Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет. Сейчас занимаюсь тестированием безопасности приложений, архитектурой и внедрением решений безопасности, проектированием проектов и много чем ещё, в том числе пентестами.
В этой статье расскажу о самом сложном этапе в ИБ — старте. Опишу, о чём стоит задуматься, прежде чем идти в эту сферу. Расскажу о распространённых ошибках новичков и базе: навыках и знаниях. А ещё поделюсь стартерпаком для самостоятельного погружения в контекст и обучение: от подкастов до книг.
Понять, что это действительно твоя сфера
Сначала немного о терминах. Инфобезопасность — это защита данных как в цифровом, так и бумажном виде. Специалисты этого профиля борются и с внешними, и с внутренними угрозами. Кибербезопасность — это в основном про угрозы извне, прежде всего из интернет-сетей. Поэтому нужно учесть некоторые особенности профессии.
Системность. Недостаточно думать о каком-то одном профиле. Любой ИБ-специалист, если хочет строить успешную карьеру и успевать за трендами угроз, должен постоянно изучать новое, погружаться в межпрофильные знания. Например, веб-пентестер. С одной стороны, он должен знать и уметь эксплуатировать уязвимости: XSS, MITM и другие. Понимать архитектуру, работать с инструментами, знать (это не обязательно для начинающего специалиста) особенности скриптовых языков программирования. А ещё использовать социальную инженерию, OSINT-навыки.
Способность мыслить как злоумышленник. Главное, что нужно понять о кибербезопасности: специалисты ИБ всегда на шаг позади хакеров. Мы строим защиту, продумываем, как и откуда могут попасть в наши системы. Но именно хакеры находят первыми неизвестные ранее лазейки. Их ещё называют «уязвимости нулевого дня» или «0-day уязвимости». То есть это такие проблемы, когда у компании осталось ноль дней для того, чтобы их решить. Если специалист будет думать как злоумышленник: пентестер — концентрироваться, как взломать системы, аналитик — искать возможные пути обхода защиты, архитектор — ставить себя на место хакера, попавшего в систему, — будет больше шансов построить эффективную защиту и быстро реагировать на атаку.
Умение работать с большими данными: внимательно и дотошно. Например, аудиторы ИБ должны разделить компанию на десятки, если не сотни, возможностей взлома, проанализировать каждую, дать конкретным каналам оценку и рекомендации по улучшению. Форензики выстраивают цепочку событий из самых разных каналов, ищут преступника по крупицам данных из десятков источников.
И ещё немного о спорных вопросах.
Обязательно ли должен быть технический склад ума, чтобы стать инфобезопасником?
Нет, я работаю с людьми, которые не получали технического образования в университете и пришли в ИБ без всякого технического бэкграунда.
Нужно ли уметь кодить?
В идеале да, но это совсем не обязательно на ранних этапах карьеры. Но здорово, если вы можете писать на одном скриптовом языке: Python, PHP или JavaScript. Вышка — если умеете на нескольких.
Можно ли научиться инфобезопасности самостоятельно?
Да, но это намного сложнее. Информации очень много, она разрознена, обновляется редко. В этом преимущество образования: дают сразу то, что необходимо.
Выбрать направление
В инфобезе больше 30 специализаций. В каждой свои особенности, свой подход к решению задач, свои цели. Мы перечислим несколько самых популярных.
Аналитик IT-безопасности — собирает и обрабатывает информацию о возможных угрозах. На результатах его работы выстраивают стратегию защиты компании.
Архитектор ИБ — создает и внедряет систему обеспечения информационной безопасности в компании. Если аналитик готовит материалы для стратегии, архитектор её исполняет.
Пентестер — легальный хакер. Взламывает системы ИБ заказчика с его полного одобрения. По сути это максимально приближённый сценарий реального нападения.
Форензик — специалист, который подключается при условии успешной атаки хакеров. Он определяет время, обстоятельства и последствия атак. Эти люди часто работают с правоохранительными органами, особенно когда объектом атаки были госпредприятия.
Баг-хантер — ищет ошибки на различных ресурсах, а за обнаружение получает вознаграждение. Например, если вы найдёте уязвимость в «Госуслугах», «Платформе обратной связи», ЕСИА, ГИС ЕБС, можете получить от Минцифры от 100 до 300 тысяч рублей.
Специалист Security Operation Center (SOC) — реагирует на инциденты в режиме реального времени и отражает атаки с помощью анализа событий.
В сфере ИБ часто переходят из одной дисциплины в другую. Кто-то начинает со специалиста SOC и переходит со временем в пентестинг. Аналитики становятся архитекторами, пентестеры — баг-хантерами. В инфобезе сильная гибкость в плане горизонтальной карьеры. И, само собой, вы можете идти по пути управления: начинать джуниор-специалистом, расти по грейдам, а после идти в техлиды.
Начать базовое и профильное обучение
Какой бы профиль вы ни выбрали, начинать нужно с Computer Science: операционные системы, протоколы, понимание стека веб-технологий, устройства интернета и основных сетевых протоколов. Легенда среди бесплатного образования — гарвардский курс CS50. Ещё есть курсы на Coursera, Khan Academy.
После этого стоит погружаться в более профильные знания, в зависимости от того, какую выберете специализацию. Но также везде стоит знать о ключевых уязвимостях, основах DevSecOps — безопасной разработки, а также OWASP — открытом проекте по обеспечению безопасности приложений. Здесь есть важные материалы: от топов распространённых уязвимостей до вебинаров (всё на английском). Их рекомендации высоко ценят независимые аудиторы, так что стоит постоянно прислушиваться, что говорит и о чём пишет фонд. Вот, например, гайд, как тестить приложения.
Исключить частые ошибки начинающих специалистов
Изучать всё и сразу. Нет ошибки, если вы начинаете погружаться в разные специальности, чтобы найти своё. Но если нащупали — погрузитесь сразу в профильное обучение. Если выбрали пентест, изучайте уязвимости и их эксплуатации, а не форензику и аудит ИБ.
Надеяться только на теорию. Без практики любое обучение имеет мало смысла. Здесь может быть два варианта: либо искать стажировку в компаниях, либо практиковаться на различных CTF-платформах — ресурсах, где есть тренировки по поиску уязвимостей, взлому и другим задачам. Это, кстати, уже можно назвать опытом на собеседовании. Работодатель поймёт, что вы не только читали, но и делали что-то руками. В России популярна RuCTF, в мире — Def Con, Google CTF.
Получить сертификат
Любой работодатель хочет быть уверен, что нанимает хорошего специалиста. Если у вас нет практического опыта и полноценного университетского образования, помогут сертификаты. Получить их, правда, тоже непросто: к ним нужно серьезно готовиться, и сдавать их на территории РФ проблематично. Но даже если не будете сдавать экзамен — изучайте материалы и гайды, так как они составлены по международным стандартам.
CEH (Certified Ethical Hacker) — доказывает, что вы знаете, где искать уязвимости в системах, умеете их обнаруживать.
CISSP (Certified Information Security Systems Professional) — доказывает, что у вас есть знания и навыки IT-безопасности.
В России эти сертификаты тоже ценят, но работодатели могут присматриваться и к кандидатам с сертификатами обучения от российских компаний, например, курса по веб-пентесту от «Яндекс Практикума».
Изучить дополнительные материалы
Мы разделили их на два больших блока: контекст и обучение. Контекст нужен, чтобы вы сделали кибербезопасность частью рутины: читали каналы, слушали подкасты и смотрели видео. Обучение — это уже для прокачки хардскилов.
Понять контекст
Подкасты
«Кверти» от Red Barn — подкаст с небольшим порогом входа. В нём ведущие обсуждают самые базовые вещи ИБ. В первых двух сезонах информация совсем для новичков. В третьем — уже больше про карьеру ИБ.
«Смени пароль» от «Лаборатории Касперского» — документально-практический подкаст, в котором эксперты компании обсуждают расследования в ИБ и помогают разобраться в новых угрозах.
«Схема» от Т-Ж — подкаст, в котором анализируют схемы мошенничества. Кибербезопасность — это сфера, в которой важна психология. Этот проект расскажет, как злоумышленники обманывают даже подкованных пользователей.
Telegram-каналы
Kraken — в этом канале нет новостей (по крайней мере сейчас). Зато выходят тексты разного формата про кибербезопасность: от гайдов, инструкций и чек-листов до описания различных атак и уязвимостей. Этот канал прям для новичков.
SecurityLab.ru от Positive Technologies — новости мира кибербезопасности. Редакция собирает на ресурсе последние исследования угроз со всего мира и заметные кейсы.
Хакер.ru — alma mater первых кибербезопасников в РФ. Это телеграм-канал известного журнала, который выходит с 1999 года. Здесь тоже в основном новости мира ИБ, подборка отчётов и исследований. Если хотите понять, как развивалась индустрия кибербеза у нас в стране, — читайте архив журналов. Он бесплатный.
Начать самообразование
YouTube-каналы
Канал Джона Хаммонда — больше 1 400 видео про обучение, уязвимости, практические навыки кибербезопасности. К сожалению, на большей части видео нет русских субтитров, но для людей, которые хотят развиваться в сфере ИБ, это не должно быть проблемой. Английский — это язык всех современных решений, платформ и инструментов.
LiveOverflow — канал исследователя-любителя Фабиана Фесслера. Здесь довольно подробные руководства по техникам и практическим задачам в кибербезопасности. Именно задачам, не реальным кейсам.
Книги
Майкл Ховард и Дэвид Леблан — «Защищённый код». Книга, которую Билл Гейтс заставляет читать своих подчиненных. В ней советы и рекомендации по защите приложений на всех этапах создания ПО — от проектирования до написания надёжного кода. В книге много о моделировании угроз, опасностях при локализации, поддержке секретности в приложениях и анализе исходного кода на предмет потенциальных угроз.
Бен Ротке — Navigating the Cybersecurity Career Path. Книга, которая поможет разобраться начинающим (и не только) специалистам в построении карьеры в ИБ.
Defensive Security Handbook: Best Practices for Securing Infrastructure — больше 600 страниц конкретных инструкций для решения проблем кибербезопасности в компаниях. От управления паролями до сканирований на уязвимости и пентестов.
Развивать профессиональные навыки и карьеру
Кибербезопасность — это сфера, в которой всегда есть чему научиться, здесь нет потолка знаний. Чем больше будете погружаться в разные дисциплины — тем более ценным станете специалистом. ИБ мало чем отличается от других видов работы: здесь работает шаблон первого оффера:
Обучение → Практика → Сертификация → Стажировка/Кейсы → Резюме → Отклики → Первый оффер
Советую на первых порах погрузиться в контекст, сосредоточиться на обучении и практике. Как можно быстрее перейти к реальной работе. И самое главное — не останавливаться.