Карьера новичка в «ЛК»: Семимильными шагами потихоньку расти вперед +2


Некоторые хабровчане считают, что сотрудников «Лаборатории Касперского» клонируют в секретных лабораториях или с детства воспитывают сами знаете где. Мы решили исследовать этот вопрос подробнее и отловили нескольких молодых коллег на предмет интервьюирования. Оказалось, что нет, это вполне живые люди и среди них попадаются крайне любопытные экземпляры. Вот, например, Никита Курганов — недавнее пополнение команды AMR (Anti-Malware Research) — энтузиаст-безопасник, пришедший в профессию прямо с четвертого курса Бауманки.



Меньше чем за год он из любителя соревнований типа capture the flag (CTF) стал профессиональным исследователем угроз и не планирует на этом останавливаться. Сейчас этот безумец (в хорошем смысле этого слова) сочетает учебу на дневном отделении университета с полноценной сорокачасовой рабочей неделей вирусного аналитика. Вот мы и решили поинтересоваться, как он докатился до жизни такой, — на случай если его опыт понадобится еще кому-то из здешних читателей. Кстати заголовок — цитата из Никиты. Так он ответил на вопрос «как вы видите дальнейшую карьеру».

«ЛК»: Расскажи с самого начала, как ты вообще пришел к идее заниматься безопасностью?

Никита: Я изначально в Бауманку пришел на кафедру информационной безопасности. Потому что ИБ — самое перспективное направление. Оно будет всегда, как ни крути. И чем дальше информационные технологии развиваются, тем больше будет желающих украсть информацию и тем сложнее эту информацию надо будет защищать. Поэтому я захотел заниматься именно этим направлением. Плюс всякие страшилки про хакеров сподвигли. Интересно было, что это такое вообще, думал, может быть, я тоже что-нибудь смогу в этой сфере…

Конкретно, как я пришел к практическим аспектам ИБ, — это уже другая тема. У нас в Бауманке есть своя CTF-команда, я в ней состою со второго курса. Перед тем как выступать на соревнованиях в прошлом году (а вообще, вся история моего карьерного продвижения началась в прошлом году), я решил узнать, какие вообще есть тенденции и тренды в информационной безопасности, и пошел изучать разные «летние школы» по ИБ. Тут я увидел новость про Kaspersky Summer Lab, которая всего один раз проводилась. Там за семь дней мне рассказали практически все, что я хотел услышать, и я окончательно понял, что хочу быть либо реверсером, либо заниматься компьютерной криминалистикой, то есть форенсикой.

После этого я узнал о программе стажировок SafeBoard и решил подать заявку. Нормально прошел этап онлайн-тестирования, решил задачи crackme, потом пошел на хакатон. Там изначально определился с направлением форенсики, заинтересовался набором в отдел, занимающийся реагированием на инциденты.

После хакатона мне сказали, что в принципе я прохожу, но там были разные направления, в том числе тестирование, системный анализ. Но я точно знал, что хочу заниматься именно ИБ. После этого были общие курсы, на которых нам быстро дали основы знаний по разработке, тестированию, сисанализу, исследованию угроз. Но я уже целенаправленно шел в AMR, хотел быть ревесером, исследователем уязвимостей.

Но когда начались с собеседования, то как-то так получилось, что я не прошел на интересную мне специальность. Там их много было, этих собеседований, штук 10 наверное. По ИБ было четыре, в группу эвристического анализа, в ботнеты, ну и в форенсику. Я дошел до финальных этапов отбора, когда вот ты сидишь, вот менеджер отдела и ты решаешь задания прямо при нем. И я не прошел ни в AMR, никуда. Вообще с безопасностью не получилось.

«ЛК»: И как же ты в итоге оказался в AMR?

Я уже понимал, что не хочу из «Касперского» уходить. Мне предложили пойти в отдел тестирования пока стажироваться, в департаменте внутренней разработки. Наша команда там занималась сервисами публикации релизов. Там я проработал два-три месяца, но уже после первого месяца понял, что тестирование — совсем не мое, и начал искать что-то в AMR. И однажды на внутреннем портале увидел вакансию младшего вирусного аналитика в вирусную лабораторию. И решил подать заявку. Ну почему бы и нет?

Соответственно, связался с HR, мне выслали задания. То есть помимо обучения в университете я параллельно решал отборочные задания в вирлаб, которые нужны, чтобы дойти хотя бы до этапа собеседования, ну и занимался основной работой — тестированием. Задание было сложное, но очень интересное. Кстати, это был crackme с конференции Zero Nights 2017 года. Как впоследствии выяснилось, его писал мой будущий наставник в вирлабе. Я его решал где-то три ночи, мне прямо очень понравилось. Ну в общем основная цель была — пройти в вирлаб, глаза горели. Я сделал отчет, отправил и мне через неделю, уже в марте, назначили собеседование.

Дальше вообще интересно — я пришел, а там сидят мой непосредственный наставник и руководитель отдела. Задают вопросы все вот такие же примерно. Обсуждаем crackme. И тут меня сажают перед компом, дают маленький файлик и говорят: у тебя есть 10 минут и ты должен нам рассказать, что эта штука делает. А там просто ассемблерный листинг. И я должен рассказывать особенно не раздумывая, просто смотря в листинг и по ходу комментируя. Для меня это было, во-первых, непривычно, во-вторых, шоком.

Я сидел анализировал все это по порядку. Как оказалось, это был какой-то там переходник для скачивания малвари, я там по ходу путался, распутывался, меня подталкивали к определенным мыслям. Получилось так, что я с ним справился за 10 минут, рассказал по кусочкам, что там происходило. Рассказал, откуда выкачивалась малварь, почему она выкачивалась, всякие тонкости. Потом собеседование закончилось и началось ожидание. Вскоре мне написали — говорят, что вы проходите на позицию. И в конце мая готовы зачислить в штат.

И вот тут был, наверное, самый сложный для меня выбор. Удастся ли совмещать это с университетом? Но я на этот шаг пошел. Я понял, что позиция шикарная, именно то, что я всегда хотел. Понимаю то, что, да, будет безумно сложно совмещать. Но если судьба дает тебе такой шанс, то надо брать. Вот правда. Чтобы не было потом мыслей «а что бы было, если бы…». Чтобы всю жизнь не жалеть об этом. И можно так сказать, что я пошел ва-банк. Даже не зная, какое будет расписание.

И все лето я проработал, учился, входил в курс дела. Перед тем как выйти на позицию в вирлабе, когда к тебе приходят заявки и ты непосредственно все анализируешь, надо пройти трехмесячный испытательный срок. То есть тебя вводят в курс дела, рассказывают, как работает AMR, как пользоваться инструментами, на что обращать внимание при анализе, как это быстро делать, ну и всякие нюансы вирлаба раскрывают. В какой-то момент я думал, что не справлюсь, но, как вот сейчас оказывается, у меня получается совмещать. То есть и университет, и работу.
«ЛК»: А ты в университете сейчас на каком курсе?

Никита: Я на четвертом курсе. Еще два года учиться. На шестом курсе я выхожу из университета с дипломом специалиста по компьютерной безопасности. Но это по факту не имеет вообще никакого отношения к реверсу. Это математические методы защиты информации.

«ЛК»: Планируешь потом учиться дальше? Магистратура?

Никита: Ну тут особого смысла нет. У нас же сейчас специалитет, это как бакалавр плюс магистратура. То есть если идти, то уже в аспирантуру. Но я в аспирантуру не хочу, я хочу заниматься прикладными вещами. В науку нет, не хочу.

«ЛК»: Вирусный аналитик — это же тот самый «дятел». Работает сменами, ему валится куча малвари и подозрительных файлов, а он сидит и долбит код. Так?

Никита: Долбит код, да. Но не только. То есть большая часть работы — действительно в том, что мы сидим и анализируем код. К нам прилетает много заявок, китайцы ночью могут прислать по 50 файлов, это нормальная ситуация. Но помимо этого мы еще пишем свои эвристики, то есть эвристические детекты. Улучшаем работу потока, то есть у нас скапливаются самплы, мы думаем, как улучшить анализ на потоке, пишем свои внутренние утилиты. То есть по факту мы тоже занимаемся разработкой в какой-то мере. В дополнение к тем, которые для нас пишут другие отделы.

А по факту мы как какой-то вирусный саппорт. Вот к нам прилетают малвари, мы их агрегируем, обрабатываем и распределяем между отделами. Вот эта малварь — в отдел эвристического анализа, эта — в антиспам, эта — в ботнеты. У нас тут такой перевалочный пункт — первая линия. Также занимаемся какими-то другими вещами, которые служат для улучшения анализа, но по факту — да. Мы долбим код.

«ЛК»: И смены по сколько часов?

Никита: Смены по 8 часов. Бывают и ночные, но, к счастью, не у нас. У нас есть утренняя и вечерняя. А когда в Москве ночь, то работает смена во Владивостоке. То есть у нас по факту две локации основные. Владивосток и Москва.

«ЛК»: А как это все у тебя стыкуется с расписанием в университете?

Никита: Как ни странно, получилось так, что почти без потерь. То есть я пропускаю от силы процентов пять пар. Получилось так, что расписание легло идеально, да и руководство пошло на уступки по расписанию. То есть у меня пятидневный рабочий график, но он распределенный. Три дня я работаю в утреннюю смену и два дня — в вечернюю. И вот благодаря такому балансу успешно совмещаю учебу и работу. То есть, конечно, ты жертвуешь своими выходными, не можешь куда-то сходить. Но цель-то великая! Хочется стать крутым. А чтобы стать крутым, надо пахать. На сессию отпуск буду брать. Ну а как по-другому?

«ЛК»: А вообще дальше ты свой путь как видишь? Сейчас ты аналитик, набираешься опыта, но AMP у нас большой отдел и занимается разными вещами.

Никита: Я понимаю, да. Вообще, начало работы в ИБ именно с вирлаба — идеально. Потому что мы анализируем всевозможную малварь, от андроидовской до линуксовой. Иногда APT-атаки нам присылает отдел GREAT. И мы все это анализируем. Со временем начинаешь понимать, какие темы тебе интереснее, какой вектор развития хочешь выбрать. Вот сейчас мне больше всего интересны сложные APT-атаки. Там ведь разное бывает. Некоторые вон, спутники хакать пытаются. Это прямо очень интересно. Еще интересны всякое эвристическое детектирование. И все, что связано с поиском уязвимостей. Вот ты смотришь на код и понимаешь, где могут быть потенциальные zero-day-уязвимости. Если zero-day нашел, то твой престиж растет.

«ЛК»: Но ведь это уже не анализ подозрительных файлов? Где ты ищешь zero-day-уязвимости?

Никита: Не, это не в подозрительных файлах. Это как хобби получается.

«ЛК»: То есть у тебя еще и на хобби остается время?

Никита: Ну на хобби остается время. Его, к сожалению, немного. Учеба. Иногда получается в CTF играть, иногда уязвимости искать. А какой путь я вижу… Вот я хочу сделать так. Сначала набраться опыта, а потом уже понять, куда идти конкретно. В какие отделы. Вообще, конечная цель — стать руководителем RnD. Но на самом деле с конкретной сферой определюсь после того, как я наберусь разнопланового опыта. В ближайших планах — за год подняться до уровня middle.

«ЛК»: Как тебе коллектив?

Никита: В вирлабе? Ну сначала, когда ты приходишь на новое место, ты немного жмешься. Немного стесняешься. Но со временем это все поутихло, когда я начал непосредственно уже прокачиваться в знаниях, со всеми ребятами перезнакомился. Мы там друг другу скидываем всякое, шуточки профессиональные, мемы, рабочие моменты обсуждаем. То есть нормально я влился в коллектив. И общие интересы есть. Кто-то хочет тоже в том же направлении, что и я, развиваться, с ними вообще просто общий язык найти.

«ЛК»: Ты вот читаешь какие-то дополнительные материалы по специальности. Следишь за новостями. А что именно из ресурсов ты читаешь?

Никита: Читаю достаточно много, потому что в ИБ надо постоянно оставаться в теме. Ведь не только мы ловим новые угрозы. Все время появляются какие-то уязвимости, какие-то новые атаки. Какое-никакое, а повышение квалификации. Иногда прямо помогает реагировать на инциденты. Что конкретно читаю? Ну вот основной источник — это Хакер. Потом читаю на Хабре всякие статейки. Иногда из песочницы. Иногда смотрю доклады с прошедших конференций по ИБ-тематике. Там DEFcon, BlackHat. Стараюсь больше читать на английском, потому то большая часть литературы — это все-таки английский.

«ЛК»: Ты сейчас проработал уже больше полугода и тебе все еще это интересно? Не разочаровывает рутина?

Никита: Интересно! Вообще, если мы уже подходим к каким-то выводам из моей истории, то хочу сказать, что нужно четко идти к своей цели. Вот я перед собой поставил цель. Великую цель, скажем так. И я к ней иду. Я понимаю, что именно мне надо, и когда небольшими шажочками иду, а когда и перепрыгиваю через несколько ступеней. Так получилось с SafeBoard — через четыре месяца из стажера стал младшим вирусным аналитиком. И надо понимать, что если вам судьба дает какие-то шансы, то их надо брать. Потому что если вы их не будете брать, судьба от вас отвернется, и все, никаких шансов не будет, и будете себя всю жизнь укорять за то, что не воспользовались ими. И надо работать над собой целыми днями (я понимаю, что это тяжело, хочется погулять). Но лучше поработать сейчас — потом будет проще. Если ты постоянно идешь к этой цели и берешь шансы — то все будет хорошо. Надо работать, много работать.

«ЛК»: Никита, никто не поверит, что ты вот это вот все говоришь сам. Скажут, что тебя HR заставили закончить речь мотивирующим спичем.

Никита: А что делать, если я реально так думаю?

«ЛК»: Ну успехов тебе, главное, не перегори от нагрузок.

Сейчас, кстати, продолжается, а вернее сказать, уже заканчивается набор в очередную программу стажировок «Лаборатории Касперского». Так что если вы хотите, как Никита, посвятить свою будущую профессию борьбе с компьютерным злом, то самое время подать заявку. Доступно пять направлений — исследование угроз, разработка, тестирование, системный анализ и системное администрирование. Подробнее вот тут, на странице программы.

Вы можете помочь и перевести немного средств на развитие сайта



Комментарии (8):

  1. uchitel
    /#19218615

    Никита, никто не поверит, что ты вот это вот все говоришь сам. Скажут, что тебя HR заставили закончить речь мотивирующим спичем.


    Публикуя вот такие статьи вы гораздо лучше узнаете, что думают хабровчане о ваших сотрудниках.

    … все больше компаний и все меньше людей.

  2. DrMefistO
    /#19218693

    Эта статья бы лучше зашла, если подать её не как «Вот тебе текст. Говори», а как «Нужны вирусные аналитики». Но тогда это уже не для хабра.

  3. horokey
    /#19218903 / +3

    Карьера новичка в «ЛК»: Семимильными шагами потихоньку расти вперед

    Что ж вы так с русским языком то… Растут вверх, а вперёд идут.

  4. saipr
    /#19218991

    Как говорил Станиславский: "Не верю!"

  5. Ti_Fix
    /#19219169 / +1

    Что за странная метка к статье «стажеряыжю»?

    • NoRegrets
      /#19220327

      Либо в касперском стажеры настолько суровы, что работают не запуская софта и никаких тебе ида, олле и хью. Либо фото постановочное и парня там держат насильно, а стажеряыжю — это хинт, крик о помощи.

      • lostpassword
        /#19221865

        Либо человек, который выкладывал статью, просто опечатался.

      • xvilka
        /#19223261

        Может он поклонник radare2/cutter?