Сучасна диджитал-освіта для дітей — безоплатне заняття в GoITeens ×
Mazda CX 30
×

Кібербезпека і український IT-ринок

Привіт,
Я студент 3 курсу одного із львівських університетів, за спеціальністю «управління інф. безпекою» або як це зараз кажуть по-модному «кібербезпека». До слова, напрямок обирав сам,хоча і не без впливу тодішньої хвилі «хайпу» навколо цього напрямку.

Коротко про саме навчання: вчуся на четвірки,сама спеціальність мені дійсно подобається.

Загалом, не хочу лити багато води,то скажу прямо:
Весь період навчання особливо не цікавився ситуацією українського айті-ринку,але сьогодні для мене це питання стало досить гостро.
Які існують перспективи працевлаштування після закінчення навчання і чи взагалі вони є? Тому що, судячи з моніторингу ваканцій на популярних сайтах, можна впевнено сказати що вітчизняним компанія начхати на ІБ. Чи можливо я не там шукаю? Або ж і взагалі не в тій країні?

Гадаю Ви зрозуміли хід моїх думок.

Що порадите? «Стаді хард» і стати професіоналом своєї справи? (якщо так то порадьте хороші інтернет-ресурси чи книги). Чи паралельно вчити щось інше (веб, до прикладу) так сказати для «підстраховки»?

👍ПодобаєтьсяСподобалось0
До обраногоВ обраному0
LinkedIn
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter
Дозволені теги: blockquote, a, pre, code, ul, ol, li, b, i, del.
Ctrl + Enter

Агоу, народ — кто там по секьюрити спец, проникновений мастер? Отпишитесь, вакансия есть
www.dataart.ru/vacancy/scn007

Итить там требования, не знаю куда тратить столько, как там платить должны..

У вас есть какой-то экспириенс хотя-бы по части того, что просят ?

Можете мне резюме свое скинуть — я дальше проброшу, думаю не обязательно все прям 100% уметь.

У меня нет разговорного английского. Мой уровень elementary, потому, спасибо, но в большие компании мне в ближайший год вход закрыт )

Все равно могут быть варианты со слабым английским, если это внутренние проекты, например.

HR в Воронеже?
Спасибо, но российского менеджмента уже наелись досыта.

HR там, где вы захотите, у нас офисы в Днепре, Киеве, Одессе, Херсонt , Львове, Харькове.. может еще где-то и я забыл)

В смысле — вакансия в Киеве? Линейный менеджер?
Годовые ревью кто проводит?

Вакансия где вы находитесь, в ближайшем офисе я думаю, команды распределенные бывают, тех. ревью раз в пол года можно проходить, его может проводить как человек из Украины так и из России, главное чтобы вы с ним не пересекались, там рандом, бывают еще варианты через отзывы с проекта и тому подобное.

Вопрос не в специалистах или группах, в которых работаешь, а именно в непосредственных менеджерах. Которые принимают организационные решения.
Откуда они для данной должности?

Для этой должности техревью как такового нет — все, что аудитор делал по умолчанию полностью документировано (т.к. документы и есть результат его труда), а квалификация четко подтверждается сертификациями (оплачиваемыми компанией и действующими обычно 3 года).

Почему нет тех.ревью ? Если в компании есть хоть один спец по этому профилю он сможет прособеседовать по набору знаний и опыта, никакой эксклюзивности тут нет.

При собеседовании на должность изначально ревью, разумеется, есть как часть процесса найма. Потому как те самые документы с результатами аудитов соискатель представить не сможет по причине их строгой конфиденциальности.
А вообще аудиторы больше похожи на адвокатов или нотариусов по сути работы (работают либо самостоятельно либо максимум вдвоем когда объем большой) и из градаций у них только «помощник аудитора» и «аудитор». Помощник никогда не не работает сам и полную информацию о его скилах в любой момент может предоставить его наставник.
А т.к. никаких «сеньоров» и «тимлидов» у аудиторов нет, то периодичекое ревью его скилов будет не более, чем спором двух одинаковых по скилам специалистов, что одинаково унизит обоих и не более того.
Поэтому мерилом обычно и являются сертификации и их подтверждение-продление. Они в купе со специалистом и продаются клиенту, кстати. А заодно подтверждают квалификацию самого специалиста.
В некоторых компаниях бывают еще внутренние треннинги и ежегодные экзамены, но это совсем «большие» вроде Большой 4-ки, BSI, NIST, где аудиторов сотни.

А вот чисто менеджерское ревью, где оценивается не квалификация, а всяческие софтскилы и там удовлетворенность сотоварищи, по результатам которого пересматривается оплата и соцпакет либо принимается решение об увольнении — его кто для аудитора в киевском офисе будет проводить? И за кем будет окончательное решение?

Хотя если есть сертификат то и собеседовать не надо, если эти сертификаты валидны.

насчет русского менеджмента на проектах — такое бывает, но все вменяемые люди, нареканий нет.

+7
Это разве не в Рахе?)
// тред не читай @ сразу отправляй

у нас компания распределенная, без разницы, можно и в Украине.

почитай про етичний хакінг, penetration testing, security testing, OWASP

Я учился по специальности «Системи технixчних засобiв iнформацii» на факультете защиты информации (теперь это кибербезопасность) в ДУТ в Киеве.
Что могу сказать, уровень обучения остался еще на уровне годов 80-х.
Хотя были неплохие преподаватели, но программа к сожалению очень и очень отстала.
Лично у меня есть ощущение что хотели сделать хорошую специальность по безопасности, ну а получилось как обычно.
Программирование — ноль, учили электронику аналоговую, но в современном мире это как то не особо, до цифровой электроники по факту мы даже не дошли.
На выходе диплом по безопасности, только вот работы профильной нету практически или вообще, как и знаний..
Я не знаю как сейчас (я заканчивал пару лет назад) и тем более во Львове, но боюсь что все примерно так же...
Поэтому ответ на твой вопрос: учи программирование, не суть важно какой язык, в любом случае пригодится. Ну и если все-таки если мысли идти в безопасники/девопсы — то изучай AWS, это по-сути стандарт в ИТ индустрии.
И если хочешь действительно стать специалистом — иди работать, админом или кем-то еще, не суть важно, важно получить опыт, без него увы никуда не возьмут.
Надеюсь было полезно, удачи!

alert(’может быть как прикладной профиль?’)

Вчусь на кібербезпеці , 4 курс (ну як кібербезпека , то тепер так називається , а стара назва Безпека інформаційних і комунікаційних систем). І теж в ЛП. Знайди краще спосіб спочатку заробляти на хліб (PHP, Front-end і тд) , або піди в сісадміни (бажано в ІТ компанію , бо на всяких заводах буде сісадміном...промовчу) . Можеш попробувати DevOps (всякі Елекси , Софтсерви проводять курси) , але мінус що вони переважно беруть з досвідом адмінства (ну в мене 3 з групи повезло без досвіду пролізти на курси , мені на жаль не дуже повезло , так як не було досвіду з AWS і тд) . А потім копай паралельно кібербезпеку , бо вчити треба довго (та й просять різні сертифікати на роботу)

Старі ДСТУ, НД ТЗІ та примітивні закони та ін. нормативні документи у цій галузі. Одна сторона -
універ, а інша — практика, яку непросто віднайти на пристойному рівні. Великі фірми з підрозділами ІТ-безпеки або ж — за кордон. Впроваджуватися у цю сферу без відповідного оточення — утопія. Варіант — Дерспецзв’язок, Кіберполіція, CERT-UA, але це може бути досить нудно через можливо повільний шлях. Та й на держслужбі спеціалізацію можна загубити, а вилізти потім у бізнес — забудь.

Я свічнувся з безбеки в розробку саме через відсутність адекватних вакансій в Україні. Цікавився як йдуть справи «після пєті» — пошуміли й розійшлися. На сьогоднішній день єдиний варіант розвиватися в безпеці — релокейт

Вакансії, звісно ж, трапляються. Але їх кількість в межах статистичної похибки у порівнянні з вакансіями девелоперів. Нажаль.

Если интересно — скидывайте резюме проброшу нашим эйчарам :)

Дякую, я вже в Java гарно себе почуваю

Вопрос в том, как осуществить этот релокейт не имя достаточного опыта и навыков...

Вы имеете ввиду получение соответствующего образования за границей или просто наличиее соответствующего образования на данный момент? Что такое к.о.?

Профільні сертифікати. Коли араби пропонували позицію, їх цікавили сертифікати по FireEye

Ну... Путати кібербезпеку і «управління інформаційною безпекою»...
Спеціалісти по кібербезпеці потрібні. Це можна органічно комбінувати з роботою сісадміна (власне на них основне навантаження і лежить).
А от інфобезпека це штука більш комплексна і складна. Бо там в кінці кінців трбеа робирабися в усьому — від культури коллективу до архітектури продукту. Ну і разом з законодавством країн в яких знаходяться клієнти.
І так, на жаль аутсорс не дуже зацікавлений ні в кібербезпеці, ні управлінні інформаційною безпекою. Але роботу знайти можна.

Аутсорс сам поддерживает для себя ИБ на достаточном уровне там где это нужно, иначе они не работали бы с топ банками типа дойче и юбс..

Ну обычно то что на аутсорсе особо на ИБ влияния не имеет. Или есть четкие границы. Комплексо ИБ упрявлят таки инхауз. Ну и там где таки требуется что-то (типо vulnerability management) бывают феерические приколы, да.

Как человек проработавший админом больше 10 лет, могу сказать, что обращения к руководству, как к высшему, так и к низшему по вопросам безопасности часто выливается в — «Сделай, что бы было безопасно но для пользователей ничего не поменялось», «А когда же работать, если мы пароли будем вводить?», «Что значит менять пароль каждые 3 месяца? Да я старый 3 месяца запоминал», «А если %Name% заболеет, я что, не смогу в его компютер(не опечатка) войти?», «Да пусть сидят в фейсбучке(ведь я тоже там сижу, а если блочить то всем)..», «А 1Сник говорит, что только под админом, не спорь, он лучше знает».
Но когда это все говорит не какой-то там админ, а «Специалист по кибер безопасности и противодействиям интернет угрозам», то это звучит солидно, все кивают головой, и говорят — «надо так надо, мир жесток, зима близко..». Ну и часто админы делают как проще, а не как нужно, в силу отсутствия ответственности.

В этом нет ничего удивительного для аутсорса. Т.к. ИБ всегда в «коре» компании и с подрядчиками общается только в крайнем случае. Тем более заграничными.
Впрочем — в украинских реалиях она часто весьма номинальна и не выполняет даже минимального объема необходимых функций.

Это феномен не кибербезопасности, а её отсутствия. Но поскольку словечко модное, то компании разумеется это реализуют в карго-культ. Система образования сделала в аккурат то же самое.

В этой стране ещё много чего такого. А ключевая проблема одна: менеджмент, который считает что должность — это место для толстой задницы, чтобы её лизали снизу. А совсем не место, которое требует высокого образования. Гуманитарного, кстати.

Тяжелый же у Вас опыт...

Люди умеют учиться на чужом опыте. Кроме тех, кто долбит дерево.

сама спеціальність мені дійсно подобається
Весь період навчання особливо не цікавився ситуацією українського айті-ринку

Самі собі суперечите, я думаю саме в цьому проблема.

Хіба це важко виправити? Чи ти сам не третьому курсі собі не суперечив?

Або ж і взагалі не в тій країні?

this.
Местный ИТ рынок в основном аутсорс. С безопасностью есть 2 варианта: она либо не волнует либо ей занимаются инхаус а не аутсорсят черти кому черти куда.

Що порадите? «Стаді хард» і стати професіоналом своєї справи?

Звістно так. Це серйозна і цікава галузь. Якась робота в Українському аутсорсингу на цю тему є. Іноді в вакансіях зустрічається в вимогах.

(якщо так то порадьте хороші інтернет-ресурси чи книги)

courcera Курс Дена Балаха. для початку.

Чи паралельно вчити щось інше (веб, до прикладу) так сказати для «підстраховки»?

Та конечно да, что за странные вопросы вообще? Как бы безопасность безопасностью а код писать уметь надо, без этого ты скорее всего не нужен.

А можно поподробнее? Просто интересно стало, а гуглопоиск последнее время стал дико наркоманить — prnt.sc/gapu6p
На курсере тоже не нашел, не уверен что знаю как на латинице правильно пишется имя и фамилия.

Если серьёзно, то кибербезопасность и системное администрирование — по сути одно и то же. Львиная доля работы администраторов — именно безопасность. Если бы не этот «маленький» нюанс — мы бы до сих пор сидели на Windows 98, ни в чём себе не отказывая. И публиковали электронную почту на каждом заборе.

Вопрос только по какую сторону баррикад хочешь находиться.
Ну и вечный вопрос нормальной работы: ингл спикиш ду ю?

Если серьёзно, то кибербезопасность и системное администрирование — по сути одно и то же. Львиная доля работы администраторов — именно безопасность

рукалицо

Админ то на дуде игрец, тут спору нет, но кибербезопасность это же не только это. У нас к примеру любой «продукт» (в том числе и внутреннего использования) проходит аудит безопасников. Начинается этот аудит с моделирования угроз, анализа используемых средств (нам к примеру кучу самодельной криптологии в свое время забанили), формирования бест практис, какого-то аудита используемых опенсорс библиотек... И заканчивая пенетрейшен тестингом готового продукта.
Другое дело что мало кто таким заморачивается, и ещё меньше людей отдают такое на аутсорс...

Но из это никак не следует, что львиная доля безопасности работа администраторов, правда?

Существуют белые вороны. Следует ли из этого что все вороны белые?

Администраторы соприкасаются в своей работе с безопасностью, но специалист по информационной безопасности это не администратор, это другое.

Если судить по нашей деревне — то именно так.
Если по объему области знаний — то администрирование это маленький подраздел на границе этой области.

Так єто уже не КИБЕРбезопасность. Елси взять к примеру контролы PCI DSS то там админ процентов за 80 отвечает.
И без умного админа следящего за дырками, правильно конфигурящего и т.п. что-то построить сложно.

Вот тут уже я поплыл по терминологии, Я считал что кибербезопасность и нифобезопасность это одно и то же.

Кибербезопасность это обесепчение безопасности ИТ систем, а инфобезопасность это обеспечение безопасности информации предприятия ;). См. ниже ссылку на статью кот-я это объясняет.

Когдя я впервые столкнулся с инфобезопасностью ( и по сути нас ей обучали тоже) то никакой кибербезопасности не было ;). Секретная библиотека, прошитые и пронумерованные тетради, чемоданчики с личными пломбами вполне себе обеспечивали CIA :)

Елси взять к примеру контролы PCI DSS то там админ процентов за 80 отвечает.

Нет. Админы там отвечают только за эксплуатацию. И в стандарте немало мест, где предписывается контроль действий самих админов.
Если прикладная система не реализует ту же парольную политику (вот просто нет в ней функционала смены пароля либо сравнения с предыдущими либо контроля сложности), то каким боком тут админ? Если СУБД не умеет шифровать таблицы или tablespaces — как тут админ поможет? Админы, как и сетевики, участники процесса но в их функции не входит ни управление ни контроль.

Да? Ну давай, расскажи как применил дефолтные настройки. Как запустил базу данных из-под рута с открытым всему миру портом. Как реплицировал данные открытым каналом. Как положил резервную копию «в облаке». Как поднял Asterisk c прямым подключением к провайдеру. Как включил php с логированием ошибок в страницу, забыв прижучить небезопасные функции. Как назначил пароль совпадающий с номером телефона. Как назначил всем файлам rwx—r—r по умолчанию.
Отдельно расскажи как забыл сделать резервную копию чего-либо.

И действительно, причём тут безопасность? Надо быть оптимистами! Мы все можем быть оптимистами... пока у нас есть спецы по кибербезопасности.

Да? Ну давай,

Уже.
Я там чуть одним постом выше написал где начинается кибербезопасность по-взрослому. А Админы.. ну что то и про безопасность знать тоже должны, но они не безопасники.

Почему они не безопасники? Хочешь сказать нужно всегда иметь 2 уровня администрирования, отдельно выделяя безопасников — с правами админов, разумеется? А никогда не думал, чем в организациях заканчивается противостояние дублирующих структур?

Львиная доля администрирования — безопасность. И только очень крупные организации могут выделить администраторов, которые находятся в безопасной зоне и могут творить чего захотят. И даже тогда это неверное решение.

Верное решение — это разделять администраторов по функциям или по подсистемам. Разумеется с иерархией. Но от вопросов безопасности не уйти на любом уровне. И есть ровно НОЛЬ административных позиций, где к безопасности можно относиться пофигистически.

Эльфоголовый все же немного прав, в более не менее крупных организациях должен быть ответственный за безопасность. А иначе у админа слишком много соблазна если не похерить безопасность, то как минимум где-то схалтурить.

Так это отдельная песня :). Там работу несколько другого уровня. И да — оченка рисков, планирование,обучение, процессы. Поэтому разложите отдельно кибербезопасность, а отдельно инфобезопасность.

Вот как раз риск-менеджмент, контроль над этими админами, а ещё обратная связь по вопросам безопасности — должна быть абсолютно независимая ветка, подчинённая топу напрямую. Иначе человеческий фактор даст сбой, или обратка не сработает, или то и другое наложатся вместе — и к примеру утекут все пароли, или кучка денег.

Безопасность такая мерзкая субстанция, что должна присутствовать на всех уровнях. Её нельзя отделить, и сказать что люди с полномочиями отдельно, а отдельно подтиральщики говна. Имеешь полномочия — будь бобр держать ответ за их использование. Не умеешь — иди учись, не хочешь — паяльник в дырку.

Цитировать ISO 27001 дело богоугодное ;).
Граждане! Прежде всего топикстартер не делает разницы между кибербезопасностью и инфобезопасностью посему советую и ему и остальным почитать умное :) ko.com.ua/...​formacijna_bezpeka_120068

А по опыту скажу — кибербезопасностью можно заработать на кусок хлеба сразу после ВУЗа особенно елси сочетать это с админством. А вот дальше уже а) как сложен ум ибо инфобезопасность вопрос комплексный б) как рынок сложится, но в аутсосре вот именно что Security Officer е очень востребованная позиция.

Почему они не безопасники?

Потому что они администраторы. Безопасник это отдельная профессия с отдельным набором компетенций. То что ты не видел нигде информационной безопасности, кроме как в контексте администрирования это говорит лишь об ограниченности твоего опыта не более того.

Хочешь сказать нужно всегда иметь 2 уровня администрирования

Никак нет. Я вообще не говорю об администрировании, про администрирование это ты сам придумал.

отдельно выделяя безопасников — с правами админов, разумеется?

никак нет. Безопаснику не обязательны права админа.

Львиная доля администрирования — безопасность

Тем ни менее понияте информационная безопасность не ограничивается администрированием.

И только очень крупные организации могут выделить администраторов

Ещё раз, для самых умных, специалист по безопасности это не администратор

Верное решение — это разделять администраторов по функциям или по подсистемам.

Кого вообще инетересуют администраторы. Топик ведь вроде про специалистов пи ИБ (не путать с ИБД)

Разумеется с иерархией. Но от вопросов безопасности не уйти на любом уровне

И это никак не исключает необходимости наличия выделенных экспертов по безопасности способных работать со всеми уровнями и обеспечивать безопасность решения в целом.

И есть ровно НОЛЬ административных позиций, где к безопасности можно относиться пофигистически.

И тут мы вдруг заговорили про администартивные позиции... Да наш CEO очень серьёзно относится к вопросам безопасности.

Ребята, вы просто не понимаете, о чем говорите. Чего вы других учите то?

Безопасник — это работа. Она административная по своей сути. И по управлению этими людьми используются те же традиции, что и при любой другой административной работе. Так что как ни крути — безопасники это администраторы.

Какими лычками их наградить, как назвать должность, как распределить департаменты — эти вопросы решаются в каждом монастыре своим уставом. Административную суть это никак не изменит.

А ещё у безопасников те же методы обучения, и те же предсказания по графику нагрузки, те же вынужденные резервы (или их отсутствие).

А вот насчёт экспертов — готов поспорить. Совсем не факт, что нужны звёзды экспертизы. Скорее правильный подбор разных специалистов, каждый под свою зону ответственности. Так выгоднее по деньгам, и по взаимозаменяемости кадров. И по той же причине, когда схема будет построена с прицелом на минимизацию кадровых издержек — будет доказано, что выгоднее держать узкоспециализированных админов, но высокими навыками по безопасности — чем дешёвых админом широкого профиля, и плодить лишние кадры.

Разумеется, не путать администраторов с внутренней поддержкой. Эта функция как раз отдельная, и очень гибкая зависимо от сущности бизнеса компании, зачастую с повышенной текучкой кадров.

Безопасник — это работа. Она административная по своей сути. И по управлению этими людьми используются те же традиции, что и при любой другой административной работе. Так что как ни крути — безопасники это администраторы.

Куда ты вывернул то в административную ратоу аж. а начинал то с

Если серьёзно, то кибербезопасность и системное администрирование — по сути одно и то же

Системное администрирлование и кибер безопасность это не одно и то же самое. Точно так же как работа ситемным администратором и администратором ресторана. Хотя да, названия похожие. И хаватит словоблудствовать.

А вот насчёт экспертов — готов поспорить. Совсем не факт, что нужны звёзды экспертизы. Скорее правильный подбор разных специалистов, каждый под свою зону ответственности. Так выгоднее по деньгам, и по взаимозаменяемости кадров. И по той же причине, когда схема будет построена с прицелом на минимизацию кадровых издержек — будет доказано, что выгоднее держать узкоспециализированных админов, но высокими навыками по безопасности — чем дешёвых админом широкого профиля, и плодить лишние кадры.

Несогласен. Безопасность по настоящему можно обеспечить только используя комплексный подход и делая это централизованно. Начиная не от любимого Вами системного администрирования а от самого проектирования системы, и до внедрения физических ограничений и обучения персонала. Это либо будет сделанно централизованно либо никак.

Это либо будет сделано централизованно либо никак.

Реальность показывает строго обратное: компании рождаются без иммунитета, и приобретают его по мере бега по граблям. Другими словами, пока компания растёт и/или развивается, её иммунная система реализуется снизу вверх. А до самого верха при удачном стечении обстоятельств эта проблема не долетает вообще никогда, аж до самого банкротства. При неудачном — компания может стать жертвой злого умысла, внутренними кадрами или через засланца.

Вот рефакторинг безопасности очень может быть и сверху. Особенно при слияниях и поглощениях, или к примеру при подготовке выхода на инвест-рынки. Обычно такой подход решает очень мало текущих проблем, но предотвращает проблемы будущих рисков.

Алексей — не позорься. Твои понятия об ИБ на уровне «тыжпрограммист — у меня микроволновка не работает». Причем даже ТС-у на 3 курсе это уже тоже прекрасно видно.
Давай я тебе приоткрою чуть «чудный новый мир»:
1. Нормативка по ИБ — это к админу?
2. Классификация информации по конфиденциальности — к админу?
3. Анализ рисков, в т.ч. ИБ организации — к админу?
4. Обучение пользователей по ИБ — к админу?
5. Аудит разработки и внедрения — к админу?
6. Соответствие, сертификация, внутренний аудит по стандартам ИБ (ISO27001, PCI-DSS етц.) — к админам?
7. Анализ соответствия нормативке и фиксация рисков закупаемых и внедряемых систем — к админам?
8. Контроль фрода инсайдеров и тех же админов — снова к админам?

Я могу тут еще десяток таких пунктов накидать, но нет смысла. Т.к. для ИБ-шников они и так самоочевидны, а ламеры все равно не поймут что это и зачем оно.
Админы только участвуют в реализации и эксплуатации требований и средств безопасности, т.е. отвечают за часть подраздела ИБ с названием «безопасность информационных систем», а также часть BCP/DRP. И то, кстати, далеко не всех как правило — специфические системы безопасности (FW, IPS, SIEM/SOC, IDM etc) должны быть в эксплуатации самих безопасников.
А безопасники все эти политики-процедуры-правила-периметры-наборы средств контроля придумывают, утверждают, внедряют, обучают пользователей и контролируют их выполнение.

Все так. Но вот топикстартеру имеет смысл пособветовать начать с администрирования. Не прогорит. А вот так как опсиано в полный рост и по взрослому то мест не так уж много и копметенции точно другие.

К сожалению ситуация на рынке труда для админов здесь не далеко ушла от спецов по ИБ. Индусы все еще плотно держат внешний рынок, а внутренний полумертв. Перспектива есть только для очень скиловых админов уникальных систем — SGI, OS390, HPUX/AIX в меньшей степени. На линуха и винду — нет.
Если на ближайшее время — я бы все же разработку ТС-у посоветовал, там жизни намного больше.

Я просто ставлю перед фактом, что то админы, что это админы. Природа работы административна. А уж организация административной работы — в разных компаниях разная.

Вы привели пример с высокой долей человеческого фактора в процессе, я бы даже сказал плоской структуры. А есть куда более управляемые иерархии, где функция безопасности распределённая.

«Самоочевидного» нет вообще ничего в этой работе.
Нормативка? А кто даёт команду что надо этой нормативке соответствовать, и ставит планку насколько реальным или показательным должно быть соответствие?

Чтобы всё это эффективно внедрять, нужны не административные полномочия, а рисковые. Эта работа требует риска сама, требует работы с риском. Иначе говоря, она требует повышение полномочий до внутреннего предпринимателя в компании, плюс должна иметь права владеть настоящей инфой — даже той, которую скрывают и замалчивают от менеджмента.
Отсюда — подчинение напрямую ТОП-менеджеру, или лицу с его набором прямых полномочий. И никак иначе это работать не может. Так вот, эта функция — НЕ БЕЗОПАСНИКИ. Это риск-менеджмент и обратная связь.

Функция IT-безопасников совершенно другая: добиваться спокойствия системы, и работать с угрозами, в том числе потенциальными. Эти люди НЕ ПРИДУМЫВАЮТ правила, они ставят перед фактом когда они нужны. Они не обслуживают человеческий риск — они либо ликвидируют его, либо знают под чьей он ответственностью.

Попытка смешать эти две РАЗНЫЕ И ПРОТИВОРЕЧАЩИЕ функции, которые априори должны иметь внутренний конфликт — уничтожит функцию реального контроля, заставит имитировать бурную деятельность, и в итоге похоронит компанию во внутренних нерешаемых проблемах. Болезнь это не быстрая, скорее старческая, но очень неприятная. Компанию же похоронит менеджмент, который просто заткнёт рот обратной связи, мешающей их оптимизму.

Не хвілософствуй — Tim тобі нормально все розписав. :)

Попытка смешать эти две РАЗНЫЕ И ПРОТИВОРЕЧАЩИЕ функции

Ты уже 3 смешал в своих опусах. Уймись.

Я просто ставлю перед фактом, что то админы, что это админы. Природа работы административна. А уж организация административной работы — в разных компаниях разная.

Программисты кстати тоже админы. Код администрируют

Администрирование — это управленческая работа, как правило нижнего эшелона (но она повсеместна). Если грубо, это содержание всего в порядке и поддержание этого порядка. В том числе установление порядка, если таковой отсутствует.

У программистов бывает что они код администрируют — но это скорее исключение, и даже исключение из исключения.

Безопасность сливается с администрированием из-за чрезвычайно высокой потребности, вызванной слишком быстрым ростом опасности, и слишком высокой скоростью эскалации от обнаружения уязвимости до её массового или капитального эксплойта. Это раньше можно было выделять безопасников. Сейчас нельзя. Безопасность на порядок важнее остального администрирования, и требует до 90% рабочего времени, а иногда и все 200% его же. Так что профессия администратора, не занимающегося безопасностью — уже деградировала, это что-то типа ГАИшника не берущего взяток или конного полицейского.

Я не говорю как раньше было, или каким осталось разделение труда в конкретных компаниях. Мы говорим об образовании. Человек, который учится кибербезопасности сейчас — должен понимать что его будущая работа — администратор. Независимо от того как она будет называться, БАЗОЙ для его профессии будет системное администрирование. И первый боевой опыт надо приобретать там же.

Человек, который учится кибербезопасности сейчас — должен понимать что его будущая работа — администратор. Независимо от того как она будет называться, БАЗОЙ для его профессии будет системное администрирование. И первый боевой опыт надо приобретать там же.

Человек который учится программированию сейчас — должен понимать, что его будущая работа — формошлеп. Независимо от того как она будет называться, БАЗОЙ для его профессии будет формошлепство. И первый боевой опыт надо приобретать там же.

Та давай уж сразу лопату рекомендуй и строевой шаг.
Как бы я сам хотел оказаться формошлёпом. Когда взял библиотеку, собрал — и работает! Без граблей. Без ублюдочной логики. Без тщательной обработки напильником... из консоли пля.

Я просто ставлю перед фактом, что то админы, что это админы. Природа работы административна.

У всех админов в мире абсолютно одна и та же главная цель — обеспечение бесперебойной работы вверенной им системы или систем. Не нужно пытаться переизобрести велосипед.
Если ты админ СУБД — ты не отвечаешь за валидность транзакций внутри ее, если только сам туда рученками не полез.
Если ты админ сети и там файрвол — ты не отвечаешь за правила файрвола, ты максимум отвечаешь за то что они на 100% соответствуют тому, что утверждено безопасниками.

А есть куда более управляемые иерархии, где функция безопасности распределённая.

Она всегда распределенная, как только компания выходит из «детского» возраста.
Совсем мелкие конторки и стартапы, где разработка прямо на проде, а ИТ-директор заодно 1С-ник, не учитываем в принципе.

«Самоочевидного» нет вообще ничего в этой работе.

Для тех кто не в теме, возможно.

Нормативка? А кто даёт команду что надо этой нормативке соответствовать, и ставит планку насколько реальным или показательным должно быть соответствие?

Руководство компании или акционеры. По убыванию желательности подчинения: совет акционеров, CEO, CFO.
В чьем подчинении CISO и должен находиться.
Вся нормативка согласовывается и утверждается только на этом уровне. Т.к. зачастую цепляет далеко не только ИТ, но и кучу других подразделений.
Простой пример — положение о конфиденциальности информации -> NDA -> должностные инструкции. Тут ИТ вообще нету.

Так вот, эта функция — НЕ БЕЗОПАСНИКИ.

Google -> CISO

Эти люди НЕ ПРИДУМЫВАЮТ правила, они ставят перед фактом когда они нужны.

Или не ставят. Или ставят, но их никто не слушает. Или ставят, но их начальника никто не слушает. Или «денег нет». Или «а маркетингу неудобно, а они нам деньги приносят а вы их только проедаете». Или ...
Нет, так это не работает. Доказано десятилетиями горького опыта, после чего в первых пунктах всех стандартов по ИБ появились пункты об обязательной вовлеченности С-левел менеджмента и организации отдельной службы инфобезопасности.

Ну и лови на подумать задачку про админов:
Амазон, на нем один сервак с фронтом (EC2) и один сервак с БД (RDS). У каждого свой админ.
Вопрос: сколько sshd должно торчать в мир?
Дополнительный вопрос — кто из двух админов это должен решать?

Вот отсюда и вытекают десятилетия горького опыта. И заметь, застающего врасплох вполне зрелые компании.

По задаче: однозначного или оптимально-предсказуемого решения здесь нет. Взять хотя бы sshd — что конкретно ты имел под этим термином? Если демон под ssh — так любое количество. Я с Амазоном не работал, их ограничений или модели сказать не могу. Но формально можно хоть тыщу экземпляров поднять (какие для этого потребуются танцы с бубном — другой вопрос).

Я не знаю о проблемах, которые могут случиться если поднять ровно одного демона. Если важно не светить миру этим портом — поднять на маленьком VPS прокси, а на боевом серваке ограничить доступ по IP только этим VPS. Но тогда появляется другой риск — что VPS ляжет в самый ответственный момент.

Соответственно, если ломанут VPS — совсем не очевидна будет его роль в управлении более ценным активом.

Если бы принимал решение я, то выбросить в мир порт имел бы право ровно один админ. А уж какие у него ещё полномочия — это сугубо внутреннее решение, и оно может быть любым. Вплоть до того, что эти полномочия были бы только у фаундера или CTO. Может это и неправильно с точки зрения традиции больших бюрократий, но так реально работает малый бизнес в IT.

Я знавал одного фаундера проекта с ну очень нелегальным бизнесом. Не общественно опасным, просто не легализованным. Именно такая схема позволила выйти сухими из воды всем участникам.

Если бы принимал решение я, то выбросить в мир порт имел бы право ровно один админ.

И все бы хорошо, но у нас два админа. Один — отвечает за БД, второй — за фронт. Кто примет решение, что туннель в виртуальную сетку амазона должен быть один? Кто его разместит на своем сервере? Кто будет отвечать за защиту и настройки этого демона?
Так вот тебе из опыта — без отдельного безопасника, который все это разрулит и спустит им в приказном порядке, будет с каждой VPS-ки торчать в мир как минимум по одному sshd на 22 порту. И это в самом лучшем случае, а в 80% еще будет как минимум порт MySQL голой жопой в мир торчать, ибо ж «гуишная админка удобнее command-line mysql», а также всякая фигня типа ftp, smtp и прочее, о чем забыли при настройках файрвола на гейте.
Просто пройдись nmap-ом по известным украинским сайтам — результат тебя впечатлит.

А формально, что плохого в sshd на 22-м порту?
Сам я обычно порт меняю, просто чтобы избежать брутфорса и DDOSа автоматическими кроулерами. Но если кто захочет копнуть глубже и просканить порты, без труда нароет этот хвост.

Насчёт GUIшных утилит согласен, хотя бы по той причине что в коммнад-лайне легко ошибиться. Вот для примера моя ошибка в одном из проектов на продакшене: в chown вместо ./ оказалось /. — и всё это с правами рута. Прикидываешь последствия? SSD штука быстрая, ему хватило трёх секунд. Ладно бэкап не подвёл.

Порты для SQL и прочего счастья разумеется есть, но проброшены тунелем по SSH. Чем плохо?

FTP — достаточно медленный демон. Можно держать открытым на всякий пожарный, но пользоваться им раз в никогда. Для всего остального есть тунель. Ломануть его достаточно сложно, зато засветиться попытками для Fail2ban — аж на ура.

SMTP — торчит в мир, и как-то не заметил особых проблем. Если надо не только отправлять почту, но ещё и принимать — никуда не деться, надо поднять. И да, каждый дятел может туда что-то отправить.

Настоящая проблема, и никакой безопасник её до донца не искоренит — ДЕБИЛЬНЫЕ НЕБЕЗОПАСНЫЕ ДЕФОЛТЫ. Когда программный пакет по дефолту открывает какие-то дыры. Особый шик — когда они нигде в документации не описаны, а найти их можно только когда наступишь на грабли, начнёшь гуглить, и вот тогда на форуме создателей найдёшь «да вы дураки сами, это ж наша идея — что каждый человек в мире может бесплатно бла-бла-бла», а кому не нравится — может прикрыть. Как догадываешься, далеко не все владельцы серверов любят чтобы через их сервер пробрасывали тунели и брутфорсили остальных от имени сервера.

___________________
Так вот, не в безопаснике тут дело. Это обыкновенные административные задачи. А отделять безопасника или нет — вопрос исключительно РАЗДЕЛЕНИЯ ТРУДА. И чем более опытные админ, тем более нах ему безопасник. Понимаешь, нельзя просто завести безопасника и оставить его нихера не делать всё время — он быстро потеряет квалификацию. Аутсорсить безопасность — задача практически нереальная, где гарантия что не появится «закладок» и «случайных» упущений, например чтобы гарантировать оплату услуг.

У нас с этим все так плохо, что даже синьоры не всегда понимают разницу ))))

42 по горизонтали: мера нужды в выпускниках, учащихся только тому что преподают, да и то «на четвёрки» — на орган размножения не.

Гос.контора (крупные, типа СБУ, Нац.банк), QA(с возможностью брать, со временем, задачи по тестированию безопасности или performance testing) или Technical support (только в продуктовой компании или, лучше, дата-центре) — это для старта. Узнаешь много нового и интересного. Поработаешь с реальными инцидентами. В том числе, с инцидентами безопасности.
Есть и другие пути. Риск-аналитик, chargeback-аналитик, фрод-аналитик и тд и тп.
И вообще, любая IT или около-IT, работа в финтех-компаниях (банках, к примеру) будет котироваться и поможет тебе в будущем. Вариантов — миллион. Было бы желание. Ты просто не знаешь, что именно хочешь.

Рискну догадаться из топика, что он хочет денег. А совсем не поработать во славу отечества.

Вчи Python. Він для всього підійде :) Веб — можна Python, мережі — Python, безпека — можна Python

Підписатись на коментарі