Эксперты обсудили обучение и повышение квалификации специалистов по нейтрализации кибератак (Blue Team). Какие навыки и компетенции им нужны, как выстроить идеальный процесс обучения и как сочетать теоретическую подготовку с работой на полигонах совместно с атакующими (Red Team)?
- Введение
- Теория и практика обучения специалистов Blue Team
- Практика обучения команды защитников
- Тренды Blue Teaming
- Итоги эфира
- Выводы
Введение
В новом эфире AM Live эксперты рассказали, как и чему обучать «синих», чтобы их эффективность в противостоянии реальным атакам серьёзно выросла, а также где взять таких специалистов и почему молодые кадры выбирают Red Teaming.
Рисунок 1. Эксперты отрасли в студии телепроекта AM Live
Спикеры прямого эфира:
- Виталий Медведев, директор по ИБ (CISO), МТС RED;
- Владимир Дащенко, эксперт по исследованиям угроз информационной безопасности, «Лаборатория Касперского»;
- Евгений Акимов, директор киберполигона, ГК «Солар»;
- Ильдар Садыков, руководитель отдела экспертного обучения, Positive Technologies;
- Артём Белей, ведущий разработчик образовательных программ, F.A.C.C.T.;
- Нина Шипкова, руководитель «Академии кибербезопасности», Innostage.
Ведущий и модератор дискуссии — Илья Шабанов, генеральный директор «АМ Медиа».
Теория и практика обучения специалистов Blue Team
Почему Red Teaming популярнее Blue Teaming
Нина Шипкова:
— Студентов привлекают «белые хакеры», это популярно и круто. C понятием Blue Team они плохо знакомы, не понимают карьерного трека. Популяризация наступательной безопасности также влияет на приверженность Red Team. Поэтому нужно делать тему Blue Team доступной и популярной для будущих специалистов.
Нина Шипкова, руководитель «Академии кибербезопасности», Innostage
Евгений Акимов:
— Для нас оборонительная безопасность стала уже привычной, а наступательная — пока непривычна. Людей там по обыкновению не хватает, поэтому оплата там выше и проявить себя проще. Как следствие, молодые специалисты идут в Red Team. Blue Team сейчас отошла на второй план, при этом специалисты там работают наиболее компетентные.
Ильдар Садыков согласился с Ниной Шипковой. По его словам, студенты не понимают, в чём заключается работа специалистов Blue Team. Кроме того, для обороны нужно строить защиту и тратить на это много времени. Сейчас студенты хотят получить быстрый результат, который легче достигается в Red Team.
Ильдар Садыков, руководитель отдела экспертного обучения, Positive Technologies
При этом в Red Team долго не работают, отметил Евгений Акимов. Специалисты быстро выгорают и переходят на сторону защиты. Профессиональный трек развития — это добиться успеха в Red Team и перейти в Blue Team.
Илья Шабанов привёл статистику HeadHunter, согласно которой за 11 месяцев 2023 года средняя зарплата ИБ-специалиста составила 70 тыс. рублей. Для сферы ИТ это — небольшая сумма. Вознаграждения за поиск уязвимостей (Bug Bounty) колоссально превышают такие выплаты.
Илья Шабанов, генеральный директор «АМ Медиа»
По словам экспертов, чем выше «жёсткие» навыки (hard skills) специалиста, тем выше его зарплата.
По данным опроса аудитории телеэфира, большая часть заинтересованных зрителей (62 %) уже работают в Blue Team. 17 % не идут туда, потому что это «сложно», а 9 % считают, что есть более перспективные направления. По 5 % ответили, что Blue Team — это «скучно» и там «мало платят». Оставшиеся 2 % респондентов считают оборонительную безопасность немодной.
Рисунок 2. Почему вы не идёте в Blue Team?
Кадровый голод в Blue Team
Эксперты отметили разрыв между тем, что необходимо рынку, и тем, что могут специалисты. Компаниям не удаётся найти людей в Blue Team, потому что нет опытных специалистов, а для того чтобы они были, их нужно сначала заинтересовать и обучить. Хорошо, что обучающих курсов сейчас в стране достаточно, отметил Владимир Дащенко.
Владимир Дащенко, эксперт по исследованиям угроз информационной безопасности, «Лаборатория Касперского»
По мнению 36 % зрителей, специалистам Blue Team больше всего недостаёт глубокого понимания технологий ИТ и ИБ. 21 % опрошенных отметил нехватку знаний о техниках и тактиках злоумышленников, а 17 % — недостаточное понимание процессов предотвращения, обнаружения и реагирования. 12 % посчитали, что специалистам Blue Team недостаёт базовых знаний в ИТ и ИБ. 8 % поставили на первое место непонимание бизнеса и деятельности компании. Ещё 6 % считают, что Blue Team не хватает «мягких» навыков (по коммуникациям и управлению).
Рисунок 3. Каких навыков и знаний больше всего не хватает специалистам Blue Team?
Практика обучения команды защитников
Как оценить знания и навыки специалистов Blue Team
Эксперты для оценки навыков таких специалистов советуют проводить киберучения. Следует заметить, что это работает в отношении целой команды, оценить отдельно взятого специалиста таким образом тяжело. Впрочем, бизнесу нужен как раз командный результат, так что это не является проблемой. К киберучениям можно добавить менторство, чтобы в процессе обнаруживать пробелы в знаниях и сразу их закрывать.
Евгений Акимов:
— Прыжок из джуниоров в мидлы легче всего происходит именно на киберполигоне. Так очень быстро накапливается база. Дальше можно прибегать к Purple Teaming для повышения навыков до уровня эксперта.
По мнению большинства зрителей (59 %), эффективнее всего обучать людей на практике в боевых условиях. 18 % отдают предпочтение смешанному формату (Purple Teaming), а 11 % — курсам по повышению квалификации. 6 % отметили участие в киберучениях, 4 % — пентесты и Red Teaming. Оставшиеся 2 % ответили «профильное высшее образование».
Рисунок 4. Что даёт наибольший эффект при обучении специалистов по ИБ?
При этом практика без теории слепа, отметил Артём Белей. Поэтому эффективно проводить теоретические курсы, которые сменяются практикой. Баланс между теорией и практикой должен быть соблюдён.
Артём Белей, ведущий разработчик образовательных программ, F.A.C.C.T.
Работа со студентами
Бизнесу нужны уже обученные специалисты, чтобы не тратить на них ресурсы и время. На обучение человека в среднем уходит год.
Нина Шипкова рассказала о своём опыте внедрения центров мониторинга (SOC) в университетах Татарстана, что оказалось вполне эффективной мерой. Кибербитвы также показали высокий результат обучения специалистов. По мнению спикера, студентов можно вовлекать в бизнес начиная с третьего или четвёртого курса.
Российские ИБ-компании предоставляют много площадок для подготовки безопасников: киберполигоны, вендорские курсы, кибербитвы, сотрудничество с вузами, программы стажировок и т. д.
Эксперты посоветовали студентам проходить стажировки в отечественных ИБ-компаниях, а также узнавать в своих вузах о наличии киберполигонов, курсов и т. д.
Лучшие практики по мнению зрителей
По данным опроса зрителей AM Live, 30 % для идеальной организации обучения Blue Team не хватает времени, 24 % — понимания потребностей (чему надо учить). 16 % респондентов недостаёт нужных предложений по обучению. 11 % не хватает бюджета, 2 % ответили «желания обучаться». 17 % всем довольны.
Рисунок 5. Чего больше всего не хватает вашей компании для идеальной организации обучения Blue Team?
По мнению 28 % зрителей, отрабатывать практические навыки обнаружения угроз и реагирования на кибератаки лучше всего на киберполигонах. 25 % считают, что нет ничего лучше реальных атак, а 19 % к лучшим средствам относят пентесты или Red Teaming. 16 % поставили на первое место Purple Teaming, а оставшиеся 12 % — отлаживание взаимодействий (штабные учения).
Рисунок 6. Каким образом лучше всего отрабатывать практические навыки обнаружения угроз и реагирования на кибератаки?
Тренды Blue Teaming
Евгений Акимов:
— Происходит переоценка важности «прокачки» навыков по кибербезопасности. До последнего времени на развитие персонала тратилось менее 1 % средств; теперь ситуация меняется. Сейчас курсов для развития ИБ-навыков становится всё больше.
Евгений Акимов, директор киберполигона, ГК «Солар»
Владимир Дащенко:
— Работа с вузами — это очень важно. Если раньше человек не понимал, выпустившись, куда ему идти, то сейчас уже при обучении человек видит конкретный карьерный трек, и это, несомненно, помогает отрасли.
Нина Шипкова:
— Нужно объединять наши усилия, чтобы добиваться больших результатов. Нужно думать о глобальных проектах, направленных на работу с вузами, и больше рассказывать про Blue Team.
Виталий Медведев:
— Наибольшую угрозу несёт человек, поэтому нужно проводить обучение всех специалистов. Именно синергия осведомлённости всех специалистов будет приносить эффект защищённости компании и всего бизнеса.
Виталий Медведев, директор по ИБ (CISO), МТС RED
Ильдар Садыков:
— Взаимодействие между вендорами и вузами будет только расширяться. Специалисты из вендоров будут стремиться в вузы для обучения специалистов, там также будут появляться целые программы от ведущих российских производителей. Сейчас также виден тренд на киберобучение сотрудников, он будет только усиливаться. Будет всё больше киберполигонов и киберучений.
Артём Белый:
— Обучать нужно всех. Обучение — это вклад в собственную безопасность.
Итоги эфира
Финальный опрос зрителей показал, что 38 % аудитории посчитали тему слишком сложной для раскрытия в рамках единственного эфира. 26 % будут внедрять то, о чём говорили эксперты, а 18 % назвали тему интересной, но пока избыточной для себя. Убедились в том, что всё делают правильно, 12 % респондентов. 6 % не поняли темы беседы.
Рисунок 7. Каково ваше мнение о повышении квалификации Blue Team?
Выводы
Молодые специалисты плохо понимают карьерный путь в Blue Teaming, тогда как Red Teaming не только понятен, но и привлекателен за счёт быстрого достижения результата и популярности. Многим Blue Teaming кажется сложной работой. Однако наступательная защита быстро надоедает, и развитие навыков до уровня эксперта часто происходит именно в оборонительной безопасности. Сейчас для перехода на эту ступень в России создано много курсов, киберполигонов и других площадок, проводится активная работа со студентами, чтобы привлечь их в защитники.
Телепроект AM Live продолжает свою работу и уже на этой неделе вновь соберёт экспертов отрасли в студии, чтобы продолжить обсуждение актуальных тем российского рынка информационной безопасности и информационных технологий. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!
