«Взломать могут всех. Даже меня». Интервью с Ником Белогорским, Director Security Intelligence в Google

Ник (Николай) Белогорский — эксперт по кибербезопасности с почти 20-летним стажем. Работал в Facebook главным антивирусным аналитиком. Был одним из основателей корпорации Cyphort, среди клиентов которой — Uber, Netflix и Tribune Media. С 2019 года — Director Security Intelligence в Google. Мы поговорили с Ником о его карьере, ангельских инвестициях в стартапы, саморазвитии и отношении к неудачам. Также он дал советы, как компаниям повысить свой уровень безопасности и как строить карьеру в области киберзащиты.

Уровень киберзащиты в компаниях

— Как вы считаете, на каком уровне сейчас компании занимаются кибербезопасностью? Достаточно ли этого?

Я считаю, что сейчас хакеры могут вломиться в любую компанию в мире, если приложат к этому достаточно времени, усилий и денег. При этом есть огромная разница в уровнях защиты компаний. Например, в Cyphort одним из наших клиентов был Goldman Sachs (один из крупнейших в мире инвестиционных банков — ред.). Они вложили много денег в защиту, технологии и продукты. У них был один из самых высоких уровней защиты и понимание кибербезопасности, что я видел. И в то же время я работал со стартапами, у которых стоял простой антивирус и были 1–2 человека, следившие за тем, что этот антивирус ловит. То есть самый базовый уровень защиты.

Но даже у наиболее защищенных компаний всё равно похищают данные, они не защищены на 100%. Вопрос в том, где именно находится компания на этом промежутке от 1% до 99%. Во многом это зависит от уровня навыков экспертов, которые у них работают. И таких экспертов в мире на самом деле очень мало, их не хватает. Поэтому все компании переманивают друг у друга специалистов по кибербезопасности.

— В одном интервью вы высказывали похожую мысль, что в конце концов взломать могут всех. Нет ли всё-таки такого варианта, что когда-то будет суперзащита со стопроцентной гарантией?

Смотрите, вот я считаю себя экспертом в этой теме. Но при этом и меня можно хакнуть. И такие случаи бывали. Каждый раз я чему-то учусь после них и пытаюсь сделать так, чтобы меня этим же способом не взломали в будущем. Я тоже допускаю ошибки.

Человек не может быть идеальным. Большую часть времени все мы делаем правильные вещи, но я не знаю никого, кто бы был совершенен всегда, постоянно. Наверное, сейчас самая простая защита — отсоединиться от интернета. Просто взять и перерезать кабель ножницами. Вот тогда тебя не смогут взломать по интернету. Но ты также и не сможешь продуктивно работать. В этой индустрии ты все равно работаешь с trade offs — компромиссами. У тебя есть что-то одно, что-то другое и тебе надо между ними балансировать. Защита всегда растёт обратно пропорционально юзабилити. Хочешь лучше юзабилити, удобство, подключение к интернету — у тебя будет слабее защита.

Тебе хочется стопроцентной защиты — можешь поступить, как космические станции, военные или службы безопасности. Когда у них есть какие-то очень секретные данные, они ставят их на компьютер, который не подключён к интернету. Есть такой термин — «airgap», что значит «защищён прослойкой воздуха». К этому компьютеру со всех сторон можно подойти и увидеть, что никакие провода к нему не тянутся. Вот эта прослойка воздуха — то, как серьезные корпорации защищают свои самые важные данные. И всё равно даже airgap можно взломать. Только делается это более сложными способами — с помощью человека. Можно «заразить» человека, который проникнет в такой объект, войдёт в компьютер, вынесет на себе данные и передаст их через смартфон, дискету или Flash Drive. То есть не все взломы идут по интернету. И даже полностью отключившись от него, вы не достигаете стопроцентной защиты. Ее нет, не может быть в принципе, и, думаю, никогда не будет.

— Какие советы можете дать компаниям по защите?

Вот простые советы, которые сразу помогут вырасти в два—три раза по уровню защищенности. Во-первых, инвестировать в базовые вещи, которые, я думаю, и так у всех или почти всех есть. Это хороший антивирус и хороший файервол — дивайс, по которому вы входите в интернет. Конечно же, еще нужен обученный человек, который будет следить, чтобы эти вещи были включены, обновлены, работали, а если антивирус что-то находит, специалист должен удалять это с компьютеров. Это как бы такой пуленепробиваемый жилет, который нужно носить как минимум.

Дальше я бы посмотрел, насколько ваши сотрудники подготовлены к ситуациям, когда попытаются взломать компанию, узнать ваши данные. Ведь часто злоумышленники будут идти через людей. Они — самое слабое место. Насколько вы их натренировали распознавать фишинг, социальный инжиниринг, другие атаки? Как они ведут себя, когда через звонок пытаются выведать данные или присылают e-mail и просят кликнуть на ссылочку? Надо проводить такие тренинги со своими сотрудниками и смотреть на их поведение. В Америке это называется Red Teaming — атаковать самого себя, чтобы проверить, насколько легко вам взломать себя. Можно нанять компанию для этого или сделать такие тесты самостоятельно. Подобные тренинги повысят уровень осознанности сотрудников, их подготовленности, способности понимать, что что-то не так.

Дальше я бы инвестировал в продукты следующего уровня. В крупных компаниях стоят не одна и не две защитные программы, а десятки: 40, 50, 100. На самом деле это обилие разных систем защит дает очень большую нагрузку на сетевых администраторов и антивирусных специалистов. Все эти защитные продукты присылают какие-то уведомления, «флаги», что здесь что-то не так, подозрительная деятельность и т. д. Поэтому появляется необходимость в security analytics продукте, который не находит новые угрозы, но помогает сортировать и паттернизировать уведомления от уже поставленных защитных программ.

В Америке недостаток сотрудников по кибербезопасности и перегруженность их работой — это одна из главных проблем в индустрии. Условно компания накупила много разных продуктов, и всего пара человек просто не могут с ними справиться, их смывает, как волной, огромным количеством e-mails со всех этих антивирусов. Каждый день приходят 100 или 200 сообщений: «Вот здесь что-то не так, посмотрите». И у сотрудников просто не хватает времени всё это проверить. Поэтому нужна automated security analytics, которая будет отсеивать самые непохожие на проблемы вещи, остальные — группировать по темам и предупреждать, что вот «сегодня был алерт с этого продукта, а вот здесь с этого же компьютера два дня назад был алерт с другого продукта». Сотрудники сами не запомнят сочетания этого паттерна. Но с помощью машинного интеллекта они это заметят. И им придется проверять в 10, в 100 раз меньше оповещений. Плюс — это самообучающиеся программы, которые смотрят на работу Security-аналитика и помогают ему автоматизировать, ускорять процесс: «Вот ты сейчас кликнул на этот вирусный алерт, что это не вирус. Давай я это запомню и в будущем сам буду так кликать в такой же ситуации». Разработчики «учат» эти программы быть разумными и понимающими контекст. Такие продукты уже есть, хоть они еще несовершенны. Но это новейшая технология, которую я бы рекомендовал купить и настроить в помощь вашим сотрудникам.

Ну, и главный совет компаниям — нанимать людей, которые работают в полную силу, посылать их на тренинги, конференции, чтобы они знали, что происходит в индустрии. Если подытожить, то я бы советовал инвестировать в людей, автоматизацию и, конечно, иметь базовые виды защиты, которые уже много лет всем известны.

Выступление по теме кибербезопасности на IT Arena, Львов

Работа в Facebook и создание Cyphort

— Можем рассмотреть пару показательных примеров. Лучше из вашей практики...

Я, наверное, расскажу об одном из самых интересных проектов моей жизни. Когда меня нанимали работать в Facebook в 2010 году, прямо на интервью мне сказали: «Ник, вот ты занимаешься вирусами. Такой человек нам нужен. У нас пока нет никого в компании, кто разбирается в вирусах. Так что ты будешь нашим первым вирусным аналитиком. У нас есть большая проблема с вирусом». Причем, они не сказали «с вирусами», они сказали «с одним конкретным вирусом». И я уже знал, что речь идёт про вирус под названием Koobface — то есть как Facebook, только наоборот.

Впоследствии первый год работы в Facebook я занимался именно борьбой с этим одним вирусом. Правильнее даже будет сказать, не столько с вирусом, сколько с бандой киберпреступников, которые Koobface создали, развивали и через него зарабатывали деньги. Для меня это была и техническая работа, и расследовательская: я сотрудничал со спецслужбами и пытался построить криминальный кейс, как арестовать и посадить создателей вируса.

Koobface распространялся через сообщения Facebook. То есть 10 лет назад вы могли получить сообщение, в котором обычно была короткая фраза по типу: «Ой, смотри: это твои фотографии», — и какая-то ссылка. Много людей на такое, конечно, кликали, потому что все хотят посмотреть свои фотографии. К тому же сообщение приходит от друга, так что подозрений не вызывает. Когда ты кликал на эту ссылку, она показывала тебе веб-страничку, на которой действительно были какие-то фотографии, но они не грузились. И высвечивалось: «Сорри, чтобы загрузить фотографии, пожалуйста, поставьте конвертер для вот этого формата, он у вас на компьютере не поддерживается». Или если это было видео, то вас просили скачать новую версию flash-плеера.

Вот такой трюк как раз называется «социальный инжениринг», когда человека обманывают, заставляют на что-то кликнуть и заразиться. Koobface сначала работал через сообщения, потом начал использовать посты и комментарии к ним. Везде на Facebook были эти ссылки. Люди даже стали привыкать, что если им присылают фотку, то надо быть осторожным, потому что это не всегда фотка. Но при этом Koobface заразил много миллионов человек. Тогда Facebook был ещё не настолько распространён, так что для него это был большой процент пользователей. И, что самое худшее, вирус не просто заражал компьютер, распространялся дальше, но и воровал данные. Мог украсть с компьютера сохранённые банковские карточки, пароли из аккаунта, рассылать спам.

Кстати, у Koobface была интересная техническая фича — специальный алгоритм, позволяющий ему решать CAPTCHA. Это задачка, которая помогает определить, человек с вами разговаривает или компьютерная программа.

Как мы боролись с этим вирусом? Сначала мы находили ссылки, которые он использовал, и блокировали их на Facebook, но затем вирус снова менял их. Мы пытались построить математическую модель искусственного интеллекта, чтобы очень быстро ловить ссылки и блокировать. Мы смотрели подтекст, который он использует, сайты, куда он отсылает... А сайты он использовал не свои, не регистрировал новые домены, а похищал чужие. Как это работало: когда люди грузили себе Koobface, он рылся у них в компьютере, находил их пароли, в том числе его интересовали пароли File Transfer protocol. А FTP — это то, что используют веб-мастеры, чтобы заливать файлы на свои сайты. То есть получая пароль к FTP, он получал доступ к веб-сайтам других людей, а потом на эти же веб-сайты заливал копии своего вируса.

Убить Koobface технически было нереально. Ведь это была многоуровневая структура с большим количеством запасных веб-сайтов: тысячи, десятки тысяч сайтов, которые он использовал. Было непонятно, откуда идет командная структура. Поэтому мы работали по двум направлениям. Первое — технически застопорить, замедлить его развитие, чтобы меньше людей заражались Koobface. А второе — найти тех, кто его написал, в каких странах они живут, и выяснить, можно ли привлечь их к криминальной ответственности. У нас были успехи по двум направлениям. Мы стали систематически снимать их сайты. Как? Мы находили, что вот тут висит копия вируса Koobface, и писали администратору, просили его почистить свой сайт. И это было один к одному: много-много сайтов, много-много писем. Потом мы стали находить собственно IP-адреса компьютеров, где эти сайты хостились, и снимать эти компьютеры. Таким образом они стали терять свою инфраструктуру, через которую распространяли вирус. А потом мы нашли и тех, кто написал код Koobface, и передали информацию в органы расследования. Об этом можно найти и новости в интернете. Авторами вируса оказалась группа из Санкт-Петербурга, стали известны их имена. Но насколько я знаю, людей не посадили в тюрьму, Интерпол до сих пор их разыскивает.

Кстати, мне кажется, они поняли, что их инфраструктуру активно уничтожают из-за того, что они были нацелены на Facebook. Когда вышла новая версия Koobface, она уже атаковала не нас, а другие социальные сети: Twitter, Одноклассники и т. д. И мои сотрудники мне сказали: «Молодец, это и была наша цель. Теперь будем работать со следующими четырьмя вирусами» — и дали мне новые задачи.

— Читала, что работа в Facebook помогла вам не только в профессиональном развитии, но и личностном. Как именно?

Она дала возможность выступать перед большим количеством людей на конференциях, что позволило мне стать более уверенным в себе спикером. Кроме того, я прошел там несколько очень классных тренингов. Например, меня тренировал тот же коуч по презентациям, что и Марка Цукерберга. А еще я вступил во внутреннее сообщество Facebook, которое называлось Toastmasters. Эта группа помогает не бояться публичных выступлений.

Плюс работа в Facebook добавила мне технических навыков, потому что у меня были очень разнообразные задачи, многие вещи мне приходилось делать своими руками, так как достаточно долго был там единственным специалистом по вирусам. Это тоже добавило уверенности в себе.

Еще я стал больше разбираться в том, как работают и думают лидеры, потому что проводил много времени вместе с Chief security officer — главным по безопасности во всей компании. Так, я стал понимать, что есть проблемы, о которых думают инженеры и аналитики, есть проблемы, о которых думают менеджеры. Верхушка компании, Executives думают в своем направлении, более глобально, они нацелены на риски, деньги, партнерство. Они мыслят не категориями, допустим, отдельно взятой атаки или вируса, а думают, какой это может создать іmpact в будущем. И вот я стал стараться больше думать, как они, и соответственно больше хотел руководящую позицию. После Facebook я стал стремиться к работе менеджера, директора, руководить людьми, целыми отделениями компании, стараться заниматься бизнесом и следить за бизнесом, а не заниматься той работой, которая ранее меня привлекала, а именно писать код, разбирать вирусы и выполнять другие технические задачи. То есть после Facebook я, можно сказать, перешёл в бизнес, менеджмент, уже не был только аналитиком в кибербезопасности.

Служба безопасности Facebook на рождественской вечеринке

— После работы в Facebook вы как раз начали свой отдельный проект — Cyphort. Как строить такой? В чем была его уникальность?

Когда я работал в Facebook, они покупали много разных продуктов, чтобы защитить себя, в том числе от вирусов. И один из них назывался FireEye. Это была компания, делающая антивирусный продукт, который запускал потенциальные вирусы внутри виртуальных машин, смотрел на их поведение и по нему определял: вирус это или нет (то, что называется behavior-based safety).

Это была уже следующая ступень, потому что антивирусы первого поколения смотрели на содержание файла. То есть приходит какой-то потенциальный вирус, вы открываете и смотрите строчка по строчке, что в нём находится, читаете машинный код, ищете какие-то артефакты, сигнатуры и примеры вирусов. И если находите, говорите: «Вирус». При чем программы первого поколения ловят одну конкретную версию вируса. Скажем, есть такой вирус Taxnet и есть Taxnet версия 1. Антивирусы первого поколения пишут на него сигнатуру, они его понимают и защищают от него. Но достаточно дописать в код один символ, нолик — и это уже не будет та же самая версия, а версия 2. Так что очень легко сделать новую версию вируса, просто модифицируя любую часть — 1 байт в файле, и он уже обойдёт сигнатуры антивируса. Так работали первые версии Касперского, Symantec, McAfee.

А второе поколение делает поведенческий, а не статичный анализ, не смотрит на содержание файла, а запускает его. Поэтому обойти его гораздо сложнее, потому что надо поменять не саму форму вируса, а его поведение, то есть надо сделать свой вирус не-вирусом, чтобы его нельзя было поймать. Как работают антивирусы второго поколения? Понятное дело, они не запускают вирус на компьютере, который вам дорог, где есть важные данные. Но можно взять неважный компьютер или просто копию компьютера внутри виртуальной машины и там запустить подозрительный файл, дать ему какое-то время (10, 20 минут, час) и посмотреть на его поведение.

Когда Facebook купил продукт FireEye, я ознакомился с их технологией, понял, что там есть здравое зерно, но есть ещё очень много нерешенных проблем. Поэтому когда мы основали компанию Cyphort, мы взяли за основу план сделать продукт по поведенческому разбору вируса — и запустили его конкурировать с FireEye. Они на тот момент уже были большой раскрученной компанией с тысячей сотрудников и такими крупными клиентами, как Facebook. Мы же начинали с нуля. Но у нас было своё понимание, как все сделать интересно, быстро, качественно. А главное сделать то, чего не было раньше в FireEye, — кросс-платформенную работу по всем операционным системам. Продукт FireEye работал только на Windows, а я понимал, что и другие операционные системы тоже имеют вирусы, большую пенетрацию и долю рынка в корпорациях, поэтому нужно сделать продукт, который будет защищать все: Linux, Mac и Android (то, что мобильные платформы будут развиваться, было для меня очевидно).

Как мы продавали наш продукт? Например, я приходил в LinkedIn или Netflix (их офисы были недалеко от нашего) и спрашивал: «Ребята, у вас есть какой-нибудь антивирусный продукт второго поколения, который защищает поведенческим разбором?». Они отвечали: «Да, у нас стоит FireEye». «Это наши конкуренты. Я расскажу, чем мы лучше и почему вам, наверное, стоит попробовать наш продукт: поставить их бок-о-бок и посмотреть, какой из них будет ловить больше вирусов и делать меньше ошибок». Поясню: у антивирусного продукта есть два параметра, по которым их оценивают — false positive и false negative. То есть ошибки, где чистые файлы были признаны вирусами, и ошибки, которые гораздо хуже, когда реальный вирус пропустили, назвали чистым файлом, а он потом заразил пользователей. И тех, и других у нас было меньше, чем у FireEye.

Так что я приходил в LinkedIn и рассказывал: «Всё, что вам нужно сделать — это поставить нашу коробочку». Это был реально хардверный продукт, железка. Специальный компьютер, внутри которого работала Linux и код программы, которую мы написали. Эта железка подключалась к роутеру через специальный порт, куда он дублирует весь проходящий через него интернет-трафик, — SPAN-порт или TAP-порт. Таким образом наша коробочка, как записывающая машинка, начинала получать интернет-трафик, проходящий через корпорацию: кто, что, куда пошёл, на какой сайт, кто какой файл скачал, e-mail получил, — всё приходило в наш продукт Cyphort. И дальше мы разбирали этот rapid поток байтов по протоколам, файлам и доставали потенциально опасные. Вот это exe-файл — есть высокая вероятность, что он вирус. Вот это видео — вероятность маленькая, так как нечасто вирусы бывают в видео. Каждый потенциально опасный файл мы запускали внутри нашей железки на виртуальной машине — у нас виртуалок были сотни. То есть это была очень мощная машина с большим количеством процессоров, памяти, и натренированная именно на то, как эмулировать внутри себя полный корпоративный стэк со всеми компьютерами, юзерами.

Вирус, когда он запускается в такой системе, пытается пощупать, понять: реальный ли это компьютер или меня хотят эмулировать, разобрать на части. Мы делали нашу коробочку так, чтобы вирусы не могли отличить ее от настоящих людей и от настоящего компьютера. Таким образом мы могли распознать достаточно большое количество вредоносного ПО и предупредить об этом компанию. Именно об этом я написал, подал заявки и получил несколько патентов.

Клиентами Cyphort стали Netflix, Yelp, Tribune Media, Lending Club. В 2017 году стартап купила американская компания Juniper — ред.

С сотрудниками Сyphort на конференции RSA, Сан-Франциско

Тенденции Security-индустрии

— Вы называли антивирусы первого, второго поколения... А какие сейчас тенденции, инновации в кибербезопасности?

Мы делали антивирус второго поколения. Сейчас, наверное, уже появилось третье поколение антивирусов, которые тоже работают по поведению, но делают это в разы быстрее. Сейчас программы делают это на уровне microkernel внутри CPU, используют вместо виртуализации эмуляцию.

Кроме этого, появились технологии автоматизации security-аналитики — то, что я упоминал немного раньше. Тут задача уже не столько поймать какой-то один вирус, сколько помочь людям быть более продуктивными в их работе.

— Вообще насколько изменилась сфера кибербезопасности с тех пор, как вы начали в ней работать?

Она сильно изменилась, потому что я пришёл в нее почти уже 18 лет назад. В те времена все было другим: интернет, компьютеры, люди... За эти годы я видел эволюцию компьютерных вирусов и троянов в то, что называется malware — вредоносная программа. Сейчас люди борются именно с malware. Когда я начинал, это ещё были отдельно стоящие трояны, бутсекторы дискет, вирусы, макросы.

Изменились сами компьютерные платформы. Раньше файлы часто заражались вирусами, которые добавляли свой код в эти файлы. Заражались дискеты, потому что мы еще пользовались дискетами. Заражались документы MS Office, потому что в них можно запустить макросы. То есть были совсем другие типы атак. Сейчас же более популярны стали сетевые «черви», уязвимости в программах, которые используются кем-то, чтобы получить контроль над компьютером или целой сетью (botnet).

Пользователи сейчас стали более осторожными. Когда я начинал работать в индустрии, большинство не знали про то, что надо защищать компьютер, просто не понимали, что такое вирус, фишинг, как у них могут украсть пароль. Это не было на слуху. Сейчас это проходит сплошь и рядом, так что народ более подготовлен.

Что ещё произошло... Наверное, ситуацию в последние 5–6 лет сильно поменяло появление биткоина и криптоиндустрии. Появился новый виток в кибербезопасности, потому что многие банды компьютерных преступников, которые раньше атаковали компании, решили все силы направить на обогащение за счет воровства криптовалюты. Это можно сделать разными способами. Раньше один из самых популярных способов был — просто вломиться в криптокошелёк человека, узнав его логин и пароль, и сделать криптоперевод. Потому что криптопереводы не отслеживаются, и эти деньги не возвращаются. Таким был первый этап, когда стали массово воровать криптовалюты.

А второй и продолжающийся сейчас этап — ransomware (вирусы-вымогатели). Это программа, которая похищает ваши данные и шантажирует тем, что если вы не заплатите какую-то сумму — скажем, 1 или 2 биткоина, то она эти данные удалит или, еще хуже (если там что-то секретное), обнародует. То есть мошенники перешли на разные способы вымогательства криптовалюты. Ransomware направлен не только на обычных пользователей интернета, но и на частные компании, государственные предприятия (школы, госпитали, полицейские участки и пр.). Последняя группа особенно уязвима к таким вещам, потому что у них низкий уровень киберзащиты. Например, когда школа заражается таким ransomware, он легко распространяется по сети, так что каждый монитор в школе показывает череп и надпись: «Этот компьютер заражён. У вас есть 24 часа для того, чтобы выплатить выкуп». У таких пользователей и предприятий нет ресурсов защищаться, нет экспертов, которые могут помочь.

Тем более, что хорошо написанный вирус-вымогатель невозможно обойти: он использует Public Key encryption, то есть очень высокую степень защиты в его шифровании. И когда он уже заразил тебя, украл твои данные и зашифровал их, ты никак не получишь эти данные обратно, если не заплатишь выкуп. Создатели вымогателей используют сильную математику и проверенные компьютерные алгоритмы, поэтому вся надежда на то, чтобы предотвратить заражение ими, а после заражения остается только платить выкуп. Появление криптовалюты сильно поменяло Security-индустрию, так что многие методы защиты сейчас направлены именно на борьбу с вредоносными cryptocoin-технологиями.

— Вы говорите, что многие люди более подготовленные. Если говорить конкретнее о разработчиках, что нужно знать каждому о кибербезопасности, какими знаниями владеть?

Вот, что главное, я бы сказал, для всех разработчиков. Когда они будут писать код в разных продуктах на разных языках, важно понимать, что хакеры часто используют уязвимости в продуктах. Нужно уметь писать код, который не так просто использовать в хакерских целях: не оставлять багов, дырок в своем коде. А допустить ошибку очень легко, например, не проверить размер буфера, в котором ты пишешь. И другие подобные простые, всем известные ошибки — buffer overflow, memory corruption. Надо хорошо знать виды уязвимостей, как они делаются, и не допускать их в своих программах, проверять собственный код на наличие ошибок, которые потом будут использованы, чтобы войти в систему.

Советы тем, кто начинает путь в кибербезопасности

— А какими базовыми знаниями должен владеть Security-специалист?

Прыжок с парашютом, 10 000 футов над ГавайямиПрыжок с парашютом, 10 000 футов над Гавайями

Когда я нанимал людей в наш стартап, я смотрел, чтобы они хорошо разбирались в системе Linux, знали, как ее администрировать, как писать в ней Perl скрипты, а также чтобы они хорошо понимали, как работает Windows, умели ее защищать. И так как многие вирусы распространяются именно через интернет, то я проверял понимание интернет-технологий, сетевых технологий, то, что называется сетевой стек — протоколы, на которых построена собственно коммуникация, — TCP-протокол и IP-протокол. Может ли человек взять Packet capture — файл, где записан интернет-трафик, и разобрать сам по полочкам, что там записано, объяснить это своими словами: кто что в этом записанном трафике делал, кто что скачивал, посмотреть эти файлы, распаковать их, расшифровать. То есть понимать протоколы, сети, интернет и операционные системы — базовые навыки, которые нужны всем Security разработчикам, помимо собственно кодирования на их языке.

— На какие перспективные направления в кибербезопасности стоит обратить внимание?

Я бы начинал с простых и базовых вещей. Для меня лично это тоже сработало. Вместо того, чтобы начинать ориентироваться на то, чтобы создавать свои Security-продукты, может быть, стоит начать с того, чтобы проверять чужой код и делать оценку качества, то есть быть QA в этой индустрии. Я, например, так и делал на своей первой работе. Я попытался устроиться в компанию программистом, но мне сказали, что я им не подхожу. А на следующий день перезвонили и сказали: «У нас есть другая позиция, она тоже в этой же команде. Ты будешь заниматься теми же антивирусными продуктами, но в роли QA. Другие люди будут писать код, а тебе надо будет проверять, работает ли он». И вот первые годы моей карьеры я занимался QA и в Fortinet, и в Microsoft. На самом деле это очень интересная работа. Ты должен ломать программы, а потом находить, как ты их сломал, приходить к разработчикам и говорить: «Она не выдерживает нагрузки вот в этом месте, я пробовал её сломать вот так и вот так». Сначала симулировать реальные условия, а потом даже доводить до абсурда и делать стресс-тесты. Поэтому я рекомендую начинать путь с первой ступеньки — это тестирование программ, написанных другими, но в конкретной индустрии, например, в Security.

— Какие преимущества и недостатки профессии киберспециалиста?

Преимуществ много. Это очень востребованная сфера. Я могу сказать, что по статистике, которая мне известна, в Америке есть острая нехватка киберспециалистов — тысячи незаполненных рабочих мест. И все потому, что у людей нет навыков, их недостаточно, чтобы пройти интервью на работу Security-аналитика, антивирусного специалиста, специалиста по incident response (борьба с инцидентами, когда уже началась атака). В связи с этим появилось много школ, университетов, программ, где пытаются натренировать новое поколение специалистов.

В США у антивирусной индустрии хорошо идут дела, запускается много новых Security-стартапов, которые разрабатывают все новые и новые методы борьбы. И они все тоже нанимают для себя. Кстати, сейчас весьма востребованная профессия — это гибрид позиций разработчика и киберспециалиста — DevSecOps (SecOps + DevOps = Developer Security Operations). Такой сотрудник разбирается и в том, как кодировать, и в том, как поддерживать системы как сисадмин, и в том, как защищать корпорацию и сети от взлома.

Среди преимуществ профессии — если ты профессионально разбираешься в том, что делаешь, за это платят неплохие деньги. Плюс — это интересно: ты борешься с живыми хакерами, которые всё время придумывают инновации в том, что они делают, и, чтобы эффективно делать защиту, приходится все время следить за их новшествами. В этой индустрии не бывает скучно.

Еще ты вхож в небольшую группу людей, где не особо любят чужаков, но своим очень доверяют. И есть приятное ощущение такого сообщества, когда тебя признают специалистом в безопасности и понимают, что ты борешься на правильной стороне. Потому что в Security всегда есть две стороны: белая и чёрная — те, кто защищают, и те, кто пишут вирусы, ломают и зарабатывают деньги на атаках. Иногда бывают случаи, когда люди переходят черту: был белый — стал чёрный. И наоборот. Это такая очень интересная и сложная социальная структура, где твоя репутация очень важна, и долго нужно строить белую репутацию и показывать, что ты на правильной, белой стороне. То есть нужно не просто знать хорошо Security, но и показывать, что ты никогда не был замешан ни в каких подозрительных вещах — таких, как разрабатывать компоненты для вирусов или участвовать в коллективах, которые ломали веб-сайты или вымогали деньги.

А в плане недостатков... Я на самом деле даже не знаю, не могу вам назвать какие-то негативные стороны этой индустрии. Мне она нравится. Я очень рад работать в ней. Есть особенности: для этой профессии нужны серьезные познания в компьютерах, математике, особый склад ума, пристальное внимание к деталям и терпение. Еще нужно приготовиться к тому, что быстрых результатов не будет: иногда, чтобы защититься от какого-то вируса, можно потратить долгое время. То есть не всем это подойдёт по характеру. Но каких-то негативов в самой профессии я не вижу.

Инвестиции в стартапы

— Помимо работы, у вас много других занятий: благотворительная деятельность, стартапы, в которые вы инвестируете. Как выбираете, каким именно проектам давать инвестиции?

Пару слов про инвестиции и мою карьеру ангельского инвестора. Как-то мне позвонил товарищ (он израильтянин, опытный инвестор) и сказал: «Я буду вкладываться в израильский стартап, нужна небольшая сумма, и ребята очень классные, делают интересный продукт. Хочешь присоединиться?». И я согласился. С этого начался мой путь в инвестиции. На сегодняшний день я сам инвестировал уже более чем в 30 компаний: Petcube, Rallyware, Capitan, Ecoisme и пр. (полный список портфеля можно посмотреть тут — прим. ред.). Это либо украинские компании, либо те, которые работают в области кибербезопасности в Америке, Израиле и других странах. То есть в Украине я инвестирую практически в любую область, потому что мне близка идея помочь украинским предпринимателям. В остальных случаях я стараюсь инвестировать в то, что мне знакомо, понятно по моему опыту.

Как я выбираю, во что вкладывать? У меня есть несколько правил. Я обязательно стараюсь встречаться с людьми лично, чтобы оценивать не только идею, продукт, бизнес, но и самого человека. Я считаю, что я как бы интервьюирую его на работу. Причём на долгую работу: я понимаю, что для стартапа понадобится 5–10 лет, чтобы дойти до продажи или выхода на рынок. Поэтому я смотрю человеку в глаза и пытаюсь понять, насколько он честный, выдающийся, насколько хорошо разбирается в своей области и хочу ли я его взять на работу на 10 лет.

После этого я уже оцениваю идею стартапа по трем критериям. Первый — смотрю, насколько это совпадает с моим опытом, с теми сферами, в которых я эксперт. Так, моя вертикаль — это, например, машинный интеллект, кибербезопасность, социальные сети (после работы в Facebook). Мне это понятно и интересно. Так что, если мне предлагают инвестировать в какой-нибудь новый биткоин, hardware, дроны и т. д., я отказываюсь. Второй критерий — я смотрю на сумму, за какую мне предлагают вложиться в компанию, купить акции, то есть как этот фаундер оценивает свою компанию, не слишком ли она дорогая, насколько я считаю, что она может вырасти в цене. Третий — это то, что я называю velocity, скорость. Под этим я подразумеваю, насколько ребята, которые пришли и предлагают мне вложиться в их компанию, уже успешные и быстро движутся, есть ли у них что-то, чем они могут гордиться. Это могут быть продажи, клиенты, патенты. То есть что они уже смогли сделать и за какое время. Вот эти три вещи: скорость, вертикаль и цена.

— Какие обычно суммы инвестиций?

Ангельские инвестиции в Америке могут быть маленькие, даже 5000 долларов. А могут быть 50 000, 100 000 долларов или больше. Всё зависит от компании и её цены. Чаще всего инвестиции разделяют на ангельские и от фондов. Последние вкладывают уже от миллиона, могут предлагать и больше — 5, 10 миллионов долларов. Отдельные люди, ангельские инвесторы обычно дают компании 10 000 или 20 000 долларов.

— Вы часто инвестируете на ранних стадиях. Это всё-таки рискованно...

Да, очень рискованно. Я даже говорю знакомым, которые хотят начать инвестировать, попробовать взять из кошелька какую-нибудь банкноту, поджечь ее и посмотреть, как она горит, осознать и запомнить это ощущение. Потому что подобное чувство будет у вас часто. Это рискованно, но это может быть и очень прибыльно. А главное — это очень интересно: вы видите, как кто-то строит свой бизнес, чувствуете, что вы в этом участвуете, действительно помогаете человеку принимать решения. Вы начинаете ваш путь вместе и потом с этим антрепренёром растёте. Если всё удачно — вы вырастаете. Если нет — видите, как бизнес умирает, учитесь на ошибках этого предпринимателя. Так что деньги пропадают, но появляется опыт, который, наверное, не менее ценный, чем диплом MBA из бизнес-школы.

— Вы являетесь ментором для стартапов, в которые инвестируете. Чем именно помогаете? Какие проблемы у них возникают чаще всего?

Я помогаю стартапам обычно в технологиях, например, в их собственной кибербезопасности. Это также могут быть советы по развитию бизнеса, консультации их продавцов, помощь в знакомстве с потенциальными клиентами или инвесторами. По сути, все стартапы ищут одни и те же три вещи: деньги, клиентов, сотрудников. И еще можно добавить к этому списку другие компании, которые могут им помочь, то есть бизнес-партнёрство, бизнес-девелопмент. Вот в таких вещах я могу помочь как ментор. Это нужно практически всем стартапам, особенно украинским. Потому что, не находясь в Америке, они испытывают трудности с поиском клиентов здесь, компаний, с которыми они могут запартнериться. Находить инвестиции в Штатах тоже сложнее из-за того, что есть вероятность скептического отношения к компании из другой страны. Им нужно то, что я называю bridge — мост соединяющий Украину и Америку. Обычно таким мостом становится ментор или инвестор.

— Вообще следите за украинским IT-рынком?

Да, но только за двумя его частями. Первое — за интересными новыми стартапами, которые хотят попасть в американские акселераторы, и приезжают, подаются в Y Combinator. Эта часть меня интересует, я обычно хожу на Y Combinator Demo Day, где они выставляются, и держу связь с этим сообществом. А вторая часть — моя область, кибербезопасность. Я поддерживаю связь с украинскими специалистами по безопасности, компаниями, которые занимаются пентестингом. Иногда участвую в хакерских конференциях в Украине.

— В одном интервью вы говорили: «Я даже из аутсорсинга вижу, что пока украинцам тяжело конкурировать с теми же индийцами. Когда я в своей компании говорю: „Давайте откроем офис в Украине, наймем украинцев — они классные“, то встречаю определенное сопротивление. Индия еще дешевле и привычнее американским работодателям». Что-то меняется в этом плане или ситуация остается прежней?

В Индию уходят гораздо большие деньги в плане того же аутсорсинга, аутстафинга, чем в Украину. И я не вижу перемен в этом плане. Индийцы очень плотно заняли нишу, имея хороший язык и выгоднее условия. У них в стране более миллиарда людей и есть очень много программистов. Поэтому моё мнение: нам не стоит конкурировать именно на этом рынке и рассчитывать, что мы будем выгодными для аутсорсинга и аутстафинга. Нам нужно создавать свои компании, бизнесы, продукты. Делать наш IT-рынок продуктовым, а не основанным на продаже людей и их времени.

День вышиванки в Google

О саморазвитии и отношении к неудачам

— Приведу еще цитату из вашего интервью, но на другую тему: «В целом, дело всей моей жизни — самосовершенствование и борьба со своими слабостями, страхами, ленью». Как именно это делаете?

Безусловно, мой самый большой противник — это я сам. Перебороть себя очень сложно. Это начинается, к примеру, с диеты и заканчивается тем, что нужно каждый день заставлять себя делать не то, что хочется, а то, что необходимо. Выбирать работу, которая приносит наибольший результат, а не ту, которую хочется делать. Не ту, которая интересная, а ту, которая более срочная. Успевать по всем дедлайнам можно только, если очень чётко приоритизировать свои задачи и заставлять себя делать то, что необходимо сделать прямо сейчас. И даже не всё из этого удастся сделать. А значит, нужно отсекать то, что не главное, заставлять себя больше работать, меньше спать. И для меня это сложно, я продолжаю с собой бороться каждый день. Надо упражнять силу воли и мотивироваться от общения с другими людьми, у которых это хорошо получается.

— Наверное, и в профессиональной сфере у вас же были и бывают какие-то трудности, неудачи. Как к ним относитесь, как с ними справляетесь?

Да, безусловно. Неудачи нас развивают, заставляют открыть для себя что-то новое. Когда я просто двигаюсь, когда у меня всё получается, я расслабляюсь. И тогда наступает период, когда я не расту как профессионал, не расту в своей должности. Так что, если долгое время я не допускаю серьезной ошибки, не жалею ни о чём — это плохо.

Когда же случается какая-то проблема, сначала наступает период шока, отрицания, но со временем ты понимаешь, что действительно совершил ошибку, ты готов это признать и двигаться дальше. Вот этот момент роста, он очень важен и необходим. Каждый раз, когда моя карьера делала какое-то движение вверх, я обычно мог проследить, что за полгода—год до этого случился факап.

Скажем, теряя одну работу, ты приобретаешь пространство и свободу, которую ты можешь заполнить новой задачей. Иногда именно это дает толчок двигаться в новом направлении. Сидя на одной и той же работе, даже если тебя там продвигают и повышают зарплату, занимаясь одной и той же проблемой, ты не растешь так быстро, как если тебя ставят в ситуацию, в которой ты вынужден расти. И вот когда жизнь дает нам этот подарок из неудач, ошибок, которые мы совершаем, очень важно дать себе время их осмыслить и найти силы их признать, не пытаться бороться с миром, а принять у него этот урок и поменять себя в чем-то.

— Можете привести пример профессиональной неудачи, которая потом стала вот таким толчком, трамплином?

Конечно. Например, когда в Канаде я учился в университете и пошёл на стажировку программистом в компанию, которая называется Art in Motion. Там я проработал 8 месяцев, выполнил свои задачи и вернулся в университет. Меня попросили сделать отчет об этой стажировке. Я написал подробную статью, как проходила моя практика, какие задачи я решал... Всё очень детально — так, что мой отчет даже вывесили на страничке университета для других студентов, чтобы они брали пример. А потом оказалось, что я допустил огромную ошибку и нарушил правила конфиденциальности компании, рассказал подробности, которые нельзя было разглашать. В Art In Motion очень сильно обеспокоились, написали мне, написали в университет, чтобы мой отчет немедленно сняли с сайта. Для меня это имело очень негативные последствия, было шоком, особенно учитывая, что это был первый рабочий опыт. Но, я надеюсь, это дало мне какие-то навыки, которых у меня не было раньше, в том числе self-awareness — способность хорошо понимать себя, то, что ты делаешь, как это воспринимается другими, оценивать риски, какие ошибки ты допускаешь и можешь допускать.

— Если продолжить тему карьерного развития. Вы с прошлого года Director Security Intelligence в Google. Интересно, почему захотели работать именно в компании, а не снова запустить какой-то личный проект, учитывая успех Cyphort?

Если вы строите свою компанию, это очень интересно, но это серьёзные инвестиции усилий, времени и очень высокий риск. А в Google можно устроиться и уже завтра включить какой-то новый продукт так, чтобы миллиарды людей, которым им пользуются, почувствовали, что их жизнь стала немножко лучше, их компьютеры стали чуть-чуть безопаснее. Мне лично это показалось более интересным и коротким путём для того, чтобы менять мир в целом. Еще одно, что привлекло меня именно в команду Trust and Safety в Google, — это её лидер Кристи Канегалло. Мне очень понравилось интервью с ней и уровень ее работы, образ мышления. Она — классный бизнес-специалист. Поэтому я подумал, что смогу у нее научиться чему-то такому, чему в своей компании я, наверное, тоже мог бы научиться, но у меня бы это заняло больше времени. То есть мне показалось, что Google мне поможет быстрее достичь каких-то новых вершин в саморазвитии.

— Не так давно у вас был пост в Facebook с вопросом к вашим подписчикам: «Если бы у тебя был миллиард долларов, что бы ты сделал?». Какие для себя сделали выводы из ответов людей? И что бы сами сделали, будь у вас миллиард?

Интересный вопрос. Я смотрел, как отвечают люди и видел, что большинство ответов было о том, как эти деньги сохранить, во что их надо инвестировать, чтобы они выросли ещё больше. Я подумал: «Окей, у тебя уже миллиард долларов, это вроде бы огромная сумма. Почему первое, о чем люди думают, это, как сделать ещё больше? Неужели, миллиард — это мало? Почему нужно иметь еще больше, чем у тебя есть, неважно сколько — даже миллиард?». Люди не думают, что «мне этого хватило бы, я бы начал их тратить». Это, наверное, первое, что меня удивило — то, как отвечали. Второе — в комментариях была близкая мне позиция: «я бы изменил мир к лучшему», «раздал деньги другим людям», «сделал какие-то благотворительные инициативы», «запустил бы проекты за зеленую планету / изменения в климате», «сделал бы наши мир чище / жизнь детей лучше». Таких ответов было много. Было много ответов шутливых...

Что я бы сделал, если бы у меня был миллиард долларов... Наверно, я бы делал то же самое, что и сейчас. Для меня бы это ничего не изменило. И для меня важно, чтобы я мог так отвечать, чтобы я так думал. Я сейчас живу, выбираю, что делать, действую так, как если бы у меня был миллиард долларов. А если нет, если ждать, пока у меня появится эта сумма, чтобы что-то сделать... Мне кажется, это будет ошибкой. Большинство всего, что мы хотим сделать, мы можем начинать делать уже сейчас. Например, среди ответов было «путешествовать» или «купить что-то». Там не было таких ответов, для чего реально нужен миллиард долларов. Может быть, нужны деньги, чтобы решить какие-то ситуативные вопросы для себя и своей семьи — это понятно. А начинать влиять на мир можно по-разному: делать это через свой бизнес, через благотворительное пожертвование. Если осмотреться, всегда есть группы, люди, которым надо помогать. В общем, не нужно ждать чего-то, чтобы начинать жить, как ты хочешь.

Похожие статьи:
Якщо ви тільки починаєте працювати з інструментами для Infrastructure as Code або думаєте, як інтегрувати його у ваш CI/CD-пайплайн — це стаття...
В жизни каждого менеджера проекта наступает момент, когда заказчик спрашивает, на что же было потрачено время и почему проект...
Володимир Стиран займається кібербезпекою з 2005 року, є одним із засновників компанії Berezha Security. Спеціалізується на Penetration...
Мене звати Ірина Ісай, я технічна письменниця, або техрайтерка, кіберспортивного медіахолдингу WePlay Esports. Хочу поділитися...
Web Academy приглашает на 7ми недельный курс с результатом — финальным проектом. Курс «Android с нуля» Старт: 01.02.2016 — Вт и Чт...
Яндекс.Метрика