Пикальков Станислав, Team Lead SENSE, рассказывает нашим читателям какие бывают направления Cyber Security, что является самым сложным в подборе таких IT-специалистов и поделился своим опытом закрытия вакансий.
В рекрутменте я около 5 лет, из которых 4 в IT. Мой основной профиль — инфраструктура, информационная безопасность и большие данные. Впервые столкнулся с ИБ в рамках кадрового агентства и понял, что эти вакансии лишь кажутся сложными и не стоящими прилагаемых усилий. На самом деле они интересные и легкие в силу отсутствия конкуренции — на рынке очень мало рекрутеров с экспертизой в ИБ. Далее год проработал в инхаусе, в одной из крутейших компаний российского ИБ-рынка, после чего вернулся к формату кадрового агентства. В качестве хобби ранее изучал Python и писал на нём инструменты для работы, сейчас учу Kotlin, пишу приложение для трекинга важных статусов и пару pet-проектов.
Информационная безопасность – не самое популярное направление для работы в кадровых агентствах, так как порог вхождения в него намного выше, чем в большинстве популярных сфер (например Back, Front, Mobile). При работе по ИБ-вакансиям Рекрутеру недостаточно просто выучить популярные фреймворки, библиотеки и название связанных с ними инструментов, чтобы базово оценить - подходит ли специалист на закрываемую вакансию. Для успеха здесь потребуется более глубокое погружение.
Но, без сомнения, информационная безопасность – самое интересное направление, с которым мне приходилось работать! В том числе потому что специалисты, работающие в этой сфере, понимают, какие именно цифровые следы они оставляют. Большинство ИБ-специалистов не хотят, чтобы их нашли в соцсетях или на других площадках, поэтому попытки вставить никнейм с githab’a (которым, кстати, они тоже практически не пользуются) в телеграм не увенчаются успехом.
В рекрутменте я около 5 лет, из которых 4 в IT. Мой основной профиль — инфраструктура, информационная безопасность и большие данные. Впервые столкнулся с ИБ в рамках кадрового агентства и понял, что эти вакансии лишь кажутся сложными и не стоящими прилагаемых усилий. На самом деле они интересные и легкие в силу отсутствия конкуренции — на рынке очень мало рекрутеров с экспертизой в ИБ. Далее год проработал в инхаусе, в одной из крутейших компаний российского ИБ-рынка, после чего вернулся к формату кадрового агентства. В качестве хобби ранее изучал Python и писал на нём инструменты для работы, сейчас учу Kotlin, пишу приложение для трекинга важных статусов и пару pet-проектов.
Информационная безопасность – не самое популярное направление для работы в кадровых агентствах, так как порог вхождения в него намного выше, чем в большинстве популярных сфер (например Back, Front, Mobile). При работе по ИБ-вакансиям Рекрутеру недостаточно просто выучить популярные фреймворки, библиотеки и название связанных с ними инструментов, чтобы базово оценить - подходит ли специалист на закрываемую вакансию. Для успеха здесь потребуется более глубокое погружение.
Но, без сомнения, информационная безопасность – самое интересное направление, с которым мне приходилось работать! В том числе потому что специалисты, работающие в этой сфере, понимают, какие именно цифровые следы они оставляют. Большинство ИБ-специалистов не хотят, чтобы их нашли в соцсетях или на других площадках, поэтому попытки вставить никнейм с githab’a (которым, кстати, они тоже практически не пользуются) в телеграм не увенчаются успехом.
В этой статье я постараюсь рассказать о самых популярных профилях, с которыми работал в рамках кадровых агентств и инхаус.
Архитекторы информационной безопасности
Начнём с архитекторов информационной безопасности – это специалисты, которые представляют информационный периметр компании и понимают, что нужно сделать, чтобы его защитить. Они хорошо знают методологии ИнфоБеза, отлично ориентируются в нормативке и в том, как защитить данные в соответствии с ФЗ 152 и ФЗ 187, что стало критичным для многих компаний в последнее время. У архитекторов информационной безопасности достаточно узкое комьюнити и «все друг друга знают». Поэтому, если вы погружаетесь в подбор по этим направлениям, рекомендую выстраивать личные отношения с каждым кандидатом – так можно попасть в небольшие профильные/дружеские чаты, где вы сможете найти специалистов, недоступных рынку вообще и не имеющих профилей ни на каких работных сайтах (и даже в соцсетях!).
Начинать поиск рекомендую по самым базовым площадкам – HH и Хабр.карьера.
Application Security – специалисты по безопасности веб-приложений
Второй по популярности запрос на поиск в кадровые агентства – направление AppSec.
Эти специалисты, составляющие модели угроз, анализирующие каждую новую фичу в приложение на то, не открывает ли она какую-либо уязвимость, которой могут воспользоваться злоумышленник. Кроме этого Application Security разрабатывают методики тестирования безопасности приложения: более опытные специалисты погружаются в код в третьесторонних библиотеках, используемых при разработке приложения, чтобы понимать, какие уязвимости может открывать сама библиотека. Эти специалисты должны полностью понимать жизненный цикл программного обеспечения, хорошо разбираться в рекомендациях OWASP (открытый проект по обеспечению безопасности веб приложений, знание ТОП-10 OWASP уязвимостей является обязательным требованием для 99+% позиций в этом направлении). Также Application Security должны уметь читать код, понимать SQL и принципы взаимодействия с базами данных в целом.
Эти специалисты, составляющие модели угроз, анализирующие каждую новую фичу в приложение на то, не открывает ли она какую-либо уязвимость, которой могут воспользоваться злоумышленник. Кроме этого Application Security разрабатывают методики тестирования безопасности приложения: более опытные специалисты погружаются в код в третьесторонних библиотеках, используемых при разработке приложения, чтобы понимать, какие уязвимости может открывать сама библиотека. Эти специалисты должны полностью понимать жизненный цикл программного обеспечения, хорошо разбираться в рекомендациях OWASP (открытый проект по обеспечению безопасности веб приложений, знание ТОП-10 OWASP уязвимостей является обязательным требованием для 99+% позиций в этом направлении). Также Application Security должны уметь читать код, понимать SQL и принципы взаимодействия с базами данных в целом.
Здесь работные сайты приносят намного меньше результата, но эти специалисты уже активно используют LinkedIn, так что 80% потока кандидатов можно приводить оттуда.
Пентестер (Pentester)
Рядом с Application Security, естественно, я обязан сказать о пентестерах. Это те самые хакеры из фильмов, только настоящие и остающейся на светлой стороне – этичные хакеры.
В зависимости от размера, направления деятельности, формата потребности и многих других факторов в компании может быть как отдел тестирования на проникновение, (периодически проверяющий различные блоки на уязвимость), так и раздельные красная и синяя команда (иногда к ним добавляется фиолетовая, но на нашем рынке это редкость). Эти специалисты используют различные методы, такие как социальная инженерия, фишинг, сканеры уязвимостей, физические проникновения на атакуемые объекты и многое, многое другое для нахождения уязвимости без её дальнейшей эксплуатации.
В зависимости от размера, направления деятельности, формата потребности и многих других факторов в компании может быть как отдел тестирования на проникновение, (периодически проверяющий различные блоки на уязвимость), так и раздельные красная и синяя команда (иногда к ним добавляется фиолетовая, но на нашем рынке это редкость). Эти специалисты используют различные методы, такие как социальная инженерия, фишинг, сканеры уязвимостей, физические проникновения на атакуемые объекты и многое, многое другое для нахождения уязвимости без её дальнейшей эксплуатации.
Кстати, самый уязвимый блок для фишинга в каждой компании – HR-отдел.
Когда на почту приходит письмо:
Здравствуйте, я тот самый Haskell разработчик, которого вы ищете без малого полгода! Хочу к вам на работу, вот моё резюме!
HR редко обращает внимание на ссылку (визуально кажется, что она ведет на HH или профиль в LinkedIn). Но на самом деле ссылка ведёт совершенно не туда! И вот у злоумышленника уже есть доступ ко всей информации, которая есть у HR’a компании, а это ОЧЕНЬ много информации.
Красные и синие команды – команда атакующих и защищающихся. То есть если пентестер в классическом отделе должен найти уязвимость любым способом и составить о ней отчёт, то игрок красной команды должен ещё и сделать это так, чтобы синие (мониторящие периметр) не заметили ни его, ни его действий. Моя любимая аналогия – классический пентестер это пират, а редтимер (красная команда) – ниндзя. В остальном их конечная задача одинакова: найти дыру в безопасности, составить о ней отчёт и отдать отделу ИнфоБеза компании, чтобы они эту дыру залатали, после чего начинать по новой.
Поиски таких специалистов становятся настолько же увлекательными, как и функционал самих специалистов – в моей практике даже были случаи, когда мы контактировали с коллегами пентестеров с тёмной стороны силы – хакерами в даркнете, чтобы взять рекомендации.
Красные и синие команды – команда атакующих и защищающихся. То есть если пентестер в классическом отделе должен найти уязвимость любым способом и составить о ней отчёт, то игрок красной команды должен ещё и сделать это так, чтобы синие (мониторящие периметр) не заметили ни его, ни его действий. Моя любимая аналогия – классический пентестер это пират, а редтимер (красная команда) – ниндзя. В остальном их конечная задача одинакова: найти дыру в безопасности, составить о ней отчёт и отдать отделу ИнфоБеза компании, чтобы они эту дыру залатали, после чего начинать по новой.
Поиски таких специалистов становятся настолько же увлекательными, как и функционал самих специалистов – в моей практике даже были случаи, когда мы контактировали с коллегами пентестеров с тёмной стороны силы – хакерами в даркнете, чтобы взять рекомендации.
По этим специалистам нет четких рекомендаций относительно источников, но начинать рекомендую с баг-баунти платформ, тренировочных (hackthebox) и LinkedIn.
SIEM-специалисты
Далее от синей команды переходим к специалистам в области систем управления событиями информационной безопасности – SIEM-специалистам. Это инженеры, работающие со специализированным ПО. Они отвечают за мониторинг, обработку и анализ событий информационной безопасности. Задача SIEM-эксперта заключается в том, чтобы представить все возможные угрозы и атаки, подключить источники агрегации данных в систему, расписать корреляцию связанных событий и настроить оповещения. Чтобы в случае начала потенциально атакующих действий, отдел информационной безопасности получал диаграммы действий, отличающихся от стандартных паттернов поведения и мог принимать решение: является ли, например, вход с нового устройства из другой страны мошенническим, или сотрудник купил себе в отпуске новый ноутбук и заходит с него в систему.
Таких специалистов эффективнее всего искать в LinledIn и профильных телеграм-чатах – большинство открытые и ищутся по названиям SIEM-систем.
Antifraud-специалисты
Отдельно можно выделить antifraud-специалистов, то есть специалистов по противодействию мошенничеству. Это одни из самых скрытных специалистов, при интервьюировании которых ты слышишь «это под NDA» чаще, чем предлоги. В antifraud есть принцип security through obscurity, так как если мошенники будут знать, какие сценарии применяются для выявления мошеннических действий, они смогут обойти эти сценарии.
Для поиска таких специалистов лучшая тактика – посещение мероприятий по информационной безопасности и установление личных контактов со спикерами и слушателями по антифрод направлениям.
DevSecOps-специалисты
Также часто приходят запросы на поиск DevSecOps-специалистов – это профиль информационной безопасности, из перечисленных находящийся ближе всего к AppSec-специалистам.
Это не относится к инфраструктуре или сетевой безопасности – DevSecOps занимаются системой безопасности на каждом этапе разработки: от формирования требований до релиза и выхода в продакшн. То есть, если AppSec специалисты выявляют уязвимости приложения, то DevSecOps – предотвращают их появление.
Для поиска таких специалистов LinkedIn не подойдёт. Запрос «DevSecOps» по кандидатам в России выдаст около 400 результатов, и это хорошо знакомые рынку люди.
Это не относится к инфраструктуре или сетевой безопасности – DevSecOps занимаются системой безопасности на каждом этапе разработки: от формирования требований до релиза и выхода в продакшн. То есть, если AppSec специалисты выявляют уязвимости приложения, то DevSecOps – предотвращают их появление.
Для поиска таких специалистов LinkedIn не подойдёт. Запрос «DevSecOps» по кандидатам в России выдаст около 400 результатов, и это хорошо знакомые рынку люди.
DevSecOps нужно искать профильные сообщества и пытаться вступить в них, после чего выстраивать личные отношения с кандидатами.
Сетевые инженеры
И последние из тех, кого бы хотел упомянуть – специалисты из смежной профессии – сетевые инженеры. Это специалисты, занимающиеся непосредственно сетями, слаботочными системами, Wi-Fi и т. д. Можно сказать, они обеспечивают их физическую безопасность, чтобы злоумышленник с ноутбуком не мог перехватить какую-либо информацию внутри сети или, подключившись к гостевой сети, получить доступ сотрудника к внутреннему файлообменнику, принтерам (из памяти которых можно, например, извлечь переданные в печать договора).
Эти специалисты, к счастью, активно пользуются работными сайтами, поэтому их можно искать на HH и Хабре, а также на LinkedIn по уровню сертификатов, требуемых для вакансии.
Конечно, это не все, а лишь самые часто встречающиеся профили. По менее распространенным у нас скоро выйдет вторая часть статьи.
Эти специалисты, к счастью, активно пользуются работными сайтами, поэтому их можно искать на HH и Хабре, а также на LinkedIn по уровню сертификатов, требуемых для вакансии.
Конечно, это не все, а лишь самые часто встречающиеся профили. По менее распространенным у нас скоро выйдет вторая часть статьи.
Если у вас есть запрос на какого-то уникального специалиста информационной безопасности, вы всегда можете обратиться в SENSE. И мы вам с радостью поможем!