Безопасность в коде: от школьных проектов до защиты мировых корпораций
Как поддержка преподавателей и работа в казахстанских IT-командах помогли молодому инженеру пройти путь от школьной защиты до создания безопасности в глобальных IT-гигантах
За последние пять лет Мустафа Исабаев вместе со своей командой разработал системы кибербезопасности для трех европейских финтехкомпаний. Его инструменты для поиска уязвимостей интегрированы в процессы разработки Onfido, Bitstamp и Veeam Software. Его история успеха началась в казахстанском физмат-интернате, где увлечение информационной безопасностью переросло в профессию благодаря поддержке преподавателей и работе в сильных технических командах.
«В 2008 году на школьном компьютере в физмат-интернате я написал свою первую программу для поиска уязвимостей. Она работала неделю, пока администратор не обнаружил «дыру» в защите и не объяснил, как правильно закрывать такие бреши», — вспоминает Мустафа Исабаев, сегодня ведущий инженер, возглавляющий направление облачной безопасности в Veeam Software. Этот случай определил его профессиональный путь — от исследования компьютерной безопасности в школьной лаборатории до разработки защитных систем для международных корпораций.
В физико-математическом интернате команда преподавателей выстроила системный подход к обучению программированию. «Нам не просто давали задачи, нас учили видеть проблему целиком. Когда я создал свою первую систему шифрования, преподаватель информатики потратил несколько вечеров, разбирая со мной все уязвимости кода. Он объяснил главное: в безопасности нет мелочей», — рассказывает Исабаев.
В Евразийском национальном университете, где Исабаев учился по гранту, он присоединился к исследовательской группе профессора Алтынбека Шарипбаева. «Мы работали над проектами по анализу защищенности казахстанских веб-ресурсов. Шарипбаев научил нас документировать каждую найденную уязвимость и корректно сообщать о них разработчикам. Многие из тех практик я до сих пор использую в работе», — отмечает специалист.
Программа «Болашак», в рамках которой Мустафа выиграл стипендиальную награду, открыла возможность продолжить обучение в Университете Уорвика. Здесь Исабаев вошел в международную исследовательскую группу, изучавшую безопасность банковских систем. «Профессор Сингх Лалли Харджиндр давал нам реальные примеры атак на банкоматы. Мы разбирали их командой — кто-то анализировал сетевой трафик, кто-то исследовал бинарный код, я занимался поиском уязвимостей в криптографических протоколах. Такой комплексный подход оказался бесценным опытом», — делится инженер.
Вернувшись в Казахстан, Исабаев с командой разработали систему выявления мошенничества в одном из крупных банков страны. «У нас была сильная команда аналитиков и разработчиков. За три месяца мы создали модель машинного обучения, которая анализировала поведение клиентов по 20 параметрам. Система помогла предотвратить мошеннических операций на 50 млн тенге за первый месяц работы», — рассказывает специалист.
Работая с open-source проектами, Исабаев обнаружил уязвимость в инструменте Detect-Secrets. «Я доработал механизм поиска конфиденциальных данных в коде. Добавили поддержку новых форматов ключей, улучшили производительность. Сейчас этот инструмент используют тысячи компаний», — объясняет инженер.
В британской Onfido Исабаев автоматизировал реагирование на инциденты безопасности. «Я разработал pipeline, который собирает данные из разных источников, анализирует их и автоматически создает инциденты. Интеграция с системами оповещения позволила сократить время реакции на атаки с 40 до 8 минут», — описывает результаты специалист.
В европейской криптовалютной бирже Bitstamp Исабаев создал автоматизированную систему аудита облачной инфраструктуры. «Этот инструмент проверяет более 200 параметров безопасности в AWS — от настроек шифрования до прав доступа. За первый месяц использования мы выявили и закрыли 180 потенциальных уязвимостей», — рассказывает эксперт.
Исабаев вместе с командой интегрирует искусственный интеллект в системы защиты. «Мы обучили нейросеть выявлять аномальное поведение пользователей. Недавно она обнаружила сложную атаку с повышением привилегий, которую пропустили стандартные средства защиты. Это показывает потенциал ИИ в кибербезопасности», — объясняет специалист.
Несмотря на работу в международных проектах, Исабаев поддерживает связь с IT-сообществом Казахстана. Он проводит онлайн-семинары для студентов, где разбирает реальные кейсы из практики. «В университете нам помогали развиваться, теперь важно передавать этот опыт дальше. В Казахстане много талантливых ребят, им нужно только показать возможности», — заключает инженер.
