F.A.C.C.T. Кибербезопасность мирового уровня

Компания была основана в 2003 году как частное кибердетективное агентство (на тот момент она называлась Group-IB) и за 10 лет прошла пусть от стартапа до технологического вендора мирового уровня. В 2023 году в результате диверсификации международного бизнеса на российском рынке появился новый независимый бренд F.A.C.C.T. (Fight Against Cybercrime Technologies), в котором, впрочем, сохранились и экспертиза, и разработки, и сотрудники.

В ее активе:

• 1000+ расследований киберпреступлений, ликвидаций преступных групп и задержаний киберпреступников совместно с полицией;
• прекращение в России атак через эксплоит-киты и банковские трояны (во многом это заслуга именно F.A.C.C.T.);
• создание первого частного СERT в России, вывод на рынок ряда новых услуг — компьютерной криминалистики, киберразведки, антифрод-аналитики и др.;
• 40+ патентов в области выявления и предотвращения угроз.

Работа в F.A.C.C.T. позволяет прикоснуться к передовым практикам и получить экспертизу мирового уровня в кибербезопасности. «А еще у нас своя особая романтика: работа с закрытыми данными и защита компаний и целых стран от киберпреступников», — добавляет бизнес-руководитель направления киберразведки Евгений Чунихин.

В мире постоянно появляются новые угрозы, и F.A.C.C.T. тоже масштабируется: обычно в компании открыто 50–80 вакансий одновременно. Здесь ждут тех, кто хочет заниматься кибербезопасностью на мировом уровне и готов быстро расти.

Чем занимаются в F.A.C.C.T.: TI и ASM

Флагманский продукт компании — Threat Intelligence (TI), система киберразведки и мониторинга активности злоумышленников. TI содержит обширную, постоянно обновляемую библиотеку профайлов киберпреступных групп и персоналий, а также уникальные коллекции атрибутированных данных. Это позволяет предугадывать действия хакеров и мошенников; клиенты F.A.C.C.T. проактивно получают исчерпывающую информацию об угрозах и готовящихся атаках, чтобы предотвращать самые сложные инциденты —— как в автоматическом режиме, так и прибегая к методам расследования, используя TI в качестве инструмента.

Основа ИТ-развития компании — безопасность. Но зачастую безопасность инфраструктуры ограничена работой с внутренними инцидентами и не поспевает за внешними трендами злоумышленников, что в свою очередь вынуждает экспертов реагировать уже на случившиеся инциденты. А киберразведка позволяет найти причины и вскрыть связи, ведущие к новым, еще не случившимся, инцидентам, что делает управление и минимизацию киберрисков гораздо эффективнее.

На базе TI создан и другой ключевой продукт — Attack Surface Management (ASM, сканер поверхности атаки). Каждые сутки ASM сканирует весь интернет (буквально), находит внешние IP и домены клиента и показывает имеющиеся на них проблемы: уязвимости, «утекшие» аккаунты, данные в даркнете и т.д. Клиенты ASM получают предупреждение об угрозах и об ИТ-уязвимостях, которые надо закрыть прямо сейчас.

На основании анализа внешнего периметра инфраструктуры Заказчика система ASM позволяет инвентаризировать и определить все слабые места цифровой активности компании. Это помогает своевременно подготовиться и отразить сложные угрозы, закрывая бреши в периметре.

Технологии компании и уникальная база данных, работа над которой началась еще в 2003 году, открывает сотрудникам F.A.C.C.T весьма интересные источники информации: Deep Web, Darknet, закрытые форумы и мессенджеры хакерских группировок и так далее. Данные сортируются и правильно атрибутируются, прибегая к каноничному стандарту меппинга данных на MITRE ATT&CK, а собственный графовый анализ позволяет выстраивать связи между скомпрометированными узлами и злоумышленниками. «Как-то TI помогла большому банку отразить масштабную атаку, которую группа хакеров готовила в течение многих лет. Наша система позволяла постоянно отслеживать действия злоумышленников. Мы были на шаг впереди, а у них была иллюзия, что все идет по их плану. В итоге банк предотвратил серьезный инцидент с кражей денег, а хакерская группа была деанонимизирована», — рассказывает Евгений Чунихин. У F.A.C.C.T. много подобных историй — но они не для публичной огласки.

Традиционный стек, специфические подходы

Может показаться, что для работы в такой компании нужно быть суперпродвинутым специалистом. Это не так. Главное помнить, что миссия компании — Борьба с киберпреступностью.

Да, в F.A.C.C.T. есть эксперты по вредоносному ПО: аналитики web-угроз, botnet-хантеры, reverse-инженеры и др. Им действительно нужны специфические знания и опыт исследований — впрочем, и на эти позиции компания готова рассмотреть кандидатов без профильного опыта, но с искренним интересом к инфобезу (остальному научат). Но гораздо больше сотрудников работают в продуктовых командах и занимаются разработкой, тестированием, аналитикой. Их задачи описаны понятным разработчику языком, и их можно решать без специфических знаний в сфере ИБ. А если что-то будет неясно, коллеги помогут погрузиться в отрасль, дадут рекомендации и покажут все на примерах.

Технологический стек — актуальный и достаточно универсальный. Так, один из востребованных на рынке продуктов ASM написан на Go (кое-где Python). Используется TypeScript и React на фронте, Elasticsearch для полнотекстового поиска, брокеры сообщений RabbitMQ и Cassandra, Kubernetes и Docker для развертывания приложений... Отраслевая специфика заключается не в технологиях, а в подходах.

Например, специфика ASM — в объеме исходящих запросов и обработки данных. Нам надо за 24 часа просканировать весь интернет так, чтобы нас не заблокировал провайдер, мы не положили клиентов и не легли сами. В частности, в ASM есть функциональность для проверки: присутствует ли админская логин-форма на различных ресурсах. Если проверять логин-формы просто по списку доменов/поддоменов по конкретному клиенту, может за короткое время прилететь столько запросов, что его инфраструктура ляжет (касается маленьких компаний). Мы не хотели сильно переписывать продукт и нашли простое решение: анализировать записи из базы вперемешку, «размазывая» нагрузку на каждого конкретного клиента по всему времени сканирования. Это защищает клиентов от перегруза, а проверка проходит в срок.

Быстрый рост в позициях и скиллах

Сложные задачи в сочетании с атмосферой поддержки, когда коллеги готовы помочь решить нерешаемое, делают возможным быстрый рост в скиллах. Когда сотруднику интересно брать все более сложные задачи и расти в знаниях, он так же быстро растет в позиции и доходе.

Есть компании, где после онбординга полгода ждут доступа в репозиторий и получают за это зарплату. У нас по-другому: есть возможность показать свои умения, брать на себя и выполнять сложные задачи и пожинать плоды в виде признания и роста (во всех смыслах).

Самая быстрая дорога к росту — принять ответственность за модуль или раздел. Это позволяет пройти значительный путь сразу в нескольких смежных областях: разработке, архитектуре, логике пользователей и т.д. — и ускоряет профессиональный рост как в роли разработчика, так и менеджерский. Вместе с ростом приходит еще больше ответственности и знаний, и вот через 3–5 лет бывший джун объективно дорастает до middle+, senior и лид-позиций.

У нас много примеров быстрого роста, в основе которого лежит искренний интерес к работе. Скажем, тестировщик начал с автоматизации своих задач. Вскоре его стали подключать к относительно простым задачам по разработке новых фич. Шаг за шагом он перешел в разработку, причем сразу на позицию миддла. Есть младший аналитик, который за три года возглавил подразделение, пресейл-менеджер, за полтора года выросший в технического руководителя продукта, и другие похожие истории.

Эксперт, лид, звезда, стартапер. Пути развития в F.A.C.C.T.

В F.A.C.C.T. доступно несколько основных путей развития. С первыми двумя все понятно: есть возможности для быстрого роста в качестве эксперта и тимлида/техлида (кстати, почти все руководители команд F.A.C.C.T. выросли внутри компании).

Помимо этого, доступны внутренние переходы между департаментами и ролями: из DevOps в разработку, из разработки в вирусные аналитики и так далее. Чтобы сменить трек, достаточно пообщаться с лидом целевой команды и выявить области знаний, которые нужно подтянуть. Потом прокачаться на внутренних и внешних курсах или с коллегами-наставниками, повторить собеседование — и перейти.

Я начинал в киберразведке: писал парсеры, связанные с шифровальщиками. Мне нравилось расследовать атаки, но года через полтора я понял, что застрял и занимаюсь одним и тем же. И я перешел на пресейл-инженера. В этой роли код вообще не пишешь, зато общаешься с клиентами: рассказываешь им о продуктах и в ответ узнаешь, что думают они. А позже, благодаря миксу опыта в разработке и в бизнесе, я стал техническим руководителем направления.

 

Даже если человек устал от текущих задач, в компании точно найдутся вакансии, куда он прекрасно впишется. Вот как в случае Николая: кто расскажет клиенту о продукте лучше, чем человек, который сам его написал? При этом экспертиза перетекает между отделами, привносится свежий взгляд на привычные вопросы — и рождаются новые, более эффективные способы решать наши задачи.

Также можно запустить стартап внутри компании. За большинством нынешних продуктов стоит конкретный автор, который когда-то предложил автоматизировать часть системы. Со временем из автоматизации вырос продукт, а из него — отдел. Например, когда-то сотрудник команды Managed XDR увидел потребность в анализе почтового трафика с облачных сервисов. Через несколько месяцев его идея выросла в отдельный успешный продукт Business Email Protection, а автор возглавил созданный под него отдел.

Поскольку в F.A.C.C.T. живет по принципу «Делаем!» (а не «Согласовываем...»), идеи развиваются без проволочек. Если руководитель и команда считают идею полезной, автору без долгих процедур согласования выделяют время и ресурсы под MVP. А если идея «выстрелит», как правило, автор же и возглавит новое направление — ведь он знает его лучше всех.

Еще в F.A.C.C.T. очень хорошая база, чтобы прокачать личный бренд: есть крутые продукты и нетривиальные задачи, о которых можно интересно рассказать, есть поддерживающая среда и сильные коллеги-менторы, а сам бренд — с впечатляющими медийными возможностями. Компания предоставляет поддержку — от помощи в публикации статей на серьезных площадках до имени в патенте, если сотрудник сыграл важную роль в создании нового решения.

Чтобы расти, нужно учиться, и обучение организовано не совсем обычно. С внешними курсами все как у всех ведущих компаний: если команда и тимлид считают, что обучение сотрудника пойдет на пользу проекту, компания полностью его оплачивает. Но далеко не все, что требуется F.A.C.C.T., можно найти на внешних курсах, и специфика компании требует усиленного внутреннего обучения. На внутреннем портале есть курсы по продуктам и конкретным ролям, например «Вирусный аналитик». Их проходят не только новички, но также сотрудники, которые хотят перейти в новую роль или повысить квалификацию и шире смотреть на свои текущие задачи. «Часто разработчики и тестировщики проходят курс аналитики Threat Intelligence, чтобы лучше понять ценность своей системы со стороны юзера или аналитика и применить знания в основной роли», — приводит пример Ульяна Тарасевич.

«Лига справедливости», или Что ценят друг в друге люди F.A.C.C.T.

Как и везде, в F.A.C.C.T. новичку легче «влиться», если он разделяет ценности компании и своей команды.

Первой ценности можно дать условное название «нести справедливость». Формулируют ее по-разному, но суть одна:

Главное качество, даже важнее аналитического склада ума, — отзывчивость, потому что наша задача — помогать людям, компаниям, странам делать мир чище и избавляться от злоумышленников.

 

Мы нетерпимы к несправедливости, в частности к киберпреступлениям.
 

Вторая ценность, необходимая для успешной работы, — умение слышать и понимать коллег. Сотрудники F.A.C.C.T. видят друг в друге личностей со своими интересами, умеют их учитывать и готовы поддерживать друг друга. Когда команда — это не случайно собранные люди, а сообщество интересных людей на одной волне, в ней часто рождаются красивые и неожиданные решения сложных проблем. И конечно, в такой атмосфере комфортнее работать.

Когда-то, семь лет назад, я ушел из компании. И через полгода вернулся, потому что понял: в других компаниях такого коллектива не найти.

Еще ценится самостоятельность, инициативность, гибкость и умение решать задачи нестандартно — в работе F.A.C.C.T. часто бывают ситуации, когда иначе никак. Очень полезен аналитический склад ума — склонность принимать взвешенные решения на основе фактов и данных. Профильная экспертиза, конечно, тоже важна и полезна. Но, во-первых, ее можно наработать уже в компании (для этого есть инструменты), а во-вторых, не на всех вакансиях критично иметь особые «скиллы киберразведчика». Например, для разработчиков продукты F.A.C.C.T. — это просто предметная область с нестандартными, инженерно сложными и интересными задачами.

Условия. «Джентльменский набор» современной ИТ-компании

В плане компенсаций F.A.C.C.T. соответствует другим лидерам ИТ-рынка. Зарплата — рыночная, с регулярными пересмотрами дважды в год: в компании считают, что за полгода как раз успевают проявиться улучшения в уровне и качестве работы сотрудника, так что можно проводить пересмотр. Правила оценки этого уровня у каждой команды свои, потому что специфика команд и ролей, например Darkweb-аналитика и Frontend-разработчика, сильно отличается.

Компенсационный пакет выглядит привычно для ИТ: премии, ДМС, фрукты в офисе, регулярные корпоративы, спорт и киберспорт и т.д. Из необычного — любимые сотрудниками фаст-дринки («Это сбор на коктейль после рабочего дня в кабинете у гендиректора, чтобы расслабиться, пообщаться и в неформальной обстановке обсудить новости,» — объясняет Ульяна Тарасевич). Что касается гибкого графика и удаленки, они возможны по желанию сотрудника — главное, чтобы не срывали работу команды.

Итоги. Три кита F.A.C.C.T.

Три ключевые особенности F.A.C.C.T. — это:

• Уникальные высокотехнологичные продукты и связанные с ними интересные, сложные задачи. Атмосфера соответствующая: «Здесь я горжусь тем, что создаю и развиваю нечто новое. Компания легко выделяет полномочия и ресурсы для решения сложных и творческих задач и не умалчивает твою роль в достигнутых результатах, — говорит Евгений Чунихин. — Экспертиза и опыт в таких условиях нарабатываются быстрее и оказываются более ценными, чем в других известных мне местах».
• Коллектив, в котором принято слышать и помогать друг другу.
• Высокая самостоятельность и возможность влиять: на процессы в своей области, на компанию в целом, а через инновационные глобальные продукты — на жизнь и работу сотен тысяч пользователей, а также на другие компании и даже страны.

Если вам интересно расти в сфере кибербезопасности, решать масштабные сложные задачи на мировом технологическом уровне и вам подходят ценности F.A.C.C.T. — присоединяйтесь!