Добрый день.
Последнее время ИТ-безопасность стала неким трендом, все об этом пишут, все об этом говорят. Насколько это вообще перспективное направление? И главное, как к этому присоединиться? Какие учебные материалы (книги, курсы) помогут «внедриться» новичку в это всё?
Спасибо.
Отвечает Максим Лагутин, основатель сервиса для защиты сайтов SiteSecure
Привет.
В основном компаниям (среднего и крупного бизнеса) сейчас интересна практическая информационная безопасность (далее ИБ) и специалисты-практики. Менее интересны, но все же интересны, менеджеры по информационной безопасности, которые занимаются построением внутренних процессов ИБ и контролем их соблюдения.
Из российских курсов могу порекомендовать курсы этичного хакинга от компании
Pentestit, которые направлены как раз на новичков в данной сфере. Также недавно Алексей Лукацкий, эксперт по информационной безопасности и известный блогер в этой сфере, выложил перечень доступных курсов по теме ИБ.
Из книг могу посоветовать «Тестирование черного ящика» Бориса Бейзера, «Исследование уязвимостей методом грубой силы» Майкла Саттона, Адама Грина и Педрама Амини. Также рекомендую подписаться на статьи
SecurityLab, журнал «Хакер» и просматривать интересные темы и задавать вопросы на форуме «Античат».
Периодически смотреть обновления стоит на Owasp, где раскрывается много моментов по распространению уязвимостей в программном обеспечении и в сети, и исследования по безопасности интернета в России — наше и Positive Technologies
Чтобы задать свой вопрос читателям или экспертам, заполните форму заявки на странице.
Призываю в тред 17 летнего школьника, который делает скуль инъекции во все инпуты и зарабатывает $1К в день
Странно, что никак не задели Митника.
По мне, так самое главное понимание в ИБ - это как раз ее отсутствие.
Все ломают, всех ломают.
http://www.ozon.ru/context/detail/id/2146207/
https://geektimes.ru/post/68273/
http://lurkmore.to/%D0%9A%D0%B5%D0%B2%D0%B8%D0%BD_%D0%9C%D0%B8%D1%82%D0%BD%D0%B8%D0%BA
Митник брал на человеческий фактор, звонил "Джон из соседнего отдела" и запростяк (слово из 90-х, да), получал все пароли, еще и с объяснениями как чего так сделать, обсуждали вместе этих дураков начальников, которые ничего не могут сделать, вешали трубки ... и след. человеку он уже звонил с приветом от Салли из проектного отдела, которая дала ему доступ в систему, но ему вот непонятно чего там делать, а сам он - Джон из комп. обслуживания.
По серьезке - как и в любом соревновании пушка/броня, в обеспечении Информационной Безопасности - отдельно от безопасности общей не существующей - есть только один критерий - стоимость преодоления защиты. И превышает ли доход затраты - есть ли экономическая выгода ломать (с помощью хакеров, подкупа сотрудника, судебного разбирательства и любых других методов, включая вертолет с группой боевиков/силовиков)
Что знают двое, то знает и свинья ...
У нас началось все с ИКГ.
Рекомендую начать с курса CompTIA Security+:
https://certification.comptia.org/certifications/security
При необходимости, можно сразу и сертификат получить мирового уровня.