Егор Богомолов, CyberED: Пентест — это единственное время, когда компании могут услышать правду о том, насколько они реально защищены

Этичные хакеры из «тени» вышли в публичное поле: сегодня они помогают бизнесу и государству защищаться от атак, расследовать инциденты и проверять реальную устойчивость систем. Егор Богомолов, генеральный директор Singleton Security и управляющий директор CyberED, в интервью для Cyber Media рассказал, почему пентест — единственный момент, когда компании могут услышать правду о своей защите, какие качества отличают сильного специалиста в offensive security и как AI меняет наступательную безопасность.

Cyber Media: За последние пару лет этичные хакеры все чаще появляются в новостях, публичных дискуссиях и даже в поп-культуре. Как изменился их образ и роль в индустрии, если смотреть изнутри?

Егор Богомолов: Если смотреть изнутри, хорошо заметно, что специалистов стало больше, и профессия стала более «попсовой». Хакеры уже не «мастера-левши», которые умеют все, а все чаще узко специализируются. Суперуниверсалы остались в старом поколении, а молодые ребята углубляются в конкретные области и интересуются технологиями больше, чем хакингом в широком смысле.

При этом роль этичных хакеров серьезно возросла. Сегодня их приглашают не только в государственные структуры, но и в бизнес. Если раньше работа с компаниями была уделом узких элитарных команд, подключавшихся лишь в исключительных случаях, то теперь это уровень «спасателей»: они помогают проверить безопасность систем, расследовать действия злоумышленников, участвуют в криминалистике и обеспечивают гарантии защищенности и для бизнеса, и для государства. Это изменение заметно и массово — и на социальном уровне, и на уровне всей индустрии.

Cyber Media: Сегодня offensive security называют одним из ключевых направлений в кибербезопасности. Что, по-вашему, отличает по-настоящему сильного специалиста в этой области?

Егор Богомолов: Первое и главное — это практика. Много практики: работа с устранением уязвимостей и глубокое понимание устройства технологий.

Второе — техническая эрудиция, широкий взгляд на разные системы: и архаичные, и самые новые.

Третье — развитое абстрактное и аналитическое мышление. Нужно мыслить гибко, уметь оперировать абстракциями и представлять, как что-то может быть устроено. Не все можно «потрогать руками», поэтому особенно ценно, когда специалист способен смоделировать все необходимое в голове и найти ответ на вопрос: «А как это работает?».

Cyber Media: Пентест до сих пор часто воспринимают как формальность для отчета. Что бы вы сказали компаниям, чтобы изменить этот взгляд?

Егор Богомолов: Пентест — это единственное время, когда компании могут услышать правду о том, насколько они реально защищены. Белые хакеры очень трепетно относятся к своей работе и стараются показать картину такой, какая она есть. Они придирчиво оценивают инфраструктуру, и это отличная возможность для компании увидеть со стороны свои уязвимости.

Причем воспользоваться этой возможностью можно даже при ограниченном бюджете: не обязательно обращаться к лидерам рынка, можно привлечь небольшие бутиковые команды или фрилансеров. Главное — не игнорировать пентест, иначе легко сформировать клубок иллюзий и потом болезненно разочароваться, когда произойдет взлом, шифрование или попытка уничтожить бизнес.

Cyber Media: Если говорить о новичках, какие навыки, привычки и качества им важнее всего развивать, чтобы попасть в сильную команду по наступательной безопасности?

Егор Богомолов: Есть два ключевых качества. Первое — усидчивость: умение долго и сфокусированно работать над задачей, не сдаваться при неудачах и не бояться ошибок. Второе — системность и постоянство. Хакингом нужно жить: если нет интереса разбираться с новым, далеко не уедешь. Важно искать то, что действительно любопытно тебе, а не то, что кажется популярным или нужным другим.

Ошибка многих новичков в том, что они стремятся просто получить работу пентестера, а потом останавливаются. Но настоящий хакер всегда ставит себе новую цель и продолжает учиться.

Для сильных работодателей потенциал сотрудника часто важнее формального опыта. Важно не то, что ты умеешь сейчас, а то, как быстро учишься. Кто-то за год делает огромный рывок, а кто-то 10 лет топчется на месте. Я всегда смотрю на то, сколько времени человек вложил и каких результатов добился.

Cyber Media: Можно ли вырасти в топового пентестера, начиная с нуля и без профильного образования? Или академическая база все же критична?

Егор Богомолов: Абсолютно точно можно. В хакинге можно выбрать интересные для себя направления и начать с любого уровня.

Например, у нас в CyberED учился бывший профессиональный баскетболист. После травмы он пришел к нам, отучился и быстро стал заметным специалистом, а сейчас работает в ведущих компаниях страны. Таких примеров я знаю десятки. Академическая база постепенно формируется вместе с практикой в выбранных областях.

Cyber Media: Какие мифы и заблуждения об этичных хакерах и пентестах до сих пор мешают бизнесу выстраивать адекватную защиту?

Егор Богомолов: Наверное, главный миф — что хакеры все делают очень быстро. Будто можно за 10 минут взломать iPhone. Случайности бывают, но в реальности это системная работа, требующая большой подготовки и часто — дней, недель или даже месяцев. Хакеры не волшебники.

Еще одно заблуждение — что защититься все равно невозможно. «Мы 10 лет работаем, что-то делаем, а дыры все равно есть». Из-за этого люди просто опускают руки.

В такие моменты важно вернуться к стратегии и понять: что именно и зачем мы защищаем. Нужно определить ключевые риски, сфокусироваться на том, чтобы они не реализовались, выбрать системы, с которыми они связаны, и заниматься их безопасностью в первую очередь. Не стоит пытаться охватить все подряд, если это не влияет на главные цели. Без понимания показателей и оценки работы безопасность превращается в формальное «мы что-то делаем» — и руководство в такой ситуации не будет давать ни бюджета, ни полномочий для изменений.

Cyber Media: Какие новые подходы и инструменты в пентесте за последние два года вам кажутся наиболее перспективными и почему?

Егор Богомолов: Само собой, один из главных трендов — использование AI во всем, и особенно в аудите. AI ускоряет сбор информации, помогает автоматизировать принятие решений о наличии уязвимостей.

Кроме того, AI становится отличным инструментом для обучения: это великолепный компаньон, которого можно бесконечно расспрашивать о том, как устроена технология или в чем суть проблемы.

В реверс-инжиниринге ИИ уже показывает потенциал: он может читать машинный код быстрее человека и переводить его эффективнее любого реверс-инженера. Пока остаются нюансы, связанные с бизнес-контекстом: человек понимает, где вероятнее всего искать проблему, а система пока действует последовательно и одинаково ко всему относится. Но это лишь вопрос времени.

В ближайшем будущем нас ждут агентные системы, которые смогут самостоятельно добывать информацию, принимать решения и значительно снижать затраты на рутинную работу. Первые примеры есть уже сейчас, но удобство, возможности и качество работы таких AI-агентов будут только расти.

Cyber Media: Если бы вы сейчас запускали образовательную программу по offensive security, какие элементы вы сделали бы ключевыми и чем она отличалась бы от существующих курсов?

Егор Богомолов: Мы ее уже сделали — я занимаюсь проектом CyberED, где удалось изменить подход к образовательным инициативам в кибербезопасности и построить именно ту программу, которой мне самому не хватало, когда я только начинал заниматься хакингом.