Перейти к содержанию

Одно интервью из жизни сменного аналитика


Рекомендуемые сообщения

Привет, Хабр!

С наступившим Новым годом! Интересно, скольким из вас пришлось работать в новогоднюю ночь? А представьте себе врачей, милиционеров, транспортников и другие «вахтенные» профессии? У нас тоже есть одна релевантная история, которую мы сегодня расскажем вам. Итак, встречайте Бориса Ямпольского, руководителя отдела сменных аналитиков «Лаборатории Касперского».

 

0_7881c_66dbc4e_M.jpg

 

Боря, можешь рассказать в двух словах, чем отличается работа группы сменных аналитиков от обычных вирусных аналитиков? В чем специфика?

Могу! У сменных аналитиков трудная задача — не пропустить в огромном потоке малвары что-то действительно громкое и опасное. Старшие аналитики из других групп получают уже отобранные файлы, которые требуют внимательного изучения. Всегда должен быть кто-то на страже, одна смена сменяет другую — вот специфика сменных аналитиков. Если антивирус это паровоз, то эти ребята — кочегары, которые круглосуточно подбрасывают уголь в огонь, чтобы паровоз мчался на всех парах.

 

Ты говорил про громкую малвару — а часто приходится отлавливать что-то эдакое? Может, пару примеров из последних?

 

Должен все же сказать, что группа сменных аналитиков далеко не единственная, которая отлавливает громкую малвару, мы просто работаем 24 часа 7 дней в неделю. А вообще что-то особенное отлавливаем примерно раз в месяц. Из последнего эдакого я бы назвал Duqu (Trojan.Win32.Duqu), последняя версия TDSS (Rootkit.Boot.Sst.:), а сегодня (26 декабря — прим.редактора), например, пришѐл Trojan-SMS.AndroidOS.Arspam.a — новый троян под Андроид.

 

График работы у твоих коллег достаточно разнообразен — в общем-то название группы об этом также говорит. Как удается координировать работу такого количества людей с разными графиками?

 

Координировать сменных вирусных аналитиков проще, чем может показаться. Есть дневная и ночная смены. Каждое утро в 10:00 дневная сменяет ночную и каждый вечер в 20:00 ночная приходит на смену дневной. Вообще, система достаточно гибкая. Даже если кто-то болеет, кто-то в отпуске, кому-то надо сегодня в институт — на смене всегда есть вирусные аналитики, которые смогут быстро отреагировать на появление новой угрозы.

 

В твоем подразделении достаточно большое количество младших вирусных аналитиков. Кто у вас берет на себя роль наставника?

 

Наверное, разрушу шаблон, сказав, что у нас нет наставников как таковых. Вернее, он есть первые 2 месяца работы — на испытательном сроке. Это, как правило, старший вирусный аналитик со стажем. Основное же обучение происходит уже в «боевых» условиях на смене. Важно понимать, что меняются не только угрозы, но и наш инструментарий, которым мы пользуемся для борьбы с новыми угрозами. Я знаю многих сотрудников в нашей антивирусной лаборатории и в департаменте исследований и разработок в целом, начавших свой путь в компании в группе сменных аналитиков, но немногие из них смогут прямо сейчас сесть и начать работать на смене. Мы не стоим на месте. У нас каждый день что-то новое.

 

А как вы взаимодействуете с другими подразделениями Департамента?

 

Если говорить про департамент, то максимальное взаимодействие у нас происходит с отделами поддержки инфраструктуры и группой выпуска обновлений. Мы обновляем антивирусные базы, после чего они тестируются и выкладываются на публичные серверы. То есть требуется оперативная и слаженная работа, чтобы между временем обнаружения и созданием обновления проходило реально немного времени. Ну и, разумеется, трудно себе представить нашу работу без всего многообразия утилит и различных сервисов.

 

У вас есть какое-то правило, что аналитики отрабатывают только около 2 лет на смене. А что с ними происходит потом?

 

Не правило, а скорее традиция! Вирусные аналитики, проработавшие больше 2-х лет, осознают свой дальнейший путь в компании. Как правило, это исследование какой-то узкой области индустрии. Часто вирусные аналитики переходят в группы эвристического детектирования, исследования сложных угроз. Некоторые становятся программистами и создают инструментарий для нас. Многие, когда-то начавшие с работы младшими вирусными аналитиками, сегодня выросли до руководителей отделов, ведущих экспертов, генеральных директоров ;). Вот почему я с легкостью принимаю эту традицию, хоть и с некоторой грустью на душе.

 

И последний, пожалуй, вопрос: Какие у вас требования при приеме на работу?

 

Ну наконец-то! Кандидат многое получает при устройстве к нам (помимо соцпакета и бесплатных обедов): это бесценный опыт, общение с экспертами, возможность изучать самые свежие угрозы. Поэтому и требования высоки. Главное требование — быть фанатиком в хорошем смысле этого слова. По-настоящему интересоваться индустрией. Не бояться некоторой рутины, с которой неизбежно придется столкнуться при анализе потока подозрительных самплов. Разумеется, есть базовые требования по техническим навыкам: это знание ОС Windows и знание Assembler-а. Ну и напоследок — готовность работать в ночь. Обычно это требование останавливает от работы у нас девушек и семейных кандидатов.

 

Спасибо большое за интервью! И до встреч в новом году!

Изменено пользователем lom
Ссылка на комментарий
Поделиться на другие сайты

С трудом поверится ,что вирусный аналитик будет давать интервью таксе по имени lom . Может все таки ссылку на первоисточник дадите? :)

;) Да ... беда. Да не мне он его давал! Поиск по Хабру юзаем: http://habrahabr.ru/company/kaspersky/blog/136163/

Изменено пользователем lom
Ссылка на комментарий
Поделиться на другие сайты

С трудом поверится ,что вирусный аналитик будет давать интервью таксе по имени lom . Может все таки ссылку на первоисточник дадите? ;)

Линк.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
  • Похожий контент

    • Ig0r
      От Ig0r
      Пишите, пожалуйста, сюда с каким сотрудником ЛК вы бы хотели провести интервью.
    • Dan4es
      От Dan4es
      Добрый день.
       
      Столкнулся с проблемой: пролез шифровальщик и зашифровал критичные данные для работы KSC (бд + бекап). Переустановил ОС, переустановил KSC, бд вынес на выделенный сервер. Адрес и dns имя сервера оставил прежним. Все устройства обнаружились, но все в статусе неизвестно. При выполнении задачи установка KES+Network Agent, задача останавливается на 50%. Как пере подключить все устройства обратно к этому серверу?

    • dexter
      От dexter
      Всем Здравствуйте !
       
      На данный момент установлена лицензия на Премиум. Давеча понял, что мой комп не достоин такого передового защитного решения и приобрёл лицензию на Плюс.
      Вопрос вот в чём : надо скачивать новый дистрибутив на Плюс ? Или как-то произойдёт автоматическая активация параллельно со сменой продукта ?
    • KL FC Bot
      От KL FC Bot
      Хотя искусственный интеллект можно применять в ИБ-сфере разными способами, от детектирования угроз до упрощения написания отчетов об инцидентах, наиболее эффективными будут применения, которые значительно снижают нагрузку на человека и при этом не требуют постоянных крупных вложений в поддержание актуальности и работоспособности моделей машинного обучения.
      В предыдущей статье мы разобрались, как сложно и трудоемко поддерживать баланс между надежным детектированием киберугроз и низким уровнем ложноположительных срабатываний ИИ-моделей. Поэтому на вопрос из заголовка ответить очень легко — ИИ не может заменить экспертов, но способен снять с них часть нагрузки при обработке «простых» случаев. Причем, по мере обучения модели, номенклатура «простых» случаев будет со временем расти. Для реальной экономии времени ИБ-специалистов надо найти участки работ, на которых изменения происходят более медленно, чем в «лобовом» детектировании киберугроз. Многообещающим кандидатом на автоматизацию является обработка подозрительных событий (триаж).
      Воронка детектирования
      Чтобы иметь достаточно данных для обнаружения сложных угроз, современная организация в рамках своего SOC вынуждена ежедневно собирать миллионы событий с сенсоров в сети и на подключенных устройствах. После группировки и первичной фильтрации алгоритмами SIEM эти события дистиллируются в тысячи предупреждений о потенциально вредоносной активности. Изучать предупреждения обычно приходится уже людям, но реальные угрозы стоят далеко не за каждым таким сообщением. По данным сервиса Kaspersky MDR за 2023 год, инфраструктура клиентов генерировала миллиарды событий ежедневно, при этом за весь год из них было выделено 431 512 предупреждений о потенциально вредоносной активности. Но лишь 32 294 предупреждения оказались связаны с настоящими инцидентами ИБ. То есть машины эффективно просеяли сотни миллиардов событий и лишь ничтожный процент из них отдали на просмотр людям, но от 30 до 70% этого объема сразу помечаются аналитиками как ложные срабатывания, и около 13% после более глубокого расследования оказываются подтвержденными инцидентами.
       
      View the full article
    • Lotte
      От Lotte
      Добрый день.
       
      Помогите подскажите возможно ли так сделать? 
       
      Читал статью Запрет запуска объектов установил веб консоль на сервер там же от куда Касперский устанавливается на рабочие станции, подключился под доменным админом и дальше не могу понять.
      Пытаюсь новую политику создать и страница зависает.
       

       

       
      Kaspersky Security Center 13.2 Web Console: 13.2.571
      Версия Сервера администрирования: 13.2.0.1511
×
×
  • Создать...