Какими навыками должен обладать ИБ-специалист в 2023 году

Сфера информационной безопасности на сегодняшнем рынке развивается самыми активными темпами. Мы спросили у российских разработчиков ИБ-решений и представителей бизнеса, чего они ждут от сотрудников, какие знания и умения входят в обязательный набор сильного специалиста.

Пожалуй, главная особенность, которая определяет сейчас ситуацию на рынке труда – это небывалый рост реальных угроз бизнесу. Как отметил Лев Палей, директор по информационной безопасности «Вебмониторэкс», раньше выделение ресурсов на безопасность зачастую зависело от заинтересованности лидера компании и настойчивости ответственного за информационную безопасность. Теперь же множество правоустанавливающих документов обязывает выполнять минимальный набор мер, а публичность (пусть и небольшая) инцидентов выводит информационную безопасность на один уровень с другими важными для компании направлениями.

Растет не только количество инцидентов, но и уровень сложности атак, а значит, и специалисты требуются высококлассные. В то же время, на рынок вышло большое число специалистов без опыта, прошедших экспресс-курсы в надежде на большую заработную плату.

Компании отмечают, что найти достойного кандидата стало сложнее: чем выше уровень компетенций, тем выше зарплатные ожидания и тем меньше подходящих людей на рынке труда.

Мария Токарева

Руководитель отдела по работе с персоналом Центра информационной безопасности «Инфосистемы Джет»

Количество вакансий в сфере ИБ только увеличивается. Компании конкурируют между собой за ценные кадры, которые имеют релевантный опыт и могут быстро включиться в работу. Кандидаты с необходимыми компетенциями моментально получают «пачку» предложений от многих работодателей. Поэтому сегодня как никогда важно работать над привлекательностью оффера для соискателей и развитием HR-бренда.

Например, в настоящий момент мы столкнулись с нехваткой опытных инженеров по внедрению SIEM и аналитиков SOC.

Чтобы справляться с дефицитом кадров, мы инвестируем в развитие специалистов внутри команды и стимулируем внутренние переходы работников из других подразделений с доучиванием их до нужного уровня. Для этого на нашем корпоративном портале предусмотрена специальная кнопка «Хочу перемен».

Таким образом, адекватная оценка собственных сил вкупе с необходимым багажом знаний и компетенций сегодня как никогда важны для успешной и достаточно быстрой карьеры. Практически все участники нашего опроса подчеркнули, что готовы тратить ресурсы, чтобы вырастить специалиста до нужного уровня.

Каковы требования к сотрудникам разного уровня

Для специалиста уровня джун в ИБ самыми главными навыками будут поиск информации и правильно сформированное «мышление безопасника» – подходить к работе не только с точки зрения требований нормативных и регуляторных требований, но и думать, как это можно было бы взломать.

Специалисты уровня миддл уже точно должны знать, какие существуют векторы атаки и защиты, оценивать уровни угроз и понимать ценность активов. К ним уже предъявляются требования по серьезным техническим навыкам, понимания работы СЗИ и опыт работы с требованиями в области ИБ (Федеральные законы, Положения ЦБ РФ и т.д.).

Сеньор – это специалист, который может взять любую компанию и выстроить в ней архитектуру и систему менеджмента ИБ с нуля, с учетом модели угроз, оценки рисков, и при этом не нарушить бизнес-процессы компании. Они умеют работать с документацией по ИБ, обладают хорошей технической базой и при необходимости могут выполнить задачу собственными руками. На этом уровне начинается взаимодействие с заказчиками, менторство младших сотрудников.

Руководитель проектов ИБ должен уметь развивать сервисы клиентов, общаться с заказчиками, вести методологическую работу, знать всё про нюансы импортозамещения. В его основные задачи входит понимание всех процессов ИБ, постановка и контроль задач, умение работать с документацией и технической частью, обучение новых сотрудников, помощь им с инструментами и задачами, сложными для младшего ранга.

Какие технические навыки нужны ИБ-специалисту

Языки программирования и баз данных. Все навыки кибербезопасности требуют умения программировать, большинство работодателей ожидает, что их ИБ-специалисты будут владеть хотя бы одним популярным языком программирования, а лучше несколькими: C, C++, PHP, Python, GO, Ruby, HTML, MySQL, Javascript, Hadoop и NET. Знание этих языков позволяет проанализировать стратегию злоумышленника и обеспечить безопасное взаимодействие между приложениями и облаком.

Иван Король

Разработчик ПО ANWORK

Так как Anwork – это кроссплатформенное мобильное приложение, для нас важно, чтобы разработчик знал язык как для Android, так для iOS, а также SDK-платформ.

Мы делаем упор на безопасность: Anwork работает на базе дополненного криптографического протокола Signal, используются Double Ratchet Algorithm Prekeys, расширенный протокол тройного обмена ключами Диффи-Хеллмана (3-DH) Curve 25519, AES-526, HMAC-SHA256. Также данные шифруются с помощью протокола TLS и механизма двустороннего SSL pinning. Желательно, чтобы разработчик понимал механизмы реализации этих алгоритмов.

Новички в этой области также должны уметь настраивать, запускать и поддерживать базы данных, чтобы иметь возможность бороться с любой угрозой для данных организации. Здесь требуется знание языков программирования для хранения данных и управления доступом, в дополнение к управлению защитой данных и конфиденциальностью в соответствии с требованиями законодательства.

Навыки работы с Linux. Значительное количество задач кибербезопасности решается в Linux-окружении. Специалист по ИБ должен уметь настраивать и модифицировать ОС, чтобы получать возможности, которых нет в проприетарных системах. Такие сборки, как Kali Linux, созданы специально для тестирования на проникновение и цифровой криминалистики.

Сетевое и системное администрирование. Понимание ИТ-инфраструктуры и таких принципов безопасных сетей, как архитектура с нулевым доверием, необходимо для проектирования, внедрения и защиты распределенных взаимосвязанных сетей. ИБ-специалисту требуется глубокое понимание протоколов передачи данных и сетевых служб, которые защищают данные организации. Сюда входят и практические знания о сетевых протоколах, таких как TCP/UCP, HTTP, ICMP, DNS и SMTP, функциях сетевых устройств безопасности (IDS/IPS/WAF), прокси, балансировщиков нагрузки.

В дальнейшем специалисту расширять знакомство с сетевыми технологиями: Network/Endpoint/Extended Detection and Response (NDR/EDR/XDR), Network Access Control (NAC), Secure Access Service Edge (SASE). Поскольку организации подключают к Интернету все больше умных устройств, работодатели также все чаще требуют специфических навыков безопасности IoT.

Облачная безопасность. Навыки облачной безопасности необходимы для построения безопасных архитектур, обеспечивающих взаимодействие между приложениями и облаком. Знание современных наборов инструментов безопасности для облака, привилегированного доступа и управления идентификацией, а также реализация в реальной жизни таких концепций, как нулевое доверие и минимальные привилегии, – все это стало важным условием для работы в сегодняшней среде.

Компании ищут профессионалов с опытом работы с публичными и гибридными платформами, таких как Yandex Cloud, VK Cloud, Azure. И поскольку все больше и больше компаний переходят на контейнерные рабочие нагрузки, им также требуется понимание Kubernetes и Docker DevOps.

Специалисты по кибербезопасности должны уметь разрабатывать и внедрять элементы управления безопасностью, защищающие облачную инфраструктуру организации. Таким образом, понадобятся знания в WAF и управлении идентификацией и доступом (IAM). Технологии IAM, такие как многофакторная аутентификация, аутентификация без пароля, управление привилегированным доступом и единый вход, необходимы для предотвращения большинства утечек данных, вызванных кражей учетных данных, социальной инженерией и другими способами компрометации учетных записей пользователей.

Технологии безопасной разработки. Сегодняшние компании управляют десятками приложений: внутрикорпоративных и общедоступных, предназначенных собственным сотрудникам, корпоративным и частным пользователям. Каждый такой сервис может стать мишенью, и бизнесу нужны профессионалы, которые умеют писать, внедрять и поддерживать безопасные приложения. Кандидат должен иметь хорошие практические знания процессов и методологий разработки программного обеспечения и приложений, быть знакомым с распространенными угрозами безопасности для веб-приложений и программных приложений и способами противодействия им.

Сергей Беспалов

Главный архитектор департамента информационной безопасности, ИМБА ИТ

Инженер по безопасности приложений (Application Security Engineer) умеет проводить аудит кода, тестировать приложения на уязвимости, разрабатывать стратегии защиты от взлома и участвовать в процессе разработки безопасных приложений.

Они работают с системами класса SAST/DAST, WAF, но также они должны владеть одним или несколькими языками программирования, что позволяет им разбираться в чужом коде и давать рекомендации по повышению безопасности кода.

Проверка на защищенность (пентестинг). Регулярные проверки на проникновение  – обязательный элемент ИБ для любой организации, работающей с конфиденциальными данными. Специалисты по тестированию на проникновение используют методы взлома, чтобы проверить, насколько компания способна устоять перед атакой. Другими словами, они пытаются проникнуть в систему так же, как это сделал бы настоящий преступник.

Поэтому наряду с глубоким пониманием сетевой безопасности, операционных систем и безопасности приложений ИБ-специалисту потребуются навыки использования стандартных инструментов взлома (Nessus, Metasploit, SQLMap и Jawfish и проч.). Это позволит понимать, как думают и работают хакеры, чтобы развить навыки защиты организаций от злонамеренных атак.

Сергей Гилев

Руководитель отдела анализа защищенности компании Angara Security

В сфере пентеста и анализа защищенности есть общие требования: уверенные знания о работе компьютерных сетей, операционных систем, криптографии и типах уязвимости. А далее в зависимости от грейда оцениваем опыт решения задач на тренировочных площадках, например: HackTheBox, TryHackMe, Burp Suite Academy. Для управленческих позиций также важен опыт оценки компетенций специалистов, опыт проектного управления, менеджмента команды.

Управление рисками. По мере движения вверх по карьерной лестнице для ИБ-специалиста все важнее становится умение спрогнозировать риски, оценить их последствия и затем – работать над снижением этих рисков. Эта тема объединяет в себе и организационные задачи (необходимо правильно выстроить процессы, наладить контроль выполнения политик безопасности), так и технические вопросы. Так, аналитики прогнозируют расширение применения искусственного интеллекта для сбора данных с миллионов хостов по всей сети и оценки данных в режиме реального времени. Инструменты искусственного интеллекта обучаются прогнозировать вредоносное ПО для данных, попытки фишинга и мошенничество с использованием социальной инженерии до того, как они смогут причинить вред.

Сергей Беспалов

Главный архитектор департамента информационной безопасности, ИМБА ИТ

Опытный аналитик информационной безопасности (Security Analyst) проводит анализ уязвимостей и рисков, связанных с безопасностью информационных систем компании. Они могут отслеживать события безопасности, обнаруживать и расследовать инциденты, анализировать данные для выявления потенциальных угроз и разрабатывать рекомендации по обеспечению безопасности. Такие специалисты будут работать с широким набором инструментов ИБ, но в первую очередь с SIEM.

Цифровая криминалистика и реагирование на инциденты (DFIR). После того как произошел инцидент, цифровые криминалисты изучают доступные данные, чтобы определить источник кибератаки и способы ее предотвращения в будущем. Методы цифровых криминалистических расследований включают анализ вредоносного ПО, анализ реагирования на инциденты. Для этого полезно овладеть специфическим программным обеспечением: EnCase, Helix, XRY и FTK.

Безопасность персональных данных. Ответственность за развитие систем управления безопасностью данных – внутрикорпоративных, клиентских, персональных – составляет важную часть задач ИБ-подразделения. Специалисты организуют аудиты и оценки для измерения эффективности существующих средств безопасности, представляют результаты руководству и вносят мотивированные предложения по укреплению защиты. Для этого нужно знать и технические возможности систем защиты, и релевантные требования законодательства.

Что в итоге

Участники нашего обзора смотрят в будущее с оптимизмом: бизнес стремятся вырастить штат сотрудников, ориентированных на специфические для каждой компании проблемы, специалисты охотно идут учиться, чтобы повысить свои преимущества на рынке труда. При этом проблема импортозамещения зарубежных продуктов стоит не так остро, а значит, рабочий инструментарий у команд будет.