Информационная безопасность что делать на работе сколько учиться
Где искать специалиста по информационной безопасности
Хороший специалист по информационной безопасности сегодня на вес золота — направление очень востребованное, а кадров не хватает. Отчасти это связано со сложностью профессии, ведь специалист такого профиля должен знать многое, а уметь и практиковать — еще больше.
Кто такой специалист по ИБ?
Специалист по инфобезопасности заботится о сохранении конфиденциальности данных, обеспечивает предотвращение кибератак и утечки информации, укрепляет безопасность информационных систем. По сути, спецы по ИБ защищают данные, деньги, репутацию компаний и пользователей, а также прикрывают тыл, чтобы другие сотрудники могли спокойно работать и пользоваться IT-инфраструктурой предприятия.
Специалист по информационной безопасности — человек с основательной теоретической базой и солидным практическим опытом в работе с технологиями. Он должен хорошо разбираться в комплаенсе, ведь работа с ИБ неразрывно связана со знанием требований и законодательных норм в области защиты информации. Чтобы быть востребованным экспертом, важно постоянно практиковать и следить за развитием сферы.
Хороший специалист по ИБ должен знать большую часть методик и инструментов киберпреступников и уметь противостоять им. Конечно, методы злоумышленников тоже совершенствуются — около 20 % атак приходится на новые способы взлома, так называемые угрозы нулевого дня. В должностные обязанности специалистов по информационной безопасности входит задача вовремя среагировать и на такие атаки — минимизировать ущерб и сделать все возможное, чтобы компания была готова к ним в будущем.
Основные специальности в области кибербезопасности
Вот три основных специализации в этой сфере:
Пентестер
Пользователей окружают всевозможные приложения — в компьютере, ноутбуке, смартфоне. Ежедневно разрабатывают и презентуют тысячи новых приложений, и далеко не все из них совершенны и далеко не все разработчики ПО могут похвастаться практическими навыками в инфобезе. Разумеется, при таких условиях в приложении могут быть уязвимости, ошибки в самом коде.
Пентестер — эксперт, который исследует мобильные приложения, веб-сайты и автоматизированные системы на наличие уязвимостей. Пентестеров еще называют белыми хакерами — они тоже ищут «слабые места» сервисов и приложений, но делают это чтобы улучшить готовый продукт, сделать его безопасным для будущих пользователей. Пентестеры необязательно работают в команде компании-разработчика, они могут быть фрилансерами и получать вознаграждения за найденную уязвимость.
Специалист по безопасной разработке приложений
Эксперт по безопасной разработке ПО — это одновременно разработчик и безопасник. Он должен хорошо понимать проект, с которым он работает, знать тонкости разработки и при этом уметь находить ошибки и слабые места в самом коде, а также понимать, как их можно устранить.
Такой специалист обычно входит в команду разработчиков, умеет находить потенциально уязвимые места и указывать на них создателям, в работе использует разные инструменты — готовые или собственной разработки. Он умеет проводить аудит безопасности кода и находить типовые ошибки.
Специалист по ИБ широкого профиля
К этой категории относят профессионалов, которые могут быть специалистами в 2-3 направлениях ИБ и при этом неплохо разбираться еще в нескольких смежных дисциплинах, типа программирования. Это настоящие эксперты, которые часто выступают как консультанты или архитекторы сложных проектов.
Опыт и образование
Получить образование по направлению «Информационная безопасность» можно в ВУЗах и колледжах. Но получить диплом — не значит быть хорошим специалистом. Если человек учился «для галочки, ради диплома» — экспертом он вряд ли станет. То же самое с отсутствием практики — специалистами становятся, только когда подкрепляют свои знания практическим опытом.
В кибербезопасность приходят не только после ВУЗа, но и из других профессий. Количество времени, которое придется потратить на погружение в ИБ, сильно зависит от бэкграунда. Если в инфобез приходит человек с «базой» — например, системный администратор с 5-летней практикой, то такой специалист вполне сможет выйти на уровень джуниора за полгода (при условии качественного обучения по 5-7 часов в неделю). Системный администратор понимает, что и как работает — ему не надо тратить время на изучение основной информации, а только получить новые узкоспециальные знания.
Если базы нет — например, специалистом по безопасности информационных систем решил стать человек, который имеет не самую близкую к IT профессию — то до достижения того же уровня ему понадобится минимум 1,5 года (при том же условии — учиться 5-7 часов в неделю).
Как найти хорошего специалиста по ИБ?
Объективно оценить профессионализм специалиста по ИБ можно только на практике — работодателей всегда интересуют реальный опыт, они хотят знать, что человек умеет, с какими задачами сталкивался и как их решал.
Кто изучал рынок, тот понимает — дефицит специалистов по информационной безопасности определенно есть. Часто происходит так: в компании возникает необходимость в таком специалисте, составляют требования к кандидату, передают кадровикам. Чем жестче требования, тем больше шансов, что кандидатов из свободного поиска придет не больше нуля. Почему? Потому что эксперты по ИБ резюме в открытый доступ обычно не вывешивают. Если им захочется поменять работу, они легко ее сменят через свои контакты. Но что делать компании-работодателю?
Если для компании это приемлемо, можно попытаться переманить профессионала из других фирм. Можно рискнуть и взять новичка и попробовать вырастить спеца самостоятельно — взять подходящего кандидата из своих и вложить в него недостающий пакет знаний и навыков. Этот вариант хорош тем, что такому специалисту не придется «акклиматизироваться» — он уже знаком со сложившимися подходами к организации рабочих процессов, продуктом, корпоративной культурой. В качестве потенциальных кандидатов на переквалификацию можно рассматривать безопасников-технарей и разработчиков — они ближе всех к инфобезу.
Зачем уставшим от отчетности бухгалтерам учиться информационной безопасности
В последние годы в новостях все чаще мелькают громкие заголовки об утечках информации или хакерских атаках на крупные банки. Только недавно «Клерк» писал о появлении в сети данных 12 миллионов клиентов МФО. Но вообще, всем уже привычны заголовки в СМИ об утечках данных банков и сотовых операторов.
На примерах громких случаев атак расскажем, какую роль играет в компании информационная безопасность, и как научиться специальности будущего.
Поможет нам в этом Евгений Строев — эксперт курса «Специалист по информационной безопасности» в Нетологии и руководитель направления безопасности прикладных систем «Тинькофф».
Как это работает: реальные истории взломов
Мы попросили Евгения рассказать на примерах из жизни, как и почему происходят разные виды взлома.
Громкая история Сбербанка
Ситуация: в октябре 2019 года Сбербанк подтвердил утечку сведений о кредитных картах своих клиентов. Сначала заявлялось, что похищены сведения двухсот карт, но затем оказалось их 5000.
Что похитили — ФИО, паспортные данные, место жительства и работы, номера карт и счетов, информацию о лимитах и сроках действия кредиток.
Руководство банка сработало оперативно — были заблокированы и перевыпущены карты, служба безопасности в сотрудничестве с правоохранительными органами обнаружила похитителя буквально за сутки — им оказался сотрудник компании. Хорошо, что базы не содержали СVC-кодов и других средств защиты (кодовых слов, используемых для звонка в службу поддержки, например).
Евгений : «Один из современных принципов безопасности — „Zero trust“ (нулевое доверие). Это значит, что специалисты по инфобезопасности не доверяют никому в компании: ни пользователям, ни другим сотрудникам, ни сервисам, даже себе не доверяют. Все может быть сломано и скомпрометировано. Поэтому важно сделать так, чтобы у злоумышленников даже при таком сценарии не было возможности взломать.»
Переводы в пути, правда не к вам
Платежные шлюзы и сервисы, отвечающие за перевод денег, тоже ломают. Есть такая группировка — GCMAN, они провели операцию с выводом денег на электронные платежные системы.
Евгений : « Security in depth — это еще один принцип, который может помочь в построении надежной системы защиты. Он означает многослойность, многоуровневую защиту и использование всего комплекса мер, которые вообще существуют. Нельзя полагаться только на один какой-то инструмент, сервис или средство защиты.»
Взлом компании
Это уже намного сложнее сделать, ведь придется получить доступ к серверам, но и здесь можно найти лазейку. И даже если система безопасности работает исправно, беда может прийти, откуда не ждали — от разработчиков.
Ситуация: Это история от коллег нашего специалиста — у компании появился новый сервис, расширяющий функционал для клиентов, но в нарушение инструкций его запустили из зоны процессинга непосредственно в интернет, без выделения специальной зоны DMZ. Demilitarized Zone — демилитаризованная зона, ДМЗ, физический или логический сегмент сети, содержащий и предоставляющий организации общедоступные сервисы, а также отделяющий их от остальных участков локальной сети, что позволяет обеспечить внутреннему информационному пространству дополнительную защиту от внешних атак..
Что похитили: до обнаружения уязвимости при очередном сканировании системы злоумышленники успели получить доступ к личным данным, а также механизмам сервиса и процессингу.
Теперь вы знаете, каким опасностям чаще всего подвергаются организации. Хотя мы рассказывали много о банковской сфере, но на самом деле те же приемы применяют и к любым другим компаниям, от хакеров не застрахован никто. Давайте познакомимся с профессией специалиста по информационной безопасности поближе.
Скажите, как его зовут
Специалиста по информационной безопасности могут называть по-разному. Если зайти на сайт с вакансиями, то там найдется и администратор средств защиты, и инженер по безопасности компьютерных сетей. Под каждой вакансией подразумеваются конкретные специализации, о которых мы расскажем ниже.
Специалистом по информационной безопасности называют того, кто внедряет и поддерживает средства защиты от всевозможных угроз, находит и устраняет уязвимости в приложениях и инфраструктуре.
Можно выделить несколько специализаций:
Специалисты по тестированию на проникновение или пентестеры. Находят уязвимости и недостатки в безопасности систем, помогают их устранить или передают информацию о них администраторам и разработчикам системы. Могут быть как штатными сотрудниками, так и работать по договору за разовое вознаграждение или принимать участие в программе Bug Bounty — любому, кто обнаружит уязвимость предлагается премия.
Специалисты по безопасности приложений. Участвуют в процессе создания программ или приложений, изучая архитектуру и готовый код. Находят ошибки и уязвимости, которые могут привести к взлому. Пример уязвимости — оставить в форме ввода на сайте возможность отправить SQL-инъекцию (т.е. внедрить вредоносный код).
Специалисты по сетевой и инфраструктурной безопасности. Занимаются поиском уязвимостей в аппаратных и сетевых комплексах и создают максимально защищенные системы. Они же знают, как с помощью Windows, Linux или других ОС злоумышленник может установить нужное ПО на компьютер, поэтому настраивают системы так, чтобы в них было трудно попасть.
Вот только некоторые задачи, с которыми придется работать специалисту по ИБ (в разных специализациях они будут отличаться):
Иногда специалисту по ИБ достаточно использовать чек-лист или инструкцию, провести анализ и затем внедрить систему защиты. После этого он тестирует ее, выявляет уязвимости, исправляет и снова по кругу. Специалисту приходится эволюционировать параллельно со взломщиками и следить за всеми тенденциями в мире хакинга, чтобы быть готовым к любой ситуации.
Пусть меня научат
Пройдем по самым задаваемым вопросом на тему «как стать специалистом по информационной безопасности?»:
Как пройти обучение?
Для начала стоит пройти курсы в области информационной безопасности или провести время за самообразованием, затем стажировка и собственно переход на полноценную работу. Профи отмечают, что для старта в профессии достаточно 9–12 месяцев, примерно 6 из них — обучение на курсах.
Нужна ли техническая подготовка?
Не обязательно быть IT-профи или иметь опыт в программировании. Инфобезопасность находится где-то на стыке системного администрирования, разработки и консалтинга. В этой сфере много своих тонкостей. При этом конечно подкованность в инженерии или других смежных специальностях приветствуется.
Идеальный вариант подготовки — максимум практики. Теоретическое изучение популярных уязвимостей без практики их нахождения, эксплуатации или защиты от них — бесполезно.
Обязательно ли знать английский язык?
Для начала достаточно владеть минимальными познаниями в языке и уметь работать с Google-переводчиком. В дальнейшем потребуется развитие навыка чтения, потому что оставаться «в теме» позволяют именно зарубежные ресурсы и литература, переводов на русский можно ждать долго.
Выбирая курсы, обратите внимание, включены ли в них занятия по техническому английскому языку. Он понадобится для чтения документации, инструкций и участии в разработке и тестировании.
Что нужно знать для старта?
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений:
Ищите курсы, где все стороны будут преподаваться гармонично и вас научат полноценному внедрению системы защиты, тестированию на уязвимости и все это законно! Проще говоря, вас должны научить и законам, и хакингу, и защите от взломов.
Примерный чек-лист умений для старта:
Чек-лист инструментов для старта:
До того, как вы пойдете стажироваться на работу рекомендуем проверить знания на практике:
Для старта в карьере не обязательно знать все технологические тонкости, достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать. Прокачивайте свои умения — Hard skills (владение профессиональными технологиями и инструментами) и Soft skills (навыки коммуникации, оперативное реагирование на ЧП, дисциплина, ответственность за принятые решения).
Сколько зарабатывают специалисты по ИБ и насколько они востребованы?
В среднем заработок специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей в месяц. Конечно цифра довольно условная, ведь все зависит от того, где именно, в какой компании и на каком уровне вы будете работать.
Для примера (данные по г. Москва):
Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.
Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Еще 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берёт готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Стек инструментов
Вот что нужно попробовать ещё до устройства на работу стажёром:
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.
Сколько зарабатывают такие специалисты и насколько они востребованы
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.
Рост в зарплате
Вот типичная картина на сайтах с вакансиями:
Востребованность
Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.
Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Пример удалённой высокооплачиваемой вакансии
Что почитать по теме
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажёра не получится.
Где учиться на специалиста по ИБ
Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.
Собираешься работать в кибербезопасности? Прочитай это
Автор статьи — Брайан Кребс, известный журналист в сфере информационной безопасности.
Каждый год из колледжей и университетов выходят тысячи выпускников по специальностям «информационная безопасность» или «информатика», абсолютно не подготовленных к реальной работе. Здесь мы посмотрим на результаты недавнего опроса, который выявил самые большие пробелы в навыках выпускников, а также подумаем, как кандидатам на работу выделиться из толпы.
Практически каждую неделю мне приходит минимум одно письмо от читателя, который просит совета, как начать карьеру в сфере ИБ. В большинстве случаев соискатели спрашивают, какие сертификаты им следует получить или у какой специализации самое светлое будущее.
Редко спрашивают, какие практические навыки нужно освоить, чтобы стать более привлекательным кандидатом. Я всегда предупреждаю, что у меня самого нет никаких сертификатов и дипломов, но я регулярно разговариваю с руководителями отделов ИБ и рекрутерами — и часто спрашиваю о впечатлениях о современных кандидатах.
Типичный ответ — что очень многим кандидатам просто не хватает опыта работы с практическими задачами.
Конечно, большинству выпускников не хватает практического опыта. Но, к счастью, уникальный аспект ИБ заключается в том, что опыт и фундаментальные знания можно получить старым добрым методом проб и ошибок.
Один из ключевых советов — изучать основу, как компьютеры и другие устройства взаимодействуют друг с другом. Я говорю это потому, что умение работать в сети — фундаментальный навык, на котором строятся многие другие области обучения. Получить работу в сфере безопасности без глубокого понимания того, как работают пакеты данных, немного похожа на попытку стать инженером-химиком, не изучив сначала таблицу Менделеева.
Пожалуйста, не верьте мне на слово. Исследовательский институт SANS недавно провёл опрос более 500 практиков кибербезопасности в 284 различных компаниях в попытке выяснить, какие навыки они находят наиболее полезными для кандидатов на работу, а какие чаще всего отсутствуют.
В ходе опроса респондентам предлагалось ранжировать различные навыки от «критических» до «необязательных». Целых 85% назвали знание сети критическим или «очень важным» навыком, за которым следует владение операционной системой Linux (77%), Windows (73%), распространённые методы применения эксплоитов (73%), компьютерная архитектура и виртуализация (67%), обработка данных и криптография (58%). Довольно удивительно, что только 39% назвали программирование критическим или очень важным навыком (к этому вернёмся через минуту).
Как специалисты по кибербезопасности оценивали потенциальных кандидатов на работу по этим критическим и очень важным навыкам? Результаты кажутся ошеломляющими:
| Навыки | Сколько кандидатов не смогли решить даже базовые задачи | Сколько кандидатов продемонстрировали мастерство |
|---|---|---|
| Общие техники взлома | 66% | 4,5% |
| Компьютерные архитектуры | 47% | 12,5% |
| Сеть | 46% | 4% |
| Linux | 40% | 14% |
| Программирование | 32% | 11,5% |
| Данные и криптография | 30% | 2% |
«Работодатели сообщают, что подготовка студентов по кибербезопасности в значительной степени неадекватна, и они разочарованы, что приходится тратить месяцы на поиски, прежде чем они найдут квалифицированных сотрудников начального уровня, если таковые вообще могут быть найдены, — говорит Алан Паллер, директор по исследованиям Института SANS. — Мы предположили, что для начала решения этих проблем и устранения разрыва следует сформулировать навыки, которые работодатели ожидают, но не находят у выпускников».
Правда в том, что некоторые из самых умных, проницательных и талантливых специалистов по компьютерной безопасности, которых я знаю, не имеют никаких сертификатов и дипломов по информатике или программированию. На самом деле, многие из них вообще никогда не учились в колледже и не заканчивали университет.
Скорее они попали в безопасность потому, что их страстно и сильно интересовала тема, и это любопытство заставляло как можно больше учиться — главным образом, читая, пробуя и делая ошибки (много ошибок).
Я не отговариваю читателей от получения высшего образования или сертификации в данной области (что может быть основным требованием во многих корпорациях), а просто чтобы они не рассматривали это как гарантию стабильной и высокооплачиваемой работы.
Без овладения одним или несколькими из перечисленных навыков вас просто не будут считать очень привлекательным или выдающимся кандидатом.
Но… как?
Итак, на чём сосредоточиться и с чего лучше всего начать? Во-первых, хотя существует почти бесконечное количество способов получения знаний и практически нет предела глубинам, которые вы можете исследовать, но самый быстрый способ обучения — это запачкать руки.
Я не говорю о взломе чьей-то сети или какого-то плохого сайта. Пожалуйста, не делайте этого без разрешения. Если ломать сторонние сервисы и сайты, то выбирайте те, которые предлагают вознаграждение через программы bug bounty, а затем убедитесь, что соблюдаете правила этих программ.
Но почти всё можно воспроизвести локально. Хотите овладеть общими методами взлома и эксплуатации уязвимостей? Существует бесчисленное множество доступных бесплатных ресурсов; специально разработанные инструменты, такие как Metasploit и WebGoat, и дистрибутивы Linux, такие как Kali Linux, с большим количеством учебников и онлайновых туториалов. Кроме того, есть ряд бесплатных инструментов для пентестинга и обнаружения уязвимостей, такие как Nmap, Nessus, OpenVAS и Nikto. Это далеко не полный список.
Организуйте собственную хакерскую лабораторию. Можете сделать это на запасном компьютере или сервере или на старом ПК, которых в изобилии по дешёвке продаются на eBay или Craigslist. Бесплатные инструменты виртуализации, такие как VirtualBox, упрощают работу с различными операционными системами без необходимости установки дополнительного оборудования.
Или подумайте о том, чтобы заплатить кому-то за установку виртуального сервера, на котором можете ставить опыты. Amazon EC2 — хороший недорогой вариант. Если хотите тестировать веб-приложения, можно установить на компьютеры в собственной локальной сети любое количество веб-сервисов, таких как старые версии WordPress, Joomla или движки интернет-магазинов, такие как Magento.
Хотите изучить сети? Начните с приличной книги по TCP/IP, хорошенько изучите сетевой стек и то, как все слои взаимодействуют друг с другом.
Пока усваиваете эту информацию, научитесь использовать некоторые инструменты, которые помогут применить знания на практике. Например, познакомьтесь с Wireshark и Tcpdump, удобными инструментами, используемыми сетевыми администраторами для устранения неполадок сети и безопасности, а также для понимания того, как работают (или не работают) сетевые приложения. Начните с проверки собственного сетевого трафика, просмотра веб-страниц и повседневного использования компьютера. Попытайтесь понять, что делают приложения на вашем компьютере, глядя на то, какие данные они отправляют и получают, как и где.
О программировании
Работодатели могут требовать или не требовать навыки программирования на таких языках, как Go, Java, Perl, Python, C или Ruby. Независимо от этого, знание одного или нескольких языков не только сделает вас более привлекательным кандидатом, но и облегчит дальнейшее обучение и переход на более высокие уровни мастерства.
В зависимости от специализации, в какой-то момент вы можете обнаружить, что возможности дальнейшего обучения ограничены именно пониманием программирования.
Если вас пугает идея изучения языка, начните с основных инструментов командной строки в Linux. Просто научиться писать базовые скрипты для автоматизации рутинных задач — уже прекрасный шаг вперёд. Более того, мастерство в создании шелл-скриптов принесёт солидные дивиденды на протяжении всей вашей карьеры практически в любой технической роли, связанной с компьютерами (независимо от того, изучаете вы конкретный язык программирования или нет).
Получите помощь
Не заблуждайтесь: подобно изучению музыкального инструмента или нового языка, приобретение навыков кибербезопасности отнимает много времени и сил. Но не впадайте в уныние, если вас перегружает и подавляет весь объём информации. Просто не торопитесь и продолжайте идти.
Вот почему помогают группы поддержки. Серьёзно. В индустрии ИБ человеческая сторона сетевого взаимодействия принимает форму конференций и локальных встреч. Сложно переоценить, насколько важно для вашего здравомыслия и карьеры общаться с единомышленниками на полурегулярной основе.
Многие из этих мероприятий бесплатны, в том числе встречи BSides, группы DEFCON и собрания OWASP. И поскольку в технологической индустрии по-прежнему преимущественно представлены мужчины, существует ряд встреч по кибербезопасности и групп, ориентированных на женщин, таких как Женское общество Cyberjutsu и другие, перечисленные здесь.
Если вы не живёте в глуши, скорее всего, в вашем районе есть несколько конференций и встреч по ИБ. Но даже если вы в глуши, многие из этих встреч сейчас проводятся виртуально из-за пандемии COVID-19.
Короче говоря, не рассчитывайте, что диплом или сертификат дадут вам навыки, которые работодатели по понятным причинам ожидают от вас. Это может быть несправедливо или нет, но вам придётся развивать и совершенствовать навыки, которые послужат будущему работодателю(-ям) и возможности трудоустройства в этой области.
Уверен, у читателей есть собственные идеи, на чём лучше всего сосредоточить свои усилия новичкам и студентам. Пожалуйста, не стесняйтесь высказываться в комментариях.