что нужно знать чтобы стать специалистом по информационной безопасности
Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Специалист по информационной безопасности сейчас — этот тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Еще 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берёт готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Стек инструментов
Вот что нужно попробовать ещё до устройства на работу стажёром:
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.
Сколько зарабатывают такие специалисты и насколько они востребованы
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.
Рост в зарплате
Вот типичная картина на сайтах с вакансиями:
Востребованность
Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.
Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Пример удалённой высокооплачиваемой вакансии
Что почитать по теме
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажёра не получится.
Где учиться на специалиста по ИБ
Получить структурированные знания можно на курсе «Специалист по информационной безопасности» в Нетологии.
Собираешься работать в кибербезопасности? Прочитай это
Автор статьи — Брайан Кребс, известный журналист в сфере информационной безопасности.
Каждый год из колледжей и университетов выходят тысячи выпускников по специальностям «информационная безопасность» или «информатика», абсолютно не подготовленных к реальной работе. Здесь мы посмотрим на результаты недавнего опроса, который выявил самые большие пробелы в навыках выпускников, а также подумаем, как кандидатам на работу выделиться из толпы.
Практически каждую неделю мне приходит минимум одно письмо от читателя, который просит совета, как начать карьеру в сфере ИБ. В большинстве случаев соискатели спрашивают, какие сертификаты им следует получить или у какой специализации самое светлое будущее.
Редко спрашивают, какие практические навыки нужно освоить, чтобы стать более привлекательным кандидатом. Я всегда предупреждаю, что у меня самого нет никаких сертификатов и дипломов, но я регулярно разговариваю с руководителями отделов ИБ и рекрутерами — и часто спрашиваю о впечатлениях о современных кандидатах.
Типичный ответ — что очень многим кандидатам просто не хватает опыта работы с практическими задачами.
Конечно, большинству выпускников не хватает практического опыта. Но, к счастью, уникальный аспект ИБ заключается в том, что опыт и фундаментальные знания можно получить старым добрым методом проб и ошибок.
Один из ключевых советов — изучать основу, как компьютеры и другие устройства взаимодействуют друг с другом. Я говорю это потому, что умение работать в сети — фундаментальный навык, на котором строятся многие другие области обучения. Получить работу в сфере безопасности без глубокого понимания того, как работают пакеты данных, немного похожа на попытку стать инженером-химиком, не изучив сначала таблицу Менделеева.
Пожалуйста, не верьте мне на слово. Исследовательский институт SANS недавно провёл опрос более 500 практиков кибербезопасности в 284 различных компаниях в попытке выяснить, какие навыки они находят наиболее полезными для кандидатов на работу, а какие чаще всего отсутствуют.
В ходе опроса респондентам предлагалось ранжировать различные навыки от «критических» до «необязательных». Целых 85% назвали знание сети критическим или «очень важным» навыком, за которым следует владение операционной системой Linux (77%), Windows (73%), распространённые методы применения эксплоитов (73%), компьютерная архитектура и виртуализация (67%), обработка данных и криптография (58%). Довольно удивительно, что только 39% назвали программирование критическим или очень важным навыком (к этому вернёмся через минуту).
Как специалисты по кибербезопасности оценивали потенциальных кандидатов на работу по этим критическим и очень важным навыкам? Результаты кажутся ошеломляющими:
| Навыки | Сколько кандидатов не смогли решить даже базовые задачи | Сколько кандидатов продемонстрировали мастерство |
|---|---|---|
| Общие техники взлома | 66% | 4,5% |
| Компьютерные архитектуры | 47% | 12,5% |
| Сеть | 46% | 4% |
| Linux | 40% | 14% |
| Программирование | 32% | 11,5% |
| Данные и криптография | 30% | 2% |
«Работодатели сообщают, что подготовка студентов по кибербезопасности в значительной степени неадекватна, и они разочарованы, что приходится тратить месяцы на поиски, прежде чем они найдут квалифицированных сотрудников начального уровня, если таковые вообще могут быть найдены, — говорит Алан Паллер, директор по исследованиям Института SANS. — Мы предположили, что для начала решения этих проблем и устранения разрыва следует сформулировать навыки, которые работодатели ожидают, но не находят у выпускников».
Правда в том, что некоторые из самых умных, проницательных и талантливых специалистов по компьютерной безопасности, которых я знаю, не имеют никаких сертификатов и дипломов по информатике или программированию. На самом деле, многие из них вообще никогда не учились в колледже и не заканчивали университет.
Скорее они попали в безопасность потому, что их страстно и сильно интересовала тема, и это любопытство заставляло как можно больше учиться — главным образом, читая, пробуя и делая ошибки (много ошибок).
Я не отговариваю читателей от получения высшего образования или сертификации в данной области (что может быть основным требованием во многих корпорациях), а просто чтобы они не рассматривали это как гарантию стабильной и высокооплачиваемой работы.
Без овладения одним или несколькими из перечисленных навыков вас просто не будут считать очень привлекательным или выдающимся кандидатом.
Но… как?
Итак, на чём сосредоточиться и с чего лучше всего начать? Во-первых, хотя существует почти бесконечное количество способов получения знаний и практически нет предела глубинам, которые вы можете исследовать, но самый быстрый способ обучения — это запачкать руки.
Я не говорю о взломе чьей-то сети или какого-то плохого сайта. Пожалуйста, не делайте этого без разрешения. Если ломать сторонние сервисы и сайты, то выбирайте те, которые предлагают вознаграждение через программы bug bounty, а затем убедитесь, что соблюдаете правила этих программ.
Но почти всё можно воспроизвести локально. Хотите овладеть общими методами взлома и эксплуатации уязвимостей? Существует бесчисленное множество доступных бесплатных ресурсов; специально разработанные инструменты, такие как Metasploit и WebGoat, и дистрибутивы Linux, такие как Kali Linux, с большим количеством учебников и онлайновых туториалов. Кроме того, есть ряд бесплатных инструментов для пентестинга и обнаружения уязвимостей, такие как Nmap, Nessus, OpenVAS и Nikto. Это далеко не полный список.
Организуйте собственную хакерскую лабораторию. Можете сделать это на запасном компьютере или сервере или на старом ПК, которых в изобилии по дешёвке продаются на eBay или Craigslist. Бесплатные инструменты виртуализации, такие как VirtualBox, упрощают работу с различными операционными системами без необходимости установки дополнительного оборудования.
Или подумайте о том, чтобы заплатить кому-то за установку виртуального сервера, на котором можете ставить опыты. Amazon EC2 — хороший недорогой вариант. Если хотите тестировать веб-приложения, можно установить на компьютеры в собственной локальной сети любое количество веб-сервисов, таких как старые версии WordPress, Joomla или движки интернет-магазинов, такие как Magento.
Хотите изучить сети? Начните с приличной книги по TCP/IP, хорошенько изучите сетевой стек и то, как все слои взаимодействуют друг с другом.
Пока усваиваете эту информацию, научитесь использовать некоторые инструменты, которые помогут применить знания на практике. Например, познакомьтесь с Wireshark и Tcpdump, удобными инструментами, используемыми сетевыми администраторами для устранения неполадок сети и безопасности, а также для понимания того, как работают (или не работают) сетевые приложения. Начните с проверки собственного сетевого трафика, просмотра веб-страниц и повседневного использования компьютера. Попытайтесь понять, что делают приложения на вашем компьютере, глядя на то, какие данные они отправляют и получают, как и где.
О программировании
Работодатели могут требовать или не требовать навыки программирования на таких языках, как Go, Java, Perl, Python, C или Ruby. Независимо от этого, знание одного или нескольких языков не только сделает вас более привлекательным кандидатом, но и облегчит дальнейшее обучение и переход на более высокие уровни мастерства.
В зависимости от специализации, в какой-то момент вы можете обнаружить, что возможности дальнейшего обучения ограничены именно пониманием программирования.
Если вас пугает идея изучения языка, начните с основных инструментов командной строки в Linux. Просто научиться писать базовые скрипты для автоматизации рутинных задач — уже прекрасный шаг вперёд. Более того, мастерство в создании шелл-скриптов принесёт солидные дивиденды на протяжении всей вашей карьеры практически в любой технической роли, связанной с компьютерами (независимо от того, изучаете вы конкретный язык программирования или нет).
Получите помощь
Не заблуждайтесь: подобно изучению музыкального инструмента или нового языка, приобретение навыков кибербезопасности отнимает много времени и сил. Но не впадайте в уныние, если вас перегружает и подавляет весь объём информации. Просто не торопитесь и продолжайте идти.
Вот почему помогают группы поддержки. Серьёзно. В индустрии ИБ человеческая сторона сетевого взаимодействия принимает форму конференций и локальных встреч. Сложно переоценить, насколько важно для вашего здравомыслия и карьеры общаться с единомышленниками на полурегулярной основе.
Многие из этих мероприятий бесплатны, в том числе встречи BSides, группы DEFCON и собрания OWASP. И поскольку в технологической индустрии по-прежнему преимущественно представлены мужчины, существует ряд встреч по кибербезопасности и групп, ориентированных на женщин, таких как Женское общество Cyberjutsu и другие, перечисленные здесь.
Если вы не живёте в глуши, скорее всего, в вашем районе есть несколько конференций и встреч по ИБ. Но даже если вы в глуши, многие из этих встреч сейчас проводятся виртуально из-за пандемии COVID-19.
Короче говоря, не рассчитывайте, что диплом или сертификат дадут вам навыки, которые работодатели по понятным причинам ожидают от вас. Это может быть несправедливо или нет, но вам придётся развивать и совершенствовать навыки, которые послужат будущему работодателю(-ям) и возможности трудоустройства в этой области.
Уверен, у читателей есть собственные идеи, на чём лучше всего сосредоточить свои усилия новичкам и студентам. Пожалуйста, не стесняйтесь высказываться в комментариях.
Как стать специалистом по кибербезопасности? Страх и ненависть в ИБ
Очередной раз начали появляться новости с аналитикой будто уже в следующие пару лет на рынке будет катастрофическая нехватка специалистов в области информационной безопасности (сократим до аббревиатуры «ИБ»). По версии ХХ в России не хватает уже порядка 30 тысяч специалистов. Звучит перспективно с точки зрения карьеры – низкая конкуренция, иди и работай. Однако, как выглядит карьера ИБшника на Российском рынке?
У меня на этом рынке стаж работы приближается к круглой дате, если не считать профильное образование в этой области и за это время сформировалось устойчивое мнение о рынке ИБ в России и карьере в этой области. Дальше об этом речь и пойдет. Всё описанное дальше скорее для тех, кто решает ворваться (на самом деле достаточно просто шагнуть) в этот рынок или посмотреть на что-то другое.
Часто на разных ресурсах специализацию в области ИБ описывают как нечто сложное, загадочное, неопознанное и романтичное. В основном у всех, кто ещё не знаком с этой областью работа в ИБ ассоциируется непосредственно с хакерами и создается впечатление, что все ИБшники обладают этими навыками (взламывают сайты, крадут пароли, пробивают по IP и т.д.). Из-за этого вход на этот рынок выглядит максимально сложным и кандидату чаще кажется невозможным устроиться на работу ИБшником, не обладая этими знаниями. Однако, реалии таковы, что большинство специалистов ИБ даже не представляет, как это происходит. Более того значительная часть «специалистов» не особо и в ИТ разбираются. От чего же это так?
Рынок ИБ делится так же, как и все остальные рынки на заказчиков и исполнителей. Начнем с описания работы на стороне заказчиков.
Основными заказчиками на рынке ИБ выступают Государственные организации (далее сокращу просто до слова «ГОСы», банки, крупный и средний бизнес. Так сложилось, что половина моего трудового стажа прошла именно в Государственных организациях. О специфики работы в этом секторе можно написать книгу, но, всё же, постараюсь сократить до необходимого минимума.
Начнем с того, что главное задачей в ГОСах в ИБ является не защита от злобных хакеров и вредоносного программного обеспечения, а выполнение законодательных и отраслевых требований, и это является главной проблемой на Российском рынке. Зачастую в этом секторе важнее понимать какие законы в области ИБ существуют, как они трактуются, как они касаются конкретной организации и как их можно обойти закрыть. По факту это работа с «бумажками»: составление внутренней распорядительной документации, регламентов и положений, связанных с государственной и коммерческой тайнами, а также обработке информации, связанной с персональными данными или данными для служебного пользования. Здесь требуется знать как категорировать информацию, какая часть информационной системы к какой категории относится, и какими средствами защиты это должно закрываться (последнее описано курирующими государственными службами), и нужно ли вообще это защищать. При этом при всем, есть ещё отраслевые требования, которые могут быть шире, чем законодательные требования, приказы и положения. В этих секторах нет устоявшегося стандарта расположения блока ИБ в штате организации. ИБшники могут как существовать в блоке ИТ, так и в отдельном управлении. Однако, техническая сторона ИБ (внедрение средств защиты информации, настройка и сопровождение) ложится на блок ИТ (и это не только в ГОСах так). Связано это с тем, что бюджет на информационные системы как на актив ложится именно на блок ИТ. Отсюда возникает другая проблема – бюджет на обеспечение средствами защиты информационной системы организации формируется именно в блоке ИТ. Из-за этого ИБшники и ИТ постоянно воюют за приоритезацию бюджета. При этом, если блок ИБ не сможет донести до руководства ИТ необходимость закупки того или иного решения ИБ, то в бюджетный план на следующий год это и не попадет. У высшего руководства тоже не всегда получается добиться поддержки, потому что в данном случае нужно описывать также экономическую целесообразность закупки того или иного решения (или сервиса). А как показать возможный финансовый ущерб от хакерской атаки, если она в этой организации ещё не возникала? Да и большинство организаций уверены, что их никто не атакует и они никому не нужны. В итоге приходится жить с тем, что имеешь!
Однако, недопонимание встречается не только со стороны ИТ, но и ИБ из-за отсутствия необходимых технических компетенций (а когда им их повышать, если они только что и делают, так это пишут проклятые бумажки): требования законодательства обязуют использовать в информационных системах средства от несанкционированного доступа, которое жрет достаточно много компьютерных ресурсов так ещё и является агентским решением, которое должно устанавливаться на каждую рабочую станцию в организации. А если это предприятие с 4к пользователями, где парк машин с ОС Windows 7 и не потому, что сложно закупить (хотя это тоже требует не мало финансов) новые версии Windows 10, а потому что этот парк компьютеров устаревший и не потянет эту операционную систему, а тут ещё и агент средства защиты информации будет жрать ресурсы как бешеный.
В итоге для того, чтобы внедрить только одно решение уже потребуется обновить парк компьютеров! Просто представьте сколько это денег! А они не у каждого ГОСа есть, а зачастую ещё главная отраслевая компания распоряжается этими финансами, а не само предприятие.
Конечно, это не везде так, но из-за таких ситуаций рабочими обязанностями обычного специалиста являются задачи по маранию бумаги. Не идет речь о работе с какими-то инцидентами информационной безопасности, нет работы с технической составляющей (напомню этим занимаются ИТшники). Отсутствует даже возможность узнать на сколько текущая ситуация в компании расходится со стандартами ИБ. Уже через год такой работы молодой специалист полезет на стенку от скуки, и эта работа будет больше связанна с менеджментом вопросов ИБ, вот такая романтика.
Проработав год в такой компании, единственное, чему вы научитесь, это выполнять требования ИБ в конкретной организации, у вас не появится каких-то специфичных знаний в области ИБ, которые в дальнейшем вам помогут успешно продвигаться по карьерной лестнице (хотя каждый себе сам ставит потолок), расширить кругозор не получится.
Несомненно, вы начнете разбираться в законодательной базе, это полезно. Но для того, чтобы изучить эту базу и понять требуется не так много времени. Для такой работы не требуется специфических знаний в ИБ. Но HR упорно продолжают писать в требованиях, что вы должны знать как работать с различными средствами защиты информации, знать всю законодательную базу, иметь высшее специализированное образование и вообще опыт работы не менее 3-х лет (это всё там даже применить не получится). А ЗП предложат всего 60-80к. Не так давно увидел объявление одной такой крупной компании в Москве:
Наименование такого «прекрасного» работодателя закрасил, но если вдруг кто заинтересовался, то по этому описанию и сами сможете определить.
Не то чтобы это пропасть, можно построить карьеру и в госсекторе, но без связей, скорее всего, за пределами текущей компании вы сможете претендовать только на такую же позицию.
Но за пределами госсектора всё обстоит гораздо лучше. Там не все относятся к ИБ так, будто главная задача — это защититься от законодательных требований. В банках и крупных коммерческих организациях чаще всего уже сформирована финансовая оценка информационных активов компании и выбить бюджет на защиту этих активов у руководства не является сложной задачей. Нет требований к конкретным средствам защиты информации (здесь имеется в виду, что в некоторых государственных компаниях в отраслевых требованиях прописано у какого производителя закупать то или иное решение ИБ). Здесь и руками дадут пощупать и заставят разбирать вопросы легитимности того или иного инцидента ИБ, возникшего в инфраструктуре компании, да и ИТ с ИБ дружат лучше. И в этих секторах подбор специалиста будет уже более узконаправленный: под задачи менеджмента ИБ, сопровождения средств защиты информации, безопасную разработку программного обеспечения организации, поиск уязвимостей в инфраструктуре нанимаются отдельные специалисты, которым не вменяют в задачи делать всё подряд. Но надо учитывать, что большинство компаний не проявляют желания плодить разный парк производителей средств защиты информации (сократим до СЗИ) у себя в инфраструктуре. И это нормально, не всё так хорошо интегрируется с различными СЗИ. Подружить из между собой не всегда решаемая задача. Поэтому не особо надейтесь расширить свой кругозор по линейке производителей, но это и ненужно.
Освоив один класс решений, вы сможете уже интуитивно понять, как работать с решением другого производителя. В таких компаниях вы получите знания как работать с нормативной базой в этом секторе, будь то банк или промышленное производство, поймете, как выглядит модель угроз конкретно для вашего сектора, возможно, даже получите опыт управления проектами ИБ, взаимодействуя с подрядчиками. Такой опыт ценится на рынке, да и уровень зарплат в таких компаниях выше, чем в госсекторе.
На сегодня, пожалуй, всё! В следующей статье я опишу как выглядит работа в компаниях исполнителей, которые оказывают услуги ИБ на рынке и как выглядит возможный карьерный рост начиная с молодого специалиста. Ну и, конечно, уровень зарплат. И уже станет понятно стоит ли вам для себя открывать эту «дверь».