Кібер-ШміберІндустрія кібер-безпеки, погляд

зсерединиВолодимир Стиран

CISSP CISA OSCP ISO27001LA CEH BLAH BLAH

Director of Ops, Berezha Security

http:

//w

ww

.info

rmati

onisb

eauti

ful.n

et/v

isual

izatio

ns/w

orld

s-bi

gges

t-dat

a-br

each

es-h

acks

/

Типу кібер-атакиШкідливе ПЗ

банківські Троянці, віруси, крипто-локери тощо

ДДоС-атакина інтернет-крамниці, органи влади, системи ДБО тощо

Викрадення персони, доксінг, шантажАтаки на критичну інфраструктуру

енергетика, транспорт, фінансова система

Кібер-шпіонажполітичний та економічний

Про грошіІндустрія кібер-безпеки

Кібер-кримінальна економіка

Рекорд втрат

Рекорд прямих втрат

“Середні” втрати

$ 100 000 000 000

$ 400 000 000 000

$ 350 000 000

$ 65 000 000

$ 7 700 000

Зламали – всіх. Пропало – все.

https://haveibeenpwned.com

Типу нападники

Загрози безпеки

Загрози безпеки

Типу захисники

Правоохоронці«Кібер-війська»Громадські організаціїНауково-технічні інститутиРозробники засобів безпекиКонсалтингові та аудиторські фірмиКорпоративна безпека

Галузі економіки*Банки/фінанси/страхуванняІнформаційні технологіїОборонка/державні органиКонсалтинг/професійні послугиОсвітаОхорона здоров’яЕнергетика/видобуванняПромисловістьТелекомунікації

Роздрібна торгівляАвіаціяТранспортНеприбуткові організаціїМедіаТуризмРозвагиБудівництвоАгропромисловістьХарчування

Задачі професії (не зовсім)кібер-безпекиЦілі:

КонфіденційністьЦілісністьДоступність

Інформації

Методи:ЛюдиПроцесиТехнології

ПринципиНайменших привілеївБезпеки за замовчуваннямЕкономіки механізмівПовної медіаціїВідкритого дизайнуРозмежування правПсихологічної прийнятностіБагатошарового захистуЗахист найслабшої ланки

Оборонні спеціалізаціїАналітикІнженер/архітекторМенеджер/офіцерСлідчий з інцидентівАдміністраторКонсультантАудиторМенеджер з ризиківДиректор

Наступальні спеціалізаціїАналітик з захисту ПЗПентестерДослідник вразливостейСоціальний інженерМисливець за вразливостямиМисливець за загрозамиКонкурентний розвідник

Технічна кар’єраІнформаційні технологіїМережіПрограмуванняАналіз данихКомп’ютерні розслідуванняБезпека ПЗКриптографіяМашинне навчання

Організаційна кар’єраУправління проектамиУправління персоналомУправління ризикамиВнутрішні контроліАудит/оцінка захистуСтандарти та настановиПсихологіяВедення переговорів

Необхідні навички1. English2. “Try harder” настрій3. Критичне мислення4. Уважність до деталей5. Технічна обізнаність6. Пошук інформації7. Розумна достатність8. Переговори

Перспективні навички1. Розслідування інцидентів2. Хмарні обчислення3. Розвідка/аналітика4. Виявлення вторгнень5. Захист ПЗ6. Аналіз шкідливого ПЗ

Професійні сертифікаціїN00b-ські

CompTIA - Security+(ISC)2 - SCSPCisco - CCNA SecurityEC-Council - CEH

Просунуті(ISC)2 - CISSPISACA - CISA, CISMOffSec - OSCP/OSCE etc.SANS GIAC - Anything

https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615

Оплата праці (в Україні)*Початківці (0-2 роки)

З досвідом (3-5 років)

Професіонали (5+ років)

Тактичні керівники

Стратегічні керівники

$0 - $1500

$1500 - $2500

$2500 - $4000

$3000+

$4000+

Оплата праці (глобально)

https://www.sans.org/reading-room/whitepapers/analyst/cybersecurity-professional-trends-survey-34615

Стратегічні порадиПлануйте розвитокВстановлюйте ціліОтримуйте оцінкуНеперервно навчайтесяРобіть “щось інше”Просіть по допомогу“Повертайте” спільноті

Хочу бути… через…На рік, два, п’ять, десятьПравило “3 мушкетерів”

Правило “+1 години”Будь-яке “важке” хобі

Це дружня індустріяНавчайте колег

Bonus: легальний хакінгСпособи

Тести на проникнення

Кар’єраFreelance

Bug BountyПрямі програмиББ-брокери

ЛабораторіїОнлайн“Зроби сам”

Capture the Flag

НюансиЗавжди. Майте. Дозвіл.Зберігайте конфіденційність клієнтаКонсультуйтесь з юристомСтрахуйте професійну відповідальність

Що далі?

Що далі?Теорія

Web Hacking 101 (Book)Web Application Hacker’s Handbook (Book)Uni. of MD – Software Security (Coursera)Stanford University – Cryptography (Coursera)Bruce Schneier – Applied Cryptography (Book)Ross Anderson – Security Engineering (Book)

ПрактикаKali LinuxMetasploitable2Burp SuiteNOWASPHack.MeHackerOne.comBugCrowd.com

Risky.biz (en)Securit13 PodcastNo Name Podcast

Bonus: як не стати кібер-жертвою

1. Не натискайте каку2. Використовуйте пасфрази замість паролів3. Використовуйте двохфакторну автентифікацію4. Операційна система та програмне забезпечення5. Антивірус6. Робіть резервні копії даних7. Використовуйте криптографію8. Мобільна безпека9. Фізична безпека10. Зворотній зв'язок

https://github.com/sapran/dontclickshit