Как БНТУ привёл в кибербезопасность

Программист родился и вырос под Минском, в Заславле. В 9 классе он «фанател от школьных уроков информатики», поэтому родители предложили ему поступать в Минский радиотехнический колледж.

— Я до сих пор считаю, что это была ошибка. Нужно было учиться до 11 класса, а потом поступать сразу в университет. Но, время не вернёшь, да и родители хотели подстраховаться. Мало ли, вдруг бы я не поступил, а учить платно меня было бы тяжело для родительского кошелька — жили мы небогато, лишних денег не было.

Отучившись в колледже, заславчанин решил продолжить учёбу. Выбор пал на БНТУ. С этого вуза началась его история в кибербезопасности.

— На старших курсах к нам пришёл директор компании, разрабатывающей антивирус, и предложил студентам попробовать свои силы на стажировке в VirusBlokAda. Я, конечно, пошёл на собеседование, и спустя несколько интервью уже работал в компании.

В VirusBlokAda Сергей вырос с джуниора до руководителя отдела разработки антивирусного ядра. В подчинении у него было 20 человек.

— Поскольку компания была небольшой, во многом студенческой, нас практически сразу ставили на боевые задачи, благодаря чему мы быстро учились и набирались опыта. Вопрос, плох такой подход для компании или нет, оставим за скобками. Но зато наука постигалась быстро и сразу во многих направлениях: от разработки и тестирования до поддержки клиентов. Кстати, последнее и вылилось в историю с вирусом Stuxnet.

Один из первых случаев нападения на госсектор

— Однажды к нам обратился клиент с жалобой на то, что у него на компьютере появляется синий экран — это была единственная странность в работе системы. Мы занялись этим и обнаружили непонятный объект, подписанный цифровой подписью производителя Realtek. Оказалось, что вирус эксплуатирует уязвимость 0-day. Тогда мы ещё не понимали, какую вредоносную нагрузку это несёт.

Долго не думая, мы сообщили о «дыре» в Microsoft. И к исследованию нового вредоносного объекта подключились многие антивирусные компании, которые старались докопаться до истины. Одной из них была «Лаборатория Касперского». На исследования этого вируса были пущены огромные силы и ресурсы.

Повредив центрифуги для обогащения урана, червь смог выйти за пределы станции, поскольку использовал мощную уязвимость в ОС. И начал массово распространяться сперва в Иране, а потом и в других странах.

Для обычных пользователей этот вирус не был опасен, а вот для предприятий, заводов, станций — ещё как. Дело в том, что код вируса внедрялся в SCADA-систему и саботировал её работу. Впервые в истории кибератак вирус физически разрушал инфраструктуру. На тот момент — 2010 год — это была мощная атака, нетипичная для большинства вредоносных программ.

Со Stuxnet открылась новая эра киберпреступности, когда целью вредоносного нападения являются конкретные, прагматичные цели — если украсть данные, то таргетированно, чтобы получить доступ к организации и устроить за ней слежку. Если саботировать работу, то известного предприятия.

Stuxnet — это яркий пример таргетированной атаки и один из первых громких случаев, когда целью нападения является государственный сектор.

Кризис заставил шевелиться

— Весной 2011 года грянул кризис, и внезапно мои знакомые, работающие в аутсорсе, стали зарабатывать больше меня (моя зарплата была привязана к белорусскому рублю). На какое-то время я завис, а потом начал шевелиться.

Я стоял на развилке: идти в аутсорс и забыть про свой 6-летний опыт в кибербезопасности или уезжать за рубеж. Терять накопленное за время работы в VirusBlokAda мне не хотелось. Поэтому я решил двигаться в том же направлении. «Лаборатория Касперского» показалась достойным вариантом.

Мне назначили два собеседования. Первое — на позицию менеджера по продукту и второе — на роль системного аналитика в продуктовое подразделение. Если опыт в менеджерстве у меня был, то, чем занимается системный аналитик в антивирусной компании, я слабо себе представлял — в VirusBlokAda таких специалистов не было.

Оба собеседования, по моим ощущениям, я провалил. Уже ждал отказа, как пришло сообщение, что будет третье интервью — на позицию менеджера в исследовательское подразделение. Официально эта вакансия не была открыта. Пообщавшись с будущим руководителем, я понял, что это как раз то, чем мне хотелось бы заниматься. Уходил с интервью я в полной уверенности, что получу это место.  

Антивирусная лаборатория как чёрный ящик

В исследовательском подразделении, куда я попал, менеджеры как многостаночники — должны быть глубоко погружены в те сервисы, за которые отвечают. Желательно иметь хороший технический бэкграунд разработчика и системного аналитика. Поэтому многие менеджеры здесь — бывшие архитекторы и программисты.

Сначала я занимался развитием одного, потом нескольких сервисов компании, затем руководил группой разработки. А с 2014 возглавляю Центр развития и исследования инфраструктуры

Этот Центр можно сравнить с полноценной софтверной компанией, в которой работает более 100 человек (менеджеры, Product Owner, разработчики, аналитики, тестировщики, Data Science, DevOps и пр.). Они отвечают за разработку и развитие инфраструктурных сервисов.

Если представить себе антивирусную лабораторию как чёрный ящик, то на вход поступают десятки миллионов объектов (файлы, урлы) и миллиарды нотификаций статистики от продуктов компании. А на выходе антивирусные записи, которые потом добавляются в базы и вместе с базами доставляются пользователям продукта. 99,9% записей создается автоматикой, а остальные — вирусными аналитикам.

Людских ресурсов, чтобы анализировать все эти объекты, не хватит. Поэтому наш центр разрабатывает сервисы, которые позволят автоматизировать процессы детектирования.

Рост количества вредоносных объектов (обнаруживаем порядка 360 тысяч в день) приводит к росту инфраструктуры и увеличению её сложности. Поэтому ещё одна задача — поиск способов, как сдерживать рост вирусов.

Из последних интересных задач, которыми приходилось заниматься — это задачи, связанные с GDPR и открытием центра обработки данных компании в Швейцарии.

Бизнес кибербезопасности таков, что влияние ошибок дорого обходится пользователям. На собеседовании я обычно спрашиваю, факапил ли кандидат на предыдущем месте работы. Если да, то это ценно. Дальше я задаю вопрос, какие уроки он из этого извлёк. Дело в том, что за одного битого двух небитых выдают. Уволить человека, который один раз ошибся, неправильно. Новичок скорее всего наступит на эти же грабли.

Есть пляж, но работать там неудобно

Всего в компании порядка 4 тысяч человек, которые работают в трёх пятиэтажных зданиях с видом на водохранилище. В обеденный перерыв можно искупаться. Но работать на пляже не удобно — там песок.

Что меня радует, так это зелень в офисе. У меня в кабинете стоит два фикуса, за которыми ухаживает садовник. Поэтому с кислородом у нас всё в порядке.

Здесь работает много разносторонних ребят, которые, например, играют в музыкальных группах. Недавно концерт в нашем баре проходил и среди артистов — большинство наших ребят было. Есть команды по хоккею, шахматам. А я плаванием занимаюсь и путешествовать люблю.

Посетил Австралию — там люди заряжают позитивом, местные спрашивают у тебя «как дела» — а улыбка от уха до уха. В Норвегии впечатлила природа, фьорды, в Швейцарии — пешеходные маршруты, горы, озёра. Правда, швейцарцы ужасные снобы, всегда укажут, где твоё место. В Японии удивила абсолютная тишина в метро и дикий шум, от которого закладывает уши, в игровом клубе с автоматами. Лондонцы напомнили мне москвичей. С такими же лицами, все куда-то бегут, остановиться и улыбнуться, как австралийцы, им некогда.  

Всегда с большим удовольствием возвращаюсь в родной Заславль. Качели в саду моих родителей лучше любых европейский и азиатских изысков.

Фото: из архива героя