Рубрика «Кем работать в IT» — интервью с представителями IT-профессий, в которых специалисты рассказывают о тонкостях своей работы: плюсах, минусах, подводных камнях и заработной плате. Мы надеемся, что джунам и стажерам она поможет больше узнать о том, что их ожидает на карьерном пути, а профессионалам — посмотреть на свою специальность через чужой опыт и, может быть, открыть для себя что-то новое.

Сегодня о своем опыте работы нам расскажет Кристина Жезлова, Специалист центра мониторинга информационной безопасности в IT-компании «Лоция». 

Кристина окончила РТУ МИРЭА по специальности «Информационная безопасность телекоммуникационных систем». Начала искать работу еще во время учебы, но успешное собеседование случилось только после окончания ВУЗа. В интервью Кристина рассказывает, как получала знания, пробовала получить свою первую работу и искала то, в чем хочет развиваться дальше.

По данным зарплатного калькулятора Хабр Карьеры, средний размер заработной платы специалиста по Информационной безопасности в первом полугодии 2022 года составлял 123 000 рублей в месяц. Конечно, это среднее значение. Есть те, кто зарабатывает меньше: 50-80 тысяч, а есть и те, кто получает 210 тысяч рублей.

О специальности

Расскажите простыми словами, чем вы сейчас занимаетесь? 

Общеизвестный факт, что уровень угрозы для корпоративных IT-систем сейчас гораздо выше, чем был когда-либо еще. И хакеры работают на таком крутом уровне, что приходится буквально каждый день изобретать велосипед. 

Специалисты SOC (Security Operations Center, или Центр обеспечения безопасности) — это люди которые могут отличить ложное срабатывание защитного средства от реальной угрозы, способны связать несколько явно не связанных между собой событий от различных средств защиты звеньями одной цепи, означающей компьютерное заражение. Разумеется, в принятии решений нам помогают дополнительные системы, которые применяются для упрощения такого рода анализа: SIEM, IRP, SOAR и т.д. 

До недавнего времени я была специалистом первой линии центра мониторинга — в SOC это называется L1, в общем понятийном аппарате это можно приравнять к уровню джуна. Я занимаюсь мониторингом и расследованием инцидентов, т.е. анализирую выявленные нежелательные события, которые могут нарушить деятельность или информационную безопасность, а также занимаюсь исключением ложных срабатываний, снимая их или направляя рекомендации пользователю для их предотвращения. Разрабатываю сценарии мониторинга на основе Mitre Att&ck (база знаний, содержащая описание тактик, приемов и методов, используемых киберпреступниками) и занимаюсь разработкой плейбуков (это алгоритм действий по реагированию на инциденты ИБ при срабатывании определенного правила).

Какое у вас образование, если есть?

 Образование у меня высшее. Я закончила РТУ МИРЭА по специальности «Информационная безопасность телекоммуникационных систем». Мне была присвоена квалификация «Специалист по защите информации».

Учеба в университете поначалу показалась мне немного скучной. И я подумала, что ошиблась с выбором специальности. Но как только в программе появились профильные предметы, я поняла, что ошибки нет, мой интерес к специальности вернулся. В итоге в университете меня научили формировать эффективные коммуникации, выявлять релевантную информацию из массива, применять на практике полученные знания и гуглить то, что не гуглится. А еще меня научили учиться. И этот навык, наверно, один из ключевых для меня.

Начало карьеры

Как вы узнали о своей специальности? С чего все начиналось?

Можно написать красивую и длинную историю, что, будучи еще маленькой девочкой, я мечтала о том, что вырасту и стану специалистом ИБ, но нет, такого, конечно же, не было. До 11 класса я ничего не знала о существовании Blue Team. Вообще мне сложно представить школьника, который осознанно выбрал бы для себя эту специальность, потому что о ней не говорят. 

А я с самого детства была с техникой «на ты». Мне было невероятно интересно что-то разобрать или настроить. Но чтобы связать свою карьеру с IT — об этом я не думала. Пока в девятом классе школы не встал вопрос, что же мне сдавать в качестве экзамена. Ну а так как я неплохо разбиралась в информатике, то решила сдавать ее. Когда пришла пора сдавать ЕГЭ, я решила ничего не менять и сдавать свою любимую информатику. Но это не решило моих проблем. К середине учебного года я так и не определилась, в какой ВУЗ и на какую специальность подавать документы. 

Мой выбор пал на информационную безопасность благодаря вдохновляющей речи преподавателя на дне открытых дверей в Московском университете МВД России имени В.Я. Кикотя. Сейчас не вспомнить дословно, о чем была эта речь, но после нее мне стало понятно, кто такие «безопасники», и чем они занимаются. А еще нам доходчиво объяснили, что это перспективная профессия с большими возможностями карьерного роста. Кстати, туда я поначалу и решила поступать, но по ряду причин передумала и пошла в РТУ МИРЭА. И это было верное решение. Здесь я получила более обширную подготовку по специальности.

Как вы искали свою первую работу в IT? Как долго?

Еще во время учебы на втором и третьем курсах университета были первые попытки поиска работы в IT через разные популярные платформы, но после нескольких отказов я решила отложить этот вопрос до окончания учебы. Была уверена, что багаж знаний должен быть объемнее. Думаю, что это было зря, надо было продолжать поиск. Сейчас я бы поступила по-другому и довела бы дело до конца. Но отрицательный опыт — тоже опыт.

Есть заблуждение, что начинающим специалистам в ИБ очень непросто найти работу, даже невозможно. Раньше мне тоже так казалось. Я думала, мне помог случай. Мой однокурсник скинул вакансию и предложил пройти собеседование, и уже спустя месяц после окончания вуза я успешно устроилась на работу по специальности. Но это совсем не случай, это закономерность.

Всегда есть ниши, которые по тем или иным причинам не являются привлекательными для сотрудников с опытом, и они открыты для выпускников. ИБ, к сожалению, пока не самая популярная область в IT. Считаю, что это незаслуженно. Но суть в том, что круг надо разрывать и искать работу по специальности до упора. Не получается, значит, идти в стажеры и т.д. Пользоваться всеми доступными методами. Не надо ждать милости от природы. Вот поэтому множество потенциально отличных специалистов в самом начале сходят с дистанции, не выдержав борьбы.

Расскажите про свое первое собеседование и первое место работы. Какой вы получили опыт?

Как я уже говорила, в универе я решила учиться и пока не искать работу по профессии. Подработки были, но они не были связаны с IT.

Мое первое собеседование по специальности состоялось в 2020 году. Это было амбициозно:я пошла сразу в «Норникель». Почему-то страшно не было. Отбор здесь состоял из четырех частей: резюме, видеовизитка, тестовое задание и интервью с потенциальным руководителем онлайн.

Мне казалось, что я провалюсь уже на тестовом задании. Это естественный страх. Я это понимала и шла дальше. Нужно было произвести оценку рисков ИБ. И как же я была удивлена, когда мне перезвонили и сказали, что я попала в пятерку лучших.  Это меня здорово замотивировало.

 А интервью с руководителем я завалила. Сама себя закопала, когда увела разговор в отрасль, в которой не разбираюсь — полный провал, никогда так не делайте. Но важно другое: я прошла успешно почти все этапы отбора. Для студента это невероятный опыт. Если бы руководитель сделал скидку на мою «зеленость», то я бы получила это место. Конечно, первым местом моей работы по специальности «Норникель» не стал, но это меня только подстегнуло.  И, кстати, после этого собеседования я решила поменять тему своей дипломной работы именно на оценку рисков ИБ, так это меня увлекло. Вот тогда я поняла, что нельзя останавливаться отдышаться. Обгонят.

И уже второе место, куда меня пригласили на собеседование, стало моим первым местом работы. Мне практически сразу прислали офер. Это было дико странно. Я была специалистом без опыта, а компания была довольно большая и известная. Благодаря тому, что приходилось делать почти всё (сотрудников было немного, а я вызывалась на любые задачи), там я смогла получить много разнообразного и очень ценного опыта: от написания различной нормативной документации, администрирования СЗИ, проведения аттестации АС до работы с SIEM (Security Information and Event Management — класс программных продуктов, предназначенных для сбора и анализа информации о событиях безопасности).

И вот уже на этапе изучения SIEM я поняла, куда хочу двигаться дальше. Получив доступ к «сиемке», я углубилась в изучение MITRE ATT&CK и в особенности логирования событий ИБ из различных источников, познакомилась с Metasploit для реализации атак и выявления их в SIEM, расследовала инциденты. Я даже предприняла успешные попытки написания парсера и правил корреляции! Это уже хай левел для молодого специалиста. Ну и также приходилось поддерживать работоспособность всей системы.

Возможно, на успешный прием на работу повлияла не очень комфортная локация офиса компании, а может быть, я просто произвела правильное впечатление, и в меня здесь поверили. Поняла, что правило одно — нет никаких правил.

Расскажите про ваши провальные собеседования. С кем это было? Какую работу над ошибками получилось сделать?

Не знаю, стоит ли считать провалом собеседование в «Норникель». Оно не стало полностью успешным, но в результате добавило уверенности. Поэтому нет, это не провал, это ступень. Выводы я, конечно, для себя сделала. На интервью очень важно говорить о том, что знаешь и в чем разбираешься. Не надо пытаться казаться дороже и опытнее за счет лишней информации. Это не помогает. Полезнее сказать, что вот это я еще не знаю, но обязательно изучу. А если что-то уже не сложилось на собеседовании, проанализировать и точечно исправить. Больше провальных собеседований у меня не было, что, наверно, означает, что работу над ошибками я провела верно.

Какая была ваша первая зарплата, если не секрет?

Моя первая зарплата в ИБ составляла 57 000 рублей. Тогда на первых порах мне, выпускнице ВУЗа, казалось, что это очень много. Я работала не за деньги, а за опыт, идею. Это было правильно. Через год я четко осознала, что мой опыт уже может измеряться в деньгах, и сумма будет больше текущей.

Как складывался карьерный путь в IT после первой работы? Куда пробовали попасть еще?  

Мой карьерный путь в IT и сейчас еще в самом начале. По специальности я в общем-то работаю всего полтора года. На первом месте работы я отработала почти год. И поскольку мне удалось всё попробовать и разобраться, где я хочу дальше развиваться, я решила искать себя в SOC, поэтому от многих предложений сразу отказывалась.

Также меня не интересовали крупные компании, т.к. меня пугало, что моя работа будет заключаться в работе по «инструкции», я не смогу развить свои навыки, получить новый опыт, к тому же в крупных компаниях SOC обычно уже выстроенный, а мне хотелось погрузиться в специализацию, так сказать, с нуля, строить по кирпичу. И после первого места работы вторым стала IT-компания «Лоция», где я и работаю по сей день.

Сегодня попасть в IT стало проще: множество компаний предлагают свои программы обучения по разным специализациям. Сейчас на Хабр Карьере опубликовано 173 курса для тех, кто хочет изучить ИБ. Программы разные: как для опытных специалистов, так и для тех, кто хочет изучить профессию с нуля.

Компания

Как вы попали в компанию, в которой работаете сейчас? Где нашли вакансию, на какую должность и как прошло собеседование?

«Новый год — новая жизнь», — решила я и опубликовала резюме прямо 30 декабря 2021 года. Через какое-то время со мной связались из IT-компании «Лоция». Рекрутер подробно рассказал про компанию. Мне предложили должность специалиста на первую линию в SOC.

Предложений на тот момент у меня уже было немало, но «Лоция» была однозначно самая интересная, потому что SOC здесь только начинался. Я поняла, что нашла то, что мне нужно. То, что про строить и развивать, быть причастной. Компания сейчас проходит этап бурного роста, и уже с начала года стала больше в 4 раза. Теперь наша команда насчитывает уже почти 300 человек. И я часть этой истории. И это совсем не пафос, я так чувствую. Департамент кибербезопасности тоже вырос кратно в 2022 году, но мы и сейчас в поиске специалистов первой и второй линии в SOC, а также по другим направлениям по защите информации. 

Собеседование в «Лоцию» проходило в два этапа. Первое интервью онлайн — это общее знакомство с твоим опытом, с тем, что ты можешь предложить компании, а второе, очное, — знакомство с командой, разговор в свободной форме, уже «как со своим». Здесь я учла все свои предыдущие ошибки и мне перезвонили. Подход к интервью в «Лоции» оказался привлекательным. Из ключевого: мне понравилось, что на собеседовании не спрашивают «в пустоту», ожидая реакции.  Если ты не знаешь или забыл, тебе напомнят. Это будет полезно, даже если ты не пройдешь. Освежит память или расширит экспертизу, например.

Очная часть помогает оценить, насколько тебе близка команда, их внутренний вайб. Это тоже крайне важный фактор при принятии решения о выходе куда-то работать. Заранее знать, что тебе нравятся люди, что среди них можно чувствовать себя свободно, что в команде высокий уровень эмпатии.

Как проходил процесс адаптации? С какими трудностями вы столкнулись?

Мне кажется, я как-то сразу адаптировалась. Коллектив здесь достаточно молодой и отзывчивый. Все вопросы, которые у меня возникали, очень быстро решались. Коллеги, у которых опыта больше, делились своими знаниями и наработанными материалами. Руководство здесь реально постоянно изобретает способы, чтобы сотрудники чувствовали себя уютно. В особенности новички. Я не сталкивалась с трудностями, меня как-то везде подхватывали. Потом уже я поняла, что онбординг был. Настолько грамотный, что я не почувствовала никаких специальных усилий. Это, конечно, зависит от компании. У меня небольшой опыт, но знакомым в других компаниях адаптироваться было сложнее.

Какие знания у вас уже были, когда вы пришли в свою компанию?

Я уже немного писала об этом выше. До «Лоции» мне пришлось позаниматься очень многими областями ИБ, поэтому какой-то не самый плохой набор навыков у меня уже был. Это и опыт работы с SIEM, ее частичное администрирование, это написание простых правил корреляции, парсинг, базовые знания работы с Windows\Linux системами. Был также опыт работы с различными БД, с KSC, навык анализировать журналы регистрации событий Windows, Linux, Cisco (ASA, IOS), Kaspersky, Checkpoint. Было понимание MITRE ATT&CK.

Как вы продвигались в компании? Какие навыки в этом помогли?

Как я писала ранее, я пришла в «Лоцию» джуном, L1. Полугода работы в компании хватило, чтобы коллеги правильно оценили мой опыт, мою заинтересованность, желание развиваться и развивать. И вот уже я делюсь с вами замечательной новостью: мне предложили перейти на L2. То есть я уже на днях становлюсь миддлом.

В плане хард скилов помогло всё. Но мне кажется, уверенность в себе, в том, что можешь взять на себя ответственность, все ментальные мускулы, что я нарастила за этот короткий период, помогли не меньше. В этом я тоже продвинулась. В планах, конечно, стоит и дальнейшее развитие, мой путь только начинается: прокачать себя, навыки, учиться новому. Когда вы вместе с командой строите и создаете что-то крутое, а не работаете по накатанной, это предполагает совсем другие скорости и возможности развития. Это год за три. В хорошем смысле. Если ты можешь и делаешь — тебя заметят.  У нас так.

На какую среднюю зарплату вы рассчитывали тогда и что получили? (можно ответить примерные ожидания).

Сейчас я получаю больше, чем рассчитывала при приеме. При этом в нашей профессии так: если ты постоянно в движении, и это движение вперед, то и рост оплаты труда происходит вполне пропорционально. Например, если я сохраню темпы, то года через три-четыре уже вполне могу рассчитывать на очень ощутимое увеличение дохода. Не буду называть суммы, могу лишь сказать, что для 25-27 лет это реально высокий уровень.

Раз уж зашла речь о трудоустройстве — сейчас на Хабр Карьере более ста вакансий для специалистов по ИБ. Сотрудников ищут Лаборатория Касперского, SberTech, МТС, МойОфис, Ростелеком и много других компаний. 

У IT-компании «Лоция», где работает Кристина, тоже есть открытые вакансии для специалистов по ИБ.

Опыт

Что сейчас нужно знать специалисту, чтобы попасть в вашу сферу?

ИБ, как и многие другие профессии, имеет свои тонкости и сложности. И, если выбираешь этот путь, то первое, что необходимо — профильное высшее образование. Я не уверена, что здесь легко самоучкам, как, например, в программировании. Если мы сузим до SOC, то будет полезным следующее:

• понимание SIEM;

• понимание технологий и средств защиты информации;

• знание и опыт эксплуатации операционных систем Windows и Linux на уровне пользователя;

• умение анализировать журналы регистрации событий СЗИ, журналы ОС, сетевого оборудования, СУБД;

• понимание MITRE ATT&CK, ориентация в основных тенденциях действий злоумышленников, наиболее используемых техниках и тактиках, инструментарии;

• знание сетевых технологий и принципов организации локально-вычислительных сетей.

Понятно, что это на теоретическом уровне, если мы говорим, что в сферу надо попасть. Вот для хорошей теории и нужна вышка. И нужно большое желание в эту сферу идти. И не понаслышке быть знакомым с высказыванием Ницше: «Всё, что нас не убивает, делает нас сильнее».

Какие бы вы выделили важные Soft и Hard Skills для специалиста вашего направления?

Hard skills я довольно подробно описала выше. Что касается софт скилов, то не бояться задавать глупые вопросы. Это крайне важно. Самому быть открытым к вопросам и поддержке. Вообще быть открытым. Не бояться критики, ошибок. Безусловно, необходима усидчивость, дотошность и внимательность к деталям. Эмпатия нужна. Умение работать в команде, слушать и слышать коллег. И надо любить то, чем занимаешься. В ИБ без этого никак.

Поговорим об ошибках? Что вы сделали не так за это время, что не нужно делать новичкам?

​​Главной ошибкой было хвататься за всё подряд, изучая большое количество требований от работодателя. Глаза разбегались в разные стороны, и в голове были лишь вопросы. Что учить? Что читать? Куда бежать? Поэтому я читала абсолютно всё, что мне попадалось. В итоге большая часть полученной тогда информации мной была не усвоена. Сейчас я уже научилась фильтровать поток информации и сделала акцент на изучении векторов атак и способах реагирования на них. Важно с самого начала понять, каким путем в ИБ ты пойдешь. При этом набирать опыт в различных сферах можно и нужно, но на первых порах лучше сосредоточиться на главной цели.

От автора

С чего можно начать специалисту без опыта? Какие есть возможности?

Практика в университете, факультативное изучение понравившегося направления, ну и изучение того, что уже было перечислено выше в части хард скилов. С этими знаниями можно идти на L1 и уже там набираться опыта. Большой зарплаты сразу не будет, но будет вход. А это важнее. Еще можно рассмотреть практику или стажировки, но вы должны понимать: это лишь бонус к вашему опыту.

Вы проходили какие-то курсы? Что лучше всего подойдет для развития навыков?

Я проходила курсы от вендора SIEM, смотрю различные вебинары из области SOC, также в свободное время прохожу Hack the box, Root me.

Полезным будет также членство в сообществах, где ты можешь прочитать про успешный опыт коллег и быть в курсе тенденций.

Какие книги, статьи, подкасты, курсы стоит почитать/посмотреть для развития в профессии?

Первое что приходит в голову, это Олифер В.Г. Олифер Н.А._«Компьютерные сети», еще можно ознакомиться с “Blue Team Cheat Sheets” Криса Дэвиса. А для общего развития можно почитать Кевина Митника про социальную инженерию.

Карьерный трек специалиста по информационной безопасности 

Мы часто слышим от специалистов на Хабр Карьере вопрос: как понять, что я уже сеньор? Или: что мне нужно сделать и освоить, чтобы вырасти до миддла? 

В каждой статье рубрики мы разбираем новую специализацию и показываем карьерный трек. Это инфографика с навыками, задачами и условиями работы, разбитыми по квалификациям.

Вот такой трек по ИБ нам помогла составить Кристина и команда IT-компании «Лоция».

Наши соцсети: ВКонтакте, Telegram, Twitter.