🧑💻 Разбираемся с «Лабораторией Касперского», из каких специалистов состоит отдел ИБ
На рынке кибербезопасности сегодня сильный кадровый голод. «Лаборатория Касперского» выяснила: 41% компаний в разных странах сталкиваются с нехваткой сотрудников. Каждая вторая компания закрывает вакансии в ИБ по полгода, а поиск сеньоров растягивается на девять месяцев и больше.
Один из путей решения в такой ситуации — растить экспертов внутри, через стажировки и корпоративные программы обучения и повышения квалификации. Если вы хотите создать собственный отдел или департамент ИБ с нуля, читайте эту статью — в ней разберем, какие сотрудники важны для защиты бизнеса и за что они отвечают. А еще покажем, как тренинги «Лаборатории Касперского» помогут сформировать сильную команду даже в условиях кадрового дефицита.
Аналитик вредоносного ПО
Аналитик вредоносного ПО разбирает новые типы атакующих программ. Он изучает, как устроена вредоносная программа, какие уязвимости использует, какие данные пытается украсть и какими приемами обходит защиту. На основе анализа специалист формирует сигнатуры (характерные признаки вируса) и правила, которые помогают системам безопасности быстрее находить похожие угрозы.
Такой сотрудник может противостоять самым опасным атакам — атакам нулевого дня. Они эксплуатируют уязвимости, о которых сами разработчики не знают или еще не успели выпустить обновление, где уязвимость устранена. Поэтому стандартные антивирусы не распознают этот тип атак. Без эксперта компания рискует неделями не замечать, что в ее инфраструктуре закрепился нераспознанный вирус.
Когда в команде есть аналитик вредоносного ПО, неизвестные угрозы выявляются быстрее, а ущерб от них значительно меньше
SOC-аналитик
SOC-аналитик следит за инфраструктурой компании в режиме 24/7. Он работает с потоками уведомлений системы безопасности, проверяет, какие события действительно указывают на атаку, а какие не означают ничего плохого. Его задача — отфильтровать лишнее и вовремя поднять тревогу, если в сети происходит что-то подозрительное. Ошибка SOC-аналитика может привести либо к пропуску реальной атаки, либо к лавине ложных тревог, которые останавливают процессы и отвлекают команду.
Специалист по реагированию на инциденты
Специалист по реагированию на инциденты вступает в работу сразу после обнаружения атаки. Он находит, где именно злоумышленники вошли в систему, и быстро отключает зараженные серверы или рабочие места. Затем блокирует действия злоумышленников и восстанавливает работоспособность инфраструктуры. Его цель — не допустить развития атаки и сократить время простоя критических сервисов.
От скорости и точности решений этого сотрудника зависит не только масштаб финансовых потерь, но и сохранность данных, репутация компании и доверие клиентов.
Если работаете с персональными или чувствительными (например, финансовыми) данными, лучше, чтобы в команде был специалист по реагированию на инциденты
Эксперт по цифровой криминалистике
Эксперт по цифровой криминалистике нужен там, где важно разобраться в деталях уже случившейся атаки. Он работает с логами, сетевым трафиком, образами дисков и другими артефактами, чтобы восстановить ход событий: как именно злоумышленники попали в систему, какие инструменты применили и к каким данным получили доступ. С грамотно собранными доказательствами юристы смогут передать материалы в правоохранительные органы, защитить позицию компании в суде и потребовать от киберпреступников компенсировать ущерб.
Еще одна задача этого специалиста — зафиксировать артефакты так, чтобы команда смогла разобрать атаку внутри компании, закрыть уязвимости и не допустить повторного взлома.
Специалист по поиску угроз (Threat Hunter)
Специалист по поиску угроз не ждет, пока попавший в сеть новый вирус обнаружат и начнут изучать. Он проверяет инфраструктуру на скрытую активность злоумышленников, которые уже могли проникнуть внутрь и ведут себя осторожно.
Такой эксперт строит гипотезы, анализирует аномалии в поведении пользователей и сервисов, сверяет данные из разных источников и ищет признаки атак, которые не могут обнаружить стандартные средства защиты. Для компании это способ поймать противника еще до того, как он добрался до критичных систем или данных.
Чем раньше Threat Hunter находит следы скрытой активности, тем меньше риск серьезных потерь и тем выше устойчивость бизнеса к сложным атакам
Архитектор безопасности
Архитектор безопасности отвечает за то, чтобы все элементы ИТ-ландшафта компании работали как единое целое и при этом оставались защищенными. Он выстраивает инфраструктуру так, чтобы системы безопасности не мешали бизнесу: например, сотрудники не ждали часами доступа к нужным сервисам, а межсетевые экраны не блокировали легитимный трафик. Такой специалист подбирает и внедряет ИБ-решения, настраивает их взаимодействие и увязывает все это с ключевыми процессами компании — от обработки платежей до работы с клиентскими базами.
Из-за ошибок на этом этапе в инфраструктуре могут остаться уязвимости, которые потом сложно и дорого закрывать — для этого придется полностью менять архитектуру систем или ограничивать работу сервисов.
Разработчик безопасного ПО
Разработчик безопасного ПО пишет код так, чтобы в нем не оставалось лазеек для злоумышленников. Он применяет практики Secure Development Lifecycle (жизненного цикла безопасной разработки) на всех этапах — от проектирования до релиза, проверяет компоненты и библиотеки, устраняет найденные уязвимости еще до выхода продукта в продакшен.
Для бизнеса такой специалист снижает риски на старте. Если компания выпускает сервис без встроенной защиты, атаки начинаются сразу после запуска, и исправлять ошибки приходится уже после релиза.
Когда в команде есть разработчик, который пишет код с прицелом на безопасность, продукт выходит устойчивым к атакам и не создает лишних затрат в будущем
Как решить проблему дефицита кадров
Когда на рынке кадровый голод, рациональнее сформировать ИБ-команду из своих сотрудников и развить у них нужные навыки. С этим помогают онлайн-тренинги «Лаборатории Касперского», которые закрывают все ключевые роли в сфере ИБ.
- Обучение одного сотрудника стоит от 30 000 до 235 000 рублей — это намного дешевле, чем нанять опытного специалиста.
- Курсы созданы специалистами команд GReAT (Глобального центра исследований и анализа угроз «Лаборатории Касперского»), Центра мониторинга Касперского и Kaspersky Global Emergency Response Team (глобальной команды реагирования на киберинциденты), а значит, у ваших сотрудников будут самые актуальные знания в отрасли.
- Студенты работают с реальными образцами вредоносного ПО в виртуальных лабораториях и получают не просто теоретические знания, а необходимые для работы практические навыки.
- Программы прошли более 3000 специалистов из 50 стран, включая сотрудников Интерпола.
Листайте дальше, чтобы получить консультацию и подобрать корпоративное обучение, которое поможет закрыть задачи вашей компании.