Как стать аудитором безопасности кода: полное руководство по карьере

аудитор безопасности кодаАудитор безопасности кода — это не должность начального уровня. Известный также как ИТ-аудитор, аудитор безопасности, аудитор программного обеспечения или аудитор исходного кода, аналитик безопасности, аналитик информационной безопасности, профессионалы, которым посчастливилось оказаться в этой роли, являются опытными и высоко ценимыми членами любой команды кибербезопасности. Аудиторы программного обеспечения должны разбираться в компьютерном программировании, системной и сетевой безопасности, тестировании на проникновение, криптографии и протоколах безопасности.

Только профессионалы в области кибербезопасности с широкой базой знаний в этой области будут эффективны в качестве аудиторов безопасности программного обеспечения. Во многих случаях аудит исходного кода проводится независимыми внешними консультантами, периодически нанимаемыми для проверки состояния безопасности организации. Организации со значительным бюджетом на кибербезопасность с гораздо большей вероятностью наймут штатного аудитора, чем организации с небольшим штатом сотрудников.

Четыре шага к тому, чтобы стать аудитором безопасности кода

1. Роль аудитора безопасности кода требует широких знаний в области компьютерных наук, сетей, систем и всего, что связано с информационной безопасностью в целом. Рекомендуется получить ученую степень кандидата наук, защитив диссертацию по тематике, связанной с кибербезопасностью. Курс дополнительного обучения должен включать как можно больше дисциплин по кибербезопасности:

  • тестирование на проникновение
  • криптография
  • законодательство в области защиты информации
  • компьютерная криминалистика
  • сетевые технологии
  • программирование на нескольких языках
  • безопасность баз данных
  • разработка программного обеспечения

И, конечно, как и в любой другой современной карьере, в области кибербезопасности, вложение времени и денег в получение знаний окупается.

В России большим спросос пользуются специалисты, которые умеют проводить оценку соотвествия требованиям оценочного уровня доверия (ОУД 4).

2. Ранний карьерный путь. Поскольку аудитор безопасности кода не является должностью начального уровня, правильная стажировка, используемая для проникновения в сферу кибербезопасности, обеспечит прочный фундамент для карьеры. К числу хороших начальных должностей в сфере кибербезопасности, которые могут привести к карьере аудитора кода, относятся:

  • Администратор безопасности
  • Cетевой администратор
  • Цифровая криминалистика
  • Специалист по оценке уязвимостей
  • Тестировщик на проникновение (пентест)

3. Профессиональные сертификаты. Работодатели всегда ищут подтверждение того, что потенциальный кандидат изучил все необходимые аспекты искомой должности. В области кибербезопасности, вероятно, лучшим способом такого подтверждения являются профессиональные сертификаты. Некоторые из сертификатов, которые следует получить потенциальным или действующим аудиторам безопасности кода, включают следующие:

  • Сертифицированный этический хакер (CEH) от EC-Council
  • Сертифицированный аналитик безопасности (ECSA), также от EC-Council
  • PenTest+ от CompTIA
  • Сертифицированный аудитор информационных систем (CISA)
  • GIAC Certified Intrusion Analyst (GCIA)
  • Сертифицированный специалист по наступательной безопасности (OSCP)

Кроме того, обратите внимание на другие соответствующие сертификаты, предлагаемые такими образовательными организациями по кибербезопасности, как следующие:

4. Никогда не прекращайте изучать технологии и методы кибербезопасности постоянно развиваются, иногда ударными темпами. Постоянное изучение всего, что происходит во всех соответствующих аспектах аудита безопасности кода, необходимо для сохранения преимущества и долгой успешной карьеры. Вступайте в профессиональные торговые ассоциации, ищите возможности для непрерывного образования, общайтесь с другими аудиторами кодов и посещайте семинары, связанные с этой областью. Среди профессиональных ассоциаций рассмотрите возможность вступления в некоторые или все из следующих:

  • Научная рабочая группа по цифровым доказательствам (SWGDE)
  • Ассоциация аудита и контроля информационных систем (ISACA)
  • Международное общество судебных компьютерных экспертов (International Society of Forensic Computer Examiners®).

Кто такой аудитор безопасности ПО?

Для того чтобы оценить безопасность кода компьютерной системы, аудиторы исходного кода аудиторы должны быть знакомы и разбираться во всех аспектах аппаратного обеспечения, программного обеспечения и сетей, составляющих полную систему. Необходимый набор навыков и опыта означает, что аудиторы кода безопасности являются одними из самых технически подготовленных сотрудников любой службы кибербезопасности.

Поскольку ответственность может оказаться непосильной даже для самых опытных аудиторов безопасности, в помощь им разработаны аналитические инструменты.

Для того чтобы оценить безопасность кода компьютерной системы, аудиторы исходного кода аудиторы должны быть знакомы и знать все аспекты аппаратного обеспечения, программного обеспечения и сетей, из которых состоит вся система. Необходимые навыки и опыт означают, что аудиторы ПО являются одними из наиболее технически подготовленных сотрудников любой службы кибербезопасности.

Поскольку ответственность может оказаться непосильной даже для самых опытных аудиторов безопасности, были разработаны аналитические инструменты, помогающие справиться с этой работой. Существует множество открытых и коммерческих инструментов анализа исходного кода, которые помогают аудиторам безопасности обнаружить уязвимости кода в аппаратном и программном обеспечении. Эти программы также называются инструментами статического тестирования безопасности приложений (SAST) и могут быть неоценимыми помощниками.

Тем не менее, аудиторы программного обеспечения должны уметь просеивать код строка за строкой, чтобы обнаружить, определить характер и разработать план по устранению любых проблем.

аудитор безопасности кода

Навыки и опыт аудитора безопасности кода

Для того чтобы провести тщательный аудит состояния информационной безопасности любой организации, необходимы различные знания и навыки. Знание методов тестирования на проникновение, современных криптографических протоколов, процессов сетевой и системной безопасности, уязвимостей в программном обеспечении и многого другого должно быть в арсенале аудитора исходного кода. Поэтому список требуемых навыков и опыта в объявлениях о вакансиях аудитора кода безопасности часто бывает многочисленным. Ниже приведена выборка некоторых из наиболее распространенных требований.

  • Знание языков программирования C+, C++, Python, Ruby, Java, Perl, .NET
  • Текущее знание архитектуры сетей и систем, а также процедур безопасности и уязвимостей
  • Текущее знакомство с методами и уязвимостями безопасности операционного и прикладного программного обеспечения
  • Знание десяти лучших уязвимостей OWASP
  • Знакомство с инструментами анализа исходного кода, такими как Bandit, Brakeman, .NET Security Guard, SonarQube, Application Inspector, Cast AIP и др.
  • Опыт тестирования на проникновение
  • Знакомство с современными протоколами и методами шифрования
  • Опыт работы с безопасностью баз данных

Чем занимаются аудиторы безопасности кода?

Информационные технологии в любой организации — это многогранное предприятие.

состоящее из аппаратных систем, коммуникационных сетей и программ, а также всех протоколов, разрешений, процедур и политик, определяющих использование ИТ-систем.

Аудиторы кода безопасности отвечают за обеспечение безопасности ИТ-систем, которые они контролируют. Выполнение этой обязанности требует планирования, выполнения и анализа результатов аудита. Это означает глубокое знакомство с программными кодами, используемыми для написания программ, работающих в системах, а также все процедуры безопасности, действующие в организации, и законы, влияющие на методологию кибербезопасности. Это также означает знание современных методов и процедур, используемых хакерами, и актуальное понимание наиболее часто используемых уязвимостей системы.

Короче говоря, аудиторы безопасности кода должны знать каждую мельчайшую деталь каждого аспекта ИТ-систем, используемых организацией, выплачивающей зарплату специалисту. Аудиторы исходного кода должны планировать и проводить самые эффективные и самые тщательные аудиты, чтобы настойчиво определять эффективность всех действующих систем безопасности. В первую очередь это упреждающая стратегия, направленная на закрытие уязвимостей до того, как ими воспользуются хакеры.

Но аудиторы безопасности кода также должны проводить или помогать в проведении судебной экспертизы атак на систему, независимо от того, были ли эти попытки неудачными или успешными. Ответы, найденные после таких атак, должны быть доложены и использованы для дальнейшего ужесточения мер безопасности системы. В мире с постоянно меняющимися и развивающимися технологиями и хакерскими методами работа аудитора безопасности кода никогда не бывает полностью законченной.

Описание работы аудитора безопасности кода

Ниже перечислены некоторые из наиболее распространенных задач аудитора безопасности программного обеспечения:

  • Планировать, проводить и возглавлять аудиты систем информационной безопасности организации.
  • Проведение ручного анализа всего соответствующего кода на построчной основе
  • Использовать методы тестирования на проникновение для обнаружения уязвимостей кибербезопасности
  • Использовать инструменты SAST для анализа кода, где это возможно.
  • Выявление, анализ и рекомендации по устранению всех уязвимостей кибербезопасности
  • Поддерживать полную актуальную информацию о доступности и разрешениях всех систем
  • Доведение результатов аудита и рекомендаций до сведения всех заинтересованных отделов.
  • Перспективы для аудиторов безопасности кода

Специалисты по кибербезопасности в целом пользуются высоким спросом, и во многих случаях на конкретные должности не хватает подходящих кандидатов. По данным InfoSec Institute, в мире не хватает около трех миллионов специалистов по кибербезопасности. Потребность в аудиторах программных продуктов трудно определить из-за разнообразия названий, используемых для описания этой роли, но можно с уверенностью сказать, что спрос на них быстро растет и будет продолжать расти в обозримом будущем.

Сколько зарабатывают аудиторы кода безопасности?

Из-за разнообразия названий, склонности многих компаний нанимать независимых консультантов и довольно элитного характера этой должности, точная информация о зарплате несколько труднодостижима. По данным RTM Group, средняя годовая зарплата ИТ-аудиторов в России составляет около 3 600 000 рублей, причем вознаграждение обычно постоянно растет по мере накопления опыта.