Специалист по информационной безопасности - не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
• Пентестеры -так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty -когда бизнес просит проверить их защиту, обещая за найденные баги премию.
• Специалисты по разработке -такие специалисты участвуют в создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример - оставить в форме ввода сайта возможность отправить SQL-инъекцию.
• Специалисты по сетям -они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.
Есть ещё один вариант деления специалистов:
• Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация -поиск ошибок и уязвимостей, этичный хакинг.
• Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.
Такое деление - условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.
Важно. Специалист по информационной безопасности сейчас - это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий - компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Главные задачи специалиста по ИБ - настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
• Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
• Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
• Составить программу внедрения защиты. Решить, что исправлять сначала -например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
• Разобраться с продуктом - найти уязвимости в коде, составить техническое задание на устранение.
• Провести оценку системы защиты - провести согласованные атаки на сетевые ресурсы.
• Проанализировать мониторинг - узнать, кто интересовался системой, какими способами, как часто.
• Внедрить защиту для особо слабых узлов.
Плюс сферы ИБ - вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% - это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ - это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ - сначала курсы или самообучение, затем стажировка и перевод на полноценную работу. Можно получить родственную профессию, поступив на специальность 09.02.06 Сетевое и системное администрирование, 09.02.07 Информационные системы и программирование) в Иркутский авиационный техникум, на Факультет среднего профессионального образования Иркутского национального исследовательского технического университета, в Сибирский колледж транспорта и строительства Иркутского государственного университета путей сообщения, Иркутский региональный колледж педагогического образования, Иркутский колледж экономики, сервиса и туризма, Колледж Байкальского государственного университета.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Опыт работы в ИТ и программировании не нужен - это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще - разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий. Идеальный план обучения в сфере ИБ - минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
На старте хорошее знание языка необязательно - достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Проблема многих курсов, которые готовят специалистов по информационной безопасности - акцент на одном из направлений сферы:
• Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо -важно, чтобы вы могли сразу попробовать атаковать или защищаться.
• Только сети -если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
• Только взлом -на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.
Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно -нужно разобраться в нормативной базе и особенностях законодательства. То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
• Настроить сетевой стек.
• Провести аудит системы, проанализировать, какое место уязвимое.
• Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
• Настроить систему мониторинга и систему предупреждения о проблемах.
• Учитывать человеческий фактор в построении защиты.
Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).
Вот что нужно попробовать ещё до устройства на работу стажёром:
Linux -сделайте свою сборку, почитайте о популярных уязвимостях самой системы и внутренних программ.
Windows -пригодится умение настраивать как пользовательские, так и серверные решения. Знать, как проводить атаки через обновления, подмену драйверов или служебных утилит.
DLP -попробуйте популярные технологии защиты утечек данных. Проще говоря, это программы, которые умеют блокировать запись на флешку или отправку в соцсети или на почту определённых видов данных. Например, Sophos или McAfee DLP.
IDS -системы выявления сетевых атак. Такие инструменты, если их грамотно настроить, сообщат о срабатывании определённого правила. Например, попытки неавторизованного доступа или повышения прав определённого пользователя.
SIEM -система, которая в реальном времени анализирует события в сетевых устройствах и реагирует при появлении настроенного правила. Проще говоря, смотрит, изменилось ли что-то в настройках, и если да -делает то, что придумал специалист по ИБ. Можно потрогать решения Splunk, IBM и LogRhythm.
Kubernetes. Если вы умеете разворачивать кластер Kubernetes, работать с конфигурацией и сетевой безопасностью, то шансы устроиться стажёром в любую облачную компанию повышаются в разы.Ещё пригодится знание методологий. Разберитесь в том, как работает DevSecOps. Это современная философия, которая позволяет внедрять защиту на любом этапе разработки продукта. Пригодится, если вы будете работать специалистом по ИБ в компании, занимающейся созданием продуктов.
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно -нужно знать, «как» сделать, а не «что» сделать.
• Научитесь выявлять уязвимости на всех этапах разработки
• Сможете определять, откуда ждать угроз, как их минимизировать и расследовать последствия атак
• Изучите необходимые нормы законодательства, чтобы действовать в рамках закона.
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» -порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300 - 400 тысяч.
Спрос на специалистов по информационной безопасности высокий -только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
Работать удалённо предлагают только высококлассным специалистам -например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Что почитать по теме:
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами -только на теории дойти до уровня стажера не получится.
Scott Donaldson. Enterprise CybersecurITy: How to Build a Successful Cyberdefence Program Against Advanced Threats -шаблон/методичка для создания плана внедрения системы ИБ. Актуальна для крупных компаний и промышленных предприятий. Но даже если работаете в малом бизнесе -полезна для понимание общей картины создания защиты.
Jim Bird. DevOpsSec -книга рассказывает о том, как построить процессы внедрения ИБ, не заставляя разработчиков и тестировщиков страдать.
RTFM: Red Team Field Manual -подборка сценариев взлома для пентестеров от компании, которая зарабатывает на «белом» хакинге.
SecurITy for Web Developers -популярные методы взлома и защиты веб-страниц.
Михаэль Кофлер «Linux. Установка, настройка, администрирование» -поможет разобраться в принципах работы и администрирования на Linux.