Як увійти в професію кібербезпеки та де отримати потрібні навички: поради експерта
Фахівець в інформаційній безпеці Пилип Охонько розповів про основні сучасні кіберзагрози та дав кілька практичних порад, з чого почати і де отримати потрібні навички з кібербезпеки.
В епоху стрімкого розвитку інформаційних технологій і непростої геополітичної ситуації кіберзагрози перетворилися на зброю масового ураження. Масштабна кібератака на найбільшого українського оператора мобільного зв'язку "Київстар", яка залишила без зв'язку і доступу до інтернету мільйони громадян, укотре продемонструвала, наскільки вразлива критична інфраструктура в умовах гібридної війни. Ця атака та багато інших прикладів шахрайських дій хакерів демонструють, що сучасні загрози вимагають не тільки оперативного реагування, а й постійного вдосконалення заходів захисту.
Філіп Охонько — висококваліфікований фахівець у галузі інформаційної безпеки. Серед його досягнень — виявлення серйозної вразливості в одному з найпопулярніших браузерів у світі Firefox, презентація нової методики виявлення вразливостей у веб-додатках, а також безліч інших значущих досліджень і розробок. В інтерв'ю ми обговорили його унікальний досвід роботи в кібербезпеці, участь у міжнародних конференціях і перспективи розвитку ключових напрямків у цій сфері на найближчі роки.
- Філіпе, кібербезпека залишається однією зі сфер IT-індустрії, яка найбільш динамічно розвивається. Як експерт із кібербезпеки з багатим досвідом розроблення захисних методик і співпраці з найбільшими компаніями, розкажіть, як змінилися основні загрози та виклики для компаній останніми роками?
- Останніми роками основні загрози у сфері кібербезпеки стали більш складними та цілеспрямованими. Ми спостерігаємо зростання атак, які орієнтовані на критично важливі інфраструктури та великі організації. Основною метою цих атак є зупинка роботи і крадіжка даних. Зловмисники стають більш витонченими, використовуючи передові методи, як-от соціальна інженерія, атаки на ланцюжки поставок і на хмарні сервіси. Також збільшується кількість атак, пов'язаних ransomware (прим.ред. Програмами-вимагачами). З їхньою допомогою шахраї повністю паралізують бізнес і вимагають викуп за розблокування даних.
Оскільки дедалі більше компаній стали використовувати хмарні технології, одним із ключових моментів стало зрушення в бік забезпечення безпеки в хмарі. Цей процес вимагає впровадження нових підходів до захисту даних і запобігання витокам, особливо в умовах розподілених команд і віддаленої роботи. Крім цього, поява ШІ відкриває нові можливості для забезпечення безпеки, але водночас створює додаткові ризики, оскільки зловмисники можуть використовувати ці технології у своїх інтересах.
- Вас занесли до Hall of Fame Mozilla. Яким був процес пошуку цієї вразливості, і які основні ризики вона несла для користувачів? Чому ви вважаєте вразливості в браузерах одними з найнебезпечніших для глобальної інтернет-безпеки?
- Браузери — це доволі складний софт, який має бути водночас функціональним і безпечним. Браузерами щодня користуються мільйони людей. Саме тому вразливості в браузерах я вважаю одними з найнебезпечніших як для користувачів, так і для великих компаній. Знайти вразливість у такому популярному софті — завдання не з легких, тому що для гарантування безпеки продуктів докладаються величезні зусилля як з боку розробників, так і security-дослідників з усього світу. Процес пошуку вразливості в браузері Firefox був вельми складним і копітким. Я зосередився на глибокому дослідженні різних компонентів браузера.
Я виявив уразливість, яка була пов'язана з неправильною обробкою буфера обміну. Вона могла дозволити зловмиснику впровадити шкідливий код. Достатньо було просто відкрити шкідливе посилання в браузері, і за найгіршого сценарію комп'ютер міг бути "заражений". Якщо такий код розмістити на популярному сайті, мільйони користувачів могли б стати жертвами атаки, навіть не підозрюючи про це. Браузер — це основний додаток, завдяки якому люди взаємодіють з інтернетом. Так званий провідник у світ інтернету. Якщо він скомпрометований, це відкриває зловмисникам доступ до величезної кількості конфіденційної інформації: від паролів до фінансових даних. На відміну від інших типів програмного забезпечення, браузери є основним інструментом для доступу до інтернету, тому їхня безпека та захист є критично важливими як для окремих користувачів, так і для цілих компаній. Тому зловмисники активно шукають вразливості в браузерах, щоб надалі використовувати їх у своїх злочинних цілях.
- На міжнародній конференції ви представили дослідження, пов'язане з обходом Content Security Policy — популярного захисного механізму, який запобігає впровадженню шкідливого коду (XSS) на веб-сторінках. Розкажіть докладніше про цей механізм захисту та його значення.
- У веб-додатках існують уразливості, звані XSS (Cross Site Scripting або міжсайтовий скриптинг). За даними провідної експертної організації Open Web Application Security Project, уже багато років XSS уразливості входять до ТОП-3 найпоширеніших уразливостей у веб-додатках. Щоб не вдаватися в технічні подробиці, краще навести приклад, чим це може загрожувати пересічному користувачеві. Візьмемо стандартний початок робочого дня співробітника в якій-небудь компанії, який у нашому прикладі буде виступати як жертва. Співробітник відкриває браузер, заходить у свою поштову скриньку і бачить там новий лист від потенційного клієнта. Щойно співробітник відкриє лист — до його поштової скриньки отримує доступ зловмисник, при цьому жертва не переходила за посиланнями. Жертва в цьому випадку дотримується всіх запобіжних заходів і не ходить за шкідливими посиланнями, а просто відкриває лист. Саме XSS вразливість дає змогу впровадити на сторінку шкідливий код. Браузер його виконає і передасть контроль над вашою поштовою скринькою зловмиснику. Це цілком реальний приклад, оскільки такі вразливості знаходили в Gmail, Microsoft Outlook або Yahoo Mail.
Одним з основних методів боротьби з такими вразливостями вважається впровадження захисного механізму Content Security Policy (CSP). Моє дослідження показувало, що CSP, яку раніше вважали достатньою для захисту від XSS атак, може бути неефективною. У зв'язку з цим я зосередив свої зусилля на розробці нових методів обходу цього захисного механізму. У результаті я створив нову методику, яка дає змогу експлуатувати XSS-вразливості в обхід CSP, а також представив інструмент CSPStealer, який успішно працює за цією методикою. Його унікальність полягає в тому, що на сьогоднішній день інші open-source і комерційні рішення не мають такого функціоналу, а всі спроби пошуку XSS вразливостей будуть відображені за допомогою CSP.
Для мене було важливо зробити реальний внесок у підвищення рівня безпеки веб-додатків. Також із цим дослідженням я став переможцем міжнародного в США "Cases&Faces" 2024. Інструмент "CSPStealer" активно використовують фахівці в галузі інформаційної безпеки, як з атакуючої сторони — професійні пентестери, так і зі сторони, що обороняється, — співробітники відділу інформаційної безпеки.
- Ваша унікальна методика виявлення Blind Stored XSS вразливостей отримала визнання на міжнародному рівні, зокрема, перемогу на премії "Cases&Faces" 2024 у номінації "Досягнення в інженерії". Розкажіть, що для вас означає ця перемога і як вона вплинула на ваш подальший розвиток у сфері кібербезпеки?
- Перемога на премії "Cases&Faces" 2024 стала для мене значущою подією як у професійному, так і особистому плані. Я радий, що моя розробка була гідно оцінена журі. Визнання мого внеску в індустрію говорить про те, що моя праця дійсно має вплив і практичне застосування для розвитку IT-галузі. Це надихає мене працювати ще старанніше, щоб підкорювати нові висоти. З упевненістю можу сказати, що подібні заходи допомагають перевірити свої сили в цій сфері та досягти успіху.
Також цей захід став чудовою платформою для знайомств і обміну знаннями, а перемога в ньому підвищила мій авторитет у спільноті security-фахівців. Це дуже важливо, тому що це не тільки можливість розвиватися і завойовувати нагороди, а й бажання допомагати іншим рости і досягати своїх цілей. Я поділився своїм досвідом і знаннями з іншими фахівцями. Що найцікавіше, мій досвід виявився корисним як для професійних пентестерів, так і для співробітників відділів безпеки, яким важливо знати про нові підходи та методи захисту. Це свідчить про те, що моя розробка буде корисна великому колу фахівців. Перемога в цій премії дала мені стимул далі рухатися вперед — не тільки заради себе, а й заради інших.
- Ви торкнулися цікавого моменту, що фахівці у сфері кібербезпеки можуть бути по різні боки барикад. Розкажіть, як знайти свій напрямок і з чого потрібно почати шлях в інформаційній безпеці?
- Безумовно, для початку важливо освоїти базові знання в галузі інформаційних технологій. Перш ніж переходити до інформаційної безпеки, необхідно розуміти, як влаштовані комп'ютери, як вони взаємодіють між собою і знати основні мережеві протоколи.
Далі перед вами стоїть вибір, чим саме ви хочете займатися, оскільки інформаційна безпека поняття досить широке. Сфера інформаційної безпеки ділиться на дві основні категорії: наступальну та оборонну. Наприклад, посада Penetration Tester передбачає наступальну діяльність, під час якої ви імітуєте дії зловмисників, атакуєте компанію-клієнта і потім надаєте звіт про всі виявлені вразливості. З іншого боку, є Security Engineer. Він зосереджений на проєктуванні та впровадженні захисних заходів, щоб забезпечити безпеку компанії. Але навіть якщо ваша посада належить до оборонної сторони, ви маєте добре знати всі методи, якими користуються хакери, щоб вибудувати ефективний захист.
Практичний досвід має ключове значення. Важлива не тільки постійна практика на різних кейсах, а й участь у професійних змаганнях, конференціях. Відмінною школою кібербезпеки є змагання Capture the Flag (CTF). Сертифікації, визнані індустрією, наприклад, такі як Offensive Security Certified Professional (OSCP), також є гарним джерелом знань і дадуть вам конкурентну перевагу під час пошуку роботи.
Найцікавіше, що практикуючись, ви вже можете заробляти гроші. У рамках програми винагороди за знайдені вразливості Bug Bounty ви можете легально застосувати свої навички, шукати вразливості в різних компаніях. Існує велика кількість публічних Bug Bounty програм у різних компаніях та організаціях. Компанії платять фахівцям за виявлення та опис вразливостей у їхніх додатках, таким чином покращуючи безпеку. Я вважаю це чудовим способом спробувати свої сили, отримати практичний досвід і продемонструвати свої досягнення потенційному роботодавцю.
Які ще напрями ви вважаєте перспективними для досліджень у найближчі роки?
Одним із ключових напрямків буде безпека хмарних технологій і контейнерів, таких як Docker і Kubernetes. Зі зростанням їхньої популярності збільшуються і ризики атак. Ще один перспективний напрям — захист систем, заснованих на штучному інтелекті. Зловмисники можуть намагатися маніпулювати ШІ-моделями, що створить нові загрози.
Також актуальними залишаються дослідження в галузі блокчейну та захисту критично важливих інфраструктур. Ці сфери потребують посиленого захисту, і я впевнений, що найближчими роками вони будуть у центрі уваги кібербезпеки.
- Яких помилок може припуститися фахівець-початківець?
- Інформаційна безпека — це сфера з досить високим порогом входу для новачків. Важливо не намагатися освоїти все одразу, а підходити до навчання послідовно і систематично. В іншому разі можна зіткнутися з вигоранням. Також варто враховувати, що професія вимагає нестандартного мислення для розв'язання нетривіальних завдань, тому потрібно мати великий кругозір, вміти підлаштовуватися під реалії та оперативно на них реагувати.
Інша популярна помилка з можливими серйозними наслідками пов'язана з порушенням правил Bug Bounty програми. Перш ніж приступати до пошуку вразливості, важливо уважно вивчити правила конкретної компанії. Наприклад, якщо в процесі тестування вразливості ви отримаєте доступ до чиїхось персональних даних, це може бути розцінено, як порушення закону і спричинити за собою юридичну відповідальність. На жаль, подібні випадки відомі на практиці. Це загрожує серйозними проблемами з правоохоронними органами.
Крім того, недосвідчені фахівці під час тестування можуть використовувати агресивні методи, що може призвести до збоїв у роботі програми. Завжди потрібно віддавати звіт своїм діям і пам'ятати, що від вашого рішення може залежати безпека не тільки одного окремого користувача, а й великої корпорації. Інформаційна безпека — широка сфера, в якій можна знайти своє місце. Головне — постійно вдосконалювати свої знання, навички та вміти швидко реагувати на реалії, що постійно змінюються.