Позначка: Навчання

Про сертифікати з кібербезпеки

В цьому дописі я ділюся висновками з власного досвіду застосування професійних сертифікатів з кібербезпеки в кар‘єрі та бізнесі.

Найчастіше від молодих колег я чую питання про те, чи варто готуватися, складати іспити та отримувати професійні сертифікати з кібербезпеки. Суперечки щодо якості та цінності програм сертифікації точаться в галузі кібербезпеки стільки, скільки існують професійні сертифікати. Тобто скільки існує галузь кібербезпеки.

Я не маю на меті поставити крапку в цих нескінченних дебатах. В цьому дописі я поділюся деякими неочікуваними та, сподіваюся, корисними висновками з власного досвіду. За останні 15 років я склав близько десяти сертифікаційних іспитів в галузі ІТ та кібербезпеки, пройшов близько 50 і провів близько 150 співбесід. Впевнений, мої думки будуть комусь корисні.

Продовжити читання “Про сертифікати з кібербезпеки”

Як писати резюме в кібербезпеці

Кожного разу після події типу Nonamecon чи OWASP Kyiv в мою поштову скриньку та месенджери надходить багато повідомлень приблизно такого змісту: чи є у вас вакансії? як потрапити до вас в компанію? ось моє резюме. А отримавши відповідь, найчастіше питають, як його покращити.

Так, на жаль, відкритого набору в Berezha Security не існує: ми не настільки великі, щоб тримати вакансії відкритими та оголошувати на них “конкурс”. Коли ми ростемо, про це перш за все дізнаються наші підписники в Facebook, LinkedIn та Twitter, ну і звісно ж наші друзі та партнери по суспільно-професійній діяльності. Але резюме я все одно читаю, і ось що я мушу вам про це сказати.

Написання “ефективного” резюме – це окрема навичка, яку треба прокачувати. Я не вірю в “кар’єрних коучів”, хоча не виключаю, що деякі з них вартують свого гонорару. Як на мене, то для спеціаліста з кібербезпеки такий засіб підготовки резюме це занадто. Вимоги до текстів в нашій галузі зараз невисокі, адже людей критично не вистачає. Але CV все одно мати треба, і скласти його вам допоможуть такі прості поради.

1. Пишіть про досягнення, а не про досвід. Дуже часто доводиться читати пачку булетів по кожному місцю роботи, зміст яких зводиться до того, що автор мав справу з тими чи іншими методиками та інструментами. Ця інформація може бути корисна, але її краще десь узагальнити в одному розділі документу, а в описі місць роботи вказати досягнення, які демонструють вашу траєкторію в конкретній компанії. Прийшов першим ІБшником, за два роки побудував нормальні операції та автоматизував процеси. Або розпочав молодшим пентестером, а за рік виріс в автономну одиницю та виступив лідом в надцяти проєктах. Щось таке, що характеризує вас як працівника, який прогресує та росте, а не просто отримує досвід.

2. Уникайте списків. Булети розстрілюють ваше резюме. Хочете навести приклади – робіть це через кому або крапку з комою. І ніколи не перетворюйте розділ в вичерпний опис. Адже мозок сприймає інформацію дуже своєрідно: з усіх перерахованих пунктів він залишить в пам’яті середнє враження. Тому краще навести два найкрутіші приклади, ніж вичерпний список. Наприклад, не варто перераховувати усі ваші професійні сертифікати, починаючи з CCNA та адміністратора Windows 2012 Server. Звісно ж, краще перерахувати найбільш релевантні та найсвіжіші здобутки.

3. Слідкуйте за граматикою. Багатьом відома така штука як Grammarly, але й MS Word з ввімкненими параметрами граматики відпрацьовує досить ефективно. Уникайте зайвих та складних термінів. Якщо слово можна спростити або видалити без суттєвої зміни змісту – це варто зробити.

4. Навчання без сертифікації нікому не цікаве. Якщо пройшли протягом трьох років 5 найкрутіших та найтоповіших навчальних програм, але не склали іспит – краще не вказуйте їх в резюме. Поки не складете іспит. Натрапляючи на назву курсу без відповідного сертифікату, читач почне розпитувати вас про причини такої незавершеної дії. І якими б вони не були, це не на вашу користь.

5. Рекомендації. Якщо маєте дозвіл вказувати імена, позиції та контакти в резюме – зробіть це. Але спробуйте обмежити список людьми, з якими працювали в останні рік-два. Адже інакше вони матимуть дуже загальне уявлення про вашу ситуацію та вагатимуться робити припущення. Найкраще в резюме виглядають рекомендації прямого керівника або внутрішнього чи зовнішнього “замовника”, який безпосередньо отримував користь від вашої роботи.

6. Волонтерський досвід та суспільна активність. Навіть Forrester та Gartner беруть до уваги ці критерії, коли оцінюють компанії, а про конкретних професіоналів годі й казати. Якщо ви здатні підняти п’яту точку та піти зробити щось для спільноти – це обов’язково треба вказувати в резюме. По-перше, це унікальний досвід, а по-друге, так ви засвідчуєте, що на вас можна покластися не лише тому, що вам за це платять гроші.

7. Медіа-активність. Якщо маєте блог, акаунт на GitHub, фейсбук-сторінку чи ще десь ведете професійну або колопрофесійну діяльність – не соромтеся вказувати це в резюме. Просвітницька діяльність, коміти в опенсорс проекти, виступи на конференціях тощо – все це може бути цікаво потенційному роботодавцю. Адже цілком можливо, що він шукає не просто працівника, а ще й представника компанії в медіа та на профільних заходах.

Якщо маєте питання на тему складання резюме – тепер для цього є спеціальний канал #career-advice в Discord-сервері Ukrainian Cybersecurity. Молодші колеги можуть ставити там питання, а досвіченіші – відповідати, в тому числі приватно, або навіть голосом.

Своєю чергою, я спробую допомогти покращити якомога більше ваших резюме. Досвід відбору більше сотні спеціалістів з безпеки треба якось використовувати. Але зважайте, що останній раз я писав CV років зо 10 тому, отже розцінюю цей процес виключно з точки зору роботодавця. Тому моє власне резюме не є зразковим прикладом.

В Європі CISSP прирівняли до магістрського ступеню

Трохи дивна новина, поясню чому.

Спочатку про CISSP для тих, хто не в курсі. Це така загальна сертифікація з кібербезпеки. Щоб її отримати, треба або пройти складний квест та заплатити трохи грошей, або заплатити трохи більше грошей і витратити понад тиждень часу.

В сценарії з квестом ви готуєтесь самі, для цього знадобиться трохи часу у тиші щотижня протягом декількох місяців. Треба буде опанувати близько тисячі сторінок літератури, продивитися трохи відео уроків, та потренуватися складати екзамен на спеціальному тренажері. Після цього ви складаєте іспит і якщо все успішно, то ви майже CISSP. У старі часи процедура була дещо ускладнена тим, що іспит приймався очно й на папері, тому треба було кудись їхати. Але тепер це можна зробити на компі в авторизованому екзаменаційному центрі, який завжди поруч.

Другий шлях простіший – ви записуєтесь на один з безлічі «таборів з підготовки» (CISSP boot camp), проводите в ньому близько тижня, там вам в голову «заливають» необхідний для здачі мінімум знань, після чого садять за комп і через дві години ви майже CISSP. А через чотири – вже майже нічого з того не пам‘ятаєте.

Пишу майже, бо в обох сценаріях вам тепер треба знайти хто б з дійсних CISSP-ів підписав вам рекомендацію (endorsement), але це вже бюрократія. Після успішного ендорсменту вам надходить сертифікат, і тепер ви – раб лампи, адже щороку мусите його продовжувати за гроші.

Сподіваюся, я склав враження про те, скільки зусиль та знань треба, щоб отримати CISSP. А, ще одне – обов‘язковою вимогою є 5 років практичного досвіду в професії кібербезпеки за деякими знижками по типу профільної освіти.

І ось це тепер в Європі – еквівалент магістра. Чи справедливо це, вирішуйте самі. Моя справа – дати вам вхідні дані.

Знову про сертифікати

Другий день зачитуюсь в Kostiantyn Korsun в коментах, як люди без жодного професійного сертифіката з кібербезпеки дискутують про їхню потрібність чи непотрібність. Чесно, думав що ці часи в минулому, але ніколи не кажи ніколи. Тому спробую пояснити свою позицію, яку я напрацював у глобальному диспуті на цю тему. Адже ні для кого не секрет, що українська спільнота кібербезпеки переживає ті самі срачі, що й західна професійна тусовка, але із запізненням в 5-7 років.

The burning CISSP certificate
The burning CISSP certificate. Boris “Jaded Security” Sverdlik.

Отже, по-перше: професійні сертифікати з кібербезпеки не мають стосунку до вендорських сертифікатів. Навіть якщо вендор з кібербезпеки. Навіть якщо сертифікація дуже об‘ємна, іспит складний, та вимагає неабиякого практичного досвіду. Сертифікати вендорів – це артефакти системи контролю якості доставлення їхніх продуктів та сервісів уздовж ланцюга постачання. Іншими словами, щоб некваліфіковані та недосвідчені люди не стали на перешкоді бізнес-моделі вендора. Фарбу там не подряпали, не в ту розетку штекер не встромили тощо.

Звісно, я тут трохи накидую на фен, адже топові вендорські сертифікати вимагають фундаментальних знань з базових технологій, системної інженерії, архітектури тощо. Але колись давно я мав задачу в рекордні терміни провести близько 50 співбесід з потенційними архітекторами безпеки, половина з яких була обвішана шпалерами з логотипами Cisco, IBM, RSA, Microsoft, CheckPoint, McAfee… Я мав тоді на ці заходи дуже небагато часу, тому моїм першим питанням було: «Існує 10 фундаментальних принципів побудови захищених систем. Назвіть 3 з них». Таким чином я відфільтровував для продовження співбесіди 2 з 10 кандидатів.

По-друге, професійні сертифікати з кібербезпеки відрізняються між собою просто драматично. Є дуже базові, є середнього рівня, є такі що цілком підходять для вивчення самостійно, а є такі що здобуваються дуже нелегко та вимагають спеціального навчання.

По-третє, і в цьому головний прикол, – всі вони після отримання здаються не такими вже й цінними. Це нормальна реакція мозку людини, і основа цього явища пояснюється неврологічними процесами, які я навряд чи зможу зараз описати. Підкреслю лише, що довга та виснажлива робота винагороджується досягненням мети, та з часом і досягнення здається не таким вже й героїчним, і робота – не такою вже й важкою. Всі наші рішення, вчинки, помилки змінюють нас. І сьогодні, з висоти цих змін, наші минулі дії, думки та емоції виглядають по-іншому. Ми можемо посміхнутися, згадавши минулі страхи, зніяковіти, пригадавши минулі слова та вчинки, та без особливої гордості сприймаємо професійні здобутки. Здав і здав.

І ми не маємо манери приховувати ці думки від наших колег, які з того цілком логічно роблять висновки, що нічого складного та цінного в сертифікатах немає. Бо так сказала людина, яка пройшла квест з отримання того папірця. Тут немає нічого неприродного – людина, яка не має уявлення про предмет, спирається в його сприйнятті на досвід людини, яка має про предмет повніше уявлення. Ось і маємо, що несертифіковані спеціалісти «перестрибують» ментальний бар’єр та «зрізають» до результату, яким з ними поділилися інші. Але при цьому вони все ще не мають уявлення про те, що говорять, бо формулюють запозичені погляди, у формуванні яких не брали участі.

Я в жодному разі не стверджую, що люди без професійних сертифікатів не повинні обговорювати їхню відносну цінність. Люди можуть обговорювати все, що заманеться, якщо в них на те є час та натхнення. Просто годі сподіватися, що в результаті цих обговорень вони домовляться про щось конструктивне. Їхні аргументи лежать в площині, яка паралельна дійсності: вони можуть запозичити факти та переказати їх зі слів очевидців, але не мають змоги оцінити їхню справжність. Це теорія без експериментів, бодай подумки.

Саме тому я в певний момент прийняв рішення не обговорювати цінність сертифікатів із колегами, які їх не отримали. А з тими, хто їх має, залюбки пліткую, кепкую з ляпів в програмах навчання, та навіть жартую про їхню зарозумілість, безглуздість та відірваність від реальності. Можемо навіть зібратися якось після завершення чергового трирічного циклу та спалити наші CISSP/CISA/CISM тощо, хто зі мною?

Шкода, що деколи ці наші балачки чують ті, хто не в темі.

P.S. Тут напевно буде доречним вказати, що автор цього допису володіє CISSP, CISA та OSCP. Я, також, мав змогу отримати SCSA (Sun), CCNA (Cisco), CEH, та ISO27001LA, але продовжувати їх не став. Це може щось вам сказати про перші три згадані ачівки, але то вже зовсім інша історія.

Дика природа кіберпростору

Транскрипт доповіді на IDC Security Roadshow 2017. Цей текст з скороченнями було вперше опубліковано на Укрінформ.

Зараз коли мова заходить за все, що з префіксом кібер-, ми зазвичай маємо на увазі геополітичний контекст, тобто протистояння держав в кібер-просторі. Тема кібербезпеки вкрай політизована, тому неможливо її підняти та уникнути дискусії про те, чи зламали росіяни вибори в США, як відбувається освоєння 80 млн виділених на захист Мінфіну та Держказначейства, та чи здатна Україна контратакувати в кібер-війні.

Це без сумніву дуже цікаві та важливі питання, обговорення яких, напевно, має десь відбуватися. Але давайте замислимось: чи має відношення атрибуція кібер-атак, тобто з’ясування джерела нападу, до інформаційної безпеки? Як точне знання того, хто на вас може напасти, змінить ваше ставлення до захисту? Яка взагалі вам різниця, хто вам загрожує?

Давайте згадаємо, які загрози наразі актуальні в кіберпросторі. Якщо коротко, то розклад по агентах загроз такий.

  • Опортуністи: зламую, тому що можу.
  • Кримінал: зламую за гроші.
  • “Білі” хакери, до яких я відношу й себе: зламую за гроші, але з дозволу цілі.
  • Державні спецслужби: зламую за вітчизну, якою б вона не була. Мотивація політична та геополітична: дії на користь національних інтересів або правлячого режиму.

Таксономія нападників стала, але змінюються її відношення з категоріями цілей, тобто хто атакує кого. Довший час вважалося, що державні спецслужби не здійснюють нападів на цивільні об’єкти. Але тепер, внаслідок активного просування Росією доктрини гібридної війни в кібер-просторі, це правило, здається, вже не діє.

Аналіз ризиків ніби підказує нам, що в залежності від типу нападника, потрібні різні об’єми зусиль на захист: різні бюджети, різні інструменти, різний калібр зброї. Це природно: чим крутіший ворог, тим більше зусиль вимагає захист від нього. Олії в вогонь підливають мас-медіа та вендори ІТ-індустрії, розкручуючи бренди Advanced Persistent Threat, кібер-зброя, кібер-війна та кібер-тероризм, які загрожують ледь не кожному дитсадочку.

Як наслідок, ми маємо низку стереотипів, зокрема про хакерську атаку, як “непоборну силу”, на яку можна списати, віртуально, будь-що: вимкнення світла, знищення даних та зупинку платежів бюджетникам. Хакерські групи, що фінансуються державою, постали у ролі Немезиди сучасного ІТ. І що дуже сумно, суспільне сприйняття цього явище вкрай викривлене. Люди, за виключенням, як каже мій кум, “вузького кола обмежених людей”, схильні вірити, що хакери всесильні і проти них усі зусилля марні. Вони просто накинуть свого капюшона, уважно подивляться в монітор, декілька хвилин завзято постукають пальцями по клавіатурі і вуаля — в банка викрадено 10 мільйонів доларів, на Оболоні вимкнена силова підстанція, а у США президентом стає ходячий коментар з Youtube. Питання про те, чи можна було уникнути цих наслідків, не постає: публіці потрібні драматичні сенсації, а не банальщина про недбалість, некомпетентність, або нецільове використання бюджету.

Але давайте залишимо на деякий час нашу кібер-драму та повернемось в реальність. Дозвольте мені розповісти вам історію.

Є у Росії (вибачте) такий вид туризму, абсолютно нелегальний, але дуже популярний серед багатіїв по усьому світі. Полювання на ведмедя з ножем.

Ви приїжджаєте до Сибіру, там вас вчать як поводитися з ножем, але це не те, що ви подумали. З вас не роблять Дені Трехо, який жбурляє кінжали навпомацки, вражаючи ціль на відстані 20 метрів, проти ведмедя така тактика не діє.

Для того, щоб здолати ведмедя, потрібно мати Стратегію і вона полягає ось в чому. Ведмідь, коли атакує людину, стає “на диби”. Якщо в цей момент йому під шию підкласти шпон (це така рогатина з міцного дерева) та інший кінець шпону вперти в землю, ведмідь стає вразливий — він не може повернутися на чотири лапи, — ось така анатомічна особливість. Отже, ніж потрібний не лише для того, щоб вбити ним ведмедя, але більше для того, щоб змайструвати ним шпон.

Після навчання вас випускають в тайгу буквально з одним ножем і заганяють вам ведмедя. Якщо ви були сумлінним учнем, ви дієте згідно стратегії та повертаєтесь додому з новим килимком. А якщо ні, тоді вся надія на снайпера.

Звісно, слава та багатство організаторів ведмежого полювання не дають спокою конкурентам. Тому існує атракціон для ще більш вибагливої публіки — полювання на амурського тигра.

Відбувається це трохи менш екзотично: вас привозять до Амурської області та дають вільно вибрати зброю з величезного арсеналу вогнепалу. Потім ви ходите довший час з групою підтримки по тайзі, але ніякого тигра не знаходите. Перед вами вибачаються, — ну так сталося, тигр сьогодні не в гуморі, — повертають вам якусь частину грошей і ви спокійно їдете додому.

Як можна здогадатися, це суцільний лохотрон. І справа не в тому, що поголів’я уссурійського тигра в кращі роки було до 500 осіб, при цьому певна частина мешкає у заповідниках та на території Китаю. А в тому, що а) ви ніколи не зустрінете тигра в його ареалі, якщо він сам цього не забажає, та б) якщо це станеться, ваші шанси на виживання майже нульові, незалежно від того, чим ви озброєні. Ви не почуєте та не побачите його до тієї миті, коли вже буде пізно. Тигр — це ідеальний хижак, абсолютна верхівка харчового ланцюга. Якщо хочете, природній аналог “Advanced Persistent Threat”. Очевидно, тигр вимагає іншого підходу, ніж ведмідь. Сучасне полювання на амурського тигра відбувається за допомогою петлі зі сталевого тросу. І звичайно ж, тигролови ніколи не діють наодинці.

(Я бачу дехто в залі починає дивитися на мене дещо з підозрою, тому я вас запевняю, під час підготовки цього виступу жодна дика тварина не постраждала.)

Повернемося до кібер-простору, де нас довший час лякають ведмедями так, ніби це тигри. Розбори гучних кібер-атак останніх років демонструють, що під час їх здійснення не використовується надприродна кібер-зброя нового покоління (інтернет-віпон). А використовується соціальна інженерія для доставки малварі, клонування веб-сайтів для збору логінів та паролів, паролі з минулих масових зламів, тривіальні атаки на вразливості веб-сайтів типу XSS чи SQLi. Коли читаєш розбір чергової атаки “російських супер-пупер-кібер-шпигунів” від ESET чи FireEye, то не бачиш нічого, що виходить за рамки modus operandi більшості “білих” хакерів. Так, можливо для підготовки цих атак з “секретного” бюджету РФ було витрачено мільйони, але беручи до уваги традиції руського міра по розпилу бюджетних коштів, подивіться що залишилось? Так, подекуди, проти дуже важливих цілей, використовується якийсь один 0day, але все інше — макроси в екселі, посилання на фальшиві оновлення флеша, та загальнодоступна малварь. І це — природно. Чому вони повинні діяти складніше, якщо ця тактика й так працює?

Я розумію, що це може справити враження на нормальних людей. Але спитайте будь-якого досвідченого пентестера, і ви почуєте те саме: це не так складно, як здається. Я залишу відкритим питання про те, кому це вигідно, але для мене очевидно, що не нам з вами.

Отже, яка ж вона, стратегія виживання в дикій кібер-природі? Давайте згадаємо, що допомогло нам впоратися з загрозами природи кінетичної. Так сталося, що людина слабша, менша та повільніша майже на все на цій планеті, що може її з’їсти. Тому заради виживання нашим предкам довелося навчитися використовувати інтелект та об’єднуватися.

За допомогою інтелекту ми розробили інструменти, якими підсилили свої кволі кінцівки, а також виробили прийоми боротьби з хижаками та іншими загрозами. І що найголовніше, ми створили метод передачі цих знань між поколіннями, також відомий під назвою науково-технічний прогрес.

Для вироблення ефективної стратегії протидії природним загрозам у нас були мільйони років еволюції. Для вироблення стратегії протидії кібер-загрозам — менше пів століття. Наразі ми щосили намагаємось вирішити проблему безпеки технічним шляхом, відокремлюючи користувача від його відповідальності за власні дії, та створюючи все нові й нові “фаєрволи нового покоління”, “анти-APT аплаянси”, та інші блимаючи скриньки. Цей підхід створив індустрію кібер-безпеки з оборотом більше ніж 100 мільярдів доларів на рік. Але чи є він ефективним?

Він суто реактивний за своєю природою: хакери знаходять методи атаки, вендори їх виявляють та виробляють протидію. Хакери майже одночасно винаходять нові методи, залишаючи вендорів позаду, і так далі до нескінченності. Ця гра в кошки-мишки продовжується вже багато років, та сумна новина в тому, що наразі індустрія кібер-безпеки виконує роль мишки.

Що ж треба зробити, щоб нарешті почати розв’язувати цю проблему? Чому б не застосувати перевірену стратегію виживання: мислення та об’єднАння?

Розпочнемо з мислення та спробуємо усвідомити, що ми маємо справу з ведмедями, а не з тиграми. Нас лякають APT, але що воно таке? Advanced значить, що він крутіший за нас. Persistent — що він вже в наших системах та мережах. Threat — що він може вдарити в будь-який момент. Якщо розкласти механіку атаки на складові, це виявляються речі, з якими ми можемо впоратися. Ми можемо підкачатися по матчасті та зрівнятися силою з нападниками (перекреслити Аdvanced). Ми можемо взяти нарешті сигнатури для Yara чи Snort зі звітів про атаки APT28/29, знайти та видалити їхні імпланти з наших систем (перекреслити Persistent). І ми можемо навчитися протистояти сучасним загрозам, після чого навчити цьому наших колег, близьких, друзів та усіх, хто довірив нам свій захист (перекреслити Тhreat). Це все цілком підйомні речі, тут немає жодної супер-сили. Наш супротивник не тигр, він ведмідь. А проти ведмедя працює ніж.

Тепер найголовніше: як навчитися самим та навчити інших протистояти кібер-загрозам?

Багатьом тут знайомі принципи побудови захищених систем: принцип багатошарового захисту, принцип найменших привілеїв, принцип повної медіації…. Та, можливо, найважливіший з цих принципів: починай з захисту найслабшої ланки. Це зрозуміло навіть інтуїтивно: ось бюджет, ось система, як найефективніше покращити її захист? Взяти найслабшу ділянку та підсилити її!

Більшість погодяться, що найслабша ланка безпеки будь-якої системи — це користувач. Тобто, цілком логічно було б взяти усю цю біомасу та спробувати навчити її виявляти спроби здійснення кібер-атак, та як уникнути ролі жертви. Обізнаність з кібер-загроз, це дуже проста річ, навіть банальна, саме тому їй не приділяють достатньо уваги. Яку форму зазвичай приймає програма обізнаності? Поширені два підходи: ось вам Політика Інформаційної Безпеки, прочитайте та розпишіться; або загнати всіх на тренінг, зазвичай дистанційний, з пачкою слайдів про базові правила безпеки, актуальні в 90-ті. Як це впливає на рівень обізнаності? Майже не впливає. Усвідомлення загроз неможливе без усвідомлення наслідків. Які наслідки демонструє Політика, навіть якщо в ній чітко прописано, що за порушення вас звільнять? “Та щаз!…” Спочатку продемонструйте суттєвий відсоток звільнень за порушення, а потім повернемось до цієї теми.

Що робити? Продемонструвати на прикладах, як відбувається кібер-атака, та до яких ПЕРСОНАЛЬНИХ наслідків вона може призвести. Вважаєте, що ваше листування в електронній пошті нікому не цікаве? А як щодо розсилки вірусу всім вашим контактам, які без зайвих вагань його відкриють? Вважаєте, що у вас нічого красти, тому для хакерів ви нецікава здобич? А як щодо того, що троянець на вашому комп’ютері буде атакувати сервери вашої компанії? Або краще сервери Адміністрації Президента? Чи, що більш ймовірно, поширювати через Даркнет дитячу порнографію? Ви праві, ваші листи нікому не цікаві. Довіра до вас з боку друзів, близьких, колег, роботодавця — ось що має цінність.

Відчуваєте, як персоналізація наслідків додає адреналіну? Так і треба: без цього немає навчання безпеці. Це не просто найкращий спосіб, це єдиний дієвий спосіб. Так влаштований наш мозок: ви всі знаєте, що є тимчасова пам’ять та довготривала. Тимчасова утримує в собі декілька останніх хвилин наших відчуттів. Зазвичай вся ця інформація безслідно зникає. Але трапляються ситуації, коли абсолютно увесь вміст тимчасової пам’яті фіксується назавжди. Це моменти екстремального стресу: люди, які пережили насилля, бомбардування, стихійне лихо, смерть близьких, з точністю до дрібниць пам’ятають, де вони були, що робили, та про що думали, коли це сталося. І навіть декілька років потому найменша дрібниця, яка нагадає їм про стресову ситуацію, може відновити з пам’яті усі обставини, викликавши серйозну тривогу або навіть панічну атаку. Це явище має назву синдрому пост-травматичного розладу. Це страшна річ, але в її основі — дуже дієвий захисний механізм: створюючи на нашому жорсткому диску повний дамп оперативної пам’яті у момент смертельної загрози, мозок забезпечує те, що ми зможемо заздалегідь впізнати ознаки такої загрози в майбутньому.

Я не закликаю створювати загрозу життю заради підвищення обізнаності з кібер-безпеки (хоча це напевно було б дуже дієво). Зазвичай, демонстрації під час тренінгу етапів потенційної (або реальної) атаки на організацію достатньо для створення необхідної атмосфери. Стрес стимулює пам’ять, ви самі можете в цьому переконатися. Наприклад, я майже впевнений, що всі присутні, старші за 30, мають досить яскраві спогади датовані 11 вересня 2001 року. Та переважна більшість можуть згадати, де були коли дізналися про початок анексії Криму.

Якщо вивчити предмет докладніше, то виявляється, що людина ніяка не слабка ланка, просто її тренуванню приділяють замало уваги. Мільйони років еволюції навчили нас, що треба робити, коли розпочинається землетрус або виверження вулкану, або ж як треба діяти, побачивши ведмедя, або, не дай боже, тигра. У комп’ютерних технологій та Інтернету не було цього часу на наше виховання, але це можна виправити, якщо нас добряче налякати демонстрацією загроз, атак, та їхніх наслідків.

Другий елемент стратегії захисту — це об’єднАння. Тільки разом можна перемогти стихію та встояти перед обличчям сучасних кібер-загроз. Об’єднання необхідне в таких формах.

Об’єднання для обміну інформацією. Приховування та низька швидкість поширення інформації про успішні атаки — це наразі головна перевага хижаків.

Деякі недалекоглядні жертви кібер-атак вважають, що приховуючи інформацію про інцидент вони зможуть уникнути негативних наслідків. Ця логіка хибна: по-перше, розголосу все одно не уникнути, рано чи пізно він відбудеться; по-друге, так вони позбавляють інших можливості навчитися на їхніх помилках, багаторазово примножуючи наслідки інциденту.

Одним з можливих способів розв’язання цієї проблеми є створення галузевих центрів реагування на інциденти кібер-безпеки (CERT). Цей підхід добре зарекомендував себе по всьому світі, зокрема в Сполучених Штатах, де CERTи створюються ледь не з кожного приводу. Там є CERT для державних агенцій, є CERT для фінансових установ, є CERT для енергетики, є CERT для ICS/SCADA тощо. Є навіть комерційні CERTи, один з найбільших — на базі Verzion Business, ви могли чути про їхній щорічний звіт Data Breach Investigation Report.

В Україні в якомусь вигляді існує державний CERT-UA, потужності якого очевидно не вистачає в умовах кібер-війни. Більше року пройшло з перших гучних атак на об’єкти енергетики, але про створення галузевого CERTу щось не чути. Ідея банківського CERTу висить у повітрі багато років, але далі розмов діло не йде. CERT це ефективний засіб протидії кібер-загрозам, тому я впевнений, що з часом до їх створення та використання дійдуть всі, хто хоче вижити в кібер-джунглях.

Іншим видом дієвого об’єднання проти кібер-загроз, і декому це буде неприємно почути, є використання хмарних обчислень. Звичайно, не всі постачальники забезпечують однаковий рівень захисту, але якщо ми говоримо про велику трійку провайдерів, — Amazon, Microsoft та Google, — то там хлопці в адекваті. В ефективності захисту в хмарі багато причин, наведу дві. По-перше, безпека даних апріорі є обов’язковою умовою переносу інфраструктури в хмару. І по-друге, надаючи сервіс, а отже й захист, багатьом клієнтам, хмарні провайдери знаходяться одночасно у дуже складній та у вкрай вигідній позиції. З одного боку, їм доводиться мати справу з дуже різноманітними загрозами, адже профілі ризиків в їхніх клієнтів різні. Та з іншого боку, ця ситуація змушує їх постійно розвиватися та освоювати новітні методи захисту, застосовуючи їх до усіх своїх клієнтів.

Ось вам модний приклад: зараз у всіх на вустах Machine Learning. Це не те щоб нова, але дуже актуальна дисципліна, яка ходить в парі з Big Data та дуже релевантна до кібер-безпеки. Стартапи, що успішно використовують Machine Learning, залучають астрономічні інвестиції і не дарма: їхні продукти дійсно виділяються та мають не аби який потенціал. Якщо хтось пропустив, то Machine Learning це така собі можливість створювати алгоритми без, власне, потреби їх програмування. Для цього ці алгоритми потрібно навчити на достатніх об’ємах так званих навчальних або історичних даних, і після цього вони почнуть прогнозувати майбутнє. Якість алгоритму напряму залежить від кількості навчальних даних, але в кого ж їх більше, ніж у хмарних провайдерів? Отже, об’єднуючись в одну інфраструктуру, ми дозволяємо її власникам більш адекватно, нерідко на упередження, реагувати на загрози кібер-безпеки.

Тому витягайте з підвалів ваші залізяки та об’єднуйтеся. Людей, які в наш час вважають, що тримати власний сервер безпечніше, ніж довірити цю справу професіоналам, залишилося небагато, та її звати Хіларі Клінтон. Не повторюйте чужих помилок, шукайте способи об’єднуватися та застосовуйте мислення.

Ось бачите, як і у випадку з полюванням на ведмедя, все досить просто. Добре, добре, з ведмедем було простіше. Але я плекаю надію, що ентузіазму та завзяття я у вас викликав більше, ніж апатії та параної.

Один з моїх клієнтів — це дуже респектабельна фірма, лідер своєї вертикалі в Україні. Як це нерідко буває, наш перший спільний проект, пентест, був для них суцільним культурним шоком. Зізнаюся чесно, під час написання звіту та його презентації мені доводилося дуже акуратно підбирати слова, щоб нікого випадково не образити.

Але ось що відбулося протягом минулого року: ми поставили під сумнів безнадійність користувачів перед обличчям кібер-загроз та застосували наші знання з області соціальної інженерії, щоб навчити їй протидіяти. І це спрацювало: один раз з цим клієнтом, потім з наступним, потім ще раз і так далі. Досі трапляється, що виявивши ознаки можливого нападу, хтось з їх ІТ-департаменту чи відділу безпеки дзвонить нам, буває що серед ночі. Але це не виклик на допомогу, просто вони хочуть переконатися, що то не ми раптом вирішили провести повторну перевірку результатів пентесту. В їхньому голосі немає паніки: це голос спокійної, впевненої у собі людини, яка перетворила “слабку ланку” на ефективний засіб захисту, а подекуди й на зброю відплати. Це голос людини, у якої є ніж. Дякую.