СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыОбучениеВакансии
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Реклама Политика ПДн
Блоги
Softline
30 января
#Dev#ИБ

Как специалисты по кибербезопасности накручивают опыт

Каждый третий работодатель в РФ сталкивается с накруткой опыта у ИБ-специалистов, к такому выводу пришли аналитики. Так называемых «волчков» привлек этот сегмент отрасли из-за завышенной заработной платы, в отличие от других отраслей. О том, как именно соискатели накручивают опыт работы и на что необходимо обратить внимание при найме специалистов по кибербезопасности, CISO и ИБ-вендоры рассказали SecPost.

Каждый третий работодатель в РФ сталкивается с накруткой опыта у ИБ-специалистов, к такому выводу пришли аналитики. Так называемых «волчков» привлек этот сегмент отрасли из-за завышенной заработной платы, в отличие от других отраслей. О том, как именно соискатели накручивают опыт работы и на что необходимо обратить внимание при найме специалистов по кибербезопасности, CISO и ИБ-вендоры рассказали в материале SecPost.

В сфере кибербезопасности молодые специалисты стали все чаще накручивать опыт, пытаясь занять более высокооплачиваемые места. Эта проблема становится массовой для всей IT-сферы. По данным специалистов «Киберпротекта», Хабр Карьеры и HR-Клуба АПКИТ, которые проводили совместное исследование, каждый третий работодатель (35%) сталкивается с завышением опыта среди кандидатов несколько раз в неделю, а еще 31% — ежемесячно. А по подсчетам экспертов HR-платформы Crosschq, мировые убытки от фальшивых CV составляют около 600 млрд долларов в год.

CISO российских компаний жалуются, что начали сталкиваться с кандидатами из так называемого движения «волчар», или «волчков», которые внешне могут идеально подходить под вакансию, но в действительности для работы не имеют необходимого опыта. SecPost поговорил с CISO о том, как они учатся распознавать «накрученных кандидатов» и к каким последствиям может привести найм «волчка».

Стая рвется к власти

Высокие зарплаты в сфере кибербезопасности привлекли на рынок десятки специалистов-новичков, не обладающих даже частью тех навыков, о которых они заявляют в своем резюме.

Накрутка опыта встречается часто в любых сферах бизнеса, но именно в IT она достигла своего высшего пика и привела к формированию целых сообществ со своими наставниками-гуру. Одним из таких «оракулов» стал блогер Антон Назаров. Он владелец Telegram-канала с 70 тыс. подписчиков, посвященного накрутке опыта в IT. Там он дает советы, как лучше презентовать себя, публикует ссылки на личные стримы и критикует HR-специалистов, которым не удается распознать на собеседованиях «волчков». В канале находится целая база ссылок на Boosty, где размещены видео с прохождениями собеседований в крупных корпораций. В них представители сообщества пытаются обмануть HR и прорваться на как можно более высокооплачиваемую должность в крупных российских корпорациях – VK, Сбер, Альфа-банк и т.д. Также Назаров зарабатывает на продаже своих выездных мастер-классов, называя их «сходками волчков». На них он обещает участникам не только скучные семинары, но и баню, танцы и водку. Стоимость разная – от 55 до 300 тыс. рублей в зависимости от места проведения.

У Назарова есть немало последователей, которые пытаются воплотить на практике его советы. Например, в TikTok и Youtube появился новый тренд – там молодые люди выкладывают ролики, представляющие собой запись скрытой камерой прохождений собеседований в крупных корпорациях.

Опрошенные SecPost CISO заявляют, что неоднократно встречались с приходившими к ним на собеседования «волчарами». Последних, правда, по сравнению с другими сегментами IT в кибербезе не очень много: сообщество узкое, многие опытные специалисты знают друг друга. До уровня «сеньора» здесь невозможно дорасти, не оставив цифровых следов. Тем не менее из-за того, что в информационной безопасности большинство проектов, особенно с серьезными клиентами, находятся под NDA, и у специалистов в портфолио часто обезличенные кейсы, риски создания убедительных фейковых примеров работ есть.

С «волчарой» недавно столкнулись в компании «СёрчИнформ». Начальник отдела безопасности компании Алексей Дрозд рассказал, что искал кандидата на позицию технического писателя по кибербезопасности. Пришло резюме от кандидата, который казался подходящим. Соискателю удалось успешно пройти собеседование, он довольно бодро рассказал про свой опыт в IT. Однако, когда он отнес трудовую книжку в отдел кадров для оформления, выяснилось, что никакого опыта в IT у него не было, раньше он был простым официантом. В итоге кандидату отказали.

Заместитель директора технического дивизиона компании «Кросс технолоджис» Антон Исупов вспоминает, как собеседовал кандидата-волчару на позицию пентестера. Соискатель в портфолио презентовал проект по внешнему и внутреннему анализу защищенности для крупной компании и утверждал, что нашел критические уязвимости, через которые смог захватить учетку администратора. «Но на интервью он не смог четко описать, какие уязвимости выявил, какой стратегией руководствовался, а ключевым провалом стало то, что кандидат начал путаться, рассказывая о том, как получил доступ — сначала утверждал, что через фишинг, а потом через тайминг-атаку на систему авторизации», — рассказывает Исупов.

Директор по информационной безопасности «Группы Астра» Дмитрий Сатанин также говорит, что знает о случаях успешного трудоустройства «волчков» на позициях Python- и DevOps-разработчиков в вендорах информационной безопасности. «Волчки» также пытались проникнуть и в «Астру», говорит Сатанин, но подробности он не стал раскрывать.

Раздутые соискатели

CISO корпораций и HR-специалисты компаний из сферы кибербезопасности, сталкивавшиеся с кандидатами, раздувавшими свой опыт, говорят, что те используют похожие приемы. Например, прибегают к помощи искусственного интеллекта для выполнения тестовых заданий, выдают свои учебные пентест-проекты за реальные, указывают иные должности, чем они занимали, увеличивают сроки работы на проектах.

«К примеру, мы встречали девятнадцатилетних ребят с опытом работы в кибербезопасности якобы 5-6 лет», — рассказывает SecPost руководитель департамента персонала компании F6 Людмила Гвоздева.

Она добавляет, что также кандидаты любят приписывать себе «уверенные» навыки работы с системами или инструментами, о которых на самом деле у них поверхностное представление. Гвоздева замечала, как у некоторых кандидатов время от времени в резюме менялись компании и сроки работы. Чаще всего, так поступают либо молодые специалисты, либо люди, которые хотят перейти в кибербез из смежных областей. Также HR-директор отмечает, что часто видит и резюме людей, которые якобы работали в F6, хотя, на самом деле, это не так.

Кандидаты-«волчары» любят приписывать себе участие в крупных проектах. Чаще всего они рассказывают о том, что якобы занимались внедрением SIEM, EDR, SOAR (системы мониторинга и управления киберинцидентами -ред.), настройкой SOC (центр мониторинга и реагирования на инциденты – ред.), IDS/IPS (системы для защиты сетевой инфраструктуры от несанкционированного доступа и кибератак – ред.), разработкой корреляционных правил, аудитом инфраструктуры, реагированием на инциденты, говорит технический директор бренда MD Audit (SL Soft FabricaONE.AI, акционер — ГК Softline) Юрий Тюрин. Также «волчары» любят хвастаться «умением» проводить расследования и участием в Red Team-проектах. «Проекты» обычно звучат абстрактно: «выявлял АРТ-группы» (хакерские группировки, специализирующиеся на сложных угрозах – ред.), «строил модель угроз», «закрывал аудит регулятора». «Человек знает термины, но не понимает, как работает пайплайн событий, какие данные нужны для расследования, чем отличаются техники MITRE ATT&CK (база знаний, структурированная как модель поведения злоумышленников – ред.) и какие артефакты должны быть при инциденте», — отмечает эксперт. Часто они также добавляют несуществующие роли — «ведущий аналитик», «тимлид». Некоторые копируют описания вакансий и превращают их в «свой опыт».

«Популярна и «аутсорсинговая легенда»: кандидат утверждает, что работал в компании-подрядчике, где невозможно проверить проекты по NDA. Другой популярный трюк — массовое получение онлайн-сертификатов, которые создают иллюзию экспертизы без реальных навыков», — добавляет Юрий Тюрин.

Также кандидаты-«волчки» любят приписывать себе опыт работы с продвинутыми техниками в пентесте, OSINT, форензике (анализ цифровых следов – ред.), reverse engineering (процесс анализа и воссоздания продукта или технологии – ред.), SAST/DAST (подходы к тестированию безопасности приложений – ред.), отмечает Антон Исупов. «Например, были случаи, когда соискатель заявлял, что писал кастомные эксплойты для проведения анализа защищенности, хотя в действительности использовал только готовые решения. Или участвовал в отражении APT-атаки, хотя участвовал только в учебных атаках», — рассказывает эксперт.

Голые короли

Опрошенные SecPost эксперты говорят, что распознать «волчар» можно довольно легко.

В первую очередь, можно проверить наличие у них профильного образования – в том числе посмотреть на ВУЗ, где они его получили, советует руководитель направления безопасности в компании «ИВК» Игорь Корчагин.

Такие «специалисты» вряд ли будут обладать какими-то хард-скиллами, говорит директор и партнер компании «ИТ-Резерв» Павел Мясоедов. Поэтому у них надо спрашивать про то, как они проводили тесты, работали над строительством моделей угроз, как создавали периметры безопасности. И тогда все сразу станет понятно.

Также можно спросить у кандидатов, как они выстраивали цепочку инцидента, какие лог-источники подключали, как анализировали сетевую активность, какие ограничения были у используемого инструмента, продолжает Юрий Тюрин. «Хорошо работают разборы кейса. Кандидатам надо дать набор артефактов и попросить объяснить, что произошло. Псевдоспециалист сразу теряется, потому что знает терминологию, но не понимает процессов», — поясняет он.

Кроме того, для выявления «волчар» можно внедрять практические задания, лайфкодинг (написание кода в режиме онлайн – ред.) и кейс-стадии (анализ конкретной ситуации и разработку по ней плана действий – ред.), чтобы оценить реальные навыки кандидата, говорит CEO компании Secure-T, резидента бизнес-клуба Кибердом, Харитон Никишкин. «При проверке в службе безопасности и подаче документов опыт можно сверить с выпиской из Госуслуг. С согласия соискателя можно запросить рекомендацию с предыдущего места работы», — добавляет он.

Алексей Дрозд и вовсе советует изменить всю систему отбора. Например, можно менять порядок этапов для разных кандидатов. Вместо того, чтобы давать подходящим кандидатам тестовое задание, а потом проводить два собеседования – с HR и специалистами по кибербезу – можно после первичного анализа резюме сразу выводить подходящих кандидатов на беседу с HR, руководителем и будущей командой. Это сразу отсеет кандидатов с накрученным опытом, которые хотели бы во время тестового задания прибегнуть к помощи ИИ.

В группе компаний «Солар» поделились лайфхаком, как понять, что человек проходил онлайн-собеседование, пользуясь подсказками ИИ. «У такого кандидата всегда есть паузы перед ответами, попытки заполнить эфир пустыми фразами, глаза, «бегающие» по экрану», — отмечают в «Солар».

CISO говорят, что «волчки» в итоге сейчас редко прорываются в отделы кибербеза – если, конечно, их не собеседуют «гендиректора-самодуры» без технического бэкграунда, принимающие все решения самостоятельно без оглядки на остальную команду. В последнем случае для компаний могут крыться очень серьезные риски.

«Люди без достаточного опыта могут спровоцировать даже полную остановку процессов в компании. В нашей практике каждый пятый взлом связан именно с отсутствием компетенций у специалиста по безопасности, а не с недостаточным финансированием или уязвимостями нулевого дня», — отмечает директор технического департамента RTM Group Федор Музалевский. Также люди с накрученным опытом могут пропустить какие-то атаки. Они не знают тренды и не понимают, откуда могут исходить угрозы. Серьезные компании в сфере кибербезопасности постоянно мониторят угрозы в даркнете. Новички же могут этого просто не делать, уточняет Павел Мясоедов. Они могут построить неправильные модели, не понимать, как реагировать на атаки с участием ИИ.

«Волчары» в компаниях могут даже не уметь проводить полноценный анализ кода. И из-за этого итоговый продукт выйдет с уязвимостями. Это, в свою очередь, выльется в остановку работы приложения и финансовые потери, продолжает Антон Исупов.

Неподготовленный аналитик может неправильно классифицировать угрозу, отключить ключевую защиту или внести ошибку в правила, создав «слепую зону» в мониторинге. «В практике отрасли были кейсы, когда неопытные специалисты некорректно настроили алерты, и компания неделями не замечала утечку данных. Встречались случаи, когда из-за ошибочного реагирования вырубались критичные сервисы, вызывая простой на миллионы рублей. Большая угроза заключается и в неправильном взаимодействии с руководством: некорректные отчеты по рискам приводят к фатальным управленческим решениям», — объясняет Юрий Тюрин. Таким образом, «волчки» в отделах кибербезопасности могут буквально сгрызть компанию изнутри. И оттого, насколько бизнес вовремя научится их распознавать, зависят его финансовые показатели.

Softline
Автор: Softline
Softline – лидирующий глобальный поставщик IT-решений и сервисов, работающий на рынках Восточной Европы, Америки и Азии.
Комментарии: