Привет! Меня зовут Иван, я инженер по кибербезопасности в достаточно крупной компании и автор курса «Специалист по информационной безопасности: веб-пентест». В этой сфере я уже около шести лет. Сейчас занимаюсь тестированием безопасности приложений, архитектурой и внедрением решений безопасности, проектированием проектов и много чем ещё, в том числе пентестами.

В этой статье расскажу о самом сложном этапе в ИБ — старте. Опишу, о чём стоит задуматься, прежде чем идти в эту сферу. Расскажу о распространённых ошибках новичков и базе: навыках и знаниях. А ещё поделюсь стартерпаком для самостоятельного погружения в контекст и обучение: от подкастов до книг.

Понять, что это действительно твоя сфера

Сначала немного о терминах. Инфобезопасность — это защита данных как в цифровом, так и бумажном виде. Специалисты этого профиля борются и с внешними, и с внутренними угрозами. Кибербезопасность — это в основном про угрозы извне, прежде всего из интернет-сетей. Поэтому нужно учесть некоторые особенности профессии.

Системность. Недостаточно думать о каком-то одном профиле. Любой ИБ-специалист, если хочет строить успешную карьеру и успевать за трендами угроз, должен постоянно изучать новое, погружаться в межпрофильные знания. Например, веб-пентестер. С одной стороны, он должен знать и уметь эксплуатировать уязвимости: XSS, MITM и другие. Понимать архитектуру, работать с инструментами, знать (это не обязательно для начинающего специалиста) особенности скриптовых языков программирования. А ещё использовать социальную инженерию, OSINT-навыки.

Способность мыслить как злоумышленник. Главное, что нужно понять о кибербезопасности: специалисты ИБ всегда на шаг позади хакеров. Мы строим защиту, продумываем, как и откуда могут попасть в наши системы. Но именно хакеры находят первыми неизвестные ранее лазейки. Их ещё называют «уязвимости нулевого дня» или «0-day уязвимости». То есть это такие проблемы, когда у компании осталось ноль дней для того, чтобы их решить. Если специалист будет думать как злоумышленник: пентестер — концентрироваться, как взломать системы, аналитик — искать возможные пути обхода защиты, архитектор — ставить себя на место хакера, попавшего в систему, — будет больше шансов построить эффективную защиту и быстро реагировать на атаку.

Умение работать с большими данными: внимательно и дотошно. Например, аудиторы ИБ должны разделить компанию на десятки, если не сотни, возможностей взлома, проанализировать каждую, дать конкретным каналам оценку и рекомендации по улучшению. Форензики выстраивают цепочку событий из самых разных каналов, ищут преступника по крупицам данных из десятков источников.

И ещё немного о спорных вопросах.

  • Обязательно ли должен быть технический склад ума, чтобы стать инфобезопасником? 

Нет, я работаю с людьми, которые не получали технического образования в университете и пришли в ИБ без всякого технического бэкграунда.

  • Нужно ли уметь кодить?

В идеале да, но это совсем не обязательно на ранних этапах карьеры. Но здорово, если вы можете писать на одном скриптовом языке: Python, PHP или JavaScript. Вышка — если умеете на нескольких.

  • Можно ли научиться инфобезопасности самостоятельно?

Да, но это намного сложнее. Информации очень много, она разрознена, обновляется редко. В этом преимущество образования: дают сразу то, что необходимо. 

Выбрать направление

В инфобезе больше 30 специализаций. В каждой свои особенности, свой подход к решению задач, свои цели. Мы перечислим несколько самых популярных.

  1. Аналитик IT-безопасности — собирает и обрабатывает информацию о возможных угрозах. На результатах его работы выстраивают стратегию защиты компании. 

  2. Архитектор ИБ — создает и внедряет систему обеспечения информационной безопасности в компании. Если аналитик готовит материалы для стратегии, архитектор её исполняет. 

  3. Пентестер — легальный хакер. Взламывает системы ИБ заказчика с его полного одобрения. По сути это максимально приближённый сценарий реального нападения.

  4. Форензик — специалист, который подключается при условии успешной атаки хакеров. Он определяет время, обстоятельства и последствия атак. Эти люди часто работают с правоохранительными органами, особенно когда объектом атаки были госпредприятия.

  5. Баг-хантер — ищет ошибки на различных ресурсах, а за обнаружение получает вознаграждение. Например, если вы найдёте уязвимость в «Госуслугах», «Платформе обратной связи», ЕСИА, ГИС ЕБС, можете получить от Минцифры от 100 до 300 тысяч рублей.

  6. Специалист Security Operation Center (SOC) — реагирует на инциденты в режиме реального времени и отражает атаки с помощью анализа событий.

В сфере ИБ часто переходят из одной дисциплины в другую. Кто-то начинает со специалиста SOC и переходит со временем в пентестинг. Аналитики становятся архитекторами, пентестеры — баг-хантерами. В инфобезе сильная гибкость в плане горизонтальной карьеры. И, само собой, вы можете идти по пути управления: начинать джуниор-специалистом, расти по грейдам, а после идти в техлиды.

Начать базовое и профильное обучение

Какой бы профиль вы ни выбрали, начинать нужно с Computer Science: операционные системы, протоколы, понимание стека веб-технологий, устройства интернета и основных сетевых протоколов. Легенда среди бесплатного образования — гарвардский курс CS50. Ещё есть курсы на Coursera, Khan Academy.

После этого стоит погружаться в более профильные знания, в зависимости от того, какую выберете специализацию. Но также везде стоит знать о ключевых уязвимостях, основах DevSecOps — безопасной разработки, а также OWASP — открытом проекте по обеспечению безопасности приложений. Здесь есть важные материалы: от топов распространённых уязвимостей до вебинаров (всё на английском). Их рекомендации высоко ценят независимые аудиторы, так что стоит постоянно прислушиваться, что говорит и о чём пишет фонд. Вот, например, гайд, как тестить приложения.

Исключить частые ошибки начинающих специалистов 

Изучать всё и сразу. Нет ошибки, если вы начинаете погружаться в разные специальности, чтобы найти своё. Но если нащупали — погрузитесь сразу в профильное обучение. Если выбрали пентест, изучайте уязвимости и их эксплуатации, а не форензику и аудит ИБ.

Надеяться только на теорию. Без практики любое обучение имеет мало смысла. Здесь может быть два варианта: либо искать стажировку в компаниях, либо практиковаться на различных CTF-платформах — ресурсах, где есть тренировки по поиску уязвимостей, взлому и другим задачам. Это, кстати, уже можно назвать опытом на собеседовании. Работодатель поймёт, что вы не только читали, но и делали что-то руками. В России популярна RuCTF, в мире — Def Con, Google CTF

Получить сертификат 

Любой работодатель хочет быть уверен, что нанимает хорошего специалиста. Если у вас нет практического опыта и полноценного университетского образования, помогут сертификаты. Получить их, правда, тоже непросто: к ним нужно серьезно готовиться, и сдавать их на территории РФ проблематично. Но даже если не будете сдавать экзамен — изучайте материалы и гайды, так как они составлены по международным стандартам.

CEH (Certified Ethical Hacker) — доказывает, что вы знаете, где искать уязвимости в системах, умеете их обнаруживать.

CISSP (Certified Information Security Systems Professional) — доказывает, что у вас есть знания и навыки IT-безопасности.

В России эти сертификаты тоже ценят, но работодатели могут присматриваться и к кандидатам с сертификатами обучения от российских компаний, например, курса по веб-пентесту от «Яндекс Практикума».

Изучить дополнительные материалы

Мы разделили их на два больших блока: контекст и обучение. Контекст нужен, чтобы вы сделали кибербезопасность частью рутины: читали каналы, слушали подкасты и смотрели видео. Обучение — это уже для прокачки хардскилов. 

Понять контекст

Подкасты 

  • «Кверти» от Red Barn — подкаст с небольшим порогом входа. В нём ведущие обсуждают самые базовые вещи ИБ. В первых двух сезонах информация совсем для новичков. В третьем — уже больше про карьеру ИБ.

  • «Смени пароль» от «Лаборатории Касперского» — документально-практический подкаст, в котором эксперты компании обсуждают расследования в ИБ и помогают разобраться в новых угрозах.

  • «Схема» от Т-Ж — подкаст, в котором анализируют схемы мошенничества. Кибербезопасность — это сфера, в которой важна психология. Этот проект расскажет, как злоумышленники обманывают даже подкованных пользователей. 

Telegram-каналы 

  • Kraken — в этом канале нет новостей (по крайней мере сейчас). Зато выходят тексты разного формата про кибербезопасность: от гайдов, инструкций и чек-листов до описания различных атак и уязвимостей. Этот канал прям для новичков.

  • SecurityLab.ru от Positive Technologies — новости мира кибербезопасности. Редакция собирает на ресурсе последние исследования угроз со всего мира и заметные кейсы. 

  • Хакер.ru — alma mater первых кибербезопасников в РФ. Это телеграм-канал известного журнала, который выходит с 1999 года. Здесь тоже в основном новости мира ИБ, подборка отчётов и исследований. Если хотите понять, как развивалась индустрия кибербеза у нас в стране, — читайте архив журналов. Он бесплатный.

Начать самообразование

YouTube-каналы 

  • Канал Джона Хаммонда — больше 1 400 видео про обучение, уязвимости, практические навыки кибербезопасности. К сожалению, на большей части видео нет русских субтитров, но для людей, которые хотят развиваться в сфере ИБ, это не должно быть проблемой. Английский — это язык всех современных решений, платформ и инструментов.

  • LiveOverflow  — канал исследователя-любителя Фабиана Фесслера. Здесь довольно подробные руководства по техникам и практическим задачам в кибербезопасности. Именно задачам, не реальным кейсам.

Книги 

  • Майкл Ховард и Дэвид Леблан — «Защищённый код». Книга, которую Билл Гейтс заставляет читать своих подчиненных. В ней советы и рекомендации по защите приложений на всех этапах создания ПО — от проектирования до написания надёжного кода. В книге много о моделировании угроз, опасностях при локализации, поддержке секретности в приложениях и анализе исходного кода на предмет потенциальных угроз.

  • Бен Ротке — Navigating the Cybersecurity Career Path. Книга, которая поможет разобраться начинающим (и не только) специалистам в построении карьеры в ИБ. 

  • Defensive Security Handbook: Best Practices for Securing Infrastructure — больше 600 страниц конкретных инструкций для решения проблем кибербезопасности в компаниях. От управления паролями до сканирований на уязвимости и пентестов.

Развивать профессиональные навыки и карьеру

Кибербезопасность — это сфера, в которой всегда есть чему научиться, здесь нет потолка знаний. Чем больше будете погружаться в разные дисциплины — тем более ценным станете специалистом. ИБ мало чем отличается от других видов работы: здесь работает шаблон первого оффера:

Обучение → Практика → Сертификация → Стажировка/Кейсы → Резюме → Отклики → Первый оффер

Советую на первых порах погрузиться в контекст, сосредоточиться на обучении и практике. Как можно быстрее перейти к реальной работе. И самое главное — не останавливаться.

Комментарии (9)


  1. amarhgil
    11.12.2023 15:05

    Кибербезопасность — это в основном про угрозы извне, прежде всего из интернет-сетей

    Да что вы говорите)))


    1. Cyb3rWarD0G Автор
      11.12.2023 15:05

      А почему нет?) Я не исключаю того что существует всегда угроза внутреннего злоумышленника и тд, но тем не менее в основном всегда рассматривается внешняя. Хотя ты прав, это и про внешние и про внутренние угрозы, в том числе и на физическом уровне.


  1. andrettv
    11.12.2023 15:05

    Как же вы забыли про HackTheBox? Это то что позволяет начать почти с нуля и соединить блестяще изложенную теорию с хорошей практикой с элементами геймификации. Про Portswigger ни слова… Также мне нравятся Cybrary и PluralSight.


    1. AlexxTHUNDER
      11.12.2023 15:05

      Ну тут же в целом очевидно "для чего" написана статья. Чтобы $user увидев, что забугорные серты сейчас не получить, взял да залендился на страничку Яндекс Практикума. А указание классных ресурсов типо HTB и PortSwigger будут этому только мешать)


      1. Cyb3rWarD0G Автор
        11.12.2023 15:05

        Проблема проще) Я указал причины, я бы с радостью указал HTB, THM и прочие в материале, но делать этого не стал. Да если быть честным я бы не назвал HTB - ресурсом где может практиковаться прямо начинающий специалист, да и HTB больше про инфраструктуру нежели про веб.


        1. pavelkann
          11.12.2023 15:05

          Где тогда хотя бы portswigger и курс от open software foundation? Почему cissp, а не oswe и oswa?

          В целом очень неконкретная статья вышла. Старт для специалиста в иб начинается не с сертификатов и не багбаунти, а в первую очередь с мотивации разбираться в технологиях и разбирать их по кирпичу. Более того - специалист по ИБ в идеале имхо - это скорее роль-надстройка над другой специальностью - разработка, тестирование, менеджмент. В противном случае появляется огромное количество людей, которые не понимают как работает архитектура систем, как пишется код, какие процессы разработки существуют. В результате получается средний кавычковставлятель, а не специалист по ИБ.


    1. Cyb3rWarD0G Автор
      11.12.2023 15:05

      Привет!
      Да никто про них не забыл, специально не указывал по ряду причин, а если быть точнее:
      HackTheBox - В данный момент нельзя оплатить и купить подписку, да в общем то и в целом можно вроде бы как и без оплаты что-то ломать, но тогда не доступно очень много машин (в том числе и старых), каждые 5-10 минут выскакивает окно перезагрузки машины (с подпиской у тебя всегда отдельная машина). Да, можно гипотетически оплатить используя различные сервисы, но сколько людей будет заморачиваться?
      Portswigger - согласен, можно было и указать, у них бесплатные лабы. Но для получения сертификации у тебя должна быть оплачена лицензия на Burp Suite Professional (также она нужна для некоторых лаб) и куплен экзамен за 500$ которые по всем известным причинам сейчас не так то просто оплатить, поэтому их тоже не указал.
      Cybary - не доступен из РФ в том числе и для Google аккаунтов зарегистрированных в РФ, тоже не указывал.
      PluralSight - не доступен из РФ.


  1. Alextan
    11.12.2023 15:05

    Специальностей гораздо больше чем 30. Рынок ИБ очень стремительно расширяется и сегментируется. Если занимаешься защитой от DDoS, или настройкой WAF, то это уже становится отдельной специальностью. Начинал заниматься ИБ примерно 20 лет назад, тогда считалось, что такой сферы как ИБ не существует, вот есть проект по сети, например, а в рамках него раздел по защите. Сейчас всё не просто есть, но очень стремительно развивается, в основном благодаря влиянию регуляторов (по опыту без требований регуляторов мало кто системно подходит к защите своих активов, каким бы печальным не был этот факт). А по сему ИБ нынче это знание гигантского объема нормативки (про это не любят говорить, но где-то более 50% задач по ИБ это именно работа с документами), плюс международные стандарты, плюс лучшие практики. Но мало знать всю эту нормативку, нужно ещё разрабатывать действительно работающие оргмеры (ёмкие компактные чёткие документы, которые будут всем понятны, и которые реально можно сделать рабочими проведением киберучений, которые в отличии от инструктажей реально могут сделать из "бумаги" работающую оргмеру). В целом, думаю, статья интересная для начинающих, но скорее для тех кто именно техническими аспектами ИБ планирует заниматься.


    1. Cyb3rWarD0G Автор
      11.12.2023 15:05

      Согласен, спасибо за дополнение!