Na całym świecie dramatycznie brakuje cyberochroniarzy. Od wakatów roi się w największych koncernach (Google, Apple, Amazon, Facebook, Microsoft)
, w branży finansowej, telekomach, a nawet show biznesie. Najlepsi zarabiają po 120 tys. miesięcznie.
Dwa lata temu w Stanach Zjednoczonych brakowało 209 tys. specjalistów ds. bezpieczeństwa IT. Doszło do tego, że Amerykański Departament Bezpieczeństwa we współpracy z National Integrated Cyber Education Research Center zorganizował na terenie 42 stanów specjalistyczne kursy, którymi objęto dla 820 tys. uczniów college'ów. Aby je przeprowadzić, konieczne okazało się zaangażowanie ponad 15 tys. wykładowców. Chętnych na warsztaty nie brakowało, bo cyberochroniarze zarabiają niemałe pieniądze. Z danych Payscale.com wynika, że mediana wynagrodzeń wynosi blisko 68 tys. dolarów rocznie, ale znajdując zatrudnienie w największych amerykańskich firmach, można otrzymać kontrakt nawet na 380 tys. dolarów, czyli ponad 31,5 tys. dolarów miesięcznie (ok. 120 tys. zł!).
Zobacz także: Uważasz, że zarabiasz za mało?
W Polsce mediana specjalisty od bezpieczeństwa informatycznego według portalu wynagrodzenia.pl to około 6800 zł brutto miesięcznie, najlepsi cyberochroniarze dostają 10 tys. brutto zł. Z wyliczeń Intela wynika, że przeciętne wynagrodzenie specjalistów ds. cyberbezpieczeństwa jest 2,7 razy większe niż średnia krajowa.
Czas łowców
Z przygotowanego przez McAfee raportu „Disrupting the Disruptors, Art or Science?” wynika, że w działach specjalizujących się w bezpieczeństwie IT powinni pojawić się łowcy zagrożeń (z ang. threat hunters). Autorzy analizy wskazują, że najlepsi specjaliści w tej dziedzinie potrafią w 90 proc. przypadków określić, co jest przyczyną ataku. Mniej wykwalifikowane zespoły mają nawet pięć razy gorszą skuteczność.
Dlaczego to takie ważne? Otóż wykrycie celu i precyzyjne określenie pobudek cyberprzestępców pozwala w znacznym stopniu ograniczyć wyrządzone przez nich szkody.
- Nie ma wątpliwości, że branża cyberbezpieczeństwa dojrzewa i za pięć lat będzie wyglądała już zupełnie inaczej niż dzisiaj. Batalia o bezpieczeństwo IT stała się coraz trudniejsza. Według nas przyszłością w walce z cyberprzestępcami jest tworzenie nowych modeli zespołów ds. bezpieczeństwa IT w firmach, tzw. operacyjnych centrów bezpieczeństwa (ang. Security Operation Center, SOC), które oparte będą na interakcji człowiek-maszyna – mówi Arkadiusz Krawczyk, Country Manager w McAfee Poland. – Dużą rolę w nich będą spełniać właśnie doświadczeni łowcy zagrożeń i zaawansowana technologia, która w naszym przypadku koncentruje się na całym cyklu życia procesu ochrony przed atakiem.
Specjaliści przygotowujący raport McAfee zbadali pracę operacyjnych centrów bezpieczeństwa (SOC) na czterech etapach rozwoju (minimalnym, proceduralnym, innowacyjnym i wiodącym) i doszli do wniosku, że zaawansowane centra poświęcają o 50 proc. więcej czasu na wykrywanie zagrożeń niż pozostałe zespoły.
Na tropie e-zbrodni
Polowanie na zagrożenia staje się kluczową strategią w cybernetycznej walce. Łowca zostaje częścią zespołu ds. bezpieczeństwa IT i bada zagrożenia, korzystając ze śladów, podpowiedzi, hipotez i przede wszystkim bazując na swoim doświadczeniu. Zdobytą podczas śledztwa wiedzę przekształca na skrypty i reguły, automatyzując infrastrukturę w obszarze zabezpieczeń i personalizując technologię.
– Organizacje muszą opracować plan działania ze świadomością, że zostaną zaatakowane przez cyberprzestępców – mówi Raja Patel, wiceprezes i dyrektor generalny Corporate Security Products w McAfee. – Łowcy zagrożeń pozwalają zdobyć przewagę nad hakerami i cyberprzestępcami, ale sukces osiągną tylko wtedy, gdy interakcja człowiek-maszyna, czyli połączenie wiedzy i doświadczenia łowcy zagrożeń z innowacyjną technologią, pozwoli efektywnie wykrywać i eliminować zagrożenia – wyjaśnia.
Z raportu „Disrupting the Disruptors, Art or Science?” wynika, że 71 proc. operacyjnych centrów bezpieczeństwa zamyka dochodzenia w sprawie incydentów szybciej niż w tydzień. 37 proc. potrzebuje na to mniej niż 24 godziny.
Narzędziem numer jeden dla analityków pierwszej i drugiej linii w operacyjnym centrum bezpieczeństwa jest sandboxing, osoby wyżej w hierarchii w pierwszej kolejności używają zaawansowanego narzędzia do analizy złośliwego oprogramowania oraz rozwiązań typu open source. Inne standardowe narzędzia to SIEM, wykrywanie i reagowanie w punkcie końcowym (Endpoint Detection and Response) oraz analiza zachowania użytkowników.