Открыть нельзя закрыть. Технический директор проекта Одноклассники Андрей Губа о кибербезопасности в соцсети
5 мин. чтения
Xakep.ru побеседовал с техническим директором Одноклассников, чтобы узнать о том, как работает команда безопасников в социальной сети, как в нее попасть и как она сохраняет баланс между безопасностью и эксплуатацией системы.
О себе
Я работаю в компании почти десять лет. Я из маленького латвийского городка — Вентспилса. Айтишником я, наверное, стал под влиянием родителей — мой отец когда-то был разработчиком. И в старшей школе я уже работал у него в IT-компании младшим техническим специалистом — ездил по компаниям, обслуживал компьютеры, протягивал кабели, проверял на вирусы. Тогда в начале девяностых уже были вирусы, хоть и интернета не было. Потом перебрался в Ригу, где пошел учиться на управленца, но интернет меня все-таки перетянул.
Через два дня после сдачи диплома я вышел в местную компанию, интернет-провайдера, где я проработал восемь лет: обслуживал серверы, придумывал и запускал новые сервисы. После этого меня позвали работать админом в популярную латвийскую социальную сеть One.lv, а в 2010 году я перешел в Одноклассники. И в ОК я был сначала админом и старшим админом, потом руководителем отдела, и сейчас я технический директор социальной сети.
О команде
Это сейчас в Одноклассниках 71 миллион пользователей в месяц и 1,3 Тб/сек внешнего трафика. Огромная высоконагруженная и отказоустойчивая система. А тогда ОК были стартапом, к которому очень быстро пришла популярность: мы росли на десятки и сотни процентов в неделю, только-только успевали масштабировать инфраструктуру.
Как правило, на этапе стартапа вопросам кибербезопасности уделяется не так много внимания. Главная задача у всех — расти. И в Одноклассниках в тот момент не было отдельной команды безопасников – этими вопросами занимались админы. Исходя из своего опыта придумывали правила работы и устраняли уязвимости. Но мы выросли и стали собирать отдельную команду безопасности, хотя костяк заложили опять же из администраторов, так что свою культуру работы мы сохранили.
В ИБ мы специально не берем людей из энтерпрайза, госорганов и банков. Там все строго по процедурам: купить, настроить «железку» и смотреть логи. В масштабах соцсети классические решения для энтерпрайза не подходят, и нам нужно, чтобы человек мог находить нестандартные решения, постоянно развиваться и делать шаг в сторону.
Нужен опыт программирования и разработки. Человек, который хочет пойти к нам работать, должен уметь читать код, писать код и ориентироваться в ядре Linux. Мы часто сами пишем свои инструменты, скрипты и системы автоматизации.
Нужен опыт системного администрирования. Ребята должны сами работать на продакшне и понимать, как происходит эксплуатация. В нашем случае мы даже тех специалистов, что приходят в ИБ, прогоняем через курс системного администрирования.
У нас есть свой «курс молодого бойца» — сложившийся курс для админов по технологиям, процедурам, правилам и инструментам. Мы вводим человека в курс дела: он выполняет несложные задачи, но постепенно вливается в процесс и выходит на дежурства.
Конечно, у нас есть база знаний, в которой можно посмотреть информацию о каждом сервере: что делает, в какой сети находится, с какими приложениями работает. Но в любом случае новый человек, который приходит в безопасность, должен со всем этим ознакомиться и понимать, как система работает на самом деле, «потрогать» все своими руками.
Можем взять и молодого и талантливого специалиста без опыта работы, если он докажет свой талант: покажет коммиты на «Гитхабе» или другие свои проекты. Это, кстати, касается и системного администрирования.
Мы брали в команду и бывшего хакера. Это интересно, когда в команде есть человек, который на все смотрит с обратной стороны, своим хакерским взглядом. Он не совсем «блэкхэт», но тем не менее в команде постоянно была борьба. Мы продолжаем с ним работать на аутсорсе по репортам, но уже не в команде.
О тренингах внутри компании
Внутри компании мы постоянно проводим обучение, повышаем осведомленность сотрудников в вопросах ИБ. Недавно у нас была серия лекций: одни (самые хардкорные) — для админов, другие — для разработчиков, третьи — базовые вещи об информационной гигиене для всех остальных сотрудников. Поскольку помимо тех, кто работает с IT, у нас есть маркетинг, пиар, дизайнеры, и другие отделы.
Недавно мы проводили учения: рассылали фейковые письма, раскладывали флэшки. И многие сотрудники попадались на эти уловки с социальной инженерией — там было красивое письмо с просьбой перейти по ссылке и ввести свой пароль. Так что мы работаем не только с конечными пользователями, но и с нашими собственными сотрудниками.
Об инцидентах
Нас постоянно пробуют, щупают — это как взятие флага. Как и у любой крупной IT-компании, у нас регулярно происходят небольшие инциденты разного уровня сложности: DDoS- атаки, попытки взлома, сканы и поиски уязвимостей.
Мы работаем с представителя хакерского сообщества, например, в рамках программы bug-bounty на платформе HackerOne. За первый год работы на платформе мы заплатили 20 000 долларов, сейчас там уже выплат на 30 000 долларов.
Но ничего серьезного с утечкой данных или нарушением работоспособности системы никогда не было. Дело не в том, что нет серьёзных атак, просто мы стараемся смотреть наперед, развивая свою инфраструктуру, оцениваем все новые сервисы с точки зрения безопасности и рисков. При необходимости модифицируем код, наши инструменты и процедуры.
Самые критичные данные мы храним в системах, которые написаны нами — они масштабируемы, отказоустойчивы и безопасны.
«Закрыть нельзя открыть» — для меня, как для технического директора, каждый раз дилемма, где поставить запятую. Одноклассникам уже 11 лет, и здесь большое наслоение сервисов, серверов и технологий. Постоянно появляются новые продукты, новые точки взаимодействия с партнерами. Чтобы сохранить баланс между безопасностью и эксплуатацией (нам же надо, чтобы код писался и вовремя выкатывался), мы максимально автоматизируем все процедуры: открытие доступов, закрытие доступов, контроль. И минимизируем ручную работу — и для безопасников, и для тех, кто пишет код и работает с продакшном.
