Информационная безопасность с чего начать
Как стать безопасником?
В Сети довольно часто встречаются вопросы: «что почитать по ИБ? как перейти в безопасники? что должен знать ИБ-специалист? с чего начать изучение информационной безопасности?»
Вот уже 6 лет как мы с коллегами «на передовой» разрабатываем и внедряем в вузах СНГ наши учебные курсы, посвящённые предотвращению утечек информации и использованию DLP-систем. За это время у нас выработалось собственное видение проблемы, обозначенной в заголовке. Это не аксиома, не истина в последней инстанции. Вы можете не согласиться с частью суждений. Но, начнем.
Быть, а не казаться
Как стать безопасником? А как стать сильным? Борцы, культуристы, бодибилдеры, пауэрлифтеры, турникмэны сильные? Да. Одинаково? Нет. У каждого своя специализация. Поэтому, собираясь стать безопасником, в первую очередь надо определиться со сферой деятельности: вирусный аналитик, разработчик тех или иных систем, пентестер, управленец и т.д. Каждому направлению соответствуют свои наборы качеств, знаний, обязанностей, задач и инструментов.
Что делает атлета хорошим штангистом? Пояс, штангетки, наколенники, «накрахмаленные» магнезией ладони? Снова нет. Эта атрибутика делает человека похожим на штангиста. В реальности же играет роль техника выполнения упражнения и взятый вес. Так и безопасник становится хорошим специалистом не потому, что у него есть гора сертификатов, 2 винчестера презентаций и 300 тематических вебинаров в папке «разобрать», а потому что он владеет знаниями, пониманием их применения и практическим опытом.
Схватка двух якодзун
B сфере ИБ также не обошлось без извечной проблемы работодателей и соискателей. Первым, как известно, хотелось бы видеть в штате опытного молодого специалиста, не старше 25 лет, но с 30-летним опытом работы, разбирающемся во всём от настройки СКУД’а до вёрстки корпоративных буклетов в Illustrator’е. И, конечно, он должен работать за 12000 рублей (желательно, в год). Что до соискателей, то на первом месте в пожеланиях у них идёт обычно шестизначная сумма месячного оклада. В общем, известный конфликт интересов.
Кроме того, бытует мнение, что выпускники ничего не знают, опыта не имеют и вообще должны быть благодарны, что их хоть кто-то хочет взять. С другой стороны, выпускники и рады бы подучиться самостоятельно, но требования работодателей часто настолько разнятся, что банально не понятно, с чего начать.
Начать с себя
Это возвращает нас к первому вопросу. Определившись, в какой сфере вы хотите трудиться, нужно проделать работу по сбору первичной информации. Хотите работать в банке – изучите открытые вакансии на порталах рекрутинговых агентств. Проанализируйте, какие навыки «мелькают» чаще, какие сертификаты востребованы и т.д. Не стесняйтесь спросить напрямую. Нет знакомых из нужной сферы – идите на тематические ресурсы, форумы, группы в соцсетях. Как бы то ни было, пока вы не определитесь с ответом, двигаться дальше нет смысла.
К примеру, что нужно знать безопаснику, предотвращающему утечки информации?
Первое, с чем придётся столкнуться на этой должности – нормативка. ГОСТы, отраслевые стандарты, федеральные законы, приказы ведомств и т.д. Обрабатываете персональные данные? – должны «знать и уметь» ФЗ-152. Связаны с государственными информационными системами? – не забывайте о приказах ФСТЭК №17 и №21. Хотите защищать информацию, составляющую коммерческую тайну? – сначала введите соответствующее положение. В общем, без горы бумаг никуда.
Второй обязательный пункт – навыки. В идеале нужно быть немного юристом (а им придётся стать, выполняя разнарядку по нормативной документации), немного психологом (работа с людьми в стиле следователя МВД) и много аналитиком, ведь основная деятельность связана с выявлением, предотвращением и расследованием утечек. Это минимальный набор, который в дальнейшем будет пополняться специфическими знаниями и опытом, характерными для конкретной компании.
Продолжать с профессионалами
Где взять недостающие знания? Если раньше хорошую техническую литературу было не достать, то сегодня информации так много, что глаза разбегаются и опускаются руки.
К сожалению, в основном Сеть богата на различные маркетинговые переливания из пустого в порожнее: презентации и доклады с «коммерческих» конференций, различные завлекающие вебинары и прочее. Отыскать что-либо действительно полезное становится нетривиальной задачей.
Тем не менее, кто ищет, тот найдёт. Например, Алексей Лукацкий, в своём блоге сделал подборку курсов и площадок на тему ИБ (часть 1, часть 2). Единственное «но» – большинство (не все!) из предлагаемых ресурсов англоязычные. Тем не менее, как показала практика, находятся энтузиасты, который берутся как за отдельные книги, так и за глобальные проекты.
Если вы хотите получить знания точечно, по какому-то конкретному вопросу или направлению, повторюсь, не бойтесь спрашивать. Существуют тематические и отраслевые сообщества, например «Союз руководителей служб безопасности Урала», где если вдруг не ответят напрямую, то хотя бы дадут совет, в какую сторону копать. Также полезно посещать мастер-классы и мероприятия практической направленности. На этом варианты не заканчиваются – существуют специализированные курсы для студентов.
Чтобы не ходить далеко за примером, расскажу о нашем учебном центре. Вот уже шесть лет мы бесплатно обучаем студентов, выбравших направление ИБ. Сегодня мы сотрудничаем с более чем 50 вузами в странах СНГ и даём участникам реальные практические знания за счёт комплексного подхода к процессу обучения. Схематично это выглядит так:
Помимо учебника и лекций, большая часть времени отведена под занятия с реальным ПО (DLP-системой) и разбору ситуаций, которые не «могут когда-нибудь случиться», а которые происходят «здесь и сейчас». В свою очередь, разделение материала между вузом и системой дистанционного обучения помогает отсеять тех, кто ленится или не способен усваивать материал самостоятельно. В конце концов, хороший специалист должен уметь работать автономно, а не оглядываться в поисках преподавателей, столкнувшись с незнакомой ситуацией.
Как видите, выбрать есть из чего. Надеюсь, я хотя бы частично ответил на вопрос «как стать безопасником?» Ну а если нет, то готов продолжить в комментариях.
4 главных навыка специалиста по информационной безопасности
Даже базовые навыки информационной безопасности обеспечат вам, как IT-специалисту, высокую востребованность. Сегодня компании как никогда остро нуждаются в экспертной оценке защитных систем, десктопных программ, веб-приложений и других продуктов, а также элементов внутренней инфраструктуры.
Важность сферы информационной безопасности
Защита от киберугроз требуется на всех уровнях — от домашнего компьютера до корпоративных распределённых сетей. Опасностей становится всё больше: обнаружение критических уязвимостей операционных систем, раскрытие и кража конфиденциальной информации, увеличение количества вредоносных ПО, шпионаж с заражённых IoT-устройств и многое другое.
По данным Лаборатории Касперского, активность хакеров в пандемию выросла на 20–25%. Всё это приводит к тому, что востребованность специалистов по кибербезопасности растёт.
Классификация угроз
Основные угрозы информационной безопасности делятся на следующие группы:
Уязвимости
Любой пользователь должен знать об азах информационной безопасности. Доступ к данным может быть как украден, так и предоставлен — умышленно или нет. Как бы там ни было, в большинстве случаев проводниками хакерских атак выступают уязвимости. Только вот какие?
Из таблицы видно, что лидерами по-прежнему остаются инъекции и сломанная аутентификация, а на почётное третье место взошёл межсайтовый скриптинг (XSS).
О чём это говорит? При получении знаний и освоении навыков в области информационной безопасности следует в первую очередь делать упор на анализ и устранение наиболее распространённых уязвимостей.
Стек знаний и навыков специалиста по информационной безопасности
Данная отрасль включает пентестеров, разработчиков, изучающих готовый код и указывающих на его изъяны, а также специалистов по сетям. Соответственно, требуемые знания и навыки также достаточно обширны. Пробежимся по порядку.
Что должен знать специалист по ИБ?
Что должен уметь специалист по ИБ?
Специалист, прошедший обучение, далее должен получить опыт, и идеально, если практическому развитию послужат реальные проекты, которые, например, предоставляют курсы по информационной безопасности. Именно благодаря опыту и будут сформированы навыки в работе с информационной безопасностью.
Разумеется, всё зависит от конкретной специальности, но к наиболее распространённым навыкам безопасников в целом относятся:
В обязанности специалиста по информационной безопасности часто входят разработка и внедрение мероприятий по предотвращению информационных рисков. Он должен знать о возможных уязвимостях, следить за процессом написания и отладки кода, постоянно анализировать риски и при необходимости уметь устранять угрозы.
К задачам безопасников нередко относится обучение команды, разъяснение, какие меры необходимо предпринимать в случае попытки взлома, и формирование прочих основных навыков по обеспечению безопасности. Такой специалист сам устанавливает и настраивает технические средства по защите данных, а также разрабатывает нормативно-техническую документацию.
Востребованность и зарплаты
Специалистов по информационной безопасности сейчас особенно не хватает. По данным РБК, в условиях массового перехода на удалённый режим работы компании по всему миру расширяют штат специалистов в области кибербезопасности. В этом году уже наблюдается серьёзный дефицит профессионалов в этой области.
Обратимся к статистике. Вот количество вакансий профессии «Специалист по информационной безопасности» с диапазонами зарплат в России по версии портала Trud.com:
Только на HeadHunter сейчас 2 014 вакансий по запросу «специалист по информационной безопасности»:
Если изменить запрос и поискать, например, объявления, в которых требуются пентестеры, администраторы защиты или компьютерные безопасники, вакансий выйдет в разы больше. Среднее предложение в крупных городах — от 150 тысяч рублей.
Как видим из статистики, профессия востребована и высокооплачиваема.
Как стать специалистом по информационной безопасности
Здесь можно выбрать самообучение, самостоятельно составляя план, подбирая книги и видеоуроки, а можно записаться на курсы по кибербезопасности со стажировкой и гарантированным трудоустройством.
Стоит отметить, что навыки информационной безопасности у обучающихся самостоятельно будут формироваться исходя из тех задач, которые можно найти в открытом доступе. На курсе по компьютерной безопасности GeekBrains программа уже составлена таким образом, что после неё вы выйдете квалифицированным специалистом с опытом реальной работы.
Но какой бы путь вы ни выбрали, помните, что специальность востребована и в ближайшем будущем ситуация точно не изменится.
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.
Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.
Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Наиболее важные специальности в ИБ
Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:
Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.
Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.
Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.
Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
А какие инструменты используют «безопасники»?
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:
Вот несколько примеров — реальные вакансии на сервисе «Мой круг».
Сколько получает эксперт по ИБ?
Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.
Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».
Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.
Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.
Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.
В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.
Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.
👨🎓️ С чего начать обучение кибербезопасности: курсы, материалы, практики
Vlada Korzun
В сфере кибербезопасности есть множество направлений для получения образования. Мы остановились на базовых материалах, которые помогут новичкам понять, куда двигаться дальше. Большинство ресурсов подходят для самообучения: вы найдете здесь курсы с теорией, а также платформы для практических занятий.
Что происходит в сфере кибербезопасности
1. Двухчасовое интервью с Марией Прохоровой, со-основательницей компании InDevLab, которая занимается разработкой, кибербезопасностью и ИТ-инфраструктурными решениями. Мария кратко и понятно описывает различные аспекты работы специалиста по кибербезопасности. Направления, узкопрофильные области, что нужно учить, где учиться, зарплаты, спрос, карьера, социальная инженерия, аудит безопасности, тестирование безопасности.
2. Основы для понимания работы безопасника. Это что-то вроде справочника: он подойдет специалистам по работе с персоналом, менеджерам или маркетологам, которым нужно изучить специфику работы профессионалов, а также планирующим карьеру в этой сфере. Здесь вы найдете разъяснения основных понятий, а также функции различных специалистов по кибербезопасности. Справочник поможет представителям других профессий увидеть общую картину.
3. Вебинар с молодым профессором, который консультирует Итерпол и работает в ISO над составлением стандартов по кибербезопасности. Он развеивает возникшие вокруг профессии мифы, рассказывает о сертификациях, и какие из них могут действительно увеличить размер зарплаты и востребованность на рынке труда. Вебинар поможет создать комфортную окружающую среду для обучения, чтобы сделать его более результативным.
Курсы для разных целей
Так как курс совсем не новый, о передовых технологиях он не рассказывает, а упомянутые в нем нормы законодательства лучше перепроверить на актуальность. В дополнительном разделе читателям предлагают небольшой детектив. После каждой лекции проводится тестирование, а в конце курса – экзамен. Сдавшим его успешно слушателям выдают сертификат.
4. Базовый бесплатный курс на MindsMapped по кибербезопасности и этичному хакингу (слушателям выдают сертификаты). В небольших видео рассматриваются фазы этичного хакинга, виртуализация, передовые техники и инструменты для пентеста и хакинга с практическими примерами.
7. Ну как же без Coursera? В этот раз предлагаем вам специализацию по основам кибербезопасности от сотрудников IBM. Программа рассчитана на 4 курса. Пройдя их, вы разберетесь с основными инструментами и процессами в кибербезопасности, ОС, стандартами, системным администрированием, безопасностью сетей, уязвимостями баз данных. По окончании есть возможность получить значок от IBM.
8. Курс по кибербезопасности и хакингу от EH Academy. Здесь детально расскажут и покажут, как настроить лабораторию для экспериментов, обучения и работы, а также дадут базу по сбору информации, базовым техникам хакинга систем и веб-приложений. Под каждым видео можно оставлять вопросы преподавателю и другим слушателям.
9. Когда начинаешь погружаться в кибербезопасность со всех сторон, рекомендуется в первую очередь изучать Linux. В то же время основной операционной системой в большинстве организаций остается Windows, и большинство вредоносных программ пишется под эту ОС. Погружаясь в кибербезопасность, стоит уделить системам Microsoft большее внимание.
Например, с этим курсом из Udemy. Перед его прохождением лучше иметь какие-то предварительные знания о хакинге. Курс содержит практические задания и подойдет для подготовки к CTF-соревнованиям и ряду сертификаций.
Шпаргалки по кибербезопасности
Посмотреть этот постер детальнее: Pen Test: Attack Surfaces, Tools & Techniques
P.S. Курсы у них тоже есть, но очень дорогие, поэтому мы не включали их в подборку.
Тренажеры
3. Game of Hacks – это тестирование для оценки знания уязвимого кода. Есть 3 уровня в зависимости от навыков. Каждую задачу вы решаете за ограниченный период времени.
Где искать опыт, когда минимальные навыки уже есть
1. На платформе Hack the Box вы сможете проверить навыки пентеста машин, а также влиться в комьюнити по кибербезопасности. Машина для тренировки выбирается из предлагаемых вариантов по уровню сложности, установленной ОС и другим параметрам. В разделе «Retired» можно найти уже пройденные машины с видео-прохождением. Просмотрев с десяток таких видео, вы будете понимать, с чего начинать и на что обращать внимание. Платформа также предлагает VIP-пакет с документацией к retired-машинам и подробным разбором.
Так выглядит личный кабинет с практическими заданиями, покрывающими большинство направлений кибербезопасности.
Создатели PicoCTF позиционируют проект, как платформу для начинающих. Они отмечают, что задания подойдут даже для подростков.
Кроме соревнований можно также участвовать в комьюнити в Slack. В разделе «ongoing ops» вы найдете доску trello, куда добавляется информация о розыске.
В этом воркспейсе можно найти много другой полезной информации, включая вакансии по всему миру и анонсы мероприятий.
Заключение
Не важно, какое направление в кибербезопасности вы в итоге выберете. Базовые технические знания и опыт с работы с инструментами необходимы для старта в профессии, благо, доступ к ним получить несложно.