Estudamos ameaças e falamos sobre ataques: o que os analistas de segurança da informação fazem na Positive Technologies

O campo da segurança da informação é rico em diferentes especialidades, e os próprios especialistas são muito procurados no mercado de trabalho hoje. Se eu tentar sem hesitação descobrir cinco áreas de atividade que se relacionam à segurança da informação, o seguinte vem à minha mente: um administrador de segurança da informação, um analista SOC (centro de operação de segurança), um pentester ou analista de segurança, um engenheiro de segurança da informação, um operador de sistemas de segurança Mas, como em qualquer outro campo, na segurança da informação existem áreas de atuação que estão na interseção de especialidades. Uma dessas áreas foi formada ao mesmo tempo em Positive Technologies - analista de segurança da informação.

Segurança sem papel

É fácil adivinhar que o analista está coletando e processando informações. O trabalho diário de um analista de segurança da informação da Positive Technologies é preparar relatórios e apresentações com base nos resultados de projetos de consultoria. Entre esses projetos estão:

• teste de penetração (pentests),
• serviço do time vermelho vs time azul ,
• análise de segurança de aplicativos da web e móveis,
• análise da segurança dos sistemas bancários (RBS, ATMs, terminais de pagamento),
• análise de segurança de redes de telecomunicações,
• análise de segurança de sistemas de controle industrial,
• investigação de incidentes cibernéticos .

Esta lista (e está longe de todas as áreas) demonstra claramente que o analista deve, simultaneamente, mergulhar em vários tópicos e aprimorar constantemente seus conhecimentos. É por isso que é errado comparar este trabalho com a segurança “no papel”. Cada relatório que um analista escreve é ​​centrado em um componente prático.



Por exemplo, há vários anos nossa empresa tem ajudado a melhorar o nível de segurança da informação de uma das empresas no Japão. Os analistas estão ativamente envolvidos em uma série de projetos que ocorrem nas instalações do cliente em Tóquio. O trabalho do analista inclui não apenas a redação de um relatório detalhado, mas também a consulta ao cliente sobre todas as questões relacionadas aos resultados do projeto. Os analistas explicam como e em quais condições as vulnerabilidades identificadas podem ser exploradas por cibercriminosos e a que ataques podem levar. Além disso, ele consegue expandir seus próprios horizontes, viajando por Tóquio depois do expediente.



O resultado do trabalho do analista não é o mesmo tipo de regulamento e nem de política, nem de documento estereotipado, nem de modelo teórico de ameaça ou infrator. Esta é uma descrição de formas reais de penetrar em uma rede local a partir da Internet e de ataques aos sistemas de TI de empresas operacionais. Vamos dar um exemplo simples.







Figura 1. Um exemplo de dados recebidos de um pentester

Após receber uma captura de tela do pentester como confirmação do ataque, como na Figura 1, o analista percebe que foi feita uma tentativa de localizar o catálogo de endereços da empresa e baixar todos os endereços de e-mail dos funcionários da versão web do Outlook. Ele descreve no relatório todo o curso do ataque, bem como as falhas de segurança que permitiram sua execução e recomendações para a eliminação dessas falhas ou medidas compensatórias de proteção. Como regra, o próximo estágio de tal ataque é a seleção de senhas para os endereços recebidos.



O analista faz uma análise detalhada de todas as vulnerabilidades descobertas e das técnicas utilizadas pelo pentester, o que significa que ele deve ter um bom entendimento de como cada vulnerabilidade é explorada, o que é essa vulnerabilidade, quais ferramentas são usadas para realizar o ataque e como evitá-lo. Claro, ele deve ser capaz de afirmar isso corretamente no relatório, descrever as recomendações para que um especialista do lado do cliente possa entender facilmente o problema e eliminá-lo.

Entre a cibersegurança e os negócios

Em alguns aspectos, o trabalho de um analista é semelhante às tarefas de um redator técnico que recebe um rascunho e cria um documento final. Mas isso é apenas parte do trabalho. Como parte das atividades do projeto, o analista se comunica constantemente com especialistas técnicos, discute as vulnerabilidades descobertas, esclarece todos os detalhes do ataque. Isso permite que ele tenha uma boa compreensão da essência técnica do problema, para que possa então revelá-lo no relatório o mais detalhado possível.



O analista deve ser capaz de apresentar os resultados de um teste de penetração em qualquer nível - técnico e “comercial”. Um relatório técnico permite que um administrador de segurança da informação elimine vulnerabilidades, mas tal documento será completamente incompreensível para o gerente. O CEO não perderá um tempo precioso em um documento de duzentas páginas e tentará se aprofundar na terminologia de segurança da informação. Por exemplo, como você falaria sobre injeção de SQL e CSRF no processamento de pedidos se o presidente de uma grande empresa estivesse ouvindo?



Além disso, o analista deve compreender como um possível ataque afetará o desempenho de sistemas individuais e quais riscos isso pode representar para os negócios. É por isso que analistas são recrutados periodicamente para defender um projeto diante da gerência ou preparar uma breve apresentação e um currículo de uma página. Houve até casos em que um analista preparou um breve relatório sobre os resultados de um incidente cibernético para o ministro. Não é preciso dizer que esses documentos exigem uma abordagem especial.

Pesquisa e comunicação com jornalistas

Há outra parte do trabalho - a pesquisa. O conhecimento adquirido em projetos é único, pois se baseia em ataques implementados de forma prática aos sistemas de TI existentes. O analista se torna o guardião de tal conhecimento.



Se um especialista técnico conduzindo um penteste está imerso em uma área selecionada de trabalho e a gama de suas tarefas é bastante típica, então o analista se conecta regularmente a muitos projetos diversos, o que significa que ele tem uma visão geral do nível de segurança da informação no contexto das indústrias. Ele pode avaliar quais vulnerabilidades são mais comuns dependendo do tipo de sistema, em quais empresas a proteção é pior e quais técnicas de ataque são mais relevantes.



Por exemplo, recentemente conduzimos uma extensa pesquisa sobre ataques direcionados a empresas na Rússia. O resultado foram quatro artigos nos quais mostramos quais táticas e técnicas são usadas por grupos cibernéticos que atacam negócios russos no setor financeiro e de crédito , indústria , complexo de combustível e energia e agências governamentais . Não muito antes disso, analisamos anúncios em fóruns clandestinos na dark web , onde vendem e compram várias ferramentas e serviços para ataques cibernéticos, e estimamos quanto custaria organizar um desses ataques para criminosos.

Nossas outras pesquisas podem ser encontradas no site da empresa .







2. Positive Technologies

Os resultados de um grande grupo de trabalho em análise de segurança também podem ser generalizados e apresentados de forma impessoal para toda a comunidade de segurança da informação. O analista reúne expertise de diferentes divisões da Positive Technologies, escreve artigos que são publicados no site da empresa, bem como em revistas, jornais, blogs, redes sociais e outras mídias, conduz webinars e palestra em conferências. Para cobrir os problemas mais urgentes de segurança da informação e ajudar o público interessado a entender questões complexas, o analista faz comentários a jornalistas, participa de transmissões ao vivo na televisão e no rádio e em coletivas de imprensa. Izvestia, Kommersant, RBC, RIA Novosti são apenas alguns exemplos de publicações que cobrem regularmente os resultados do trabalho dos nossos especialistas.Essa abordagem ajuda a transmitir as tendências mais interessantes no campo da segurança da informação para a comunidade e aumenta o conhecimento geral das pessoas em segurança da informação.

Os analistas são únicos no mercado

Na universidade ou nos cursos de formação avançada, eles fornecem apenas uma base - o analista não pode obter lá o conhecimento que recebe no processo de trabalho. O analista está constantemente desenvolvendo e reabastecendo o acervo de seu conhecimento por meio da participação em projetos. Cada novo projeto oferece uma oportunidade de aprender novos métodos de ataque e ver como eles são implementados na prática. A imersão em diversos temas permite expandir constantemente seus horizontes. Esta é uma oportunidade única de desenvolvimento profissional.



Os conhecimentos adquiridos no trabalho podem ser aplicados em outras profissões. Há exemplos de quando um analista mudou para o departamento pentest. Ou quando um analista se tornou um gerente de projeto de consultoria de sucesso. Mas há quem, ao contrário, queira se engajar na análise de dados e se desenvolver nessa área.



Alunos seniores e especialistas de diferentes áreas de segurança da informação vieram para nossa equipe: um engenheiro-projetista de sistemas de segurança, um professor associado de um departamento em uma universidade, um engenheiro reverso, um especialista em certificação de produtos de segurança e especialistas em consultoria na área de proteção de dados pessoais. Também há candidatos de ciências técnicas. O nível de formação dos analistas também é confirmado por certificados internacionais: nossos especialistas possuem certificados como OSCP, CISSP, CEH.

Como se tornar um analista

Se ao ler este artigo perceber que já possui todas as qualidades que lhe permitirão fazer parte do nosso time e deseja crescer conosco, envie seu currículo para career@ptsecurity.com e nos encontraremos para uma entrevista. Se você não está confiante em suas habilidades, mas entende o teste de penetração e as vulnerabilidades, estamos prontos para considerar candidatos bem-sucedidos para posições juniores. O desenvolvimento de especialistas é uma de nossas tarefas prioritárias.