Кто такие исследователи угроз
Эти специалисты занимаются поиском и анализом уязвимостей информационных систем. По сути, аналитики угроз собирают и обрабатывают данные о состоянии защищенности информационной системы, а после передают их коллегам из других отделов кибербезопасности, что позволяет наиболее эффективно и быстро вести работу всей команде.
В целом штат отделов информационной безопасности принято делить на две команды: blue team (защитники) и red team (атакующие). Задача blue team — защищать ИТ-инфраструктуру и предотвращать атаки, задача red team — имитировать действия киберпреступников и находить уязвимости в системе.
Аналитиков угроз нельзя отнести ни к одной из команд. С одной стороны, они постоянно вычисляют закономерности в поведении злоумышленников и проектируют модели их поведения. С другой — ищут и устраняют дефекты систем. Поэтому их относят к условной purple team, команде, которая обеспечивает совместную работу защитников и атакующих для достижения общей цели — обеспечения безопасности информационной системы. К purple team, помимо аналитиков угроз, также относят инженеров по безопасности и специалистов по тестированию на проникновение.
Никита Титаренко. Источник: Positive Technologies & Positive EducationНикита Титаренко. Источник: Positive Technologies & Positive Education
Какие задачи решают аналитики угроз
Вот их основные обязанности:
Классификация и анализ уязвимостей системы и атак на нее, помощь коллегам из других отделов в поиске решений по устранению таких проблем.
Взаимодействие с командами атакующих и защитников и выстраивание взаимодействия между ними. Первым аналитики помогают находить новые атаки, рассказывают про актуальные тенденции в этой сфере и показывают, как лучше протестировать систему. В паре с защитниками они укрепляют систему защиты, предлагают новые способы детектирования атак и создают макеты атак на киберполигоне. Киберполигон — это виртуализированная IT-инфраструктура, на платформе которой создаются модели информационных систем и проходят тренировки по их атаке и защите.
Модернизация системы защиты. Это не только совершенствование уже имеющихся методов, но и их постоянное обновление с учетом новых трендов. Аналитик угроз следит за выходом последних версий продуктов, выделяет их слабые и сильные стороны и в зависимости от этого актуализирует систему защиты.
Разработка новых методов детектирования. Не все стандартные методы помогают выявить особенно сложные атаки, поэтому аналитик угроз находит новые способы, чтобы «не отставать» от злоумышленников и не подвергать систему большим рискам.
Автоматизация действий атакующего. Аналитик угроз помогает создавать модели возможных атак на систему и разрабатывать программы для их отражения.
Макетирование. На киберполигоне создаются макеты уязвимых инфраструктур на основе проведенного аналитиком исследования. Здесь атакующие и защитники могут не только потренироваться, но и проверить новые методы работы и обучить новичков.
Анализ публикаций баз данных об актуальных уязвимостях систем. Отчеты о проведенных хакерами атаках публикуют крупные IT-компании. Например, такие данные регулярно появляются на сайте «Лаборатории Касперского» или BI.ZONE. Обращать внимание стоит не только на веб-уязвимости, но и на взломы объектов критической инфраструктуры.
Обучение алгоритмов ИИ. В работе атакующие и защитники все активнее используют искусственный интеллект. Алгоритмы учат не только обнаруживать нарушителей и отражать атаки, но и находить нестандартные методы защиты системы. Созданием датасетов для тренировки нейросетей также занимаются аналитики.
Андрей Жданухин. Источник: Positive Technologies & Positive Education
Где тренироваться аналитикам угроз
Чтобы отточить навыки по защите системы, можно обратить внимание на такие платформы:
- Blue Team Labs и CyberDefenders. Здесь представлены готовые лабораторные работы и виртуальные информационные инфраструктуры.
- MITRE и BI.ZONE. Тут можно найти базы данных с опубликованными актуальными и архивными отчетами обнаруженных уязвимостей систем. Их полезно изучить, чтобы расширить и актуализировать базу знаний в инфобезе.
А эти платформы помогут попрактиковать навыки атакующего:
- HackTheBox и TryHackMe ― можно найти большое количество теории и заданий по этичному хакингу;
- PortSwigger ― узнать больше о веб-пентесте и попробовать силы, например, в сборе данных о системе, сканировании информационной системы или имитации атаки на нее;
- Приложение «Кодебай. Игры» ― «поиграть» в хакера в прямом смысле слова;
- Standoff 365 — это основная платформа для подготовки к самому большому киберсоревнованию Standoff. Здесь представлены актуальные кейсы с чемпионата, однако задания можно использовать и в качестве классической учебной тренировки. Также платформу можно использовать как киберполигон.
Лекция Никиты Титаренко и Андрея Жданухина ― часть программы киберфестиваля «Positive Hack Days 2». Мероприятие собрало экспертов из Авито, МТС и других компаний. Они рассказали, как начать развиваться в сфере информационной безопасности, что поможет определиться с направлением, где искать стажировки и первую работу. Соорганизатором фестиваля выступил факультет безопасности информационных технологий ИТМО.
