Cyber Security — одна из немногих областей ИТ, где до сих пор минимальные сокращения и куда пока еще берут джунов. Как сделать первые шаги в профессии, в каких направлениях развиваться и чему поучится — рассказывают эксперты.
Cyber Security — одна из немногих областей ИТ, где до сих пор минимальные сокращения и куда пока еще берут джунов. Как сделать первые шаги в профессии, в каких направлениях развиваться и чему поучится — рассказывают эксперты.
Вся офисная работа делается за компьютером, а среднестатистический пользователь оставляет личные данные в десятках приложений. Все эти данные нужно защищать: спрос на спецов по кибербезопасности превышает предложение. По данным Exploding Topics, только за последние полгода количество вакансий в сфере кибербезопасности выросло на 60%.
Кибербезопасность — сфера, которая часто пугает. Тут масса узкоспециальных терминов, свой особый жаргон и множество курсов, но почти все они стоят недешево. Мы поговорили с практикующими спецами о том, какие навыки нужны для работы в кибербезе и смежных областях, как выбрать обучающие программы и какие есть возможности для карьерного роста.
Классификация по профессиям может различаться в зависимости от компании. Но выделить разные области в сфере безопасности все-таки можно.
В командах, в которых я работал, чаще выделяли:
- Security Operations — реагируют на инциденты.
- Application Security — помогают писать безопасный код, чтобы предупреждать инциденты.
- Information Security — занимаются соответствием законодательству и сертификациями.
Еще может быть:
- Команда тестирования безопасности — проверяют, чтобы на продакшн попала версия приложения без уязвимостей.
- Команда Red Team — полностью симулируют реальную атаку с целью поиска уязвимостей.
- Команда инфраструктурной или облачной безопасности — заботятся о том, чтобы облако или собственную инфраструктуру компании не взломали.
Конкретную специальность можно выбрать под свой склад характера и бэкграунд. Например, нужны аналитики, чтобы изучать предыдущие инциденты и подсказывать, как предотвращать новые. Это скрупулезная работа с данными. Разработчики со знаниями в безопасности тоже нужны, чтобы писать код — тут задачи уже более творческие. А тестировщики безопасности (пентестеры) придумывают, как взломать систему. Такая работа очень далека от рутины, многих именно это и привлекает в кибербезе.
В 2010 году я пошел работать в техподдержку, параллельно фрилансил: искал уязвимости за вознаграждение. Получил опыт аналитика и Linux-администрирования, но долго в этом не задержался. Я люблю движ, хотел заниматься наступательной безопасностью, а не оборонительной. Со временем возглавил отдел кибербезопасности, мы занимаемся в основном пентестами. Мне нравится эта работа, потому что постоянно сталкиваешься с чем-то новым, это как стратегическая игра: нужно хитрить, мыслить out of the box.
Но вообще пентесты составляют 10-20% в нашей сфере. Большинство специалистов заняты в оборонительной безопасности, предотвращают угрозы. А мы — своеобразная служба контроля качества.
Для проведения пентестов может пригодиться опыт тестировщика ПО. Конечно, придется дополнить его новыми знаниями.
Функциональное тестирование — неплохой вариант вкатывания в пентестинг. Вообще пентестер — хорошая профессия для старта, по ней очень много образовательных материалов. Также невысокий порог входа обычно имеют специалисты по сетевой безопасности и аналитики угроз и инцидентов. Тут зачастую не требуется глубоких знаний во всех областях кибербезопасности.
Если нет желания слишком глубоко погружаться в технологии, вы можете работать в информационной безопасности — для этого нужно внимательно разбираться с юридическими вопросами.
У меня был свой небольшой бизнес — продажа компьютеров и комплектующих. Были базовые знания на уровне пользователя: как устроен компьютер, что такое IP-адрес, что такое сеть. Через знакомых предложили позицию специалиста по информационный безопасности. Работа там была связана с обеспечением информационной безопасности деятельности организации, бумажная работа. Я разобрался в законодательстве и начал участвовать в процедурах аттестации систем защиты информации — с этого начался мой путь.
Думаю, с этого можно начинать учится: вникнуть в законы страны. А еще изучить виды и принципы проведения атак и то, как работают средства защиты информации: что может межсетевой экран, что такое SIEM, что такое IPS/IDS. Самый простой путь для старта, на мой взгляд — идти в compliance: отвечать за соответствие законодательству. Там нужно меньше прикладных скилов.
Есть еще одно, неочевидное направление — социальная инженерия. Такие специалисты разбираются в психологическом манипулировании людьми. Они исследуют, как поведение людей может ставить под угрозу безопасность и что с этим делать. Это нужно в первую очередь чтобы проводить тренинги для сотрудников.
Никто не исключает сценария, когда сотруднику приходит письмо от партнера, там ссылка на документ, просят ответить в течение часа. Сотрудник поторопится, перейдет по ссылке, а потом какая-то информация с компьютера уйдет. А, может, харизматичный незнакомец обратится к офис-менеджеру и представится крупным клиентом. Его пустят подождать в офис начальника, и из этого офиса таинственно исчезнет ноутбук.
Часто такие способы взлома компаний эффективнее, чем технические. Особенно если у организации небольшая инфраструктура и большой штат. И чтобы работать в социальной инженерии, опыт контент-менеджера или психолога будет полезнее, чем бэкграунд в IT.
С одной стороны, порог входа в Cyber Security не так высок, как кажется. В этой сфере нужно все пробовать на практике и поддерживать знания актуальными — поэтому имеет смысл идти работать с минимальным набором знаний и расти в компании.
С другой стороны, совсем без специальных навыков обойтись не выйдет. Несколько месяцев точно стоит заложить на учебу. Причем даже если вы айтишник из другой сферы, в кибербезе это даст разве что минимальный буст.
Это база для старта, если вас интересуют технические специальности в кибербезе. Но список далеко не исчерпывающий — у разных компаний на разные позиции могут быть свои требования. Зная основы, обрастать узкоспециальными скилами будет уже проще.
Чем больше знаешь, тем лучше. Но также многое зависит от специальности. Например, я работаю в application security. Тут важно разбираться в разработке, понимать, как работают приложения, как пишется код, как этот код может работать на руку хакерам — чтобы предупредить такие ситуации и помочь команде встроить процессы безопасности в нормальный цикл разработки ПО.
В качестве первых шагов в кибербезе стоит освоить азы программирования, основы работы ОС, компьютера и сети. Хотя есть профессии, где и этого не требуется. Например, специалисты по информационной безопасности стоят немного в стороне от технической части — они занимаются политикой безопасности.
Сфера кибербезопасности постоянно меняется с появлением новых технологий. Если планируете всерьез строить карьеру, нужно подхватывать тренды и постоянно поддерживать знания актуальными.
Наши эксперты выделили 4 основных технологии, которые повлияют на кибербез в обозримом будущем:
В обучении главное — мотивация, любопытство и желание работать. При должном усердии научиться можно и самостоятельно, и на любых курсах — взять максимум полезной информации, что-то доучить самостоятельно. Но качественные образовательные программы станут большим подспорьем и помогут сэкономить время. Выделим главные критерии выбора хороших курсов.
Если вас заинтересовал курс, не поленитесь поискать отзывы: не только на официальном сайте, но и на сторонних площадках. Если сомневаетесь — спросите о курсе у практикующих безопасников в соцсетях, вряд ли вам откажут. Если курс никому неизвестен, это не значит, что он плохой, но повод насторожиться есть. А если курс хвалят серьезные спецы, он скорее всего стоит вашего времени и денег.
Также стоит смотреть на требования работодателей. Если курс готовит к какой-то сертификации, стоит поискать в описаниях вакансий, насколько часто встречается упоминание этого сертификата в блоке требований или дополнительных плюсов.
Важно, чтобы преподаватель был не просто экспертом-теоретиком, а практиком. Кибербез — сфера, где опыт важнее набора знаний.
Стать безопасником с нуля за две недели не выйдет — придется потратить не менее нескольких месяцев прежде чем выйти на работу. Если в рекламе курсов обещают неправдоподобно радужные перспективы, значит в действительности за результат никто не отвечает.
4 месяца плотного обучения достаточно, чтобы выполнять какие-то базовые задачи. Остальное можно осваивать уже на практике на рабочем месте. Важно готовиться к тому, что будет много монотонной работы. Нужно терпение и усидчивость — особенно в странах, где законодательство сильно зарегламентировано.
В кибербезопасности распространена система сертификаций — спецы сдают экзамены и получают подтверждение своих знаний и навыков в той или иной области. Некоторые курсы пишут, что готовят к сертификациям — это отличный бонус.
Легендарный путеводитель по нелегкому пути сертификаций — на сайте Paul Jerimy. Там все систематизировано по направлениям и можно посмотреть, какие компетенции нужны для каждого экзамена. Хорошо, если после курса сможете получить какой-то сертификат.
Вместе с экспертами подобрали несколько онлайн-курсов с хорошим рейтингом и отзывами — они будут подспорьем для старта в карьере.
Студенты учатся здесь быть «белыми» хакерами — взламывать системы по просьбе клиентов для поиска уязвимостей. Материал курса подготовит вас к сдаче экзамена на сертификат CEH. Упоминание международно признанной сертификации в резюме будет большим плюсом.
Курс интенсивный — подойдет тем, кто хочет быстро получить актуальную информацию от профи, а потом нарабатывать навыки самостоятельно.
Курс включает 5 недель занятий с преподавателем — каждую неделю 2 онлайн-встречи по 3 часа. После окончания основного курса — 6 месяцев доступа к практическим занятиям для закрепления материала.
Цена: $ 2,299 — включает ваучер на прохождение сертификации CEH.
Я бы с удовольствием взял в команду человека с курса Certified Ethical Hacking на Edureka — он дает ценный набор скилов. Главное помнить: любой скилл — ничто без развития и практики. Специалисты по ethical hacking стоят дорого, но без них любая команда по кибербезопасности будет неполноценной.
Это общий курс, которые охватывает ключевые знания и навыки, необходимые в сфере безопасности. Полученные компетенции вам пригодятся независимо от того, выберете ли вы карьеру пентестера, специалиста по информационной безопасности или менеджера в кибербезе. Материал изложен с самых азов и будет понятен даже людям, ничего не знающим об IT.
Курс рассчитан на 8 недель по 7-10 часов в неделю. Программа разбита на видеолекции и серию практических заданий, но они открываются постепенно для лучшего усвоения материала — пройти все за неделю не выйдет.
Цена: $1046
Этот курс отлично подойдет тем, кому нужно разобраться в процессах безопасности. На этом фундаменте можно будет строить техническую экспертизу или же менеджерскую экспертизу в отделе кибербезопасности.
Стартовый курс по кибербезопасности от Google: здесь вы не будете углубляться в тонкости, но освоите азы для. Отлично подойдет для знакомства с кибербезом: потом сможете определиться со специализацией и продолжить обучение. Студенты получают базовые знания в сфере и кратко затрагивают аналитику данных.
Длительность и формат обучения:
Рекомендовано 6 месяцев по 7 часов в неделю, время и загрузку студент может регулировать самостоятельно.
Цена: $49 в месяц
Этот курс подойдет любому новичку в кибербезопасности. Он показывает разные аспекты и специализации в домене кибербезопасности. Идеально для тех, кто ещё не знает в какую специализацию двигаться или же для ИТ инженеров, которые хотят посмотреть на свою экспертизу под призмой безопасности.
TIP от Adviser: Вы можете скономить до 80% на образовании с подпиской Coursera Plus, которая дает неограниченный доступ к 7000 курсов, проектов, специализаций и сертификаций на платформе. Подробнее о том, как это работает, читайте в статье.
Главное в освоении нового — мотивация и приложенные усилия. Но не менее важно грамотно выстроить карьерный трек и отделить актуальную информацию от устаревшей.
Вот несколько рекомендаций, которые помогут на старте карьеры:
Сейчас активно развиваются площадки, на которых пентестеры ищут уязвимости за вознаграждение: HackerOne, BugCrowd. Организации, которые хотят, чтобы их попробовали взломать, дают задачу и пентестеры начинают пробовать. Главное — первому это зарепортить, кто первый — тому и деньги. Зато вознаграждения неплохие, 20-30 тысяч долларов за одну уязвимость могут заплатить.
Конечно, шанс быть первым невелик, зато это отличная тренировка. Чисто ради практики, можно тем же самым заниматься на платформе Open Bug Bounty — схема та же, но бесплатно.
Читайте Adviser — мы регулярно публикуем обзоры на курсы, новости о спецпредложениях, гайды по входу в ИТ и полезные материалы на все случаи жизни: от подборок надежных VPN до советов по покупке криптовалюты.
В статье есть ссылки партнеров. Это значит, что если вы что-то покупаете с нашей помощью — вы также поддерживаете dev.by. (Вот другой способ).
При этом редакция и авторы независимы в выборе темы, концепции материала, фокуса описания, подхода к услугам или товарам. Прежде чем что-то советовать, мы много читаем и смотрим по теме, говорим с экспертами.
Редакция может выражать свое мнение и пробовать всё на себе.
Если рекомендательный материал обновляется, мы указываем, что и когда поменялось, в самом начале.
Релоцировались? Теперь вы можете комментировать без верификации аккаунта.
IMHO:
CEH бескарысная сертыфікацыя для практыкі, ды і кошт завышаны ў разы. Для рэзюме можа і прыгожа. Курсы Cybrary ёсць добрыя, але яны ўжо за грошы. Не далі інфармацыі па курсах і спецыфіцы Cloud Security. Вопыт у праграмаванні вялікі буст амаль для любой сферы кібербяспекі, можа акрамя Paper Security. А вось тэставанне ПЗ мае значна меньш агульнага з пентэстам, а з іншымі вобласцямі наогул не мае.