Недавно вышел пост от Алексея Лукацкого, где он затронул тему того, как можно в нынешних условиях развиваться в сфере информационной безопасности. Во многом я с ним согласен, однако есть некоторые моменты, которые хотелось бы подправить или раскрыть чуть глубже. Важно понимать, что разница между нами заключается в том, что Алексей, как он сам сказал, окончил вуз 30 лет назад, долгое время работает в отрасли и, несмотря на то, что продолжает находиться на острие профессии, всё же может быть несколько далёк от пути, который сегодня должен пройти студент по направлению ИБ, чтобы стать практикующим специалистом.
Это всё, конечно, лирика, но без неё сложно объяснить контекст.
Часто спрашивают: с чего начать в информационной безопасности? Отвечу сразу — пройдя путь от студента до практикующего специалиста, я не могу дать однозначного ответа. И, как ни странно, это хорошая новость! Если раньше, в 2015–2018 годах, CTF и платформы вроде HTB были практически единственным качественным способом учиться в команде, то сейчас ситуация изменилась кардинально. Информации стало значительно больше: она лучше структурирована, доступнее и разнообразнее. Появились отечественные аналоги вроде киберполигона BI.ZONE и STANDOFF 365, а также множество зарубежных платформ.
Главная суть в том, что сегодня материалов действительно очень много. Не существует единственно правильного пути в топовую компанию — каждый может выбрать то направление, которое ближе и интереснее именно ему. И в этом, пожалуй, главное преимущество современного времени.
Прежде чем переходить к, казалось бы, простому вопросу «с чего начать», давайте разберёмся с классификацией сфер информационной безопасности.
Хочу ввести собственную классификацию — не встречал её в литературе, поэтому не кид��йтесь камнями :) Это сделано исключительно для упрощения понимания студентами, которые только поступили и пока не представляют, в какую под-сферу им двигаться.
1️⃣ Военная / Силовая ИБ — Контрразведка, радиоэлектронная борьба, защита государственной тайны и шифрование. (Об этом, если вы поступили на курс ИБ, вам хорошо расскажут в вузе.)
2️⃣ Государственная / Национальная ИБ — направление по линии Минцифры, Банка России, ФСТЭК, МВД и других госструктур. (Сюда относятся институты, где целью деятельности не является получение прибыли.)
3️⃣ Частная / Бизнес-ИБ — частная деятельность, направленная на защиту от кибератак, соответствие требованиям регуляторов, расследование инцидентов внутри компании. (Здесь всё строится вокруг интересов бизнеса, поэтому подход отличается.)
Очень важно с самого начала понять, какая сфера вам ближе. Я для себя выбрал последнюю — коммерческую ИБ, потому что именно здесь чаще всего сталкиваешься с передовыми атаками, инновационными подходами и высокой скоростью внедрения решений. К тому же бизнес готов это финансировать. Именно в этом направлении я и буду дальше раскрывать тему развития.
И вот теперь наконец-то — с чего начать?
Ответ на самом деле прост: начать что-то делать. Специалист по ИБ — это человек, который умеет отвечать на вопросы, а их в работе всегда больше, чем ответов. Поэтому нужно научиться постоянно учиться и получать удовольствие от процесса, ощущая прогресс с каждым днём.
Есть несколько ключевых качеств, которые стоит развивать:
1️⃣ Умение искать и фильтровать информацию. Это базовый навык, без которого невозможно расти. Нужно не просто находить данные, но и критически оценивать их, отделяя достоверное от ложного, а полезное — от информационного шума.
2️⃣ Усидчивость и концентрация на результате. В ИБ часто приходится погружаться в сложные задачи, требующие терпения и внимательности. Важно доводить начатое до конца, сохраняя фокус.
3️⃣ Готовность жить профессией. Информационная безопасность — это не просто работа, а образ мышления. Интерес к технологиям, угрозам и новым векторам атак не должен угасать даже после окончания рабочего дня.
А есть ли жизнь кроме CTF?
Коротко говоря — да! И, что приятно, зачастую с шашлыками и джакузи :)
💼 Стажировки
Это отличный старт для практического опыта. Обычно формат такой: вы подаёте заявку, проходите тест, попадаете в общую группу и начинаете обучение. Всё проходит удалённо. На первом этапе изучается база: Linux, Windows Active Directory, сети, веб и иногда DevOps. По результатам отбирают лучших, которые переходят на второй этап — интенсивы по выбранному направлению. Там уже идёт работа в прямом эфире с командой, разбор реальных кейсов и защита собственных решений.
Важно понимать: даже если вас не возьмут в штат, вы уже выиграли — опыт, знания и связи бесценны. Я сам проходил стажировку у Positive Technologies. Да, тогда у компании был непростой период, и часть ребят не взяли, но почти все из нашей группы впоследствии нашли отличную работу, а многие даже на более высокие позиции. Так что стажировки — это мощный инструмент роста.
🎤 Фору��ы
Отдельная важная часть развития. В России проводится множество форумов: PHDays, OffZone, SOC Forum, Кибербезопасность в финансах, Цифротех и другие. Есть и международные — kazHACKstan, Black Hat.
Преимущество форумов в том, что там выступают топовые специалисты, а записи докладов обычно доступны онлайн — рекомендую каналы конференций PHDays и OFFZONE. Также стоит обратить внимание на CyberCamp, полностью онлайн-форум.
Если у вас есть возможность посещать форумы лично — это ещё лучше. Можно познакомиться с коллегами, задать вопросы спикерам, пообщаться с HR на стендах (а иногда и получить мерч). Форумы — это не просто события, а важный источник знаний, вдохновения и возможностей.
⚔️ Кибербитвы
Ещё одна захватывающая активность — кибербитвы. Это формат соревнований, где моделируется цифровое государство с реальными СЗИ и системами управления. Есть команды Синих (защитников) и Красных (атакующих). Побеждают те, кто эффективнее выполняет свою роль. Среди красных - команды реализовавшие большее количество недопустимых событий и рисков для бизнеса, среди синих - команды которые предотвратили или заметили большее количество атак. Потренироваться на СЗИ можно на полигоне от STANDOFF - cyberbones. Он бесплатен.
Порог входа выше, чем в CTF, но и отдача колоссальная — вы получаете опыт, максимально приближенный к реальным атакам. Чтобы подготовиться, можно пройти тренировочный эмулятор Standoff Cyberbones, а затем поучаствовать в реальных мероприятиях: Студенческая кибербитва Innostage, Международная кибербитва Positive x Jetx, Standoff 16 и другие.
📖 Ресерчи, статьи, GitHub
Сейчас это мой основной источник знаний. Каждый день появляется что-то новое, и я часто читаю статьи по дороге в вуз. В России много частных издательств, публикующих исследования, например Positive Research или журнал Хакер.
Также компании вроде BI.ZONE, F6, Positive Technologies, RedSecurity, Angara, Cicada8, Bastion и другие регулярно публикуют свои отчёты и аналитические материалы.
Отдельно стоит следить за Telegram-каналами — если интересно, напишите мне, поделюсь подборкой (@thankspluxury).
GitHub — вообще отдельная вселенная. Количество полезных инструментов и репозиториев там безгранично. Обязательно пользуйтесь!
И, конечно, Habr — отличный источник как технических статей, так и забавных мемов.
🪲 Bug Bounty
Ещё одно интересное направление — Bug Bounty. Это программы, в которых компании приглашают независимых исследователей безопасности искать уязвимости в их продуктах.
В России уже сформировалась целая экосистема таких платформ:
1️⃣ Standoff 365 Bug Bounty (от Positive Technologies)
2️⃣ BI.ZONE Bug Bounty (от BI.ZONE)
3️⃣ Bug Bounty Ru (от Киберполигона и Синклита)
Кроме того, есть частные программы, например, у Яндекса и Контура.
Почему это интересно? Потому что это реальная практика: вы работаете с настоящими системами и за найденные уязвимости получаете вознаграждение. Даже если знаний пока немного — не беда. Мы с одногруппником начали, имея минимальные знания о XSS, и через пару месяцев уже смогли набить неплохой рейтинг на платформе:
Так что главное — начать. Не ждите идеального момента: если кажется, что «ещё не время», значит, уже опоздали. Прогресс — это всегда прыжок выше головы.
Как я и обещал, материала действительно много, и выбор пути зависит только от вас. Мой собственный путь занял 8 месяцев — от первых CTF до устройства в компанию на позицию специалиста по расследованию инцидентов. Не бойтесь проходить собеседования — даже если не возьмут, это всё равно опыт. Главное — двигаться в том направлении, к которому лежит душа.
И помните: играем в долгую.
Если у вас остались вопросы — смело пишите их в комменты, на все отвечу
