Информационная безопасность часто ассоциируется с хакерами в худи или с важными людьми в костюмах, которые ходят по офисам с кипой документов. Это близко к правде, но на самом деле информационная безопасность — это целая экосистема, связанная с защитой данных, систем и сервисов.
В Яндекс Практикуме прошёл вебинар «Как новичку найти работу в информационной безопасности» — эксперт в сфере Андрей Шамарин рассказал, чем занимаются специалисты в этой области, как найти в ней своё направление и начать карьеру. Делимся самым важным.
Что это было
3 сентября в Практикуме прошла открытая встреча с участием Андрея Шамарина — AppSec Business Partner в Альфа-Банке, наставника и автора курса «Кибербезопасность: веб-пентест». Андрей — эксперт и практик в сфере: в Альфа-Банке он связывает отделы IT и безопасности, помогая внедрять практики безопасной разработки.
Мы сохранили запись встречи. Посмотрите её полностью, если хотите узнать больше, например, о том, как Андрей пришёл в эту профессию или как подготовиться к собеседованию в сфере информационной безопасности.
В этом тексте мы поделимся некоторыми моментами встречи — расскажем, что такое информационная безопасность, какие направления в неё входят, какие скилы вам понадобятся и как начать карьеру в этой сфере.
Что такое информационная безопасность
Если упростить, информационная безопасность — это всё, что связано с защитой данных, в том числе коммерческой тайны и личной информации пользователей и сотрудников. Сюда же можно отнести защиту критически важных сервисов, например авиакомпаний, государственных информационных систем и даже аптек. Информационная безопасность — это управление рисками, выстраивание внутренних процессов в безопасной разработке и обучение сотрудников основам защиты данных.
Говоря об информационной безопасности, мы подразумеваем разные термины.
Кибербезопасность — это защита от атак в цифровой среде, то есть в среде, связанной с компьютерами, серверами и сетями. Например, защита компании от DDoS-атак и фишинга.
Информационная безопасность — это более широкое понятие, включающее также защиту физических документов, разговоров и процессов. Сюда можно отнести работы по разграничению прав доступа к информации и написание политик и регламентов.
Этичный хакинг — это законный способ тестирования систем на прочность, кода специалист имитирует действия злоумышленников, но по договорённости и на пользу компании. Сюда же можно отнести участие в программах багбаунти, в рамках которых компании платят «белым» хакерам за обнаружение уязвимостей.
Предположим, вы решили стать специалистом по информационной безопасности и думаете, в какой компании нужны ваши знания и опыт. На самом деле практически в любой. Но если копнуть глубже, есть нюансы.
Если в компании есть данные и цифровые сервисы, то их нужно защищать. В крупных компаниях этим занимаются внутренние отделы или даже департаменты, в которых трудятся узкоспециализированные специалисты в разных направлениях информационной безопасности.
В компаниях поменьше обычно нет средств и необходимости содержать большой штат — достаточно иметь несколько человек с широким кругом знаний в информационной безопасности, а к анализу защищённости, защите от атак и выстраиванию процессов привлекать аутсорс-компании. Туда тоже можно устроиться работать и получить более разносторонний опыт за счёт погружения в разные сферы заказчиков.
Нельзя сказать, каким компаниям специалист по информационной безопасности нужнее, крупным или небольшим. Такие люди одинаково нужны любому бизнесу. Например, вот два недавних случая:
кейс Аэрофлота, когда в результате действий злоумышленников в течение суток не летали самолёты и была недоступна почти вся IT-инфраструктура компании,
кейс взлома инфраструктуры московских аптек, когда покупатели не могли забрать онлайн-заказы и даже просто купить лекарства в филиалах.
Разные примеры показывают, что масштаб и сфера бизнеса не так важны — жертвой злоумышленников может стать любая компания.
Какие направления есть в информационной безопасности
Определиться с отраслью и даже компанией мало, также важно понять, кем именно в ней стать. Чаще всего студенты приходят в самую романтизированную часть информационной безопасности — этичный хакинг или пентест. Ведь так круто взламывать сайты, как герой сериала «Мистер Робот» или игры Watch Dogs! Однако это лишь одна грань работы. Без специалистов, которые строят защиту, анализируют угрозы, внедряют и автоматизируют процессы безопасности, не обойтись. Поэтому работа в сфере включает четыре направления: поиск и анализ уязвимостей, защита и реагирование на угрозы, управление рисками и внедрение инструментов безопасности в разработку.
Рассмотрим подробнее.
Поиск и анализ уязвимостей: пентест, red team или «красная команда» — атакующая сторона. Эти специалисты тестируют системы, например, имитируя атаки на интернет-банк или получая доступ к системам управления конвейером на литейном заводе.
Защита и реагирование на угрозы: SOC, blue team или «синяя команда» — сторона защиты. Эти специалисты с помощью специальных систем анализируют сетевой трафик и логи в поисках подозрительной активности. Они же занимаются расследованием атак и поиском их причин.
Управление рисками: комплаенс — юридическая и процедурная безопасность. Эти специалисты работают с различными нормативами, стандартами и требованиями регуляторов и отвечают, например, за проверку соответствия инфраструктуры банка требованиям ЦБ.
Внедрение инструментов безопасности в разработку: DevSecOps, Security Engineer и AppSec. Задача этих специалистов — сделать так, чтобы небезопасный код вообще не попадал в продакшн. В этом им помогают различные автоматизированные инструменты, которые встраиваются в процесс разработки.
Какие навыки нужны в информационной безопасности
Допустим, вы решили попробовать стать одним из специалистов в информационной безопасности. Возникает логичный вопрос: с чего начать?
Для старта не обязательно быть гением математики или иметь диплом по информационной безопасности, но есть базовые знания и навыки, без которых будет сложно. Начнем с хардскилов:
Linux — причем именно умение работать с терминалом. Большая часть инструментов информационной безопасности и систем, которые вы будете настраивать или взламывать, работают именно на Linux.
Сети — важно понимать, как работает интернет, что такое модели OSI и TCP/IP, а также как устроены основные протоколы сетевого взаимодействия.
Базовая криптография — не нужно наизусть знать различные алгоритмы шифрования и рассчитывать их на листе бумаги, но важно понимать, зачем нужны шифры, хеши, электронные подписи и чем они друг от друга отличаются.
Также вам не помешает знать хотя бы основы языков программирования, например, на Python. Уметь читать код, знать, что такое Git, Wireshark, Burp Suite.
Софтскилы тоже важны, хоть их часто недооценивают. Что точно важно:
Внимательность — важный навык в любой специальности информационной безопасности, так как упущенная деталь в логах атаки или знак в команде для запуска какого-то инструмента могут привести к негативным последствиям.
Критическое мышление — иногда важно экспериментировать, а не следовать проторённой тропой, ведь многие уязвимости находятся только потому, что тестировщик думает не так, как разработчик или типичный пользователь.
Живой интерес — наверное, самое важное, что подкупает и работодателей на собеседованиях, и коллег в работе.
Что насчёт опыта
В разработке или, например, дизайне принято спрашивать портфолио. У специалистов по информационной безопасности оно тоже есть, но в другом формате. Вот что можно добавить как проект в портфолио специалиста по информационной безопасности.
Участие в CTF (Capture The Flag) — соревнованиях, где нужно находить уязвимости и решать различные задачи. Такие челленджи проводятся как для новичков, так и для специалистов с опытом. И даже если вы не занимаете первые места, то всё равно прокачиваетесь, развиваете насмотренность и повышаете свою привлекательность в глазах работодателя.
Участие в багбаунти (Bug Bounty) — она же охота за ошибками. Выглядит это примерно так. Компания говорит: «Товарищи хакеры, попробуйте нас взломать, и если получится, то напишите нам, как вы это сделали, а мы вам заплатим». На багбаунти вы можете «потрогать» реальные приложения с позиции хакера и получить за это хорошее вознаграждение. У каждого багхантера есть свой рейтинг на специальных багбаунти-площадках, это тоже аргумент для работодателя.
Практика на площадках, таких как Hack The Box, TryHackMe и PortSwigger, тоже помогает тренироваться и показывать работодателю достижения.
Сертификаты. Набравшись опыта, вы можете сдать экзамен и получить сертификат, который подтверждает ваши знания в той или иной теме. Экзамены, как правило, сложные, поэтому к ним нужно готовиться.
Пет-проекты. Свои инструменты на GitHub, например скрипты для решения задач, тоже показывают ваш интерес и потенциал. Стремление автоматизировать свою деятельность — всегда плюс.
Получается, для начала карьеры не нужен диплом по специальности. Иногда достаточно базы в IT, желания учиться и готовности показать хотя бы небольшой, но релевантный опыт. А остальное можно нагнать уже в процессе работы.
Как искать работу в информационной безопасности
Процесс можно поделить на несколько шагов.
Определитесь с направлением
Узнайте, что вам ближе. Поищите записи с конференций и статьи с подробным разбором направлений и задач в разных специальностях.
Начните учиться
Например, на курсах Практикума:
если вы не сталкивались с IT и информационной безопасностью, присмотритесь к курсу «Специалист по информационной безопасности» — за 11 месяцев освоите основы с уклоном в настройку средств защиты информации и безопасности серверов,
хотите «в атаку» — ваш выбор «Кибербезопасность: веб-пентест»,
если вас больше привлекает защита — вам на курс «Аналитик SOC»,
а если хочется внедрять средства защиты и плотно работать с разработчиками — обратите внимание на курс «DevSecOps: безопасная разработка и эксплуатация».
На всех курсах есть бесплатная вводная часть — на ней вы сможете узнать больше о профессии и понять, подходит ли вам обучение.
Подготовьте резюме
Вы определились с профессией, нашли и прошли курсы, теперь самое главное — найти работу. Представим, что вы только-только вышли на рынок труда и у вас нет коммерческого опыта. Что писать в резюме? Можно прямо так и написать, главное — показать релевантность того опыта, который у вас есть.
Например:
упомянуть участие в CTF и багбаунти со ссылками на ваши профили и результаты,
указать количество решённых задач на Hack The Box, TryHackMe, PortSwigger и подобных площадках, возможно, со ссылками на GitHub с решениями,
добавить сертификаты и дипломы,
приложить пет-проекты, например свой скрипт для автоматизации анализа логов,
рассказать о ваших интересах — например, напишите, почему вы вообще выбрали информационную безопасность.
Пишите честно, но с акцентами, связанными с профессией. Например, если откликатесь на вакансию аналитика SOC, делайте акцент на аналитику и мониторинг. Если в пентест — на задачи по поиску уязвимостей.
Помимо багбаунти, опыт можно нарабатывать участием в стажировках и небольших фрилансах. Причём после стажировки есть хорошие шансы попасть в штат, если вы хорошо себя проявите. А что касается фрилансов, в сфере информационной безопасности это может быть подработка по настройке какого-либо средства защиты или тестированию безопасности небольших сайтов. С последним рекомендую быть крайне осторожным, проверять, чей это сайт, и обязательно составлять договор с описанием деталей выполняемых работ. Сфера этичного хакинга до сих пор непрозрачно регулируется, и действия по тестированию безопасности могут быть расценены как попытка взлома со злым умыслом, поэтому будьте осторожны.
С полученными навыками, резюме и проектами уже можно найти работу в информационной безопасности, причём даже без коммерческого опыта. Посмотрите запись встречи полностью, если хотите узнать больше, как подготовиться к собеседованию в сфере и где искать вакансии в сфере.
А если только начинаете путь в IT, присмотритесь к курсу «Специалист по информационной безопасности» — на нём вы освоите основы, определитесь с направлением и получите необходимые знания для старта. Начать учиться можно бесплатно.