Ликбез в инфобез: где и как искать ИБ-специалистов рекрутеру

Пикальков Станислав, Team Lead SENSE Group, рассказывает нашим читателям, какие бывают направления Cyber Security, что является самым сложным в подборе таких IT-специалистов и поделился своим опытом закрытия вакансий.

В рекрутменте я около 5 лет, из которых 4 в IT. Мой основной профиль — инфраструктура, информационная безопасность и большие данные. Впервые столкнулся с ИБ в рамках кадрового агентства и понял, что эти вакансии лишь кажутся сложными и не стоящими прилагаемых усилий. На самом деле они интересные и легкие в силу отсутствия конкуренции — на рынке очень мало рекрутеров с экспертизой в ИБ. Далее год проработал в инхаусе, в одной из крутейших компаний российского ИБ-рынка, после чего вернулся к формату кадрового агентства. В качестве хобби ранее изучал Python и писал на нём инструменты для работы, сейчас учу Kotlin, пишу приложение для трекинга важных статусов и пару pet-проектов.

Информационная безопасность – не самое популярное направление для работы в кадровых агентствах, так как порог вхождения в него намного выше, чем в большинстве популярных сфер (например Back, Front, Mobile). При работе по ИБ-вакансиям Рекрутеру недостаточно просто выучить популярные фреймворки, библиотеки и название связанных с ними инструментов, чтобы базово оценить - подходит ли специалист на закрываемую вакансию. Для успеха здесь потребуется более глубокое погружение.

Но, без сомнения, информационная безопасность – самое интересное направление, с которым мне приходилось работать! В том числе потому что специалисты, работающие в этой сфере, понимают, какие именно цифровые следы они оставляют. Большинство ИБ-специалистов не хотят, чтобы их нашли в соцсетях или на других площадках, поэтому попытки вставить никнейм с githab’a (которым, кстати, они тоже практически не пользуются) в телеграм не увенчаются успехом.

В этой статье я постараюсь рассказать о самых популярных профилях, с которыми работал в рамках кадровых агентств и инхаус.

Начнём с архитекторов информационной безопасности – это специалисты, которые представляют информационный периметр компании и понимают, что нужно сделать, чтобы его защитить. Они хорошо знают методологии ИнфоБеза, отлично ориентируются в нормативке и в том, как защитить данные в соответствии с ФЗ 152 и ФЗ 187, что стало критичным для многих компаний в последнее время. У архитекторов информационной безопасности достаточно узкое комьюнити и «все друг друга знают». Поэтому, если вы погружаетесь в подбор по этим направлениям, рекомендую выстраивать личные отношения с каждым кандидатом – так можно попасть в небольшие профильные/дружеские чаты, где вы сможете найти специалистов, недоступных рынку вообще и не имеющих профилей ни на каких работных сайтах (и даже в соцсетях!).

Второй по популярности запрос на поиск в кадровые агентства – направление AppSec.

Эти специалисты, составляющие модели угроз, анализирующие каждую новую фичу в приложение на то, не открывает ли она какую-либо уязвимость, которой могут воспользоваться злоумышленник. Кроме этого Application Security разрабатывают методики тестирования безопасности приложения: более опытные специалисты погружаются в код в третьесторонних библиотеках, используемых при разработке приложения, чтобы понимать, какие уязвимости может открывать сама библиотека. Эти специалисты должны полностью понимать жизненный цикл программного обеспечения, хорошо разбираться в рекомендациях OWASP (открытый проект по обеспечению безопасности веб приложений, знание ТОП-10 OWASP уязвимостей является обязательным требованием для 99+% позиций в этом направлении). Также Application Security должны уметь читать код, понимать SQL и принципы взаимодействия с базами данных в целом.

Рядом с Application Security, естественно, я обязан сказать о пентестерах. Это те самые хакеры из фильмов, только настоящие и остающейся на светлой стороне – этичные хакеры.

В зависимости от размера, направления деятельности, формата потребности и многих других факторов в компании может быть как отдел тестирования на проникновение, (периодически проверяющий различные блоки на уязвимость), так и раздельные красная и синяя команда (иногда к ним добавляется фиолетовая, но на нашем рынке это редкость). Эти специалисты используют различные методы, такие как социальная инженерия, фишинг, сканеры уязвимостей, физические проникновения на атакуемые объекты и многое, многое другое для нахождения уязвимости без её дальнейшей эксплуатации.

Когда на почту приходит письмо:

HR редко обращает внимание на ссылку (визуально кажется, что она ведет на HH или профиль в LinkedIn). Но на самом деле ссылка ведёт совершенно не туда! И вот у злоумышленника уже есть доступ ко всей информации, которая есть у HR’a компании, а это ОЧЕНЬ много информации.

Красные и синие команды – команда атакующих и защищающихся. То есть если пентестер в классическом отделе должен найти уязвимость любым способом и составить о ней отчёт, то игрок красной команды должен ещё и сделать это так, чтобы синие (мониторящие периметр) не заметили ни его, ни его действий. Моя любимая аналогия – классический пентестер это пират, а редтимер (красная команда) – ниндзя. В остальном их конечная задача одинакова: найти дыру в безопасности, составить о ней отчёт и отдать отделу ИнфоБеза компании, чтобы они эту дыру залатали, после чего начинать по новой.

Поиски таких специалистов становятся настолько же увлекательными, как и функционал самих специалистов – в моей практике даже были случаи, когда мы контактировали с коллегами пентестеров с тёмной стороны силы – хакерами в даркнете, чтобы взять рекомендации.

Далее от синей команды переходим к специалистам в области систем управления событиями информационной безопасности – SIEM-специалистам. Это инженеры, работающие со специализированным ПО. Они отвечают за мониторинг, обработку и анализ событий информационной безопасности. Задача SIEM-эксперта заключается в том, чтобы представить все возможные угрозы и атаки, подключить источники агрегации данных в систему, расписать корреляцию связанных событий и настроить оповещения. Чтобы в случае начала потенциально атакующих действий, отдел информационной безопасности получал диаграммы действий, отличающихся от стандартных паттернов поведения и мог принимать решение: является ли, например, вход с нового устройства из другой страны мошенническим, или сотрудник купил себе в отпуске новый ноутбук и заходит с него в систему.

Отдельно можно выделить antifraud-специалистов, то есть специалистов по противодействию мошенничеству. Это одни из самых скрытных специалистов, при интервьюировании которых ты слышишь «это под NDA» чаще, чем предлоги. В antifraud есть принцип security through obscurity, так как если мошенники будут знать, какие сценарии применяются для выявления мошеннических действий, они смогут обойти эти сценарии.

Также часто приходят запросы на поиск DevSecOps-специалистов – это профиль информационной безопасности, из перечисленных находящийся ближе всего к AppSec-специалистам.

Это не относится к инфраструктуре или сетевой безопасности – DevSecOps занимаются системой безопасности на каждом этапе разработки: от формирования требований до релиза и выхода в продакшн. То есть, если AppSec специалисты выявляют уязвимости приложения, то DevSecOps – предотвращают их появление.

Для поиска таких специалистов LinkedIn не подойдёт. Запрос «DevSecOps» по кандидатам в России выдаст около 400 результатов, и это хорошо знакомые рынку люди.

И последние из тех, кого бы хотел упомянуть – специалисты из смежной профессии – сетевые инженеры. Это специалисты, занимающиеся непосредственно сетями, слаботочными системами, Wi-Fi и т. д. Можно сказать, они обеспечивают их физическую безопасность, чтобы злоумышленник с ноутбуком не мог перехватить какую-либо информацию внутри сети или, подключившись к гостевой сети, получить доступ сотрудника к внутреннему файлообменнику, принтерам (из памяти которых можно, например, извлечь переданные в печать договора).

Эти специалисты, к счастью, активно пользуются работными сайтами, поэтому их можно искать на HH и Хабре, а также на LinkedIn по уровню сертификатов, требуемых для вакансии.

Конечно, это не все, а лишь самые часто встречающиеся профили. По менее распространенным у нас скоро выйдет вторая часть статьи.