Честно сказать, этот вопрос интересует даже меня. Очень непросто ответить. Я использую это название [профессии], чтобы где-то представляться креативным директором, а где-то — техническим. Выражаясь метафорически, я тот человек, который складывает 2+2 и каждый раз пытается получить 5. С одной стороны, я уже десять лет в Group-IB, успел поработать со всеми департаментами и прекрасно их знаю. С другой — я десять лет работаю с киберпреступностью. Я понимаю, как работают разные департаменты и как мы можем собрать кирпичики нашего продукта в единое целое, чтобы эффективно реагировать на определенные ситуации в новых регионах. В основном я сейчас занимаюсь тестированием гипотез: проверяю пилотные продукты и услуги, которые позволяют помочь большему количеству людей в новом регионе, например, в Сингапуре или Дубае. И, конечно, [помочь] заработать больше денег.

Это был долгий, но прямой путь. Один раз женился — и всю жизнь верен Group-IB. Я начинал с младшего вирусного аналитика.

Сначала я анализировал "плохие программы", которые воровали деньги. Затем — компьютеры, с которых были украдены средства. Потом я стал реагировать на инциденты и анализировать большие компьютерные системы, где хакеры воровали деньги. Впоследствии я стал всем этим управлять: менеджерить, коучить, нанимать людей, организовывать процессы и передавать свою экспертизу в Сингапуре.

Любую информацию, находящуюся в компьютере, можно украсть. Воровали всё: информацию инсайдеров, данные клиентов, даже домашние фотографии, которые мы, конечно же, не смотрели. Да и не только воровали: блокировали, взламывали, уничтожали. Меня часто спрашивают: "Как вы можете помочь в рамках реагирования?" Если у вас что-то случилось, позовите нас — мы разберемся. Часто приходилось приезжать и разбираться.

Я получил профильное образование в Национальном исследовательском ядерном университете «МИФИ», окончил направление «Информационная безопасность».

Поверь мне, иностранцы просто в восторге. Когда мы проводим совместные лекции и воркшопы с разными университетами и человек говорит: «Я окончил Московский ядерный университет», — все сразу отвечают: «Ничего себе в России специалисты!»

Я стал специалистом по реагированию на инциденты и threat hunter'ом. Когда есть инцидент — мы его расследуем, когда инцидента нет — мы его ищем. Самая простая аналогия: люди не любят ходить к врачу и ждут, пока всё само пройдет. Представьте, что организация, у которой нет отдела информационной безопасности — это человек, который идет к врачу с уже почерневшей рукой. А организация, у которой есть отдел ИБ, подбирающий разные антивирусы, — это тот, кто сразу идет к врачу. Threat hunter — специалист принудительной ранней диагностики, тот врач, который приходит к тебе, каждый день берет анализы и по косвенным признакам может заподозрить проблему: эритроциты повысились — значит, с организмом что-то не так. Этим же занимаемся и мы в компьютерных системах: ищем следы, которые говорят не об инциденте, а о присутствии хакера.

Да, можно. Но криминалист не всегда работает с прошлым: очень часто приходится действовать на опережение против хакеров в одной сети, то есть это происходит в режиме онлайн.

Обнаружить инцидент в самые ранние сроки.

Как только threat hunter обнаруживает инцидент, он передает его команде реагирования. Она и занимается дальнейшим расследованием. Нельзя всё покрыть одной профессией: универсального хирурга не бывает.

Работать и стажироваться. У threat hunter'а есть некие априорные знания, которые могут помочь: знание информационных и операционных систем, понимание работы вирусов и антивирусов, систем кибербезопасности. Но threat hunter'ом нельзя стать, пока у тебя нет больших датасетов для проверки своих гипотез. Нужна практика, поэтому советую идти на стажировки в разные компании, например, в нашу.

База очень важна. Threat hunter должен использовать научный подход и понимать, как формировать, подтверждать и опровергать гипотезы. Если ты не доказывал теоремы — тебе будет трудно перестроиться. Threat hunter — это не просто человек, который ищет вирус в сети — здесь нужно учитывать все данные, которые поступают, выдвигать предположения, проверять их. Это на самом деле научная деятельность.

Чувство юмора на любой работе в ИБ нужно. Если ты гонишься за модной профессией, то тебе явно дорога не в ИБ — лучше выучить Python на каких-нибудь курсах. Чтобы работать в ИБ, тебе должно нравиться что-то искать, работать с неструктурированными объемами информации. Если любишь решать загадки, проходить квесты, легко справляешься с хаосом, то ты подходишь. Я, например, занимался спортивным ориентированием: там нужно было находить ключевые пункты в лесу.

Трудно найти людей с коммуникативными навыками среди threat hunter'ов, потому что мы все-таки работаем с машинами. Ты можешь быть абсолютным социопатом, которому нравится работать только с системами. Иногда это даже плюс.

Профессия специалиста реагирования на инциденты точно научила меня этому. Долгое время я был абсолютным интровертом. Когда тебя с чемоданчиком криминалиста кидают к пяти страшным дядечкам, у которых произошло нечто ужасное, то они ловят каждое твое слово. Это своего рода челлендж: либо ты завоюешь авторитет и они будут выполнять твои указания, либо ты не сможешь им помочь. Каждый день я преодолевал себя — сейчас уже не чувствую никаких сложностей в общении.

Партия сказала: "Надо!" Комсомол ответил: "Есть!"

Однажды мы приехали в компанию в один небольшой город. У них украла деньги группа Silence. Мы смотрим в нашу систему Threat Intelligence и говорим: «Мы видели рассылку — скорее всего, ваши сотрудники в определенное время открыли письмо и заразились». Поднимаем взгляд на главного специалиста ИБ, а он говорит: «Это невозможно». Мы очень удивились. Тогда он произнес фразу, которая стала мемом: «Все наши пользователи дают расписку о том, что не будут открывать вредоносные письма».

Есть похожая история. Это уже был банк в Москве, побогаче и посолиднее в плане информационной безопасности. Тогда все банки грабили примерно одинаково, и мы уже подозревали группировку Cobalt...

Тогда в России и по всему миру был настоящий Дикий Запад. Преступники присылали вредоносное письмо, бухгалтер его открывал, запускал вложение — и хакеры оказывались внутри [сети].

Очень просто. В то время технологии были заточены на статическое детектирование, когда ты открываешь приложение и смотришь, есть ли там сигналы о том, что оно плохое. Тогда никто не задумывался над тем, чтобы исполнить его в виртуальной среде или на физической машине. Боролись не с теми, кто атакует банки: вендоры просто перенесли решения для обычных пользователей в корпоративные сети. То, что работало у массовых пользователей (когда миллионам людей рассылается один вирус), стало плохо работать, когда уникальный вирус начали присылать конкретному человеку.

Там был очень суровый безопасник, который был очень опечален, что украли много денег. До этого он явно не сталкивался с такими бандитами, которые могут ограбить его банк. Он занимался в основном регуляторикой. Мы сообщаем ему ту информацию, которую получили от киберразведки, специалисты уже распаковывают чемоданы. Он смотрит на нас, как гадюка на жабу: «Зачем вы сюда пришли? У меня все под контролем. Я знаю, что такое вредоносные письма, я их все обработал».

В этом вся суть истории. Тогда я отвечал за киберразведку на инциденте. Смотрим: июньская рассылка — открыл и заразился, майская рассылка — открыл и заразился, январская — то же самое. Оказывается, в его понимании обработка фишинговых писем заключалась в том, чтобы открывать документ, видеть, что ничего не происходит, и спокойно закрывать его. Мы посчитали: он собрал все рассылки хакерской группы, которая называется Cobalt. Можно было из него сделать настоящий Honeypot и мониторить рассылки в реальном времени.

Во-первых, как он защищает свою почту? Во-вторых, как давно он проводил Compromise Assessment. В-третьих, какие хакерские группы его атакуют, то есть каков ландшафт киберугроз.

Здесь как обычно: соревнование брони и снаряда. Хакеры долго совершенствовали рассылки, они даже начали подключать маркетинговые инструменты — системы отслеживания рассылок. Специалисты по ИБ ответили своей технологией.

Технологии базируются на искусственном интеллекте и запуске вредоносных файлов. Если смотреть вектор рассылок, то здесь идет постоянная инженерная борьба. Хакеры придумывают всё новые способы упаковать вредоносный файл: «Я пришлю тебе архив, он будет запаролен, пароль будет нарисован на листочке, ты должен пройти капчу, чтобы получить его». Соответственно, люди подключают алгоритмы компьютерного зрения, анализ прошлых и будущих писем, используют их связи. При желании защититься от таких рассылок можно, но за деньги. Сейчас в мире происходит большой сдвиг в сторону взлома публично доступных сервисов (например, сайта с ипотекой, который не защищен файерволом). Хакеры могут ломать внешние сервисы: есть куча сканеров и людей, которые это умеют. С каждым годом информационные технологии становятся сложнее. Чем больше сервисов установлено, тем легче потеряться и забыть их обновить. Самые первые получатели всех Patch Notes, исправлений, это хакеры, на самом деле.

Не сильно увлекаться советами интеграторов, которые пытаются упаковать тебя большим количеством железок и подписок. Когда мы реагировали во Вьетнаме, digital-директор той компании сказал: «Дурак с тузом всё еще дурак». Я понимаю, почему некоторые увлекаются железками и тратят на них деньги: таким образом они повышают свою капитализацию. Итак, первый вредный совет: нанимать дешевых людей, оперировать дорогими устройствами.

Второй совет: думать, что можете разобраться сами: "Как только что-то произошло, давайте потушим серваки, глазки закроем, и оно уйдет". Интересно, что в Сингапуре так делать нельзя: если тебя поломали — значит, данные твоих клиентов куда-то утекли. Тогда ты обязан под угрозой больших штрафов написать подробный отчет местному регулятору о том, что ты сделал, чтобы тебя не поломали, и что ты сделал после взлома. Здесь уже под ковер всё не заметешь — нужны такие люди, как мы.

Скупой платит дважды, а кто-то платит всегда. Подумаем с точки зрения хакеров: "Вот я их поломал, получил кучу денег. Давайте я найду старый сервачок, про который все забыли, и положу туда маленькую бомбочку. Через месяц я снова смогу их взломать". На практике мы очень часто находили бэкдоры. У меня даже есть "вьетнамский синдром": когда реагируешь, вроде бы всё уже посмотрел, а бэкдор-то не нашел. И думаешь, его действительно нет или ты просто не смог найти?

Если честно, я против этого подхода. Так люди совершают сразу две ошибки. Во-первых, платят за один инцидент сумму, которую можно сопоставить с бюджетом хорошего отдела ИБ на несколько лет. Во-вторых, они платят огромные деньги (N+ миллионов долларов), но даже не могут усвоить этот урок. Необходимо понять, что следует улучшить свои системы, закрыть дырки, наладить мониторинг, найти людей, консалтеров. Всё лежит на поверхности: можно взять отчет о прямых финансовых потерях и идти к топ-менеджерам.

Нанимать в ИБ людей из физической безопасности.

Окей, я пошутил. На самом деле мы часто сталкиваемся с тем, что люди, защищающие физические объекты, уделяют мало внимания штукам в компьютере. Кстати, обратная проблема тоже существует. Иногда в банке можно было легко получить доступ к компьютерам: все листочки с паролями были на виду — бери и уноси. Можно тратить миллионы на ИБ и крутые файерволы, а люди придут и унесут компы.

Я фанат сериала "Доктор Хаус", эта история в моем сердечке под названием "Люди врут". Я реагировал в Индонезии. Там был достаточно простой кейс: человек подшифровал где-то тридцать серваков. Мне нужно было понять, как расшифровать сервера и как он туда попал. С первым получилось: благодаря опыту вирусного аналитика я увидел, что ключ сохраняется в оперативной памяти. Со вторым было очень интересно: я проверил цепочку ходов хакера и нашел странное подсоединение из Сингапура. Когда занимаешься расследованиями, очень сложно отличить легитимную активность администратора от хакера. Мы позвонили человеку из Сингапура и спросили: "Привет, бро, это ты заходил в такое-то время на такой сервер?" Он говорит: "Да, я выполнял работы". Мы начали искать дальше, а дальше ничего нет. Начинаю смотреть журналы VPN, журналы прокси, веб-файреволов, смотрю, кто как заходил необычно в Instagram. Провел большой комплекс threat hunting-мероприятий, но ничего не нашел. Думаю как Шерлок Холмс: если отбросить все версии — то, что останется, и есть правда. А что, если тот человек мне соврал? Я попросил директора отправить данному сотруднику утилиту, которая собрала все логи с его компьютера. Когда я открыл полученные файлы, во всех ивентах было только одно событие. Журнал событий был очищен за 30 минут до снятия. Я уже думаю: всё, поймали жулика. Направляю ребят в сингапурский офис. Приезжает криминалист с чемоданчиком, смотрит его машину — вроде ничего нет. Другие ребята начинают колоть этого парня и менеджмент. Через четыре часа мы выяснили страшную правду. Во время моего первого звонка парень испугался (знал, что в Индонезии происходит что-то плохое) и вместе с менеджментом принял решение удалить всё, что может связывать их с этим инцидентом. Парень, главный айтишник, загуглил, как удалить лог-файлы, VPN-тоннель… По незнанию он удалил все доказательства, которые пришлось потом вилкой собирать.

Я не ездил на задержания преступников, этот вопрос не ко мне. Но было все-таки одно задержание. Я был в составе опергруппы, когда мы реагировали во Вьетнаме. Работали до ночи и уже возвращались домой. Два человека начали нас "обнимать", украли мой телефон, сели на мопеды и уехали.

Ты не можешь сказать девушке, что ты никуда с ней не пойдешь. Точнее, можешь, но она тебе не верит.

Так вот, они уехали. Уже думаю, что надо покупать новый телефон. Мой напарник Алексей Каштанов, который раньше работал полицейским в Подольске, хотел найти преступников. Я объясняю ему, что здесь никто не говорит по-английски, полиция нам не поможет. Пока я открывал свой десятикилограммовый ноутбук, чтобы заблокировать телефон, я увидел, как точка движется по ночному Ханою. Подъезжает золотая вьетнамская молодежь, спрашивают, что случилось. Алексей придумал план. Я поехал на огромном джипе, он на мопеде. В итоге мы приехали, преступники сидели на маленьких вьетнамских табуретках, ели и смотрели в мой телефон. Алексей выкатывается, раздает лещей направо-налево. Одного он держал, пока не приехали полицейские. Потом мы всю ночь просидели в отделе вьетнамской полиции. Пришлось всем в банке рассказать историю о том, как двое русских ночью ловили преступников.

Аниме проходит красной нитью через всю мою жизнь. Я до сих пор считаю, что нам нужно всех новых сотрудников заставлять смотреть аниме "Призрак в доспехах": оно идеально описывает то, чем мы занимаемся. Когда я ездил к клиенту в Гонконг, я действительно попал в аниме: многоэтажки, небольшие улочки, заполненные неоновым светом. Там я общался с людьми, и они говорили: «Ты классный специалист, тебе надо ехать в Сингапур. Там ты найдешь всё то, что мило твоей душе». У меня появилась мечта жить в Сингапуре. Это было еще задолго до того, как мы решили перенести туда штаб-квартиру. Даже есть стикер с моим лицом и фразой «как же хочется в Сингапур». Но в Сингапуре я аниме не нашел — там его никто не смотрит.

После трех лет жизни одинокого threat hunter'а в Сингапуре, оказалось, что это довольно скучный город. Там хорошо, если ты ребенок или старик. Некоторые приезжают в Сингапур с женами. На самом деле этот город слишком красив. Там можно несколько месяцев носить белые кроссовки.

Я считаю, что российские банки защищены очень даже неплохо. В целом, IT-системы влекут за собой ИБ-системы, а IT-системы российских банков во многом превосходят те, что я повидал. Самый удобный банкинг — в России. Эпидемия ограблений банков, случившаяся в 2014-2017 годах, научила российский банковский сектор правильно защищаться.

Раньше я смотрел фильмы про хакеров и думал: "Какой же бред, такого не бывает". А сейчас смотрю эти фильмы и понимаю, что фантазия сценаристов не может идти дальше реальности. Абсолютно всё взламывается. Я боюсь, что реальность сильно обгонит все визионерские представления о том, что будет с кибербезопасностью.

Очень сложный вопрос. Надеюсь, каждый год-два мы будем открывать новый офис и там будут требоваться люди, готовые работать в нестандартных условиях. Я готов путешествовать и открывать офисы.

У меня был тренер по мотивации. Он сказал, что моя мотивация — достижения. Мне нравится выполнять проекты, добиваться результатов. Почему тебя терплю? Это долгая история. Мы знакомы уже десять лет. Первые года три я думал: «Какую он фигню говорит». Проходит время — и все твои слова оказываются правдой.

Конечно, есть, всем советую. Но видео для него я не снимаю.

Must-have — чтобы человека вставляло. Важно получать кайф. Я на собеседованиях спрашиваю не столько про технические навыки, а про то, что вообще происходит в ИБ. Если человек прочел одиннадать книг из нашей статьи на Хабре и пришел на собеседование — для меня этого недостаточно. Он должен хотеть быть частью этого мира. Человек, который приходит на собеседование, должен как минимум рассказать про ИБ то, чего я не знаю. Если он новичок — у него должны гореть глаза. Это реальный показатель.

Очень жарко, жить невозможно. Скоро выйдет фильм "Дюна" — это единственный фильм, который я посмотрю в кинотеатре за последние лет пять. Он выражает мои эмоции и чувства. Я должен продумывать свой маршрут от такси до такси, от клиента до клиента, чтобы не слишком долго быть на улице. Арабы хотят, чтобы ты ходил в костюме — приходится поливаться дезодорантом.

Спи как минимум семь часов в день.

Это одно и то же. Работа, все мои друзья — всё здесь. Я всегда на связи. В выходные работаем, в будни отдыхаем.

Давай я отвечу на вопрос про аниме: в Дубае аниме — халяль?

Халяль — это пища, которую ты можешь употреблять. В Сингапуре я купил классные стикеры с аниме-девочками и налепил их себе на ноутбук. Специально следил, чтобы они были не голыми. Затем я приезжаю в Дубай на конференцию показывать наши продукты, и меня просят заклеить стикеры. Пришлось моих любимых девочек заклеить визитками. С очень большой скорбью на душе это делал.

Не очень можно.

Обычно люди подходят с вопросом: "Ты же понимаешь, что хакер — это не плохо? Не всех хакеров надо ловить". Тут всё просто: мы в основном работаем с теми хакерами, которые используют свои силы во зло. Чтобы каждый раз не разделять хакеров на хороших и плохих, мы используем термин "хакер" с отсылкой к слову "хак" (ломать). Мы же работаем с пострадавшими. Все знают, что хакеры — это любознательные люди, которые любят всё разбирать. Ничего не имею против них.

Один раз жулик — всегда жулик. В нашей работе много возможностей использовать все данные клиентов для финансового обогащения. Я не готов принять парня, который занимался мошенничеством.

Да.

Да, вот.

Зависит от самого письма. Обычно открыть письмо в браузере можно, но лучше этого не делать. В основном открыть письмо значит скачать вложение, запустить его или перейти по ссылке и ввести свои данные.

Будьте здоровы. Всегда будьте любознательны, исследуйте, пытайтесь узнать больше о любой вещи, которая вам встречается. Тренируйте свою любознательность.

So cute.