Безкоштовна онлайн-конференцiя з Python від fwdays. 14 грудня. Реєструйся!
×Закрыть

Советы сеньоров: как прокачать знания junior security specialist

Советы сеньоров — постоянная рубрика, в которой опытные специалисты делятся практическими советами с джуниорами — общие лайфхаки по обучению, какие книги и ресурсы читать, какие навыки осваивать и многое другое. В этом выпуске говорим об Information Security и кибербезопасности.

Вадим Чакрян, Lead of Information Security Team в DataArt

10+ лет в области InfoSec

В первую очередь необходимо определиться, в какую сторону интересно развиваться как минимум в ближайшем будущем. Сфера информационной безопасности похожа на медицину в плане большого количества направлений, каждое из которых требует своих знаний, умений, и личностных качеств.

Я бы советовал сперва определиться с тем, в какой команде вы хотите быть — атакующих (offense) или защищающих (defense). Те, кто находятся в команде атакующих, думают о том, как проникнуть в систему, как атаковать элементы инфраструктуры, физические ресурсы и людей (я имею в виду социальную инженерию). Те же, кто находится в команде защищающихся, больше думают о том, какие механизмы безопасности внедрить, как их внедрить, и занимаются непосредственным внедрением.

Заранее отвечаю на ваш вопрос: да, атакующему необходимо знать о механизмах защиты, иначе он не сможет их обойти, а защищающемуся необходимо думать, как атакующий, иначе не получится понять, где есть слабые места, которые необходимо защищать в первую очередь. Но все же это два абсолютно разных принципа мышления и подхода к работе, и в каждой из этих областей решаются совершенно разные типы задач.

После того как определились с выбором темной или светлой стороны, можно переходить к выбору области развития. Предлагаю поговорить о двух направлениях, представленных выше, отдельно.

В атакующем направлении я бы выделил одну большую категорию — тестирование на проникновение (в простонародье пентест (от англ. Penetration testing), а человек, выполняющий пентест, называется пентестер). По сути, пентестер — это хакер, которому дали официальное разрешение на взлом системы по заранее оговоренным правилам и рамкам. Однако категорию пентеста я бы разделил еще на несколько: пентест веб-приложений, пентест сетей (проводных и беспроводных), пентест мобильных приложений, пентест облачной инфраструктуры, пентест Интернета вещей (IoT), пентест людей (социальная инженерия). Возможно, еще стоило бы выделить пентест физической инфраструктуры, но это совсем отдельная и специфическая область, и я не буду в нее углубляться.

Когда определитесь с областью пентеста, в которой хотите развиваться — найдите максимум полезных материалов по ней в Google, не стесняйтесь также пораспрашивать старших коллег по цеху. Для нескольких областей могу порекомендовать следующие материалы.

Для веб-пентеста:

  • Разобраться с тем, что такое OWASP.
  • Прочесть книгу Web Application Hacker’s Handbook 2nd edition.
  • Скачать и запустить локально Web for pentesters I и II, а также OWASP WebGoat. Начать с ними практиковаться.
  • Также попрактиковаться на juice-shop.herokuapp.com, а еще тут hackthebox.eu и root-me.org.
  • Разобраться в OWASP Testing Guide, OWASP Top Ten, OWASP ASVS.
  • Освоить Burp Suite, OWASP ZAP, nmap, и другие тулы для веб-пентеста в Kali Linux.

Для сетевого пентеста:

  • Как минимум пройти курсы по сетям (например: Cisco CCNA или CompTIA Network+ и т. п.).
  • Прочесть книгу Network Security Assessment 3rd Edition.
  • Установить локально Metasploitable 2 и 3. Практиковаться на них.
  • Научиться работать с Wireshark, nmap, Ettercap, Yersinia, Metasploit и другими тулами для сетевых атак в Kali Linux. Можно еще с Shodan и Censys разобраться.
  • Также советую найти поучаствовать в онлайн-соревнованиях по сетевому хакингу, по типу lab.pentestit.ru.

Другие области рассматривать не будем, но думаю, смысл понятен. Можете найти мою презентацию о том, «С чего начать свой путь этичного хакера?» (YouTube, слайды), там есть другие полезные книги и материалы для тренировок. Чтобы найти больше лабораторных стендов для практики — исследуйте VulnHub. Есть вероятность, что в чем-то вам поможет SecurityTube.

Также, когда вы уже будете слегка матёрым и порешаете все задачи на тренажерах — начните играть в Capture the Flag (CTF) игры. Вы можете найти ближайшие и будущие CTF игры по всему миру на сайте ctftime.org (что такое CTF, рассказывать не буду — почитайте тут). Если же захотите подзаработать немного деньжат и попробовать силы в реальных проектах — то попробуйте поучаствовать в BugBounty программах, например на HackerOne или BugCrowd (но это уже когда будете совсем матёрые).

В плане сертификаций я бы посмотрел в сторону Pentest+, CEH, OSCP.

В направлении защищающихся есть очень много областей:

  • Инженеры безопасности (занимаются внедрением механизмов безопасности в рамках компании).
  • SecOps-специалисты и расследователи инцидентов (эти ребята реагируют на угрозы безопасности и расследуют их, чтобы предотвратить атаку, устранить последствия и восстановить нормальный ход бизнеса).
  • Цифровые криминалисты (эти люди очень хорошо знают, как правильно собрать и хранить цифровые улики таким образом, чтобы они были признаны легитимными в суде).
  • Аналитики вредоносного ПО (они очень хорошо разбираются в Assembler и умеют восстановить принцип работы программы без ее исходного кода. Помогают создавать противоядие против зловредов).
  • Compliance-специалисты (не знаю, как это кратко и верно перевести на русский язык, но, в общем, эти товарищи следят за соблюдением требований государственных законов, а также мировых и отраслевых стандартов в области безопасности, применимых к компании/предприятию).
  • Аудиторы (проводят аудиты безопасности в компании, часто совмещается с Compliance).
  • Специалисты по обеспечению физической безопасности (обеспечивают физическую безопасность рабочего пространства компании — начиная от системы защиты на входе в офис до системы пожаротушения в серверных комнатах).

Проблема defense-направления состоит в том, что получить достаточный опыт вы сможете только в боевых условиях. В качестве обучения я бы посоветовал всем освоить базу. Для этого подойдут материалы для сертификации CompTIA Security+. Дальше смотрите по сертификационным направлениям: CompTIA, (ISC)2, SANS, Ec-Council. Да, там все платно и иногда очень даже платно, но как минимум нужно разобраться, какого уровня какая сертификация, чтобы понимать с чего начать. Затем найти описание их содержания — так вы получите информацию о том, что нужно выучить, и сможете составить для себя дорожную карту развития.

В качестве образовательных площадок воспользуйтесь: Cybrary (тут много бесплатного), Udemy (тут не дорого и бывают распродажи, когда все по $10), CBTNuggets (тут далеко не все по безопасности и платно, но они делают просто офигенный контент).

Я бы посоветовал увеличивать свою сеть знакомых в этой области. Ходите на конференции, в Украине их много появилось: BSides и OWASP в разных городах, UISGCON / NoNameCon / HackIT в Киеве и многие другие. Обязательно знакомьтесь со спикерами и с участниками. Вообще, это должно быть вашей главной задачей, приобретение знаний — второстепенной. Попросите добавить вас в чаты безопасников локальных сообществ, там можно будет задавать вопросы, и всегда найдутся люди, которые помогут найти ответ. Хоть и трудно, но очень полезно организовывать свои мероприятия — контакты появятся волей не волей, но это путь тернистый и не для каждого, так что уговаривать не буду.

Михайло Кропива, Associate InfoSec Director у SoftServe

15 років досвіду у галузі

Зазвичай у початківців, які планують розвиватися у напрямку інформаційної та кібербезпеки, є розуміння функціоналу декількох програм — виявлення вразливостей, мережевих сканерів, антивірусних продуктів. У більш «прокачаних» є навички етичного хакінгу (Metasploit, OWASP framework). Ступор наступає, коли доходимо до питання, чи усього цього достатньо компанії, щоб почуватися в безпеці. Висновок — необхідне комплексне розуміння векторів загроз і вразливостей, способів їх зниження (по-простому — заходи безпеки/security controls) та усвідомлення своєї ролі у всій цій екосистемі.

Як і більшість технологічних напрямків, інформаційна та кібербезпека має низку ролей та функцій в організації. Відповідно, від вибору напрямку залежить, які знання та навички будуть потрібні новачкам у першу чергу. Спробую класифікувати напрямки і основні функції ролей в інформаційній безпеці більшості організацій.

1. Оцінка та управління ризиками (GRC)

Зазвичай нудна і незрозуміла частина для «технарів», проте саме на цій функції базується більшість процесів інформаційної безпеки та ІТ-організації загалом. Підґрунтям більшості підходів до оцінки ризиків є ISO27001 чи NIST. Також однією з функцій відділу GRC (зазвичай долучається також юридичний відділ) є процеси, пов’язані з обробкою персональних даних в компанії. Для цієї функції підходять люди, котрі мотивовані більше процесом, ніж швидким досягненням результату. І це в більшості не Junior Security Engineer :)

Рекомендовані ресурси та сертифікації:

2. Оператор (частина SecOps чи Blue Team)

Перше, з чим необхідно розібратися кожному початківцю — що таке інформаційна безпека і кібербезпека, і в чому принципова різниця між ними. Адже це базове питання, котре в подальшому вам будуть ставити на співбесідах, якщо ви тільки починаєте свою кар’єру. Кібербезпека — це складник інформаційної безпеки, що має на меті захист інформації в цифровому світі. В той же час інформаційна безпека — це комплексне поняття, що включає в себе і цифровий захист, і фізичний (сейфи, турнікети, камери відеонагляду), тощо, а також відповідні стандарти.

Ймовірно, що першою сходинкою у вашій кар’єрі буде позиція оператора операційного центру/команди з кібербезпеки. Його завдання полягає в роботі з інструментами інформаційної безпеки та людьми, а метою є виявлення загроз, підозрілої активності, а також аналіз аномалій та їх дослідження. То що повинен знати той, хто бачить себе саме в такій ролі?

  • Перш за все, потрібно розібратися з поняттям логування (журналювання). Які є типи логів та яку інформацію вони містять.
  • Далі доведеться розібратися із мережевим стеком і основними протоколами.
  • Ніяк не обійтися без розуміння базових речей, які забезпечують взаємодію з «диким» світом (інтернет). Тобто вам мають бути знайомі такі слова, як Active Directory, DNS, DHCP, IIS і так далі.
  • Також корисним буде розуміння принципів роботи різних операційних систем (Kali Linux, CentOS Windows Server, etc).
  • Розуміння базових принципів криптографії.
  • А найголовніше — вміння думати та концентруватися на поставленому завданні.

Можна навести таку алегорію: уявіть, що ви сапер і в полі знайшли міну. Що ви маєте робити? Як вийти із ситуації? Як захисти себе і всіх навколо? Ви маєте володіти навиками та інструментами для того, щоб знайти, класифікувати, ізолювати та знешкодити міну. Отже, якщо вам цікаве спостереження, дослідження та аналіз — тоді операційна частина кібербезпеки — саме для вас.

3. Аналітик з кібербезпеки

Наступним кроком у вашій кар’єрі буде позиція аналітика. Ці люди відповідальні за налаштування та постійне покращення інструментів кібербезпеки (частина SecOps чи Blue Team), а також сюди відносяться фахівці, що займаються тестуванням на проникнення (penetration testing або Red Team). Також окремо можна зазначити інженерів, завдання котрих полягає у створенні і підтримці інфраструктури для аналітиків та операторів. Зазвичай роль інженерів виконують системні адміністратори чи девопси.

Аналітик повинен знати все те, що й оператор, але додатково:

  • Володіє знаннями та навиками адміністрування систем захисту. До переліку цих інструментів слід віднести системи виявлення та попередження вторгнень (IDS/IPS), системи збору і аналізу логів (SIEM), антивіруси, сканери вразливостей, фаєрволи, тощо.
  • Створює кореляційні правила для виявлення підозрілої активності, що дозволяє співставити події з різних систем, що відбулися протягом одного часового проміжку.
  • Застосовує різноманітні техніки і методології для виявлення слабких ланок та використання вразливостей в інфраструктурі, мережі чи програмному забезпеченні.

Повернімося до нашого сапера :) На відміну від першої ситуації з оператором, аналітик тонко налаштовує інструменти та будує алгоритми виявлення мін та мінних полів. Для побудови міцного захисту ви повинні розуміти, як себе поводить мінер, які інструменти він використовує, які сліди залишає та за якими ознаками можна виявити загрозу. Додатково час від часу залучаєте команду із навчальними мінами (penetration testing) для тестування вищезгаданих інструментів та алгоритмів виявлення мін.

Також, окремо слід зазначити навички у розслідуванні (Сyberforensics). Сюди входить як аналіз, обробка і зберігання цифрових доказів, а також розслідування інцидентів в області кібербезпеки для представлення доказів розслідування вразливості мережі і/або кримінальних злочинів, шахрайства.

Основні задачі сyberforensics-аналітика:

  • провести аналіз кінцевої точки (лог-файлів, реєстру Windows, мережевих пакетів і т. д.), збирати і аналізувати артефакти вторгнення (наприклад: вихідний код, шкідливе ПЗ і конфігурацію системи);
  • провести відновлених даних для отримання інформації, яка має відношення до інциденту;
  • вставити першопричину виникнення інциденту;
  • забезпечити правову хронологічну документацію, яка фіксує послідовність розслідування, аналіз і т. д. (chain of custody документ);
  • описати порядок дій, котрі необхідно виконати для зменшення негативного впливу від інциденту і запобігти повторенню.

Рекомендовані ресурси:

Рекомендовані сертифікації:

CompTIA Security+ — для тих, хто входить в ІБ, для початківців, що вже у сфері, теоретична (не важливо, чи defense, чи offense).

CEH — середній рівень, теоретична (більше для offense, ніж для defense).

OSCP/OSCE — важкий і найбільш цінується в індустрії, так як здача базується на практичних уміннях (для offense).

CISSP — важкий, але теоретичний, в більшості для керівних посад: VP, C-level, etc.

ISC2 SSCP — це як CISSP, тільки для технічного спеціаліста.

CCNA Sec — якщо працюєш з CISCO (але в цілому і для мережі).

CIA — для аудиторів.

Пропонована градація на три групи є відносною і в деяких компаніях ролі можуть суміщатися, для прикладу Blue Team та Read Team чи GRC. Прокладаючи свій кар’єрний вектор, варто враховувати не лише технічні навички для різних ролей, але і мотиваційну складову та навіть особливості характеру людей, котрі виконують чи залучені до цих різних команд інформаційної безпеки. Розвивайтесь постійно, цікавтесь, чим живуть суміжні департаменти ІТ і шукайте свою нішу у світі інформаційної безпеки, яка дозволить вам розкрити власні таланти наповну!

Евгений Пилянкевич, CTO в Cossack Labs

Более 20 лет опыта в ИБ

Добро пожаловать в профессию. Для того, чтобы хорошо развиваться в информационной безопасности, важно сходу понять и принять несколько простых аксиом.

Учиться придется все время, потому что минимальный набор необходимых знаний меняется быстро и порой радикально, а их охват все больше расширяется.

Вы станете чуть лучше понимать и чуть меньше любить людей, потому что начнете сталкиваться с их неумением оценивать риски и принимать хорошие решения.

Вас ждет океан расстройств и фрустрации, и это, пожалуй, одно из главных свойств нашей профессии. Ничего не получается, все работает неправильно, а вот еще и инцидент. То, что вчера было хорошо, сегодня — преступление.

First things first: то, что отличает рост хорошего джуниора от плохого, — знание азов:

  • Computer science 101. Вам нужен набор базовых знаний об устройстве компьютера, операционных систем и сетей, владение азами программирования. Чем азы лучше и чем ближе от 101 к Pro, тем легче будет учиться.
  • Security-кругозор — одно из основных слабых мест всех entry-level специалистов в ИБ. Легкий способ систематизировать азы и пройти обзорный курс базовых понятий ИБ — учебные программы для начинающих с экзаменами вроде CompTIA Security+, ISC2 SSCP, GIAC Security essentials.
  • Security-навыки: теоретические и практические курсы. Для многих пользующихся спросом специальностей уже есть готовые курсы разной степени глубины. И если в OSCP для red team-специалиста можно вместить многое из того, что нужно знать для работы, то для blue team-инженера с уклоном в криптографию без пары специальных курсов в институте будет сложновато.

Во-вторых, нужно определиться с целью, «куда именно расти». С одной стороны, это про узкий набор технологий, с другой — про ориентацию defensive/offensive. Любая специализация в ИБ в какой-то пропорции содержит работу двух видов — защищать (blue team) и нападать (red team):

  • Нападающие ищут слабые места, проверяют безопасность приложений, инфраструктур и систем. Работа red team — «щупать, крутить и шатать, пока оно не поломается», с разной степенью системности. Стать приличным нападающим при прочих равных легче, чем хорошим защитником, ведь петля обратной связи от своей работы на порядок короче — «получилось/не получилось».
  • Защитники анализируют риски и атаки, придумывают и внедряют системы защиты. Эта работа про системное мышление, умение представлять сложные процессы на разных уровнях технологического стека, увидеть «большую картинку» и быть способным вглядываться в детали. Защищать сложнее, чем нападать, и чтобы стать хорошим blue team-специалистом, потребуется больше лет опыта, больше разных задач и проектов за спиной.
  • Просто понять, в какой пропорции вам интересна red/blue работа — уже огромный ориентир в дальнейшем развитии. В профессии практически не существует хороших «чисто blue team» специалистов, потому что анализ рисков и угроз — это пусть даже теоретическая, но работа нападающего.

Skills and credentials

Помимо всех советов, которые дадут коллеги в этой статье, три главных шортката, позволяющих двигаться быстрее:

  • [100% skill] Practice lab: вне зависимости от blue/red специализации, вам понадобится playground для экспериментов. Начиная от пары виртуалок за $5 и заканчивая мини-датацентром в кладовке. Возможность строить и ломать, не привлекая внимания санитаров леса, — следующий после базовых навыков по важности ресурс, телепорт из теоретиков в практики.
  • [100% skill, ??% credentials (sometimes)] CTF and public playgrounds: capture-the-flag конкурсы и онлайн-плейграунды вроде HackTheBox для сетевых задач или Cryptopals для криптографов, спроектированные специалистами для отработки навыков поиска и использования уязвимостей. У некоторых из них есть публичные доски почета, которые могут использоваться как credentials при найме.
  • [??% skill, 100% credentials] Сертификации: поскольку в заметной части собеседований с вами будут разговаривать люди, которые в предметной области разбираются хуже вашего, индустрия придумала набор сертификаций, подтверждающих вашу квалификацию. Не берусь оценивать качество экзаменов, но замечу, что это важный инструмент в общении с внешним миром для любой замкнутой профессии.

Как поддерживать знания. Так же, как и в другой бурно развивающейся отрасли — благодаря подкастам, конференциям, блогам и книжкам:

  • В Украине проходит ряд отраслевых конференций для людей разного уровня развития — неформальные митапы DC8044, OWASP Ukraine, небольшие конференции Security BSides, большие конференции вроде NoNameCon и монстры отечественной индустрии, вроде UISGCON.
  • Практически в каждой профессии существует список эталонных книг и «главных блогов», его несложно найти. Cложнее понять, что вся профессия information security на самом деле про людей и то, как они принимают решения, и что стоит читать книги про психологию, поведение в кризисных ситуациях, инженерную надежность, риск-менеджмент и пр. Остальное вам коллеги посоветуют и так.
  • Подкасты: украинские No Name Podcast, международные — Defensive Security, Risky Business, Security weekly.

Александр Адамов, руководитель NioGuard Security Lab, преподаватель в ХНУРЭ и Blekinge Institute of Technology, Швеция

15 лет в кибербезопасности

На сегодняшний день в Украине и в мире в целом очевидна нехватка квалифицированных специалистов в области кибербезопасности (здесь мы будем говорить именно о кибербезопасности, а не о ИБ, подразумевая защиту оцифрованных информационных активов в киберпространстве). Корень проблемы, как и в случае других IT-специальностей, лежит в отставании системы высшего образования от темпов развития индустрии. Как преподаватель я могу сказать, что учебные программы университетов просто не успевают за научно-техническим прогрессом в IT.

Что же делать, чтобы преодолеть кризис классического образования в контексте подготовки специалистов в области кибербезопасности? Какие советы можно дать новичкам для того, чтобы они могли максимально реализовать себя в выбранной профессии? Попробую дать ответы на эти вопросы.

Операционисты vs Аналитики

Для начала я бы условно поделил специалистов по кибербезопасности на две группы в соответствии с необходимыми компетенциями:

  1. Операционисты (Security Operations L1-2, SecDevOps, инженеры кибербезопасности, большая часть тестировщиков), которые выполняют алгоритмизируемые задачи, используя инструменты автоматизации.
  2. Аналитики (Security Operations L3, аналитики, консультанты, меньшая часть тестировщиков, криптографы) решают задачи, для которых нет инструкций и готовых решений.

Категорию менеджеров мы не будем рассматривать здесь, так как она малочисленна и подразумевает прохождение через хотя бы одну (а лучше обе) из упомянутых выше групп.

Также есть деление специалистов на Defensive Security — те, кто защищает (Blue Team), и Offensive — те, кто атакует (Red Team). Однако такое деление условно, так как существует, например, Purple Team, в задачи которой входит как тестирование на проникновение, так и последующая защита выявленных брешей в безопасности.

Рассмотрим более многочисленную первую группу ‒ операционистов. На данный момент существует высокий спрос со стороны индустрии, удовлетворяемый за счет выпускников технических вузов, которые зачастую проходят стажировку в компаниях после или даже во время обучения в университете. Там они и получают практические («hands-on») знания предметной области.

С одной стороны, существующая на данный момент в Украине модель образования как раз и нацелена на обучение операционистов. Суть ее заключается в постановке задачи и следовании алгоритму ее решения, как в школе, так и в университете, — то, что сейчас, по сути, уже умеют делать компьютеры. При этом креативность решения не поощряется. В школе мне, например, часто приходилось слышать критику в свой адрес по поводу того, что задача была решена нестандартным способом или оформление не соответствует шаблону.

С другой стороны, существует угроза вытеснения операционистов с рынка труда уже в ближайшем будущем в связи с тем, что часть задач будет автоматизирована искусственным интеллектом (ИИ). То есть существующая система образования готовит специалистов, которые могут оказаться не у дел уже в ближайшие годы.

Для примера возьмем Security Operations — мониторинг и реагирование на инциденты кибербезопасности. На смену классическим агрегаторам событий безопасности (SIEM — Security Information and Event Management), приходят системы с аналитикой, которые с помощью ИИ позволяют находить аномалии, связывать данные (bird’s-eye view), выявлять инциденты и приоритизировать их согласно системе оценки рисков (risk scoring system), облегчая тем самым работу SecOps. Более того, новое поколение SOAR (Security Orchestration, Automation and Response) систем также позволяет автоматически реагировать на большинство обнаруженных инцидентов без участия человека. Справедливости ради стоит заметить, что эти системы пока что нуждаются в обучении человеком — экспертом в данной области, то есть аналитиком.

Вторая группа компетенций дополняет первую присутствием навыков аналитического и творческого (креативного) мышления для решения нестандартных задач и зачастую является следствием эволюции операционистов. Аналитики должны уметь осуществлять логический анализ и синтезировать информацию, например, для создания того же ИИ (моделей машинного обучения), тестирования на проникновение хорошо защищенной среды или анализа вредоносных программ и техник кибератак. Для таких задач невозможно написать универсальный алгоритм по причине того, что атакующую сторона, например, может применить новую технику для скрытия собственного кода (обфускация) или проникновения в систему, чтобы обойти систему защиты, — то есть проявить креативность со своей стороны. В случае тестирования на проникновение все известные бреши могут быть уже закрыты и использование сканера уязвимостей не даст результатов.

Рассмотрим несколько примеров из моей практики. Шифровальщик MoneroPay использовал оригинальную технику социальной инженерии для того, чтобы убедить пользователя загрузить и запустить троянца у себя на компьютере под видом майнера для якобы новой криптовалюты SpriteCoin, информация о которой была опубликована на форуме bitcointalk.org 6 января 2018 года. Еще одним примером креативности хакеров является атака всем известного псевдо-вымогателя NotPetya, который был доставлен 27 июня 2017 года и запущен на компьютерах жертв — через бэкдор, добавленный в обновление ПО М.E.Doc. А уже в начале текущего года прошла успешная атака криптолокера LockerGoga на ряд промышленных гигантов, когда троянец использовал валидный цифровой сертификат, выпущенный на подставную компанию, для того, чтобы обойти системы киберзащиты.

Несмотря на то, что аналитиков необходимо меньше, их дефицит ощущается острее из-за появления новых сложных задач в индустрии и проблем с подготовкой таких специалистов. Она должна включать как фундаментальные знания из университетской программы, так и профильные курсы, а также охватывать различные смежные области IT-знаний в зависимости от предметной области, такие как разработка ПО, облачные вычисления, обработка больших данных, ИИ, IoT и т. д.

Слоеный пирог из знаний

Обобщив, можно выделить три слоя знаний, необходимых для современного специалиста в области кибербезопасности:

  1. Фундаментальный слой ‒ включает базовые знания из университетской программы. Сюда могут входить (список курсов и образовательные слои открыты для обсуждения в комментариях):
    • высшая математика с матанализом и линейной алгеброй;
    • численные методы и матстатистика;
    • дискретная математика;
    • нечеткая логика и нейронные сети;
    • теория цифровых автоматов;
    • микроконтроллеры и архитектура ЭВМ;
    • теория информации;
    • сети;
    • операционные системы;
    • системное программирование и не только.
  2. Профильный слой ‒ специализированные знания в области кибербезопасности, такие как:
    • криптография;
    • информационная безопасность;
    • технологии детектирования кибератак;
    • анализ вредоносных программ и реверс-инжиниринг;
    • веб-безопасность и Ethical Hacking;
    • цифровая криминалистика;
    • сетевая и облачная безопасность;
    • разработка безопасного ПО и ПО для безопасности;
    • безопасность беспроводных сетей;
    • децентрализованные системы и блокчейн.
  3. Междисциплинарный слой ‒ знания в смежных IT—областях для расширения кругозора аналитика:
    • ИИ с машинным обучением и интеллектуальным анализом данных (AI / ML / DM);
    • Cloud-технологии;
    • Big Data;
    • IoT;
    • Automotive;
    • Industrial Control Systems.

К сожалению, не все из перечисленных профильных курсов доступны в технических вузах Украины, где есть соответствующие специальности. К слову, мы с коллегами из ХНУРЭ, Львовской политехники, ГУТ, НТУ «КПИ» внесли свою лепту в разработку европейской магистерской программы по кибербезопасности в рамках EU TEMPUS проекта ENGENSEC, которая включает большую часть из названных выше курсов по кибербезопасности, и постепенно внедряем их в учебные программы своих университетов.

Где учиться

Если говорить об университетском образовании, то здесь есть ряд подводных камней. Во первых, профильные курсы не обязательно будут локализованы на специальности 125 «Кібербезпека». Например, я читаю курс по выбору «Методы детектирования и анализа компьютерных угроз» на специальности «Специализированные компьютерные системы». Во вторых, содержание и качество подачи материала будет отличаться у разных преподавателей в разных вузах. В третьих, ведение небольших курсов (80-120 часов) зачастую растянуто на целый семестр так, что иногда у студентов выходит одна лекция раз в две недели, и они к следующему занятию успевают забыть, что было на предыдущем :)

Скорее всего, начинающий специалист не решиться вновь перейти порог вуза в Украине для повышения квалификации, так как, в большинстве своем, уже имеет негативный опыт получения некачественных образовательных услуг. Остается вариант стажировки в IT-компании, коммерческие курсы или летние школы. К примеру, Google, Microsoft и другие крупные американские IT-компании проводят стажировки для студентов во время летних каникул, в частности по направлениям кибербезопасности. Также мы с коллегами из Украины и Европы проводим ежегодную Летнюю школу по кибербезопасности для студентов и преподавателей.

Для того, чтобы пройти отбор на стажировку, нужно уже обладать как минимум базовыми навыками, а лучше и частью профильных. Для этого подойдут онлайн-курсы. Я рекомендую coursera.org, так как там отобраны качественные академические курсы, а также есть возможность проходить курсы бесплатно без сертификации.

Источником экспертных знаний могут также стать, как это ни странно звучит, YouTube-каналы популярных конференций по кибербезопасности. К счастью, уже не надо лететь через океан и покупать билет за $3000 долларов (да, именно столько стоит билет на топ-конференцию), а можно просто подождать день, неделю, месяц и посмотреть видеозапись, сидя дома на диване и попивая чаек с печеньем или пригласить друга, девушку/парня и посмотреть вместе :) К тому же на больших конференциях доклады обычно разбиты на два и более потоков, поэтому, даже присутствуя там физически, невозможно посетить все выступления.

Что посмотреть

Мои подписки на YouTube-каналы:

Комьюнити

Еще одна возможность получить новые знания — посещение локальных конференций, воркшопов, мастер-классов, Security Day, общение с представителями комьюнити, подкасты, некоторые из них также доступны на YouTube:

Можно и самому выступить с докладом или прочитать лекцию коллегам и студентам. Как показывает собственный опыт, пока готовишь материал, находишь много интересной информации. К тому же вопросы аудитории могут выявить пробелы в знаниях и сподвигнуть на углубление в предмет.

Участие в научных исследованиях в университете или компании может оказаться очень полезным для прокачивания аналитических навыков. Для поиска релевантных научных исследований рекомендую Google Scholar.

Книги не даю, так как все направления покрыть нереально. Гугл в помощь!

В заключение, я бы порекомендовал, независимо от текущего уровня профессионализма, продолжать учиться, используя все возможности. Такая концепция получила название «Lifelong Learning» и становится все более популярной в современном быстро развивающемся мире. И помни: ИИ уже следит за тобой и однажды займет твое место <DEVIL>

Павел Кривко, DevOps Security Engineer в ЕРАМ Ukraine

6 лет в ІТ

Кибербезопасность — огромная отрасль. Она объединяет много направлений, которые могут существенно отличаться друг от друга, поэтому в первую очередь стоит уделять внимание получению базовых знаний и уже после углубляться в выбранную специализацию, будь то Application Security, Cloud Security, Penetration Testing или что-то еще. Однако мои общие рекомендации таковы:

  • Учите английский. Думаю, нет смысла подробно комментировать. Хороший уровень владения иностранным языком открывает много возможностей в IT-индустрии.
  • Прокачивайте навык программирования. Он один из самых важных, потому что позволит решать много повседневных задач. Стандартом отрасли считается С и Python. Из книг могу порекомендовать Head First: Python, Head First: C.
  • Разберитесь, как работают операционные системы и их основные службы. Linux отлично подходит как для изучения, так и в качестве основной ОС, знакомство с ней можно начать с How Linux Works.
  • Уделите время ознакомлению с сетями и сетевыми протоколами, прочитайте Computer Networking. Для вас не должно быть загадкой, в чем разница между ICMP, UDP и HTTP.
  • Хотя бы поверхностно разберитесь в криптографических примитивах и протоколах. Без этого сложно представить современную кибербезопасность. Советую прочитать Crypto 101.
  • Начните прокачивать профильные знания, например, с изучения практик и инструментов, которые применяют в контексте Secure SDLC. Это даст вам понимание процесса разработки ПО и контроля безопасности на всех этапах жизненного цикла продукта, а также опыт работы с SAST, DAST, SCA и другими инструментами.
  • Чтобы развивать профильные практические навыки, хорошо подходят всевозможные [Hack|Crack|Exploit]Me челенджи и CTF. Из того, что стоит посмотреть в первую очередь, — это Hack The Box и CTFTime.
  • Задумайтесь о прохождении сертификаций и курсов. Наличие у вас профильных и признанных в отрасли сертификатов — это хорошо, хотя и не обязательно. Примерный список таких сертификаций можно посмотреть в Cyber Career Map. Из курсов стоит взглянуть на Linux Academy и Pentester Academy.
  • Немаловажное место занимают ивенты и конференции. Если хотите посетить конференцию, но не знаете, какую выбрать, можно начать поиск на сайте infosec-conferences.

Думаю, для старта будет достаточно. Успехов :)

LinkedIn

9 комментариев

Подписаться на комментарииОтписаться от комментариев Комментарии могут оставлять только пользователи с подтвержденными аккаунтами.

Thank you, great tips!

Спасибо, было познавательно.

Забавно что эксперты обошли стороной Privacy и Legal составляющую в принципе. Вот просто нету такого направления в InfoSec от слова «совсем».
Вот эти все ваши :
Chief Privacy Officer
Data Protection Officer
CIPP\CIPM сертифицированные специалисты

Безусловно так, но не совсем понятно как Privacy & Legal составляющая сможет помочь в поиске работы начинающим специалистам, возможно вы сможете поделится актуальными вакансиями для Junior Security * где скилы в Privacy & Legal являются ключевыми ?

Очень просто, если компания предоставляет сервисы в Европу — ей необходимо считаться с известными европейскими регуляциями, у нас такие требования к специалистам представлены в меньшей мере, а вот если расширить географию поиска — то вакансий достаточно.

Поискать можно на сайтах типа linkedin или indeed.
Вакансии типа : jobs2.deloitte.com/...​D174042ENIE/?src=JB-16801 тут не требуют какого-то космического опыта.

Я упомянул это направление, т.к. оно тоже релевантно. Как если бы вы вход в программирование описывали бы только бэкэнд и фронтэнд разработкой.

В моем понимании это не далеко не „Junior” вакансия :)

quote: "
... Consultant/Senior Consultant on data protection engagement...
•Extensive knowledge of Data Protection requirements and Data Protection good practice
•Experience in leading meetings, understanding data flows and identifying risks
•Ideally has a Data Protection related professional certification such as CIPP, however this is not a must
•Strong knowledge of Third Party management"

Направление релевантно, да, но таких вакансий минимум, особенно в нашем сегменте рынка и особенно для младших специалистов. Плюс просто невозможно охватить все направления, их очень много.

www.linkedin.com/...​0-henry-jiang-ciso-cissp

А в целом, спасибо, дополнили материал :)

Статья — про то, на что обращать внимание молодым инженерам. Тут не упомянуты десятки специализаций, которые для entry-level специалистов либо недоступны, либо потребуют огромных инвестиций на старте.

DPO etc. — позиции для взрослых. В первую очередь даже не из-за квалификации, а из-за объема ответственности. Отдельные талантливые организации конечно делают Faux DPO из вчерашнего выпускника юридического/технического вуза, но это скорее форма compliance fraud. Советовать начинающим в нашей непростой профессии начинать с жульничества — кажется мне немного странной идеей.

Так недавно же самый главный зеленый сеньор поставил точку в этой теме. Какие тут еще советы нужны? )

Подписаться на комментарии