Какими навыками сегодня должен обладать ИБ-специалист

Виктор Иевлев,
руководитель отдела информационной безопасности группы компаний «Гарда»:

Сейчас компании всё чаще делают ставку на проактивное обнаружение и устранение уязвимостей: выстраивают процессы, проводят аудит и латают дыры в системах защиты информации. Для этого требуются компетенции в наступательной кибербезопасности (Offensive Security), которые включают пентестинг и Red Team для выявления векторов атак, а также навыки Defensive Security и Blue Team для выстраивания защиты и оперативного реагирования. При этом командам обоих направлений для эффективной работы важно постоянно изучать методы «противника»: защитникам нужно мыслить как атакующие, а атакующим — понимать механизмы и слабые места защиты.

Также всё более востребованными становятся компетенции в технологиях искусственного интеллекта (ИИ) и машинного обучения (МО). Например, специалистам по AppSec необходимо осваивать AI/ML Security, поскольку использование ИИ и МО — естественный вектор развития в создании приложений. Практически в каждой команде разработки применяют ИИ, а ML внедряют в продукты для их постоянного совершенствования. Кроме того, ИИ и MO встраивают уже в сами продукты для анализа больших объёмов данных и выявления аномалий в поведении пользователей.

Ещё одно направление, которое оказалось актуальным — киберфорензика.

Раньше, когда атак было меньше, экспертов в этой области было мало, в основном расследованием киберпреступлений занималась полиция (отдел «К»). Сегодня из-за увеличения количества атак, в том числе успешных, спрос на экспертов по киберфорензике заметно вырос.

Я считаю, в нынешней ситуации каждый профессионал в ИБ должен уметь расследовать инциденты, находить цифровые следы, оставленные злоумышленниками, и восстанавливать хронологию событий.

Таким образом, сочетание практических атакующих и защитных навыков, знание технологий ИИ/МО, умение расследовать инциденты и готовность к постоянному обучению. Вот что сегодня необходимо для оперативного отражения киберугроз.

Нина Шипкова, 
руководитель специальных проектов в ИБ ГК «Солар»:

Рассмотрим отдельно хардовые и софтовые навыки. Хардовые я бы соотнесла не с широким определением «ИБ-сотрудник», а с конкретным направлением и профессией в кибербезопасности. Современная ИБ содержит несколько ключевых направлений, например, таких как Blue Team (оборонительная безопасность), Red Team (наступательная безопасность), Security Engineering (эксплуатация безопасности), AppSec и DevSecOps (безопасная разработка), Security Compliance (соответствие требованиям ИБ) и других.

Эти направления в разной степени связаны между собой и, безусловно, имеют общие области знаний. Однако во многом именно специализация или роль сотрудника в каждом из них определяют портрет и матрицу компетенций. Такая матрица охватывает как обязательные (базовые) навыки, так и экспертные, которые в том числе определяют тенденции отрасли и изменяющийся ландшафт угроз.

На примере Blue Team я бы выделила такого специалиста, как аналитик SOC L1. В его матрице можно найти классические компетенции: анализ источников событий, составление карточек инцидента ИБ, сбор и анализ информации для расследования и другие — это те навыки, без которых невозможно обойтись.

Но есть и нетривиальные навыки: автоматизация путём написания скриптов и умение вести оптимизированный поиск, а также способность находиться в постоянном актуальном контексте цифрового ландшафта.

Для более сложных ролей требования будут расти. Например, добавятся компетенции по эксплуатации технологий ML, NN и Big Data в ИБ или понимание критериев и методик оценки эффективности защиты.

В случае софтовых навыков нужно развивать умение строить причинно-следственные связи, чтобы понимать, как сущности в кибербезопасности взаимосвязаны между собой и влияют друг на друга. Важно не забывать о критическом мышлении, чтобы чаще задаваться вопросами о целесообразности задач и способах их исполнения. Также ИБ-специалисты должны расширять общий бизнес-кругозор, чтобы видеть, как устроено принятие решений в отрасли и как ИБ влияет на киберустойчивость всего бизнеса.

Андрей Жданухин,
руководитель группы аналитики L1 GSOC компании «Газинформсервис»:

Для специалиста по ИБ важнее всего аналитический склад ума. Нужно прокачивать свои компетенции и масштабировать знания на все отрасли информационной безопасности в целом. Это могут быть как актуальные угрозы ИБ, так и эффективные на сегодня методы её защиты. Обладающий сильным аналитическим мышлением человек сможет развить любые умения, которые только могут понадобиться.

ИБ-профессионалам важно повышать компетенции в практической безопасности и проходить курсы — как российские, так и зарубежные: проактивного поиска угроз, реагирования на инциденты. Это очень важная тема, которая позволит чувствовать себя уверенно в функциональной безопасности.

Алексей Коробченко,
начальник отдела по информационной безопасности компании «Код Безопасности»:

В данном вопросе нельзя всех приводить к одному знаменателю, поскольку область направлений и компетенций в информационной безопасности очень обширна, и везде требования к навыкам будут разными.

Безусловно, важно, чтобы специалисты по информационной безопасности понимали базу, то есть имели фундаментальные знания об архитектуре ОС и сетевом стеке, навыки работы с разнообразными средствами защиты, обладали умением администрировать различные системы и сервисы, а также опытом взаимодействия с web и облаками.

Также необходимо знание законодательства хотя бы на базовом уровне.

Этот пласт знаний и навыков служит хорошим подспорьем для комплексного обеспечения информационной безопасности в организации — это даёт понимание того, что и как работает.

Учитывая быстрое развитие технологий, важно оставаться в повестке дня — отслеживать значимые новости в области информационной безопасности, техники и тактики злоумышленников и постоянно повышать свою квалификацию во всех областях.

Нельзя обойти вниманием и широкое распространение ИИ. Важно уметь пользоваться данными инструментами, писать грамотные промпты, при этом взять за правило всегда перепроверять информацию.

Что касается Offensive Security — это очень важное, но и непростое направление в области ИБ, но его реализация как процесса сильно зависит от уровня зрелости как специалистов, так и организации в целом.

Как минимум, необходимы знания о работе сканеров безопасности и грамотной интерпретации их результатов. Если уровень зрелости высок, то, конечно, нужно подключать к работе как внутренних, так и внешних пентестеров, использовать специализированные сервисы и средства защиты, внедрять процедуры проверки ПО и выходить на площадки Bug Bounty.

Дмитрий Овчинников,
архитектор информационной безопасности и vCISO UserGate:

Новой компетенцией сотрудников в ИБ является знание ML и LLM. Сейчас подобные технологии стали активно встраивать в продукты по информационной безопасности. Поэтому умение правильно настроить модели, а также интегрировать их под нужды сферы ИБ — очень актуальные конкурентные навыки.

Ещё одним трендом является защита самих моделей. Есть множество угроз, которые могут нанести ущерб системам ИИ. Поэтому специалисты с подобной компетенцией также будут востребованы на рынке ИБ.