на аутсорсинг – но и там тоже нужны сотрудники, понятное дело. В последние годы на рынке ощущается сильная нехватка специалистов по инфобезу.
– Были реальные случаи, когда на вакансию в известную компанию с хорошими условиями и зарплатой выше рынка, искали человека полгода, – рассказывает наш эксперт Илья Шапошников. – Все это привело к тому, что некоторые компании решили с нуля «выращивать» сотрудников под определенные задачи. А другие компании пошли еще дальше и начали сотрудничать с факультетами и кафедрами университетов, что позволило им обучать и набирать потенциальные кадры еще на этапе обучения в вузах.
На первый взгляд, все эти действия со стороны крупных компаний должны с лихвой покрыть «кадровый голод» в информационной (и, в частности, кибер-) безопасности. Более того, в последнее время начали быстро развиваться направления автоматизации процессов безопасности, что позволило сократить штат ИБ-специалистов.
Но на фоне этого также начали появляться смежные направления информационной безопасности, например, безопасность биометрических данных. И не стоит забывать главный фактор: информация с каждым годом становится все доступнее, и злоумышленники, число которых растет, тоже изучают основы кибербезопасности. В связи с этим количество кибератак повышается – и, соответственно, рынок с каждым годом нуждается во все большем количестве специалистов по информационной безопасности.
А девушки работают в инфобезе?
На этот вопрос ответит наш эксперт Илья Шапошников: он учился в МГТУ им.Баумана на кафедре «Информационная безопасность автоматизированных систем».
– В информационной безопасности количество женщин в разы меньше, чем мужчин. Простой пример: у меня в университете в среднем соотношение поступивших мужчин/женщин было 1 к 5. Причем большинство поступивших девушек прекрасно учились и были с высокими баллами по ЕГЭ. По моему мнению, это связано с двумя проблемами:
Первая – низкая осведомленность о профессии специалиста ИБ, многие узнают о ней от других знакомых, которые уже выпустились и/или работают в этой сфере. А так как чаще всего по статистике у людей количество дружеских связей больше с людьми того же пола, то получается, что информация о профессии быстрее распространяется среди тех, кого на данный момент больше на данном направлении, то есть среди мужчин.
Вторая проблема менее распространена, но тоже имеет место. Касается она необъяснимых стереотипов о том, что специалист по информационной безопасности – мужская профессия. Скорее всего, это пошло с тех времен, когда информационная безопасность была в качестве закрытой дисциплины в гос. структурах, где принято, что защитники родины – это преимущественно мужчины. Но, к счастью, с такой проблемой сталкиваются сегодня все реже и реже.
Илья советует прекрасной половине человечества быть целеустремленными, верить в себя и не обращать внимание на все эти устаревшие стереотипы!
А какие перспективы у сферы?
Разберемся вместе с Никитой Сычёвым, организатором Ugra CTF:
– Можно сказать, что ИБ – это такая небольшая проекция IT-сферы. С одной стороны, чем больше разных технологий и сервисов появляется, тем больше у них становится уязвимостей – и, соответственно, больше разнообразных задач для специалистов по инфобезу. С другой стороны, покрытие технологий тоже увеличивается: многие данные переезжают в различного рода информационные системы, у всего подряд появляются личные кабинеты, исчезают бумажные реестры и т.п. – это приводит к тому, что данных, которые нужно защищать, становится больше, а их ценность в разы увеличивается. Поэтому вопрос можно переформулировать как «какие перспективы есть у IT», и ответ на него становится довольно очевиден!
Над материалом работали Таисия КЛЁПОВА и Маргарита МОСКВИНА