Автор — Михаил Николаев, тренер по кибербезопасности отдела обучения компании F6.
Меня довольно часто спрашивают на наших тренингах: «Как стать специалистом по компьютерной криминалистике?». Подумал, что проще написать пост.
Профайл
Имя: Михаил Николаев.
Должность: тренер по кибербезопасности отдела обучения компании F6.
Специализация: сетевая криминалистика; компьютерная криминалистика и реагирование на инциденты в ОС Windows, основы защиты информационных систем.
Образование: окончил Марийский государственный технический университет по специальности «Радиотехника», а также Академию права и управления (институт) по специальности «Юриспруденция».
Обладатель сертификатов: AccessData, EC-Council, PassMark.
Стаж работы в сфере цифровой криминалистики с 2009 года.
На месте происшествия
По первой специальности я — радиотехник. Окончив технический вуз, как и четверо моих однокурсников, я продолжил грызть "гранит науки” в аспирантуре. Но, проработав на кафедре год, понял, что аспирантура не для меня. Теория без практики мертва, говорил Александр Суворов, и я с ним в этом вопросе полностью солидарен. Хотя, забегая вперед скажу, что полученные на кафедре навыки преподавания мне очень пригодились на должности тренера. Но обо всем по порядку.
Вопрос, куда пойти работать, я решил для себя радикально. В 2006 году устроился на службу в органы внутренних дел. Скажу сразу, хотя место работы я выбрал довольно специфическое, меня до сих пор привлекает идея борьбы с преступностью.
Начинал службу в милиции я с дежурного пункта централизованной охраны. Потом перевелся на должность инспектора одного из подразделений центрального аппарата. Вехой стал сентябрь 2008 года, когда я перешел в экспертно-криминалистический центр на вновь вводимую должность старшего эксперта по направлению «фоноскопическая экспертиза». И тут руководство решило, что было бы неплохо обучить молодого сотрудника еще и навыкам производства компьютерных экспертиз. Так, в январе 2009 года, я оказался на курсах в Саратовском юридическом институте МВД, где получил те самые базовые знания компьютерной криминалистики, которые и привели меня в кибербез.
В ОВД приходилось заниматься не только фоноскопией и компьютерной криминалистикой, но и во время суточных дежурств выезжать на осмотр места происшествия. Повидал всякое — от краж и разбоев до убийств и расчлененных трупов.
В 2012 году на МВД обрушилась очередная реформа. Начались сокращения. Кроме суточных дежурств, сотрудников начали отправлять патрулировать улицы. Скажу честно: мне, как специалисту с двумя высшими образованиями и званием майор полиции это было не по душе. Весной 2016 года я решил уволиться по собственному желанию.
К этому время преступность уже активно уходила в "цифру". Есть один такой показательный пример: одна банда в Москве скручивала номера у автомобилей и потом требовала от владельцев выкуп за то, чтобы их вернуть. В какой-то момент, когда все столичные дворы и улицы нашпиговали камерами видеонаблюдения, преступники поняли, что риски выросли. И они переквалифицировались на рассылку программ-вымогателей, которые шифруют компьютеры, и требуют от жертвы выкуп.
После полиции в качестве негосударственного судебного эксперта я немного поработал на компанию с иностранными корнями, где мы в красивой упаковке продавали криминалистическое исследование девайсов по запросам организаций и частных лиц. Однако за красивой упаковкой я не видел реальной готовности помогать людям и возможности дальнейшего погружения в тему цифровой криминалистики. Фактически это был карьерный тупик. И тут произошел неожиданный поворот.
Лавина знаний
В этот момент коллеги-криминалисты, с которыми я познакомился еще работая в полиции, предложили пройти собеседование в Лабораторию компьютерной криминалистики компании F6. (на тот момент компания еще называлась Group-IB).
Про ребят из Лабы ходили легенды — мои коллеги принимали участие в расследовании деятельности таких преступных групп, как Carberp, Anunak, Buhtrap, Corcow, Cobalt, MoneyTaker, Cron. Да и выглядели они, как рассказывали старожилы, как герои фильма "Люди в черном". В строгих черных костюмах, с черными чемоданчиками в руках. К тому же работа в частной компании была намного привлекательнее с финансовой точки зрения — зарплата в частном секторе была в 2-3 раза выше, чем в органах.
Тут есть важный нюанс. Криминалисты F6 — это не полиция, они не имеют права задерживать преступников, проводить обыски и тд. Но по российскому законодательству при изъятии техники должен присутствовать технический специалист, поэтому наших криминалистов часто привлекают в качестве экспертов.
Сам собес прошел без проблем, но на испытательном сроке меня накрыла лавина новой информации. Оказалось, что моих знаний в компьютерной криминалистике едва хватало на закрытие 20% знаний о современной кибербезопасности, так как мой опыт работы покрывал в основном только исследования артефактов ОС Windows на уровне файловой системы и мобильных устройств. Но я хватал все на лету и даже остался жив.
Пришлось погрузиться в артефакты из дампов памяти, в анализ сетевых событий, осваивать вопросы реагирования на горящий инцидент и разбираться с матрицей MITRE ATT&CK® (это подробный обзор тактик, техник и процедур (TTPs) атакующих).
Основную трудность представляли для меня англоязычные термины, под которыми нередко скрывались уже знакомые мне вещи. Также, оказалось, что я практически не был знаком с современными трендами киберугроз. А криминалист всегда должен держать руку на пульсе.
Например, если раньше у преступников, которые работали по России, было довольно четкое разделение: одни охотятся за деньгами (киберкриминал), а другие — за секретами (прогосударственные хакеры), то тенденция этого года появление "групп двойного назначения", которые преследуют как финансовые, так и политические цели. Яркий пример — преступный синдикат вымогателей Shadow (C0met) и Twelve: первая требует крупный выкуп — обычно в размере 5-10% от годового дохода компании за расшифровку и не публикацию похищенной конфиденциальной информации, а Twelve сначала похищают конфиденциальные данные, а на финальном этапе атаки уничтожают ИТ-инфраструктуру, стирая следы.
Закапываясь в детали экспертизы на предыдущих работах, я не мог сложить всю картину, не мог увидеть и оценить реальный масштаб и опасность киберугроз. Эта верхнеуровневая стратегическая информация очень важна для тренера. Спасибо коллегам, они подставили плечо, помогли с этим разобраться, открыли для меня новый дивный мир и помогли максимально быстро погрузиться в предметную область – всем респект и уважуха.
Вообще моя профессия требует постоянного погружения в тему, совместной работы и повышения собственной экспертизы. Это каждый раз своеобразный челлендж и выброс адреналина – от новых вызовов в мировой повестке дня, до новых кейсов, продуктов, и конечно новых слушателей.
Кто такой тренер по кибербезу?
В моем понимании, это некий симбиоз опытного оратора и глубокого технического специалиста, человека, который не только владеет уникальными знаниями, но может донести их до самой разной аудитории, ответить на вопросы любого уровня сложности так, чтобы было понятно аудитории. Вот здесь мне как раз и пригодились навыки преподавательской деятельности из далеких 2004-2005 гг.
Помните, я вспоминал слова Суворова, что теория без практики мертва. Так у его крылатой фразы, есть замечательное продолжение: а практика без теории — слепа. Опираться на реальную практику при разработке учебных материалов — это то, о чем я мечтал, работая на кафедре. Отдавать людям накопленный опыт — это то, чего не хватало в моей работе экспертом. Для меня первое и второе соединилось в позиции тренера по компьютерной криминалистике в отделе обучения компании F6.
Основной плюс в профессии тренера для меня в возможности делиться своими знаниями и навыками с другими, когда ты не просто читаешь лекцию и проводишь практику, а именно тогда, когда возникает энергетический обмен. Ты видишь, что людям это, действительно, интересно и они готовы учиться без перерыва и выходя за рамки отведенного для обучения времени.
Коротко расскажу, из чего строится функционал тренера по кибербезопасности:
- Проведение тренингов (очные мероприятия, вебинары, дистанционное обучение, другие форматы обучения).
- Разработка учебных и демонстрационных материалов для выступлений, редактирование существующего материала и создание новых презентаций.
- Копирайтинг для тематических порталов/каналов/блогов и подготовка публикаций для СМИ.
- Создание Proof-of-Concept стендов для демонстрации методов проникновения в IT -инфраструктуру и защиты от подобного проникновения.
Хотя в 2022 году отдел обучения в нашей компании был выделен в отдельное структурное подразделение, связь с практикующими специалистами из Лаборатории цифровой криминалистики не прервалась. Наши коллеги также обмениваются с нами опытом работы, интересными кейсами и всегда оказывают необходимую помощь в разработке обучающих курсов.
Немного о “трудовых буднях”
По правде говоря, тренеру по компьютерной криминалистике часто приходится работать не только в будни, но и в выходные. Особенно, когда дело касается обучений на площадках заказчика.
"Начинка" наших обучающих курсов собирается на основании данных, полученных из других департаментов компании: Киберразведки, Центра кибербезопасности и, конечно, нашей Лаборатории цифровой криминалистики. Но, поскольку реальные кейсы с реагирований нельзя использовать из-за персональных данных клиентов и подписанного NDA, специалисты отдела обучения создают модели поведения злоумышленников и детонацию (принудительный запуск и отладка) обнаруженных вредоносных программ в изолированной среде с дальнейшей фиксацией криминалистических артефактов. Так формируются учебные кейсы для разбора и демонстрации, а также для самостоятельной работы слушателей.
Два года назад наши специалисты обнаружили и исследовали ранее неизвестную хакерскую группировку RedCurl, специализирующуюся на корпоративном шпионаже. На основании полученных данных был создан учебный кейс для одного из обучающих курсов, основанный на использовании тактик, техник и инструментов этой группировки. Кстати, не так давно наши специалисты Лаборатории цифровой криминалистики проводили реагирование на инцидент в крупном российском банке. Атакующие пытались "пробить" его дважды: сначала через фишинговые рассылки по сотрудникам, а потом — через подрядчика. Последняя атака увенчалась успехом, и внутри инфраструктуры банка криминалисты обнаружили цифровые следы "старых знакомых" из RedCurl.
Хотя почти все обучающие курсы из-за пандемии стали проводиться в онлайн-формате, приходилось проводить обучения и на местах. Зимой 2022 года мне пришлось срочно лететь в командировку в одну из стран СНГ для проведения очного тренинга. Обучение запросила известная и влиятельная международная организация, чтобы повысить уровень знаний подразделения национальной безопасности страны. Несмотря на “внезапность”, все прошло идеально, в рамках этого проекта мы подготовили и провели еще несколько курсов по смежным направлениям.
В начале 2023 года мне поставили задачу разработать пятидневный курс по мобильной криминалистике практически с нуля. Несмотря на большой объем информации я справился за пару месяцев, параллельно проводя уже запланированные обучающие курсы.
На каждом курсе для меня самый волнующий момент — получение обратной связи от слушателей: что участники ждали от обучения и получили ли это на выходе, как я могу улучшить контент, который уже есть, каких тем и кейсов в курсе не хватает.
Если хочешь учить других, учись сам
Это основной девиз тренера по кибербезопасности. Действительно, очень много знаний я получил изучая иногда абсолютно новые для меня направления в кибербезопасности и разрабатывая новые обучающие курсы.
Часто можно услышать вопрос: «Как стать реально крутым специалистом и компьютерной криминалистике и в смежных областях?». Выбрать направление и пройти обучение не так сложно, но где набираться опыта – вот это главный вопрос.
Я не буду углубляться в вопросы важности знаний цифровой гигиены, кибербезопасности в современном мире, я надеюсь большинству читателей это понятно по умолчанию. А вот для чего необходимо систематическое и углубленное изучение всех отраслей кибербезопасности – попробую объяснить.
Во-первых, далеко не всем специалистам ИБ, скрывающимся за ворохом бумаг, довелось столкнуться с реальными инцидентами, поэтому иногда единственный способ быть готовыми - это учиться "в бою".
Во-вторых, методы киберпреступников меняются достаточно быстро, появляются новые тактики, техники и процедуры, которые необходимо знать и уметь выявлять и понимать, насколько эти методы критичны именно для вашей инфраструктуры.
В-третьих, компании недостаточно просто накатить SIEM (Security information and event management — это такой класс программных продуктов, необходимых для «управления событиями и информацией о безопасности») и мониторить алерты (оповещения об инцидентах ИБ) на стоковых правилах, но и необходимо правильно интерпретировать эти алерты для понимания, насколько они критичны для вашей инфраструктуры.
В-четвертых, в сложившихся реалиях, когда много специалистов покинули свои должности по различным причинам, а новые еще не набрались опыта, необходимо быстро и качественно их обучить.
В-пятых, есть ситуации, когда специалист в компании хочет изменить направление деятельности и, возможно, подняться по карьерной лестнице – обучение также необходимо.
Кому наши курсы пригодятся?
Наши курсы рассчитаны на технических специалистов с минимально необходимым опытом работы с цифровыми данными под управлением ОС Windows или Linux. Например, без базовых навыков работы с командной строкой прохождение наших курсов будет затруднительно.
- Практикующим специалисты ИБ/ИТ / командам SOC/CERT / специалистам по реагированию на инциденты / руководителям отделов ИБ/ИТ / компьютерным криминалистам и т.д.;
- Специалистам с IT-бэкграундом, которые хотят сменить профиль в сторону ИБ;
- Людям, не безразличным к вопросам безопасности цифровой среды.
Курсы F6 разрабатывают и преподают действующие ИБ-специалисты. В программе только только практика, только хардкор. О кейсах, которые распутывали наши специалисты можно прочитать в наших технических блогах.
Тема кибербезопасности важна не только для продвинутых технических специалистов. Мы работаем с разными слушателями: от детей до технических специалистов, от правоохранителей до топ-менеджеров крупных компаний, для каждой аудитории у нас есть интересный материал.
Несколько полезных советов напоследок
Если, дочитав мою историю до конца, вы решите стать тренером, вот несколько советов лично от меня:
- развивайте коммуникативные и ораторские качества, не забывайте о стрессоустойчивости;
- изучите фундаментальные основы цифровой криминалистики, т.к. большинство смежных областей кибербезопасности построены именно на них;
- изучите ландшафт современных киберугроз;
- ознакомьтесь с основными аппаратно-программными средствами применяемыми в различных сферах кибербезопасности — от систем обнаружения и предотвращения вторжений до средств для сбора, обработки и анализа цифровых улик;
- не лишним будет знание правовых аспектов обеспечения кибербезопасности;
- большим плюсом будет знание основ программирования.
Пожалуй, на этом всё.
Если есть вопросы или комментарии, буду рад на них ответить. Остаюсь на связи через почту m.nikolaev@f6.ru.