Keamanan non-kertas
Mudah untuk menebak bahwa analis sedang mengumpulkan dan memproses informasi. Pekerjaan sehari-hari seorang analis keamanan informasi di Positive Technologies adalah menyiapkan laporan dan presentasi berdasarkan hasil proyek konsultasi. Di antara proyek tersebut adalah:
- pengujian penetrasi (pentests),
- layanan tim Merah vs tim biru ,
- analisis keamanan aplikasi web dan seluler,
- analisis keamanan sistem perbankan (RBS, ATM, terminal pembayaran),
- analisis keamanan jaringan telekomunikasi,
- analisis keamanan sistem kontrol industri,
- investigasi insiden cyber .
Daftar ini (dan ini jauh dari semua area) dengan jelas menunjukkan bahwa analis harus secara bersamaan membenamkan dirinya dalam berbagai topik dan terus meningkatkan pengetahuannya. Itulah mengapa salah membandingkan pekerjaan ini dengan keamanan "kertas". Setiap laporan yang ditulis seorang analis berpusat di sekitar komponen praktis.
Misalnya, selama beberapa tahun sekarang, perusahaan kami telah membantu meningkatkan tingkat keamanan informasi salah satu perusahaan di Jepang. Analis secara aktif terlibat dalam serangkaian proyek yang berlangsung di lokasi pelanggan di Tokyo. Pekerjaan analis tidak hanya mencakup menulis laporan terperinci, tetapi juga berkonsultasi dengan pelanggan tentang semua masalah yang terkait dengan hasil proyek. Para analis menjelaskan bagaimana dan dalam kondisi apa kerentanan yang teridentifikasi dapat dieksploitasi oleh penjahat dunia maya dan serangan apa yang dapat menyebabkan. Selain itu, ia berhasil memperluas wawasannya sendiri dengan berkeliling Tokyo selama jam-jam libur.
Hasil kerja analis bukanlah jenis regulasi dan bukan kebijakan yang sama, bukan dokumen stereotip dan bukan model teoritis ancaman atau pelanggar. Ini adalah deskripsi cara nyata untuk menembus jaringan lokal dari Internet dan serangan terhadap sistem TI perusahaan yang beroperasi. Mari kita ambil contoh sederhana.
Gambar 1. Contoh data yang diterima dari pentester
Setelah menerima tangkapan layar dari pentester sebagai konfirmasi serangan tersebut, seperti pada Gambar 1, analis menyadari bahwa telah dilakukan upaya untuk menemukan buku alamat perusahaan dan mengunduh semua alamat email karyawan dari versi web Outlook. Dia menjelaskan dalam laporan tersebut seluruh jalannya serangan, serta kelemahan keamanan yang memungkinkannya dilakukan, dan rekomendasi untuk menghilangkan kekurangan ini atau tindakan kompensasi untuk perlindungan. Sebagai aturan, tahap selanjutnya dari serangan semacam itu adalah pemilihan kata sandi untuk alamat yang diterima.
Analis membuat analisis rinci dari semua kerentanan yang ditemukan dan teknik yang digunakan oleh penguji penetrasi, yang berarti bahwa ia harus memiliki pemahaman yang baik tentang bagaimana setiap kerentanan dieksploitasi, apa kerentanannya, alat apa yang digunakan untuk melakukan serangan dan cara mencegahnya. Tentu saja, ia harus dapat menyatakan hal ini dengan benar dalam laporan, mendeskripsikan rekomendasinya sehingga seorang spesialis di sisi pelanggan dapat dengan mudah memahami masalah dan menghilangkannya.
Antara keamanan siber dan bisnis
Dalam beberapa hal, pekerjaan seorang analis mirip dengan tugas seorang penulis teknis yang menerima draf dan membuat dokumen akhir. Tapi ini hanya sebagian dari pekerjaan. Sebagai bagian dari aktivitas proyek, analis terus-menerus berkomunikasi dengan spesialis teknis, membahas kerentanan yang ditemukan, mengklarifikasi semua detail serangan. Hal ini memungkinkan dia untuk mendapatkan pemahaman yang baik tentang esensi teknis dari masalah tersebut, sehingga dia dapat mengungkapkannya dalam laporan sedetail mungkin.
Analis harus dapat mempresentasikan hasil uji penetrasi di tingkat manapun - teknis dan "bisnis". Laporan teknis memungkinkan seorang administrator keamanan informasi untuk menghilangkan kerentanan, tetapi dokumen semacam itu akan sepenuhnya tidak dapat dipahami oleh manajer. CEO tidak akan membuang waktu berharga untuk dokumen dua ratus halaman dan mencoba mempelajari terminologi keamanan informasi. Misalnya, bagaimana Anda akan berbicara tentang injeksi SQL dan CSRF dalam pemrosesan pesanan jika ketua perusahaan besar mendengarkan?
Selain itu, analis harus memahami bagaimana kemungkinan serangan akan mempengaruhi kinerja sistem individu dan risiko apa yang mungkin ditimbulkannya bagi bisnis. Inilah sebabnya mengapa para analis direkrut secara berkala untuk mempertahankan sebuah proyek di depan manajemen atau menyiapkan presentasi singkat dan resume satu halaman. Bahkan ada kasus ketika seorang analis menyiapkan laporan singkat tentang hasil insiden dunia maya untuk menteri. Tak perlu dikatakan, dokumen semacam itu membutuhkan pendekatan khusus.
Riset dan komunikasi dengan jurnalis
Ada bagian lain dari pekerjaan - penelitian. Pengetahuan yang diperoleh dalam proyek adalah unik, karena didasarkan pada serangan yang diimplementasikan secara praktis pada sistem TI yang ada. Analis menjadi penjaga pengetahuan tersebut.
Jika seorang spesialis teknis yang melakukan uji penetrasi tenggelam dalam satu bidang pekerjaan yang dipilih, dan rentang tugasnya cukup khas, maka analis secara teratur terhubung ke banyak proyek yang beragam, yang berarti ia memiliki gambaran umum tentang tingkat keamanan informasi dalam konteks industri. Dia dapat menilai kerentanan mana yang lebih umum tergantung pada jenis sistem, di mana perusahaan perlindungannya lebih buruk, dan teknik serangan mana yang paling relevan.
Misalnya, kami baru-baru ini melakukan studi besar tentang topik serangan bertarget terhadap perusahaan di Rusia. Hasilnya adalah empat artikel di mana kami menunjukkan taktik dan teknik apa yang digunakan oleh kelompok cyber yang menyerang bisnis Rusia di sektor kredit dan keuangan , industri , kompleks bahan bakar dan energi, dan lembaga pemerintah . Tidak lama sebelumnya, kami menganalisis iklan di forum bawah tanah di web gelap , tempat mereka menjual dan membeli berbagai alat dan layanan untuk serangan dunia maya, dan memperkirakan berapa biaya yang mungkin dikeluarkan untuk mengatur satu serangan semacam itu untuk penjahat.
Riset kami yang lain dapat ditemukan di situs web perusahaan .
2. Positive Technologies
Hasil kumpulan besar pekerjaan analisis keamanan juga dapat digeneralisasikan dan disajikan dalam bentuk impersonal kepada seluruh komunitas keamanan informasi. Analis menggabungkan keahlian dari berbagai divisi Teknologi Positif, menulis artikel yang dipublikasikan di situs web perusahaan, serta di majalah, surat kabar, blog, jejaring sosial dan media lainnya, melakukan webinar dan berbicara di konferensi. Untuk meliput masalah keamanan informasi yang paling mendesak dan membantu audiens yang tertarik untuk memahami masalah yang kompleks, analis memberikan komentar kepada wartawan, berpartisipasi dalam siaran langsung di televisi dan radio, dalam konferensi pers. Izvestia, Kommersant, RBC, RIA Novosti hanyalah beberapa contoh publikasi yang secara teratur mencakup hasil kerja para ahli kami.Pendekatan ini membantu menyampaikan tren paling menarik di bidang keamanan informasi kepada masyarakat dan meningkatkan literasi umum orang dalam keamanan informasi.
Analis unik di pasar
Di universitas atau di kursus pelatihan lanjutan, mereka hanya menyediakan basis - analis tidak bisa sampai di sana pengetahuan yang dia terima dalam proses kerja. Analis secara konstan mengembangkan dan memperkaya koleksi pengetahuannya melalui partisipasi dalam proyek. Setiap proyek baru memberikan kesempatan untuk mempelajari metode serangan baru dan melihat bagaimana penerapannya dalam praktik. Mendalami topik yang berbeda memungkinkan Anda untuk terus memperluas wawasan Anda. Ini adalah kesempatan unik untuk berkembang secara profesional.
Ilmu yang didapat dalam bekerja dapat diterapkan pada profesi lain. Ada contoh ketika seorang analis pindah ke departemen pentest. Atau ketika seorang analis menjadi manajer proyek konsultasi yang sukses. Namun ada pula yang justru ingin terlibat dalam analisis data dan berkembang di bidang ini.
Mahasiswa senior dan spesialis dari berbagai bidang keamanan informasi datang ke tim kami: seorang insinyur-perancang sistem keamanan, seorang profesor dari suatu departemen di sebuah universitas, seorang insinyur balik, seorang spesialis dalam sertifikasi produk keamanan, spesialis dalam konsultasi di bidang perlindungan data pribadi. Ada juga calon dari ilmu teknik. Tingkat pelatihan analis juga dikonfirmasi oleh sertifikat internasional: para ahli kami memiliki sertifikat seperti OSCP, CISSP, CEH.
Bagaimana menjadi seorang analis
Jika setelah membaca artikel ini Anda menyadari bahwa Anda sudah memiliki semua kualitas yang memungkinkan Anda untuk bergabung dengan tim kami, dan Anda ingin tumbuh bersama kami, kirimkan resume Anda ke career@ptsecurity.com dan kami akan bertemu untuk wawancara. Jika Anda tidak yakin dengan kemampuan Anda, tetapi memahami tes penetrasi dan kerentanannya, kami siap mempertimbangkan kandidat yang berhasil untuk posisi junior. Pengembangan spesialis adalah salah satu tugas prioritas kami.