необходимые знания и навыки для аналитиков компьютерной безопасности

Попытка прийти в индустрию сетевой безопасности и найти работу в качестве аналитика компьютерной безопасности часто может оказаться обескураживающей задачей. Множество людей, работающих в этой индустрии, начинали свой путь с простого увлечения компьютерной безопасностью и желания работать в любимой сфере.
Очень много раз меня спрашивали о том, как искать работу в этом секторе, и, что еще более важно, какими навыками должен обладать человек для такой работы. Одной из замечательных особенностей сетевого сообщества является желание его членов делиться и помогать друг другу. Поэтому я сейчас постараюсь дать достаточно полное описание основных умений, которыми, на мой взгляд, должен обладать современный профессионал в сфере безопасности. В рамках этой статьи я приведу минимальные умения и кратко опишу их, чтобы вы имели представление, о чем идет речь.
Я расскажу об умениях вне порядка важности и остановлюсь на характерных для аналитиков безопасности вещах: TCP/IP, IDS, управлением выходными данными IDS, файрволлах, маршрутизаторах, программировании и операционных системах.

знание TCP/IP

Существует одна область знаний, служащая основой, на которой базируются все остальные: это TCP/IP. Аббревиатура расшифровывается как Transmission Control Protocol/Internet Protocol. Однако к набору протоколов TCP/IP относятся не только два вышеупомянутых. Если бы дело было лишь в знании и понимании лишь этой пары протоколов, все было бы просто. Но необходимо знать великое множество других протоколов, типа ICMP или ARP, чтобы иметь хороший фундамент в этой области. Глубокое понимание этой темы критично для вашей работы в качествве аналитика в области безопасности, и ее значение нельзя переоценить.
Вы можете поинтересоваться, почему же понимание TCP/IP столь важно?
Компьютеры общаются друг с другом по сети при помощи пакетов. В сущности, базовая единица коммуникаций в мире современных компьютерных сетей – это пакет. Пакеты чаще всего строятся с использованием стека TCP/IP, который обычно является частью операционной системы компьютера /* но может быть выполнен и в виде отдельного ПО – прим. ред. */ У каждой ОС есть некоторые уникальные значения, «закодированные» в реализацию стека TCP/IP /* на самом деле никто ничего специально не «кодировал», просто у разработчиков ОС зачастую различаются взгляды на некоторые тонкости реализации и настройки по умолчанию – прим. ред. */. Определение типа ОС по «отпечаткам пальцев» происходит как раз через исследование этих уникальных значений, типа MSS и MTU (среди прочих). Как говорится, перед тем, как определять ненормальное, вам сперва необходимо понять, что нормально. Вот почему нам необходимо разобраться в том, как выглядит нормальный TCP/IP-пакет и как TCP/IP устанавливает соединения между компьютерами.
Взглянув на настоящие пакеты, которые мы перехватили в сети при помощи утилиты для перехвата пакетов (сниффера) типа tcpdump или его win32-эквивалента windump /* можно использовать и другой понравившийся вам сниффер – прим. ред. */, мы можем изучать «нормальное поведение». Мы увидим, как при запуске браузера отсылается наружу SYN-пакет, а в ответ приходит пакет SYN/ACK. Затем следует ACK-пакет, за которым, в свою очередь, следует серия PSH/ACK пакетов, которые используются для двустороннего обмена данными между вами и сервером, установленным в качестве стартовой страницы в браузере.
Лишь через знание основных понятий TCP/IP вы сможете эффективно разрешать возникающие неполадки в работе компьютерной сети и производить диагностику возможного аномального ее поведения. Для дальнейшего совершенствования вам необходимо будет понять протокол ICMP и его предназначение. С точки зрения безопасности, очень важно разбираться в этих протоколах. Большая часть сегодняшних взломов совершается с использованием переполнений буфера и тонкостей протоколов (в том числе и дыр в их реализации).
Нельзя успокаиваться, поняв протоколы лишь на концептуальном уровне. При расследовании инцидентов вам, возможно, придется проверить вариант возможной подмены ARP-записей (ARP poisoning). Для понимания этого явления, а также возможных последствий, вам сначала придется разобраться в ARP и том, и какую роль он играет в компьютерных сетях. Обратите внимание, что я еще не упоминал о протоколах уровня приложений, вроде HTTP и SMTP. Эти протоколы сами по себе очень важны для понимания. Они не просто устанавливают правила коммуникации, но и обладают набором сообщений, используемых для коммуникации в определенных условиях. Как пример – вездесущая ошибка 404, столь часто встречающаяся при веб-серфинге.
И последняя часть TCP/IP, на которой я остановлюсь перед тем, как перейти к другому умению – это фактическое изучение метрики пакетов. Я уже упоминал, что определенные значения могут быть использованы для определения типов операционных систем. Значения вроде максимального размера сегмента (MSS, Maximum Segment Size) и максимальной единицы передачи (MTU, Maximum Transmission Unit) являются всего лишь некоторыми метриками TCP/IP, которые обычно всегда видны в пакетах. Необходимо понимать суть этих значений и знать, для чего они предназначены. Как только вы начнете изучать эти понятия, вы увидите связи между определенными значениями, например, между размером окна и максимальным размером сегмента. Очень важно свободно ориентироваться в этих значениях и полностью понимать их суть. Не менее важна и способность определять смысл всех hex-значений в пакете. Наличие соответствующих возможностей и навыков позволит вам анализировать сами пакеты на предмет наличия возможного «непотребного» содержимого. Неважно, насколько умен разработчик эксплойта, если ему все равно придется присылать этот эксплоит вам на компьютер при помощи пакета или набора пакетов. Таким образом, очевидно, что очень хорошее понимание TCP/IP является ключевым навыком для любого профессионала в сфере сетевой безопасности.

изучение IDS

Другой основной навык в арсенале любого профессионала в сфере безопасности - это администрирование и поддержка системы выявления атак (IDS, Intrusion Detection System). Технология уже доросла до момента, когда такая система является практически обязательной. За исключением домашних пользователей, которые лишь изредка бродят по сети и отправляют электронную почту, большинство компьютеров, а также компьютеры любой корпоративной сети предлагают различные сервисы. И даже самый лучший набор правил для файрволла не поможет вам обезопасить эти сервисы так, чтобы они были при этом способны к коммуникации (исключение – фильтрация на уровне приложений, в народе – «прокси»). Например, банальное закрытие доступа по 80 порту невозможно в случае, когда у вас работает веб-сервер для обеспечения присутствия вашей компании в сети.
Вот тут-то и начинает работать IDS, для коей нужно писать и обновлять правила (если позволяет ваша система), а также толковать ее выходные данные. На выходе у IDS – пакеты, протоколируемые в том случае, если они соответствуют определенной сигнатуре - части таблицы сигнатур системы. Тут мы снова возвращаемся к TCP/IP, так как знание протоколов помогает нам определить, что происходит с пакетом, в котором была обнаружена эта сигнатура. Вам будет необходимо изучить этот пакет и растолковать не только ASCII-часть содержимого, но и шестнадцатеричные значения. Вдобавок, вам будет нужно проанализировать стандартные метрики, вроде размера окна и чисел последовательности TCP (среди прочих), чтобы удостовериться, что все в порядке.
Одна из проблем кроется в том, что IDS может создавать огромные объемы информации, требующей проверки. Большая часть их будет, скорее всего, ложными сигналами тревоги – вроде «сигнализации», сработавшей вхолостую из-за того, что пакеты соответствовали определенной части сигнатуры. Но вы не можете доказать что это так до тех пор, пока тщательно не проверите сам пакет. Стоит потратить некоторое время на точную настройку IDS-сигнатур и произвести инвентаризацию сервисов, доступных в вашей сети. Это поможет минимизировать количество ложных результатов. Например, нет смысла в FTP-сигнатурах, если в вашей сети нет FTP-сервисов, и, следственно, во включении любых других сигнатур, не относящихся к сервисам вашей сети. Некоторые IDS позволят вам создавать собственные сигнатуры – это, определенно, плюс. Хотя, чтобы получить выгоду от этой возможности, вам необходимо будет научиться создавать их, и приложить свое знание TCP/IP чтобы сделать фильтр настолько эффективным, насколько это вообще возможно. Способность написания «заказных» сигнатур для вашей компьютерной сети – очень полезна. Во многих сетях имеются некоторые особенности, и необходимо ввести некоторые ограничения на использование их сотрудниками. Умение написания специализированных сигнатур – навык, который не следует игнорировать.
Однако проблема обращения с огромными объемами данных все равно остается. Вы можете уменьшить океан пакетов, требующих анализа, если примените пакетные фильтры Беркли (BPF, Berkely Packet Filters) и битмасковые фильтры. Знание этих двух способов «просеивания» информации позволит вам быстро сконцентрировать внимание на интересующих вас пакетах. И вновь, для того, чтобы полностью осознать потенциал BPF и битмасковых фильтров, потребуются знания о TCP/IP как таковом и о том, как соединяются пакеты.
Как видим, и тут требований твердого знания TCP/IP не избежать. Например, скажем, в вашей компании просканировали все веб-серверы. Вам необходимо узнать, был ли запущен на них эксплоит. Вы можете использовать IP-адрес сканирующего и подсеть вашей компании в качестве BPF-фильтра для изоляции трафика. Затем добавляете битовую маску, которая покажет вам только те PSH/ACK пакеты, в которых может находиться полезная информация. Наличие средств фильтрации информации, позволяющих выбрать, например, из 20-мегабайтного файла 50 килобайт для обработки, несомненно, полезно: они помогают не только сэкономить огромное количество времени, но и спасти аналитика от перегрузки. Действительно, на свежую голову, не забитую бесконечным потоком пакетов для проверки, гораздо легче заметить по-настоящему опасный трафик.

файрволлы и маршрутизаторы

Практически в любой сети сегодня установлен как файрволл, так и маршрутизатор для управления трафиком. Я упоминаю их вместе, т.к. методы управления ими схожи. Очевидно, что вам никогда не следует пользоваться установками по умолчанию ни для тех, ни для других. Их настройки, в еще большей степени, чем настройки IDS, требуют тщательной юстировки для удовлетворения нужд вашей сети. Например, если вы купили хай-энд файрволл с технологией защиты от DDoS-атак (вроде обработки попыток соединения до передачи их во внутреннюю сеть), то вам эту технологию понадобится включить. То есть, вам придется поэкспериментировать с новым файрволлом в деле, чтобы разобраться, какие у него есть возможности, и как вы сможете их использовать. Однако, в большинстве своем файрволлы достаточно бесхитростны и просты в настройке. Основное правило – сначала закрываете весь трафик, а затем по отдельности открываете лишь необходимые для вашей организации его типы.
Установка маршрутизатора, а также написание ACL (Access Control List, список управления доступом) – более сложное и запутанное дело. Даже при наличии знаний о том, как правильно сконфигурировать маршрутизационные протоколы типа BGP и OSPF (если у вас соседние маршрутизаторы, с которыми необходимо «общаться»), их корректная установка может оказаться сложной задачей. Правда, после этапа первоначального конфигурирования маршрутизатору понадобиться лишь минимальный уход. Другая сложность работы с ним заключается в написании ACL для определения того, что можно и что нельзя пропускать в сеть. У этих правил есть собственный синтаксис, который можно в некоторой степени сравнить с синтаксисом IPTables. Размещение и порядок этих правил имеет решающее значение для безопасности вашей сети, так что вам стоит с особым вниманием отнестись к их написанию. Желательно, чтобы кто-нибудь просмотрел ваши правила перед их применением. Дополнительная пара глаз может спасти вас от серьезной бреши в защите сети из-за слабо написанного ACL.

программирование

Вам необходимо, как минимум, уметь читать код, а в идеале – и программировать. Способность чтения кода, его модификации (при необходимости), также как умение отладки программ и скриптов – очень важны. Вы можете устроиться на работу, где вам «по наследству» перейдут старые скрипты, которые потребуется обновить или исправить. Навыки отладки позволят вам изучать и анализировать код эксплоитов. Как только вы поймете принцип работы эксплоита, вы сможете испытать его в «лабораторных условиях» и посмотреть, как он повлияет на вашу сеть.
В частности, следует стремиться к хорошему владению языком программирования C, наряду с изучением Ассемблера. Почему? Да хотя бы потому, что большинство эксплоитов пишется на одном из этих языков. Также, в идеале, стоит научиться умело заниматься реверс-инжинирингом /* от англ. «reverse engineering», что в компьютерной сфере означает восстановление алгоритма программы через анализ уже готового, скомпилированного файла – прим. Nickky */ вредоносного ПО. Это поможет в точности разобраться в принципах работы программ.
Правда, тут стоит проблема поиска таких курсов продвинутого обучения. Обучающие фирмы, занимающиеся этой темой, обычно весьма узкоспециализированы, так как они обучают некоторым весьма продвинутым навыкам. Это курсы «обучения учителей». Тут всплывают имена Mike Sues, Dave Aitel и HD Moore в качестве возможных учителей для овладения столь сложными предметами. Я уверен, что они являются одними из лучших специалистов по компьютерной безопасности сегодня.

прочие навыки

Вам следует также хорошо разбираться в операционных системах, работающих на машинах вашей сети: это позволит вам более гибко управлять защищенностью самой ОС и позволит как отражать вредоносный код, так и разбираться с возможными внутренними повреждениями.
Кроме всего прочего, следует ознакомиться с концепцией тестирования на проникновение, ранее известной как этичный хакинг. Проверка уязвимостей в системах, сетях и приложениях может сама по себе быть высоким искусством, да и множество доступных инструментов (вроде Nessus) поможет аналитикам безопасности лучше понять системы, которые они защищают.

мысли о сертификации

В постоянно уплотняющемся рынке труда наличие каких-либо сертификатов будет преимуществом. Очень часто процесс проверки знаний для получения сертификата помогает заодно и закрепить ваши навыки в определенной области. Например, в процессе получения CCNA (Cisco Certified Network Associate – Сертифицированный CISCO Сетевой Специалист) вы обязательно закрепите навыки по установке и ежедневному обслуживанию маршрутизатора. Но это лишь один пример, а их еще много. Огромное количество людей интересуется значимостью сертификатов, их реальным влиянием на процесс трудоустройства. Ответ на вопрос находится вне рамок данной статьи и, в лучшем случае, будет очень субъективным. Однако трудно поспорить с фактом, что сейчас многие компании в своей рекламе по поиску работников прямо указывают требование наличия того или иного сертификата. С учетом этого очевидно, что сертификат поможет в устройстве на работу. Тем не менее, вопрос в том, есть ли у вас необходимые для выполнения работы умения, а не в том, сертифицированы они или нет.
Что случится, однако, если вы обретете все упомянутые в статье навыки? Как улучшать и расширять их в процессе самосовершенствования? Вам стоит найти сертификационный курс, и желательно такой, чтобы в нем была значительная практическая часть. По моему мнению, лучшая техническая сертификация сегодня, как раз со значительной практической частью, это сертификация GIAC. Она широко признана как техническая, требующая от испытуемого при проверке знаний не только сдачи двух экзаменов, но и требования подчинения техническим нормам и стандартам.
Однако не все идут прямиком в сферу сетевой безопасности. Я приведу свои предложения по всем основным сертификациям. К примеру, стоит получить CCNA, который будет символизировать ваше искусное обращение с маршрутизаторами и их умелое ежедневное обслуживание. Пожалуй, стоит также получить один из сертификатов GIAC, в частности, GCIA или GCIH. Первый касается практики обнаружения вторжений а второй – улаживания инцидентов. Оба весьма хороши, так как демонстрируют ваше мастерство в данной сфере. В последнюю очередь я упоминаю MCSE (Microsoft Certified System Engineer – Сертифицированный Microsoft Системный Инженер) только оттого, что большинство корпоративных сетей все еще основаны на продуктах Microsoft, и имеет смысл изучать только те ОС, которые вы будете защищать. Многие несерьезно относятся к сертификатам MCSE, уверяя, что они – «лишь бумажки». Пусть порой это действительно так, я также встречал множество высококвалифицированных MCSE. Для многих людей, и, в частности, нанимателей, – это лишь база, от которой они отталкиваются. И наконец, если вы нацелены на дальнейшую карьеру в качестве менеджера, вам потребуется CISSP. Этот сертификат, базирующийся на менеджменте, признается по всему миру, и при подготовке к сдаче даст вам знания по множеству тем. Пускай можно спорить о том, насколько ценно наличие сертификата (а также спорить о том, какой из них лучше), бесспорно, однако, что лучше иметь хоть какой-нибудь сертификат, чем никакого.

практикум: обнаружена новая уязвимость

Итак, вы только что пришли на работу и готовы приступить к своим обязанностям. Сразу по приходу на работу я проверяю почту и просматриваю выписываемые мной списки рассылки. Мне приходят Vuln-Dev, Pen-Test и Firewall от SecurityFocus. Множество людей также пользуются Bugtraq с огромной базой данных по уязвимостям. Эти и некоторые другие рассылки позволяют мне держать руку на пульсе мировой компьютерной безопасности. Быстро просматривая темы писем, я замечаю одну интересующую меня: похоже, в конце вчерашнего дня была обнаружена новая уязвимость, а также ее эксплоит для популярной ОС. Код эксплоита, похоже, был опубликован на одном из известных сайтов, на которых выкладывают полнофункциональный код (а не примеры, заставить которые работать подсилу только продвинутому атакующему).
Видя, что сеть, в которой я помогаю обеспечивать безопасность, очевидно, будет затронута этим экплоитом, я быстро захожу в консоль управления файрволлом. Глядь, а там уже пара попыток сканирования порта, на котором висит уязвимый сервис. Это немедленно становится предметом моего пристального внимания, так как к нам могли проникнуть уже этой ночью. Файрволл зарегистрировал все эти хиты, и теперь я перехожу к просмотру логов IDS, чтобы узнать, что она зарегистрировала. Похоже, что IDS выкинула серию предупреждений типа «shellcode» по рассматриваемому порту. Дела становятся хуже: скорее всего наши компьютеры не только просканировали, но и пытались послать на них эксплоит.
С учетом всего вышесказанного, мне нужно немедленно сделать две вещи: создать BPF и битмасковый фильтр для IDS, чтобы отбрасывать все приходящие на рассматриваемый порт подозрительные пакеты, а также скачать копию кода эксплоита.
Рассматривая произошедшее как сканирование нашей сети, за которым, по-видимому, последовал заброс эксплоита на определенные компьютеры, я создаю BPF фильтр следующим образом:

-nXvSs 0 tcp and src net 192.168 and src port 135 and tcp[13] = 18

Вышеуказанный фильтр я написал для получения всех пакетов, приходящих на уязвимый порт. Он также покажет мне SYN/ACK-пакеты, возвращающиеся сканирующим машинам. Это позволит мне записать IP-адреса вероятных атакующих для последующих «разборок» с их провайдерами, но только в том случае, если они действительно пытаются взломать нашу сеть.
Теперь я говорю BPF-фильтру передавать мне все пакеты, чтобы видеть реальные данные, проходящие по нашей сети:

-nXvSs 0 tcp and src net 192.168 and src port 135 and tcp[13] = 24

Как упоминалось выше, так я смогу получить все PSH/ACK-пакеты. Эти пакеты будут использованы для доставки самого кода эксплоита, если он есть. Написание этого фильтра позволит мне наиболее эффективно использовать время, анализируя только важные пакеты. На этом этапе «игры» меня не интересует, кто нас сканирует и отправляем ли мы SYN/ACK-пакеты обратно, актуален лишь вопрос, был ли применен против нас эксплоит. Не тратя время на SYN- и SYN/ACK-пакеты, я концентрирую внимание в первую очередь на важных данных.
Пока фильтры отрабатываются компьютером, я захожу на популярный сайт, занимающийся хостингом эксплоитов, в данном случае – на www.k-otik.com. Как только я получаю оттуда копию недавно выпущенного эксплоита, я запускаю его на лэптопе с возможностью загрузки двух ОС, который имеется у меня на работе для таких случаев. Сам лэптоп никак не подключен к сети, т.е. на нем можно безопасно играться с эксплоитами или деструктивным ПО. Я быстро просматриваю код эксплоита и файлы заголовков и понимаю, что он писался на машине под управлением Linux. Я сделал такой вывод потому, что некоторые #include-файлы из кода эксплоита отсутствуют в Win32.
Пытаюсь откомпилировать код, но получаю лишь предупреждения об ошибках. Это немного странно, так как этот сайт известен качеством и функциональностью своих эксплоитов. Я пытаюсь скомпилировать код еще раз, но уже в IDE под Linux. Снова выползают ошибки, но в этот раз я могу использовать свои средненькие навыки в программировании на C для отладки кода. К счастью, ошибки небольшие – введены специально, чтобы отвадить от кода всяческих «script kiddies» /* людей, компилирующих код без понимания, обычно использующих эксплоит впоследствии лишь в деструктивных целях – прим. Nickky */. Пятью минутами спустя у меня появляется работающая копия эксплоита.
У меня на работе есть роскошная возможность использования тестовых машин, которые дублируют наши основные «производственные мощности». То есть, я могу тестировать патчи и прочие заплатки для систем без развертывания их на производственных машинах. Кроме того, я могу тестировать новые эксплоиты по мере их появления, для исследования угрозы, которую они могут представлять для наших компьютеров, а также для изучения поведения машин, на которых был запущен эксплоит. В идеале, на работе должен быть доступ к такому «лабораторному» сетевому окружению. На самом же деле далеко не у каждого есть доступ к таким лабораторным условиям, поэтому можно попробовать просто использовать лэптоп компании для симуляции программного окружения, используемого в компании.
Теперь пора проверить файл, который был создан BPF-фильтром. При детальном рассмотрении PSH/ACK-пакетов я вижу, что однозначно имела место бинарная передача. Так как я еще не проверил работоспособный эксплоит на деле, я не знаю, какой отличительный знак искать в самих пакетах. Под этим я имею в виду, например, «/bin/sh» в ASCII-содержимом пакета, или любой другой подобный знак.
Я возвращаюсь и устанавливаю прямое соединение между лэптопом и лабораторной машиной. После чего я запускаю уже функционирующий эксплоит и направляю его на уязвимый порт лабораторной машины, которая отделена от остальной сети. Оп! и у меня появляется возможность получить доступ к командной оболочке. До запуска эксплоита я указал tcpdump записать полный бинарный лог всех пакетов. Это позволит мне исследовать их впоследствии. Я убиваю полученную оболочку и наблюдаю за следами в бинарном логе. Я использовал следующий синтаксис запуска программы, чтобы получать копии всех отправленных и принятых эксплоитом пакетов:

tcpdump -nXvSs 0 ip and host 192.168.1.101 -w sploit_log

Вышеупомянутый tcpdump-фильтр копирует все пакеты с корректным IP-заголовком и записывает их в бинарный лог-файл «sploit_log». IP-адрес тестируемой лабораторной машины – 192.168.1.101.
Теперь, когда у меня есть бинарный лог и запущенный уже эксплоит, я могу просмотреть сами пакеты и попробовать отыскать в них некоторую характерную черту. Я использую следующий синтаксис запуска tcpdump, чтобы просмотреть созданный файл:

tcpdump -r sploit_log -nXvSs 0 |more

Бегло просмотрев файл, я замечаю, что у самих пакетов нету отличительных признаков, которые я мог бы использовать в качестве сигнатуры для IDS или любой другой полезной для анализа информации. При отсутствии отличительных признаков в ASCII-содержимом и без метрик заголовков, работа становиться чуть более сложной. Теперь мне придется проверить все имеющиеся на руках PSH/ACK-пакеты. Это будет не сверхсложно, так как я отсеял PSH/ACK-пакеты из всей массы трафика.
С полученной информацией я прихожу к руководству и рекомендую им закрыть уязвимый порт на граничном маршрутизаторе до выхода патча от поставщика. Как только выйдет заплатка и будет создана сигнатура для IDS, мы сможем снова открыть этот порт, но до этого момента нам не стоит рисковать. И, наконец, я информирую менеджмент о том, что некоторые наши компьютеры, возможно, подверглись атаке. После чего я удаляюсь для дальнейшей проверки и анализа данных, чтобы подтвердить или опровергнуть факт проникновения в компьютеры нашей сети.

выводы

Как видим, современный аналитик сетевой безопасности для успешного выполнения своей работы должен владеть множеством навыков. Мы подробно останавливались на них, для того, чтобы привести некоторые конкретные примеры в рамках контекста. Был продемонстрован импровизированный день из жизни аналитика безопасности и вы видели, как все эти умения применяются на практике. Причем описанные мной ситуации вполне могут оказаться очень даже реальными. Теперь вам должно быть полностью ясно, что требуется от вас как от профессионала в области компьютерной безопасности.
По достижении профессионализма вы обнаружите, что самостоятельно изучили множество новых вещей. Хоть специализированные курсы тяжело разыскать и они дороги, их стоимость – ничто в сравнении с ущербом от проникновения в сеть, что может послужить хорошим доводом для вашего нанимателя. Я искренне надеюсь, что в статье смог прояснить пользу необходимых для вас умений и посодействовать в стремлении совершенствования навыков. Запомните: при работе в сфере компьютерной безопасности вам придется постоянно учиться – нельзя сидеть без дела.

Дон Паркер, специалист по выявлению атак с сертификатом GCIA. Работает в компании Rigel Kent Security and Advisory Services в качестве инструктора и предоставляет другие специализированные услуги по компьютерной безопасности.
Перевод Николая "Nickky" Щетько,me@nickky.com.