Як розпочати кар'єру в сфері кібербезпеки та де здобути необхідні знання: рекомендації спеціаліста.

Експерт у галузі інформаційної безпеки Пилип Охонько поділився інформацією про актуальні кіберзагрози сьогодення та надав кілька корисних рекомендацій щодо початкових кроків і джерел, де можна здобути необхідні навички в сфері кібербезпеки.

В епоху стрімкого розвитку інформаційних технологій і непростої геополітичної ситуації кіберзагрози перетворилися на зброю масового ураження. Масштабна кібератака на найбільшого українського оператора мобільного зв'язку "Київстар", яка залишила без зв'язку і доступу до інтернету мільйони громадян, укотре продемонструвала, наскільки вразлива критична інфраструктура в умовах гібридної війни. Ця атака та багато інших прикладів шахрайських дій хакерів демонструють, що сучасні загрози вимагають не тільки оперативного реагування, а й постійного вдосконалення заходів захисту.

Філіп Охонько є висококласним експертом у сфері інформаційної безпеки. Серед його важливих досягнень можна відзначити виявлення критичної вразливості в одному з найвідоміших браузерів світу – Firefox, розробку нових методів для виявлення уразливостей у веб-додатках, а також численні інші значущі дослідження та інновації. Під час інтерв'ю ми обговорили його винятковий досвід у кібербезпеці, участь у міжнародних конференціях та прогнози щодо розвитку ключових напрямків у цій галузі в найближчі роки.

Філіпе, сфера кібербезпеки продовжує залишатися однією з найшвидше розвиваючихся галузей в IT-індустрії. Як досвідчений спеціаліст у цій галузі, з великим багажем знань у розробці захисних стратегій та співпраці з провідними компаніями, поділіться, будь ласка, як змінилися ключові загрози та виклики для бізнесу в останні роки?

Упродовж останніх років загрози в галузі кібербезпеки стали більш складними та спеціалізованими. Ми спостерігаємо за зростанням атак, спрямованих на критично важливі інфраструктури і великі компанії. Головна мета таких атак — призупинення роботи систем та викрадення інформації. Зловмисники стають дедалі більш винахідливими, застосовуючи інноваційні методи, такі як соціальна інженерія, атаки на постачальницькі ланцюги та на хмарні платформи. Крім того, зростає кількість атак, пов'язаних із програмами-вимагачами. Завдяки цим інструментам шахраї можуть повністю паралізувати діяльність бізнесу і вимагати викуп за відновлення доступу до даних.

Оскільки все більше підприємств переходять на хмарні технології, одним із найважливіших аспектів стало забезпечення безпеки даних у хмарному середовищі. Цей процес потребує впровадження інноваційних стратегій для захисту інформації та запобігання витокам, особливо в умовах роботи розподілених команд і дистанційного виконання завдань. Крім того, з появою штучного інтелекту з'являються нові можливості для підвищення безпеки, але це також створює додаткові загрози, оскільки зловмисники можуть використовувати ці технології для своїх цілей.

Вас відзначили в залі слави Mozilla. Яким чином ви виявили цю вразливість, і які основні загрози вона становила для користувачів? Чому, на вашу думку, вразливості в браузерах є одними з найбільших загроз для безпеки в глобальному Інтернет-просторі?

Браузери є складними програмними продуктами, які повинні поєднувати в собі високу функціональність та безпеку. Щодня мільйони користувачів звертаються до них, що робить вразливості в цих програмах одними з найсерйозніших загроз як для звичайних людей, так і для великих корпорацій. Виявлення слабких місць у такому популярному програмному забезпеченні є нелегким завданням, оскільки розробники та спеціалісти з безпеки з усього світу витрачають значні зусилля на забезпечення надійності продуктів. Мій досвід у пошуку вразливостей у браузері Firefox виявився досить складним і вимагав ретельного вивчення різних його компонентів.

Я виявив вразливість, пов'язану з невірною обробкою буфера обміну, яка могла б дати змогу зловмисникам інтегрувати шкідливий код. Достатньо було всього лише відкрити підозріле посилання в браузері, і в найгіршому випадку комп'ютер міг би "інфікуватися". Якщо подібний код буде розміщений на популярному веб-ресурсі, мільйони користувачів можуть опинитися в зоні ризику, навіть не підозрюючи про загрозу. Браузер — це основний інструмент, через який людина взаємодіє з мережею, свого роду провідник у безмежний світ інтернету. Якщо він виявиться скомпрометованим, це надасть зловмисникам доступ до величезних обсягів конфіденційних даних: від паролів до фінансової інформації. На відміну від інших видів програм, браузери є головним засобом доступу до інтернету, тому безпека та захист цих програм є критично важливими як для окремих користувачів, так і для бізнесу загалом. Тому кіберзлочинці активно шукають вразливості у браузерах для їх подальшого використання у своїх злочинних намірах.

На міжнародному форумі ви презентували своє дослідження, присвячене обходу Content Security Policy (CSP) — відомого засобу захисту, який запобігає інтеграції зловмисного коду (XSS) на веб-ресурсах. Поділіться, будь ласка, детальнішою інформацією про цей захисний механізм та його важливість.

Веб-додатки можуть містити небезпечні уразливості, зокрема XSS (Cross Site Scripting, або міжсайтовий скриптинг). Згідно з даними авторитетної організації Open Web Application Security Project, XSS систематично входить до трійки найбільш поширених уразливостей у веб-середовищі. Щоб проілюструвати, чим це може загрожувати звичайному користувачеві, розглянемо типовий сценарій робочого дня працівника в компанії, який у нашій історії буде виступати в ролі жертви. Коли працівник запускає свій браузер і заходить до поштової скриньки, він помічає новий лист від потенційного клієнта. Проте, як тільки він відкриває цей лист, зловмисник отримує доступ до його поштової скриньки, навіть якщо жертва не переходила за жодними посиланнями. У цьому випадку працівник дотримується усіх необхідних заходів безпеки і не натискає на шкідливі посилання, просто відкриваючи лист. Саме XSS уразливість дозволяє вставити небезпечний код на сторінку, який браузер виконує, надаючи зловмиснику контроль над поштовим акаунтом. Це не є вигаданим випадком, адже подібні уразливості були виявлені в таких сервісах, як Gmail, Microsoft Outlook та Yahoo Mail.

Одним із ключових способів протидії вразливостям є реалізація механізму захисту Content Security Policy (CSP). В ході мого дослідження я виявив, що CSP, яка раніше вважалася ефективним засобом захисту від XSS-атак, може виявитися недостатньою. Тому я зосередив свою увагу на розробці нових підходів до обходу цього захисного механізму. В результаті, я створив нову методику, що дозволяє експлуатувати XSS-вразливості, обминаючи CSP, а також розробив інструмент CSPStealer, що успішно реалізує цю методику. Його особливість полягає в тому, що наразі відсутні інші open-source або комерційні рішення з подібним функціоналом, і всі спроби виявлення XSS-вразливостей будуть маскуватися за допомогою CSP.

Для мене було важливо зробити реальний внесок у підвищення рівня безпеки веб-додатків. Також із цим дослідженням я став переможцем міжнародного в США "Cases&Faces" 2024. Інструмент "CSPStealer" активно використовують фахівці в галузі інформаційної безпеки, як з атакуючої сторони -- професійні пентестери, так і зі сторони, що обороняється, -- співробітники відділу інформаційної безпеки.

Ваша оригінальна методика виявлення вразливостей Blind Stored XSS здобула міжнародне визнання, зокрема, вигравши премію "Cases&Faces" 2024 у категорії "Досягнення в інженерії". Поділіться, що означає ця перемога для вас і як вона вплинула на ваш розвиток у галузі кібербезпеки?

- Перемога на премії "Cases&Faces" 2024 стала для мене значущою подією як у професійному, так і особистому плані. Я радий, що моя розробка була гідно оцінена журі. Визнання мого внеску в індустрію говорить про те, що моя праця дійсно має вплив і практичне застосування для розвитку IT-галузі. Це надихає мене працювати ще старанніше, щоб підкорювати нові висоти. З упевненістю можу сказати, що подібні заходи допомагають перевірити свої сили в цій сфері та досягти успіху.

Цей захід став відмінною можливістю для нетворкінгу та обміну знаннями, а моя перемога сприяла підвищенню мого авторитету серед спеціалістів у сфері безпеки. Це має велике значення, адже це не лише шанс для особистісного зростання та отримання визнання, але й можливість підтримувати інших у їхньому розвитку та досягненні цілей. Я активно ділився своїм досвідом і знаннями з колегами. Найцікавіше, що мої напрацювання виявилися корисними як для професійних пентестерів, так і для працівників підрозділів безпеки, яким важливо бути в курсі новітніх методів і підходів до захисту. Це підкреслює, що моя робота приносить користь широкому колу спеціалістів. Отримання цієї нагороди стало для мене додатковим стимулом рухатись уперед — не лише заради власного розвитку, а й заради допомоги іншим.

- Ви торкнулися цікавого моменту, що фахівці у сфері кібербезпеки можуть бути по різні боки барикад. Розкажіть, як знайти свій напрямок і з чого потрібно почати шлях в інформаційній безпеці?

Звичайно, перш ніж занурюватися в сферу інформаційної безпеки, важливо оволодіти основами інформаційних технологій. Необхідно зрозуміти, як функціонують комп'ютери, їх взаємозв'язок, а також ознайомитися з ключовими мережевими протоколами.

Перед вами відкривається широкий вибір напрямків у сфері інформаційної безпеки, яка охоплює багато аспектів. Цю область умовно можна поділити на дві основні категорії: наступальну та оборонну. Наприклад, роль Penetration Tester передбачає активні дії, де ви імітуєте атаки зловмисників на компанію-клієнта та складаєте звіт, в якому детально описуєте всі виявлені вразливості. У протилежному випадку, роль Security Engineer зосереджена на проектуванні та реалізації захисних механізмів для забезпечення безпеки організації. Проте навіть якщо ваша діяльність пов'язана з оборонними заходами, важливо бути обізнаним у методах, які використовують хакери, щоб створити надійний захист.

Практичний досвід грає надзвичайно важливу роль. Необхідно не лише регулярно працювати над різноманітними завданнями, а й брати участь у професійних конкурсах і конференціях. Змагання Capture the Flag (CTF) є відмінною платформою для розвитку навичок у сфері кібербезпеки. Інші корисні ресурси – це сертифікації, які визнаються в індустрії, як-от Offensive Security Certified Professional (OSCP), які забезпечать вам цінні знання та допоможуть виділитися серед інших кандидатів під час пошуку роботи.

Неймовірно, але завдяки практиці ви вже можете почати заробляти. У рамках програми Bug Bounty, яка винагороджує за виявлені вразливості, ви маєте можливість легально використовувати свої навички для пошуку вразливостей у різних компаніях. Існує безліч публічних програм Bug Bounty, запропонованих різними організаціями. Компанії готові платити експертам за їх вміння виявляти та описувати вразливості у своїх продуктах, таким чином підвищуючи рівень безпеки. На мою думку, це відмінний спосіб перевірити свої можливості, отримати практичний досвід і продемонструвати свої досягнення потенційним роботодавцям.

Які ще напрями ви вважаєте перспективними для досліджень у найближчі роки?

Однією з основних галузей, на якій зосередиться увага, стане безпека хмарних технологій та контейнеризації, зокрема таких рішень, як Docker і Kubernetes. З розвитком їхнього використання, зростає ймовірність атак на ці системи. Іншою важливою сферою є захист систем, що використовують штучний інтелект. Зловмисники можуть намагатися впливати на моделі ШІ, що призведе до виникнення нових загроз.

Дослідження у сфері блокчейн-технологій та захисту критично важливих інфраструктур продовжують залишатися важливими. Ці області вимагають підвищеної охорони, і я переконаний, що в найближче десятиліття вони займуть провідні позиції в контексті кібербезпеки.

Які помилки можуть скоїти новачки у своїй професії?

- Інформаційна безпека -- це сфера з досить високим порогом входу для новачків. Важливо не намагатися освоїти все одразу, а підходити до навчання послідовно і систематично. В іншому разі можна зіткнутися з вигоранням. Також варто враховувати, що професія вимагає нестандартного мислення для розв'язання нетривіальних завдань, тому потрібно мати великий кругозір, вміти підлаштовуватися під реалії та оперативно на них реагувати.

Ще одна поширена помилка, яка може призвести до серйозних наслідків, пов'язана з недотриманням умов програми Bug Bounty. Перед тим як почати шукати вразливості, необхідно ретельно ознайомитись з правилами, встановленими конкретною компанією. Наприклад, якщо під час тестування ви випадково отримуєте доступ до особистих даних когось, це може вважатися порушенням закону і привести до юридичних наслідків. На жаль, подібні ситуації вже мали місце в реальному житті. Це може викликати серйозні проблеми з правоохоронними органами.

Крім того, новички у своїй практиці тестування можуть вдаватися до агресивних підходів, що може спричинити несправності в роботі програмного забезпечення. Важливо усвідомлювати наслідки своїх дій і розуміти, що ваша діяльність може вплинути не лише на безпеку окремого користувача, але й на цілісність великої компанії. Інформаційна безпека — це обширна галузь, де можна знайти своє покликання. Ключовим є постійне вдосконалення знань і навичок, а також здатність швидко адаптуватися до динамічних змін у цій сфері.