Привет! Это школа кибербезопасности HackerU, и в этой статье мы хотим рассказать о двух направлениях в информационной безопасности: Red Team и Blue Team.

Когда мы говорим об информационной безопасности, мы в первую очередь имеем в виду защиту — инфраструктуры, систем, данных, you name it. И кажется, что в этом контексте слово «атака» окрашивается сугубо негативно: атаки же проводят злоумышленники.

Но техники хакерских атак можно использовать во благо. В информационной безопасности действует правило, пришедшее из военных игр: чтобы защита работала эффективно, ее должны атаковать свои.

Подсказка: По этой логике в индустрии выделились два направления, которые разными путями приходят к одной цели — не допустить взлома системы. Это атакующие и обороняющиеся, они же пентестеры и безопасники, они же Red Team и Blue Team.

Кто такие Red Team и Blue Team?

Red Team — это, по сути, хакеры, которые действуют на «стороне добра»: с помощью взлома систем защиты они помогают эти системы усилить. Еще их называют пентестерами.

Пентестеры работают в связке с Blue Team — командой специалистов, обеспечивающих информационную безопасность системы изнутри. Чаще всего это чистые инфраструктурщики.

Для работы в Red Team в первую очередь нужны знания о работе различных приложений и основных атакующих техник, а также умение программировать. Специалистам Blue Team требуются фундаментальные знания, в первую очередь технические.

Компании выделяют все большие бюджеты на ИБ. При этом схема, в которой Blue Team работает вместе с Red Team, оказывается наиболее эффективной. Blue Team-специалисты обеспечивают защиту от хакерских атак изнутри: настраивают системы, мониторят их состояние — и делают это постоянно. Red Team же работает снаружи: ищет и использует уязвимости, проводит хакерские атаки — не чтобы все сломать, а чтобы указать на слабости коллегам-безопасникам.

Ключевые задачи Red Team и Blue Team

Итак, есть инфраструктура, и её нужно защитить от злоумышленников. Специалисты из Blue Team должны это обеспечить. Если суммировать их конкретные задачи, то получится такой список:

— Выстраивать систему защиты от известных хакерских атак, которая (в идеале) будет работать 24/7.
— Выявлять новые атаки и изучать поведение хакеров.
— Создавать систему реагирования на попытки взлома.
— Прогнозировать цели хакерских атак и появление новых атак с учетом меняющегося ландшафта.

Подсказка: «Любую систему можно взломать. Возьмите социальную инженерию, и вы спокойно сможете поломать любую, даже самую защищенную систему. Наша задача — минимизировать вероятность взлома», — поясняет Ильдар Садыков, руководитель департамента ИБ Федерального бюро МСЭ Министерства труда и социальной защиты.

Минимизировать риски безопасникам помогают пентестеры. Их ключевая задача — имитировать настоящие атаки хакеров на систему защиты. В ее подготовке выделяются семь этапов, но главные из них два: поиск уязвимостей и их эксплуатация.

«Red Team — это, вообще, не какая-то конкретная команда. По сути, это процесс использования атакующих тактик. Обычно нам дают время, за которое нужно систему компрометировать. Либо продемонстрировать компрометацию — показать, что ее можно взломать, показать, какие есть уязвимости», — поясняет Head of Security в HackerU Russia Егор Богомолов.

Что должен знать пентестер: программирование, работа приложений, типы уязвимостей

Знания, необходимые пентестеру для работы, можно разделить на три больших категории:

— Принципы работы разных мобильных и веб-приложений. Сюда же можно отнести понимание операционных систем.
— Основные типы уязвимостей и техники их использования.
— Языки программирования. Для пентестера нет необходимости в умении писать на всех языках, но читать и понимать их он обязан.

«Знать все на свете нереально. Поэтому пентестер уделяет особенно много времени изучению тех систем, с которыми он сталкивается чаще всего. А параллельно он развивает в себе полезные навыки: умение искать, быть внимательным, наблюдательным. Найти абсолютно все уязвимости невозможно. Но можно попытаться обнаружить большую часть», — поясняет Егор Богомолов.

Коротко разберем популярную задачу пентестера — использовать SQL-инъекцию. Это один из самых простых способов взлома сайта, работающего с базами данных. Его суть — внедрить в данные произвольный код на языке SQL, что позволит злоумышленнику выполнить любой запрос к базе, читать и записывать данные.

Подсказка: Чтобы использовать SQL-инъекцию, пентестер, по словам Егора Богомолова, должен:
Применить знания о работе веб-приложений. База помогает пентестеру работать даже с сайтами, которые совсем не похожи на те, с которыми он сталкивался до этого.
Знать принципы SQL-инъекций и контекст, в котором они могут и не могут появляться.
Понимать язык SQL.

Часть необходимых знаний пентестеры получают в университете — это в первую очередь касается языков программирования. Однако программ именно для пентестеров в вузах нет — специалисты Red Team получают необходимые знания и навыки благодаря самообучению, проходят курсы и посещают вебинары.

В школе кибербезопасности HackerU есть трёхэтапный профессиональный курс «Специалист по тестированию на проникновение». Он дает знания и навыки, необходимые для старта карьеры в этой области. Получить программу обучения и записаться на бесплатный пробный урок можно по этой ссылке.

Что должен знать безопасник: системы, сети, защита

«Специалистам из Blue Team нужен более обширный багаж знаний, причем в первую очередь — технический. Стартовать в этой профессии будет легче системным администраторам или сетевым инженерам», — отмечает Ильдар Садыков.

Ключевые знания эксперта по ИБ можно точно так же разделить на группы:

— Администрирование операционных систем: Windows, Linux, MacOS, Unix-подобных систем.
— Понимание работы компьютерных сетей.
— Знание систем защиты и навык конфигурации.

Подсказка: «Принципиальный момент: в сетях требуются экспертные знания. Допустим, ты их понимаешь слабо. Настроить сеть тебе, возможно, поможет системный администратор. Но если ты не будешь понимать, в какой момент тот или иной протокол может иметь ту или иную уязвимость, то ты просто это пропустишь», — подчеркивает Ильдар Садыков.

Получить знания и навыки для работы на стороне Blue Team можно на курсе «Cпециалист по информационной безопасности» от экспертов-практиков HackerU. Курс подойдёт, как начинающим IT-специалистам, так и сисадминам, сетевым инженерам. Записаться на бесплатный пробный урок можно по этой ссылке.

Востребованность, деньги, перспективы

Обеспечения информационной безопасности — это дорого. Согласно отчету Cisco, российские средние и крупные компании тратят на это в среднем 1,4 миллиона долларов в год. В итоге эффект — положительный: опрошенные организации оценили преимущества, которые они получили от защиты данных, в 2,1 миллиона долларов ежегодно. Логично, что инвестиции в ИБ продолжают расти.

Вместе с тем, до 93 % компаний признают, что их служба кибербезопасности не в полной мере соответствует потребностям. Одна из ключевых проблем в ИБ — «заплаточный» подход, когда проблемы решаются по мере их поступления. В таком случае отсутствует единое видение системы защиты организации.

Несостоятельность такого подхода доказывается работой пентестров. В 2019 году компания Positive Technologies провела ряд тестирований на проникновение, и вот что из этого вышло:

— получить доступ к локальным сетям удалось в 93 % случаев;
— чаще всего находилось несколько способов преодолеть сетевой периметр, максимальное число векторов проникновения в одном проекте — 13;
— в среднем на проникновение в локальную сеть требовалось четыре дня, минимум — 30 минут;
— сложность атаки в большинстве случаев оценивалась как низкая — значит, совершить ее мог даже низкоквалифицированный хакер.

Более современным и актуальным оказывает подход к ИБ, в котором присутствует механизм моделирования угроз, а мониторинг ведется постоянно. Практика показывает, что уровень защищенности систем растет, если безопасники и пентестеры работают в связке.

Это не может влиять на рынок: потребность в специалистах Blue Team и Red Team уже сейчас высока, а в будущем она будет только расти. Уровень зарплат в обоих случаях достойный даже у специалистов без обширного опыта:

— безопасники на старте карьеры получают в среднем 70 тысяч рублей, специалисты с опытом от года до трех лет — до 120 тысяч.
— пентестеры с опытом от трех лет могут получать до 250 тысяч рублей, без опыта — около 80 тысяч.

Выберите свою команду