Магама Базаров, независимый эксперт: Компании стали обращать больше внимания на сетевую безопасность, так как угрозы – реальные

Почему важность сетевой безопасности часто недооценивают, как стать настоящим специалистом и при чем здесь электронная музыка – об этом Cyber Media поговорил с видным специалистом по анализу защищенности сетевой инфраструктуры и охотником за багами сетевого оборудования Магамой Базаровым, также известным как Caster.

Cyber Media: Как вы стали исследователем безопасности?

Магама Базаров: Еще в детстве отец привил мне очень сильную любовь к компьютерам. Во время обучения в школе и до поступления в колледж я активно изучал архитектуру компьютера и работу сетей.

Основная фаза развития началась, когда я поступил в колледж на направление сетевого администрирования. Меня окружало большое количество сетевых железок, и это было отличной возможностью развивать свои навыки и компетенцию. Доступ к оборудованию всегда позволял смотреть на сети с практической точки зрения, и практика была для меня всем. Когда я обрел необходимый рабочий бэкграунд, я ушел в этом направлении.

Cyber Media: А почему решили сосредоточиться на сетевой безопасности?

Магама Базаров: Почему именно сетевая безопасность, я полагаю это из-за моей любви к музыкальному исполнителю KLOUD. Его музыка всегда отличалась мрачностью и глубиной звучания.

Темная электронная музыка заставляла меня докапываться до сути, как и что работает, изучать работу сетей на очень низком уровне. Но каким именно образом, откуда именно такая связь – остается для меня загадкой. Музыка этого жанра руководит моим рабочим процессом, помогает понять принцип работы технологического стека, который я в этот момент изучаю.

Для меня это до сих пор очень загадочное явление, почему именно мрачная музыка так на меня влияет.

Cyber Media: Какие области лично вам наиболее интересно исследовать с профессиональной точки зрения?

Магама Базаров: На самом деле я сфокусирован именно на сетевой безопасности, я изучаю только ее. Само направление достаточно специфическое. Компьютерные сети очень статичные и не меняются десятками лет. Это очень сильно повлияло на отношение людей к сетям –скорее всего, они один раз настроят сеть и забудут о ней.

Но в то же время это влияет на безопасность, иногда бывает очень сложно интегрировать в сеть механизмы безопасности так, чтобы не нарушить бизнес-процессы. Да и сетевая безопасность требует понимания всей картины работы сети, так как конфигурация на уровне коммутации и маршрутизации может серьезно повлиять на архитектуру.

Cyber Media: Что изменилось в вашей области за последние 1,5 года на фоне шквала атак?

Магама Базаров: По сути новых угроз и не появилось, их просто стало больше в несколько раз. Я заметил, что компании стали обращать больше внимания на сетевую безопасность, так как угрозы реальные и на инфраструктуру РФ приходится огромное количество различных атак. Люди стали беспокоиться об информационной безопасности, когда это начало напрямую касаться их жизней. Например, утечки персональных данных, дефейс сетевого оборудования провайдеров, атаки на промышленные системы, участились даже случаи фишинга/вишинга.

Я надеюсь, это в какой-то мере заставит компании отнестись серьезнее к безопасности сетей. Однако стоит понимать, что информационная безопасность – это в первую очередь процесс, а не разовое проведение тех же пентестов, сканирования уязвимостей, установки патчей. Это очень дорогой, большой и сложный процесс, к которому нужно подойти очень ответственно.

И дело касается не только в безопасности ПО, сетей и прочего, дело еще и в людях, их личной безопасности, информационной гигиене в сетях.

Cyber Media: Какие сетевые атаки – самые разрушительные?

Магама Базаров: По моему мнению, в контексте сетевых атак наиболее опасные – DoS/DDoS. Это очень сильный удар, бизнес может потерять очень много времени и денег из-за простоя той или иной системы.

Сетевые атаки очень специфические и в некоторой степени сложные в исполнении. Я думаю, APT-группировки и ransomware-группы их организуют редко. Для проектирования Anti-DDoS-систем есть целое непаханое поле. Появляются сложные модификации DDoS-атак, и Anti-DDoS нужно развивать дальше.

Cyber Media: В ваших работах чаще всего встречаются маршрутизаторы Cisco и Mikrotik. Так какой же из них безопаснее, на ваш взгляд?

Магама Базаров: Да, у меня больше всего опыта с этими вендорами по сравнению с другими. «Какой вендор безопаснее» – по сути такой вопрос не стоит, так как любое оборудование в некотором роде уязвимо, обнаружение 0-day – это вопрос времени, исследований, реверс-инжиниринга. Всегда будут находиться новые уязвимости. Нельзя только по вендору сказать, какое сетевое оборудование наиболее безопасное.

По большей части все зависит от человека, имею в виду, компания должна очень серьезно отнестись к безопасности сетевого оборудования, которое она интегрирует в сетях продакшна.

Cyber Media: Что посоветуете начинающему специалисту в вашей области? Что почитать, что выучить, с чем разобраться?

Магама Базаров: В первую очередь, я советую подтянуть английский язык. Вся новая и актуальная информация в основном на английском языке. Я не скажу, конечно, что на русском языке материалов нет, просто часто приходится сталкиваться с устаревшими материалами, некачественными, а то и неверными переводами.

Когда я учился, мне очень сильны помогли курсы «Сети для самых маленьких» от linkmeup и «Курс молодого бойца Cisco» от Евгения Олькова из NetSkills. В этих курсах отличный баланс теории и практики, так что с самого начала у человека будет примерное понимание, зачем изучать ту или иную вещь в сетях. Огромная моя благодарность авторам этих материалов, без них мне было бы гораздо труднее начинать.

У Евгения Олькова есть и другие отличные книжки: «Архитектура корпоративных сетей», «Практическая безопасность сетей». Я чувствую, что он пишет с душой, у книг отличная техническая начинка. Все работы можно найти на NetSkills.

Мне кажется, многие недооценивают навыки работы с трафиком, умение его проанализировать. В той же форензике к дампам трафика проявляют большое внимание, когда нужно понять, что происходило с сетью в момент атаки. Кстати говоря, один из моих инструментов Above выявляет проблемы безопасности L2-L3-сегментов как раз по анализу трафика.

Поэтому рекомендую начинающим установить Wireshark и играться с дампами трафика. Когда придется работать с ним на основной работе, нужно будет понимать весь спектр функций, хорошо ориентироваться: что за пакет, как изучить его содержимое. Есть ресурс Sample Captures, там очень много дампов, чтобы поупражняться.

Важно помнить, что теория без практики мертва. Для практических навыков по-хорошему бы использовать эмуляторы сетей: Pnetlab, EVE-NG, GNS3. Однако это лишь виртуальное оборудование, его работа отличается от настоящей сетевой железки.

В этом вопросе я акцентирую все внимание именно на сетях. Это потому, что необходимо понимать абсолютно весь процесс работы того или иного стека, в котором будет работать специалист, неважно offensive или defensive. Только знание всего бэкграунда делает человека хорошим специалистом. С остальными направлениями абсолютно тот же самый принцип. Не понимания принцип работы сетей – с интеграцией сетевой безопасности будут проблемы, можно выстрелить себе в ногу и сделать все только хуже.

Наконец, когда выбирать нужно тот инструментарий для работы, который тебе нравится и кажется удобным. Тут нужно полагаться только на свои ощущения и не обращать внимания на чьи бы то ни было выпады. Желание – основной двигатель развития, и если его много, ты найдешь способ реализации для абсолютно любой своей идеи. Желание и любовь к своему делу, а с остальным обязательно разберешься.

И также стоит понимать, что обучение в принципе никогда не заканчивается. Грубо говоря, ты должен быть в тренде последних новостей, разработок в своей деятельности.

Cyber Media: Последний вопрос, расскажите про свой музыкальный проект. Откуда пришла идея объединить исследования безопасности с электронной музыкой?

Магама Базаров: Caster – это мое альтер-эго. Все свои работы я пишу под влиянием музыкальных треков, именно они создают мне основу для исследований и изучения чего-либо.

Я уже говорил, что музыка руководит абсолютно всеми процессами моего творчества. Один раз ударило в голову так, что я решил вести свое творчество полностью в музыкальном стиле. Я придумал концепцию разделения статей на жанры и поджанры, точно так же как и в музыке. Я прописываю такие метрики, как Release Date, Label, как будто это музыкальный трек, даю каждой своей работе название.

Я как-то написал одно исследование на основе работы Андрея @s0i37 Жукова, моего очень близкого друга. И так как моя работа базировалась на его трудах, мне пришла в голову идея назвать это ремиксом – s0i37 – Spying Penguin (Caster Remix).

Ремикс – это значит, что мы перерабатываем существующий материал, чтобы создать что-то новое. Именно это и произошло, когда я писал эту работу. Я был безумно счастлив на протяжении всего процесса написания статьи, не мог нормально спать, пока не дописал. Я чувствовал полное слияние с любимой электронной музыкой. Я никогда не был таким счастливым в своей жизни, когда я занимался этим исследованием. Эта работа значит для меня весь мир.

Почему именно электронная музыка, и почему именно темного звучания, почему она на меня так воздействует – ответ на этот вопрос до сих пор является для меня загадкой. Я безумно люблю свое дело, и я чувствую, что это и есть смысл моей жизни, – исследовать, творить, делать свою работу. Абсолютно все, что я чувствую, я конвертирую в творчество. Все, что я создаю, – от визуального сопровождения работы до публикации моей статьи – все это мое самовыражение.