Киберкриминалистика: как начать карьеру

Киберкриминалистика: как начать карьеру

Киберкриминалистика: как начать карьеру

Цифровая криминалистика и реагирование на инциденты (digital forensics and incident response, DFIR) — специализированная область ИБ, охватывающая выявление, устранение и расследование инцидентов в кибербезопасности (incident response, IR), в том числе с применением криминалистических практик (digital forensics, DF).

 

 

 

 

 

  1. Введение
  2. Как приходят в киберкриминалистику?
  3. Какие задачи стоят перед киберкриминалистами
  4. Сколько времени занимает расследование?
  5. Киберкриминалист учится всегда
  6. Выводы

Введение

Отправной точкой для работы киберкриминалистов становится инцидент, но иногда достаточно выявить следы вторжения в ИТ-инфраструктуру компании, чтобы предотвратить атаку. Зачастую хакеры внедряются поэтапно и могут долгое время не предпринимать никаких действий, чтобы потом в один не самый прекрасный момент развернуть атаку на ключевой цифровой актив. Поэтому наиболее эффективно, когда киберкриминалисты работают в тесной связке с командой мониторинга угроз, чтобы ещё на ранних подступах блокировать попытки взлома.

Как приходят в киберкриминалистику?

Эта профессия требует широких практических знаний в ИТ — от операционных систем до прикладных программ, от телекоммуникационных решений до мобильных устройств, от баз данных до аппаратных решений. Киберкриминалисту нужно не только знать, как работают наиболее распространённые ИТ-системы (желательно на уровне «админа»), но и понимать, как их защищают… и как обычно взламывают. 

Прекрасно, когда в киберкриминалистику приходит человек с опытом работы в традиционной кибербезопасности и / или в администрировании. Выраженной методики подготовки нет, наилучший вариант — «обучение через действие», когда человек входит в профессию выполняя отдельные практические задания в процессе решения реальных задач. Сейчас появились очень хорошие курсы по киберкриминалистике (например, предлагаемые F.A.C.C.T.), способные прекрасно дополнить «обучение через действие» — но только дополнить, а не заменить.

Какие задачи стоят перед киберкриминалистами

Работа «респондеров» состоит в анализе следов проникновения для получения ответов на вполне практические вопросы:

  • Что именно произошло?

После киберинцидента нужно понять — по возможности детально, — куда именно получили доступ хакеры и что они успели сделать. Это позволяет более точно оценить прямой ущерб от произошедшего и связанные с ним репутационные риски.

  • Как это произошло?

Необходимо полностью восстановить весь цикл атаки. Это поможет специалистам по ИБ впоследствии исключить новые киберриски, которые хакеры могут реализовать по уже отработанной схеме или ей подобным.

  • Что нужно делать в моменте?

Иногда киберкриминалистам приходится участвовать в реакции на инцидент, а не только изучать следы. Бывает, что активность хакеров в ИТ-инфраструктуре компании продолжает развитие в настоящее время. Реагировать на такую ситуацию нужно аккуратно, совместно с «безопасниками» выполняя действия по сдерживанию злоумышленника. 

Появляются новые классы задач. Например, сейчас «форензиков» привлекают для выявления следов компрометации ИТ-инфраструктуры (compromise assessment). Обнаружение признаков выполненных ранее проникновений приводит «киберследопытов» к незакрытым уязвимостям или слабым местам в ИБ-структуре. Нередко после обнаружения таких ранее незамеченных киберинцидентов бывает необходимо проведение полноценных расследований.

Сколько времени занимает расследование?

Обычно расследование киберинцидента занимает около двух-трёх недель. Разумеется, бывают сложные ситуации, которые требуют заметно больше времени, но они весьма редки.

Основное время занимают расследование со всеми его этапами и анализ полученных данных — а иногда и действий по сдерживанию злоумышленников, — но несколько дней уходит на написание подробных отчётов. Документы тоже важны: нужно предоставить исчерпывающие данные для руководства компании-заказчика, её службы безопасности и внешних структур, предоставляющих сервисы «кибербеза», а в ряде случаев — и для правоохранительных органов: ведь работа киберкриминалистов способствует поимке и изобличению киберпреступников.

Задача изучения инфраструктуры компании на наличие следов проникновения злоумышленников требует куда больше времени: объём работ тут значителен. Такая работа может занять и месяц-другой, в зависимости от масштабов ИТ-инфраструктуры компании-заказчика. Интересно, что такие следы находят почти всегда: «отпечатки» работы вредоносных программ, кем-то когда-то оставленные бэкдоры, подозрительный трафик, характерный для работы отдельных постэксплуатационных фреймворков, и т. д. Всё это требует дополнительного исследования и анализа.

 

Таблица 1. SWOT-анализ для выбора профессии киберкриминалиста

Сильные стороны

Слабые стороны

[ + ] Интереснейшая творческая работа, требующая сочетания компетенций, практик и интуиции

[ — ] Вход в профессию многоступенчатый, долгий и сложный.

[ + ] Специальность редкая, поэтому оплата в среднем выше, чем у «безопасников» и «админов»

[ — ] Рабочий день может превращаться в ненормированный — например, когда нужно сдерживать злоумышленников, приходится ночевать в офисе атакуемого заказчика

Возможности

Угрозы

[ + ] Постоянное обучение самым свежим новинкам в ИТ, кибербезопасности и «форензике» держит в тонусе

[ — ] Проблематично сменить род деятельности: расследования держат на адреналине, от этого не отказаться, из «форензики» не уходят

 

Киберкриминалист учится всегда

Киберкриминалисту обязательно нужно практиковать непрерывное обучение в разных формах, постоянно актуализируя и развивая знания в области ИТ и кибербезопасности. Кроме общего развития в ИТ, нужно работать с предметными познаниями в «форензике»: достижениями, проблемами, живыми кейсами (in-the-wild) и т. д. Это знакомит с техниками и инструментами, а также создаёт «насмотренность на зло». Например, постепенно запоминаешь «почерк» разных группировок (вопрос атрибуции бывает крайне важен: это помогает быстрее распутать цепочку следов).

Обучается «форензик» как на практике, так и в ходе изучения теории, которая тоже развивается. Специалисту приходится много работать самостоятельно, получая информацию на курсах, имеющихся в свободном доступе, читая статьи и книги по специальности, просматривая тематические видео на YouTube, посещая конференции по инфобезопасности (например, PHD и OFFZONE) и т. д. «Форензики» регулярно просматривают профильные информационные ресурсы: This Week In 4N6, The DFIR Report и Sentinel Labs, блоги на Crowdstrike, Mandiant, Red Canary и TrustedSec, новости на Trend Micro и т. д. Много информации на YouTube, например на каналах SANS Digital Forensics and Incident Response, DFIRScience, 13Cubed, персональном канале Джона Хаммонда и других. Читать приходится Х (бывший «Твиттер»), где по тегам #DFIR и #DailyDFIR много полезной и оперативной информации.

Также «форензику» нужно обязательно знакомиться и разбираться с исследованиями, проводимыми Angara Security, BI.ZONE, Positive Technologies, «Лабораторией Касперского», F.A.C.C.T. и другими DFIR- и TI-командами (Threat Intelligence). Разумеется, важно живое общение киберкриминалистов, обсуждение практических вопросов и разнообразных кейсов.

Выводы

Востребованность киберкриминалистов растёт вместе с расширением рынка «кибербеза», но всё же обгоняет средние показатели по сегменту. Специалисты с такой квалификацией обычно не нужны в бизнес-структурах, в большинстве случаев киберкриминалисты трудятся в профильных компаниях, специализирующихся на предоставлении широкого спектра сервисов инфобезопасности. Цена специалиста в «форензике» в большинстве случаев «договорная», причём сильно зависящая от квалификации и опыта практической работы в расследовании инцидентов. Такие специалисты всегда были и будут в дефиците: нет быстрых путей для вхождения в ИТ, в том числе в киберкриминалистику.

Полезные ссылки: 
Anti-Malware Яндекс ДзенПодписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru