понедельник, 7 июля 2014 г.

Требуются аналитики данных ИБ

Подразделениям информационной безопасности для более эффективной работы нужно заняться поиском специалистов по анализу данных, относящихся к сфере ИБ, - на это прозрачно намекают результаты исследования Cisco 2014 Annual Security Report. Всё бы хорошо, если бы не одно обстоятельство: грамотные специалисты по анализу данных вообще в дефиците, причем и у нас, и за рубежом, а уж тех, кто еще и разбирается в информационной безопасности, днем с огнем не сыскать. Значит, придется их готовить - взращивать или переучивать. Впрочем, обо всем по порядку.

Зачем службам ИБ нужны специалисты по анализу данных?

Не секрет, что службы ИБ накапливают несметное количество данных, которые так или иначе можно изучать с точки зрения информационной безопасности: входящий и исходящий трафик представляет собой огромные массивы и потоки данных, которые разумно фильтровать на лету, а наиболее, скажем так, интересные подвергать более серьезному анализу. Также богатый материал для исследований содержится во всевозможных системных журналах (logs). Ну а самые интересные результаты могло бы дать сопоставление данных из различных источников: оно позволило бы выявлять атаки, определять злоумышленников, находить слабые узлы в защите информационных активов компании, оценивать эффективность защиты тех или иных объектов и субъектов ИБ.

(Замечу, что речь идет именно об анализе данных с точки зрения ИБ. В принципе ничего не мешает исследовать их с точки зрения общей или экономической безопасности: выявлять злоупотреблений служебным положением (в том числе "откаты"), попытки мошеннических операций инсайдеров по предварительному сговору с внешними лицами и пр., информационная поддержка служб экономической безопасности - тема, требующая отдельного обсуждения.)

Еще одна причина потребности в квалифицированных кадрах специалистов по анализу данных ИБ в том, что по мере роста их объемов и усложнения задач, связанных с ИБ, доля "шаблонных" подходом к решению задач с использованием заранее подготовленных отчетных форм будет уменьшаться, а доля произвольных запросов, напротив, расти - об этом также говорится в исследовании. 

Средства анализа данных ИБ

По мнению экспертов из Cisco, для анализа данных ИБ вполне сгодятся некоторые из доступных бесплатно программных средств. В частности, трафик можно исследовать, применяя для этого инструментарий Wireshark и Scapy. В частности, Scapy, базирующийся на известном языке Python, можно использовать для "тонкого" ручного анализа или проверки трафика. Wireshark поможет, например, разделить файл, содержащий множество потоков TCP, на файлы поменьше, каждый из которых содержит пакеты. относящиеся к одному потоку TCP.

Для анализа данных из текстовых файлов с разделителями-запятыми (Comma-separated values, CSV), который поддерживает множество самых разных систем, многие специалисты ИБ используют такие распространенные средства, как, например, электронные таблицы (Excel и подобные). Нередко также применяются средства командной строки, такие как grep, cut, sed, awk, uniq и sort. В качестве альтернативы им можно использовать, например, csvkit - с его помощью можно обрабатывать данные, передаваемые последством командной строки.

Также имеется множество "питоновых" средств (Matplotlib, Pandas, IPython и др.), способных обеспечить анализ и визуализацию данных. В частности, Matplotlib представляет собой гибкое и функциональное средство визуализации, Pandas позволяет исследовать "сырые" данные, а IPython предоставляет возможности для интерактивного анализа данных.

Итак, вопрос: где взять аналитиков, которые способны исследовать данные ИБ? На мой взгляд, проще всего их вырастить, причем из специалистов ИБ, имеющих основательную математическую или программистскую подготовку: эти люди достаточно хорошо разбираются в ИБ и при этом знакомы с методиками анализа данных. Конечно, пройдя курс "молодого бойца", эти спецы наверняка будут рассчитывать на более высокие зарплаты, но если вы осознаете ценность таких бойцов, почему бы им не увеличить жалование? ;)

Благодарим компанию Cisco за ценную информацию и партнерскую поддержку!

1 комментарий:

  1. Вот вам другая статистика.
    За два месяца на hh.ru искали в среднем одного специалиста по безопасности на 50-70 вакансий. Системного аналитика искали в среднем на чаще чем раз в 200 вакансий, при этом они само не конца понимают зачем он нужен, и что должен делать, а заводят как комнатную собачку, потому что по регламенту такой человек быть должен. А найти его ещё сложнее, потому что зачастую люди собеседующие кандидатов являются очень узкими, зачастую сугубо практическими экспертами, чтением большого количества мануалов они уже почти не затрудняются в силу должности, а в силу возраста уже сильно утратили динамичность мышления. И, в результате, проверяют, по идее специалиста очень(!) широкой сферы знаний, на какую-то очень свою сугубо атмосферную часть в которой сами более-менее ориентируются, разумеется, ни один не проходит, потому что шаблонность как HR так и IT на данный момент достигла своего апогея и зачастую не выдерживает никакой критики, особено когда талантливого художника принимают по тому же шаблону что и талантливого айтишника, и, самое странное, что HR отдел считает такой подход правильным, что сразу говорит о человеческой составляющей компании в частности, и о компании в целом.

    Так что вырастить их можно, даже нужно, но выращивание имеет смысл, если специалист работает на компанию, а не пройдя обучение -- уходит к конкурентам. А попробуйте с шаблонным HR подходом подобрать такой состав, который не поменяет флаги по первому звону пополнения банковского счёта конкурентами. Не сможете. И причина далеко не в дефиците реально соображающих кандидиатов, дело как всегда в самой системе, не готовой работать по таким алгоритмам.

    ОтветитьУдалить