Как войти в информационную безопасность в 2024 году: этичный хакер как профессия

20.05.2024 | Категория Информационная безопасность

Привет, Кодебай! В этой статье я хочу затронуть самый актуальный вопрос для желающих влиться в ИБ людей. «А как, собственно, начать свой путь в информационной безопасности?»

Часто этот вопрос задают те, кто во взрослом возрасте хочет сменить профессию, ведь студенты факультетов по компьютерной безопасности в целом и так определили свой путь. Диплом, стажировка, работа.

 

Мой путь в иб

Меня зовут Максим Горшков, в сообществе и на форуме Codeby.net меня знают как @temujin (Grey Team).

В настоящем я Инженер по информационной безопасности и преподаватель курса SOC https://soc.codeby.school/ Академии Кодебай

Так получилось, что я сам 5 лет назад развернул свой карьерный путь: от следователя по расследованию кибер преступлений к инженеру по информационной безопасности. То есть, из скорее юридической деятельности, хоть и касающейся информационных технологий – в сторону технической, ИТ-шной. И как видно из моего примера, «уйти в Иб» можно даже после того, как стали зрелым специалистом в другой сфере. Но есть нюансы. Дело в том, что, по моим наблюдениям, подобное перепрофилирование могут осуществить далеко не все и дело даже не в усердии, количестве усилий, а скорее в простом понимании, что ИБ тебе подходит. И тут встает вопрос. Как понять, что ИБ подходит? Увы, пока не встанешь над обрывом и не прыгнешь, не узнаешь. Романтическое представление об ИБ не вяжется с реальным, как ни в какой другой профессии - но я не хочу тебя, уважаемый читатель, сразу отговаривать. В этой статье я помогу тебе своим опытом постичь что такое ИБ, укажу путь, так сказать😊

 

С чего начать изучение информационной безопасности?

Начать стоит с теории. Почитать многочисленные статьи про специализации ИБ и хоть примерно наметить куда хочется развиваться. Удача, что с этим вопросом можно не торопиться - база у всех специализаций похожа. Если очень кратко, то ИБ сейчас можно разделить на 2 группы: «дефенс» и «оффенс». И ты скорее всего захочешь увлечься оффенсом, мол, это же круто, это по-хакерски, но реальность такова, что как ни крути, необходимо знать и дефенс и оффенс одновременно. К примеру, вот ты станешь пентестером (классическая оффенс профессия), ты умеешь эксплуатировать уязвимости и скорее всего ты попадешь в компанию, которая проводит аудиты на заказ. И вот ты «прохачил» всю инфраструктуру заказчика, указал это все в отчете и в первую же встречу с заказчиком, первым же вопросом будет: «а как сделать, чтобы закрыть уязвимости?». Вот тут твои навыки взлома будут мало полезны для клиента, без знаний как защититься они мало применимы в бизнесе. К тому же, вакансий дефенс на порядок больше и специализаций тоже. Поэтому, первый совет такой. Не торопись с однозначным выбором оффенс/дефенс.

 

Выбор направления

Теорию изучил, понял, что только в одном SOC (центр реагирования на инциденты) есть с десяток специализаций, куда двигаться дальше, где учиться?

Этот этап также не простой. В 2024 году в эпоху актуализации информационной безопасности, курсов, школ по ИБ появилось великое множество и все они «кричат» что лучшие, после окончания обучения помогут устроиться на работу, в общим «покупай и не думай». Тут могу сказать одно, к выбору курса нужно отнестись со всей ответственностью. И сразу скажу ремарку. Вообще, стоит ли платно учиться? Лично я считаю, что, на начальном этапе, - да. Дело в том, что наш мозг устроен так, что он будет делать все, чтобы тратить свои мыслительные ресурсы меньше. Если ты долго не учиться, то лень овладеет, как кольцо всевластия Фродо 😉

Психологически, когда ты потратил свои средства в образование, то аргумент, что «деньги «уплочены», надо получить результат» заставит в трудную минуту не податься желанию мозга отложить учебу на потом. Если же проблем с самоорганизаций нет, то 90% курсов есть в сливах, но я так и не смог ни один курс вдумчиво пройти таким образом, хотя все последние 5 лет обучаюсь в постоянном режиме. Так вот. Ты определился, что нужно выбрать курс. Какой? Здесь самое главное идти от общего к частному, от простого к сложному. Лучшим вариантом, который проходил и я, взять курс по переквалификации. Дело в том, что в ИБ образовательный документ часто бывает очень важен. Его обязательное наличие прямо закреплено в законодательстве. Без него ты не сможешь работать по профессии ИБ в КИИ и ИСПДН, а это все банки, часть государственных учреждений, да и в общем-то в ближайшем будущем все большее число частных компаний, которые обрабатывают персональные данные и становятся КИИ по тем или иным критериям. Кроме того, переквалификация в ИБ подразумевает обучение длительностью не менее 360 часов, в которые войдут базовые знания о большинстве специализаций. То есть таким курсом можно «убить двух зайцев». С одной стороны, получишь базовое понимание в области ИБ, с другой, юридически, ты уже специалист по информационной безопасности и можешь уже найти свою первую работу в государственном секторе. Да, зарплата будет не большая и далеко не ИТ цифра, но можно получить первый опыт и прокачивать себя на практике и на других, уже узконаправленных курсах.

Есть и негативные примеры. Один хороший менеджер инженерных проектов решил переквалифицироваться в ИБ. Как раз по знакомству. Устроился, начал работать, через 4 месяца вернулся в свою старую профессию, так как быстро осознал, что развитие в ИБ от начального уровня (когда и зарплата 40-60 тыс.), до уровня хотя бы джун + (когда уже появляется хоть какой-то разрыв в сравнении с не IT-профессий) требует множество сил и времени. Если профессия в ИБ манит только будущей серьезной зарплаты, то будет сложно. Без фанатичного желания постоянно самообучаться, подняться выше, карьеру не выстроить и проще развиваться дальше в своей профессии.

 

Выбор академии

Какое учреждение выбрать для профессиональной подготовки - нужно смотреть по двум основным критериям.

Первый – наличие его в списке аккредитованных ФСТЭК - https://fstec.ru/dokumenty/vse-dokumenty/perechni/perechen-organizatsij-osushchestvlyayushchikh-obrazovatelnuyu-deyatelnost?ysclid=lv2g5jlvkf161472943. Если компании нет в списке, диплом о переподготовке тебе не выдадут. Сам в свое время на этом «накололся», проучился в одном известном ресурсе ИТ курсов и ждал год, требуя свой диплом. В итоге договорились что пройду экстерном программу у аккредитованного учреждения и получу диплом там. Что и получилось.

Второй – отзывы. Есть курсы профессиональной подготовки для так называемой «бумажной безопасности» т.е. те, где дают знания о законодательстве и его применении в компании. Такие специалисты занимаются аттестациями соответствия (например ISO 27001, ИСПДН, КИИ). Как правило, с учетом большого количества работы с документами, на практику остается мало времени. Есть курсы подготовки, направленные на практическую безопасность. Что тебе ближе, думай сам, но знания все - равно придется повышать дальше, так что рассчитывай после переподготовки идти на более углубленные курсы по уже конкретному направлению.

 

Повышение квалификации

Какие курсы повышения квалификации выбрать?

В первую очередь, к тому времени, когда ты дойдешь до курсов (а я напомню, что крайне рекомендую сначала получить диплом о переподготовке в области ИБ), то уже поймешь что тебе нужно и что интересно.

Выбрал? Теперь среди множества предложений опять смотри в отзывы.

Я много где учился, начиная от государственных университетов, заканчивая онлайн школами. И скажу, что я не нашел прямо «убогих» курсов. Каждый сформирован под свою аудиторию, а 90% негативных отзывов пишут те, кто думал, что за деньги им как в флешку запишут знания в голову или выведут по окончанию на уровень миддл или даже сеньора, что, конечно же, ложь и маркетинг. Миддл и сеньор - это тот уровень скиллов (в том числе и софт скиллов), который получается на основе реального опыта. В тоже время, есть хорошие курсы, где дают реальные практические знания. Ну допустим, это WAPT от Кодебай (не реклама, просто пример курса, который я знаю). Да, он про практику пентеста, да на нем крутые кейсы реализованы в лабах, но на нем нечего делать человеку, который не практиковал Kali Linux на практическом уровне и Burp Suite. Лучше взять основы Linux и основы ИБ для начала, а иначе быстро придет осознание, что ничего не получается. Виноваты в этом будут все, кроме твоей ошибочной стратегии постижения ИБ.  В отзывах нужно обращать внимание на уровень сложности курса, и на все конкретные замечания по содержанию, лабам, хинтам, преподавателю.

 

Учиться – это долго. можно ли войти в иб через практику?

Конечно, можно. Говорят, где-то берут на оплачиваемую стажировку тех, кто прочитал 5 статей про ИБ и даже зарегистрировался на CTF площадке. А еще говорят, что друг может устроить джуном в ИБ и там поднатаскать. В 2024 году, на мой взгляд, первый вариант на уровне легенды. Сейчас бизнес живет в экономном режиме и не готов вкладываться в проект, который чаще всего не «выстреливает». Обучать людей, которые или не обучатся или как последние «неблагодарные…» сбегут на более высокую зарплату бизнесу не выгодно. В тренде готовые специалисты, которые дадут результат на второй рабочий день. Что касается второго варианта, то такое возможно, но знаю несколько примеров, когда люди уходили обратно в старую сферу, понимая, что не могут освоить быстро профессию.

Нужно учитывать, что профессия ИБ это одна из сложных даже по меркам ИТ. В ИБ, чтобы реально расти по карьере, нужно быть всегда готовым быть на шаг впереди. Я не знаю ни одного специалиста по ИБ, который не повышает регулярно свою квалификацию. Вот, к примеру. Ты пришел в компанию, нашел уязвимости в WEB приложении, их устранили, а дальше? А дальше бизнес хочет, чтобы ты находил уязвимости. Но ведь ты и так со своими знаниями в прошлый раз нашел их все? Что делать? Или ждать, когда бизнес спросит за работу, которой нет («Нет уязвимостей – нет результата работы») или смотреть новые кейсы, тестировать приложение более сложными методами и находить их. В дефенсе все аналогично. Нужно доказывать бизнесу необходимость новых средств защиты, ведь если компанию взломают, а ты не предупреждал об уязвимом месте, которое не защищено, то предъявят именно тебе.

 

Заключение

Резюмируя вышесказанное:

  • В 2024 году профессия ИБ актуальна больше, чем когда-либо
  • Профессия сложная, требует постоянного обучения. Без желания учиться успехов не добиться.
  • Тренд на образовательные документы растет, поэтому лучше начать с профессиональной переподготовки и потом раскачивать скиллы курсами и практикой.
  • Выбирать курсы стоит по их сложности для тебя на данном этапе и отзывам
  • Самоподготовка и самообучение на мой взгляд эффективны лишь тогда, когда ты дисциплинирован, можешь сам находить и критично воспринимать информацию
  • Наилучший прогресс идет когда есть с кем обсудить и сверить решения тасков



В итоге у каждого свой путь, но можно частично пройти его на чужих ошибках. Изучайте форумы, ищите единомышленников в коммьюнити, и постоянно качайте скиллы! Именно хард скиллы в итоге приведут к самыми интересными задачам. А когда есть интерес, то точно не выгоришь.

Меня всегда можно найти на форуме Кодебай, я там много лет www.codeby.net

А здесь можно бесплатно практиковаться в решении тасков по CTF: codeby.games

 

Телефон: +7 499 444 17 50 | 8 800 444 17 50 бесплатно по России | E-mail: school@codeby.email
Все курсы Партнерам Возврат Контакты