Security Lab

Кто такой «настоящий безопасник»?

Кто такой «настоящий безопасник»?

В форуме на секлабе регулярно поднимается галдеж на тему «Что такое настоящий безопасник?». Парадокс в том, что каждый и прав и не прав, т.к. в мире не существует универсального понятия «настоящий безопасник» и вообще понятие «информационная безопасность» имеет очень много граней, а значит очень трудно найти человека, который бы одинаково хорошо разбирался бы во всех вопросах защиты.

В форуме на секлабе регулярно поднимается галдеж на тему «Что такое настоящий безопасник?». С пеной у рта начинается спор, что


  • «для настоящего безопасника вещи вроде bof, fmt bugs, shellcode development и пр. банальны»

  • «только сертификат аудитора BS7799 показывает настоящего безопасника»

  • «бумажные безопасники пороху не нюхали» и т.д.

Парадокс в том, что каждый и прав и не прав, т.к. в мире не существует универсального понятия «настоящий безопасник» и вообще понятие «информационная безопасность» имеет очень много граней, а значит очень трудно найти человека, который бы одинаково хорошо разбирался бы во всех вопросах защиты. Возьмите, к примеру, Евгения Касперского (да простит он меня за использование его имени). Мало кто не признает, что Евгений является специалистом по безопасности, но… Сфера его интересов вполне четко очерчена – это вирусы, черви, вредоносные программы и т.п. Вряд ли можно ожидать, что Евгений Касперский сможет провести аудит на соответствие стандарту ISO 27001.

Другой пример – администратор Вася Пупкин, досконально знающий Linux, ненавидящий графический интерфейс и все, что связано с именем Билла Гейтса. Он знает, как защитить свой Linux'овый сервак, но совершенно не в курсе, как решить аналогичную задачу для Windows 2003 Server. Но это не значит, что он не специалист по безопасности (собственно как и человек, знающий только как защитить Windows). Еще сравнение. Многие из читателей секлаба знают, что такое shellcode development, могут создать свой exploit или как минимум скомпилировать готовый, знают как использовать nmap и т.п. Но многие ли из них писали инструкции для пользователей, проводили их инструктаж и т.п.? А ведь это тоже безопасность и она не менее важна, чем знание C, ассемблера или Perl.

Наконец нельзя забывать про еще одно «сословие» специалистов по защите – CISO, т.е. руководителей отделов информационной безопасности. Большинство из них давно «ушло» от банальной настройки межсетевых экранов или маршрутизаторов. Сейчас их головы заняты гораздо более важной задачей – объяснением для руководства всей важности задачи обеспечения защиты и выделения на нее денег. Причем делать это надо на языке руководства, не прибегая к технической терминологии. И эта работа тоже важна, т.к. без нее отделу информационной безопасности будет не на что существовать и даже самые «крутые» админы будут никому не нужны.

Нельзя сбрасывать со счетов и еще один аспект. Зачастую специалисты по защите работают по разные стороны «баррикад» - у интегратора и в компании-потребителе. А значит задачи у них будут совсем разные. У первого – понять проблемы заказчика и предложить правильное решение по защите. А у второго – на практике использовать внедренную систему.

Поэтому стоит лишний раз вспомнить стихотворение Михалкова «Все профессии хороши, выбирай на вкус». Не бывает неправильных специальностей по защите – каждая из них нужна и важна. А посему спор о том, кто лучший безопасник, не имеет никаких перспектив, т.к. каждый всегда останется при своем мнении.

ЗЫ. Кстати, меня тоже регулярно обвиняют в том, что я не «безопасник», т.к. не могу настроить Linux, а только «строчу статейки». И это действительно так – уже прошло то, время, когда я мог настроить серверную операционку для работы в защищенном режиме. Ну и что? За последние 13 лет, что я занимаюсь безопасностью, я успел побывать и программистом (писал на ассемблере систему шифрования в одном из российских «ящиков»), и администратором, и аналитиком-аудитором. Причем работал и в компаниях, использующих средства защиты, и в компаниях, их разрабатывающих. И на каждом этапе моя работа была нужна и важна. Наверное, поэтому я и написал эту заметку.


Алексей Лукацкий

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину