Cybersecurity: карьерный обзор

Пообщались с экспертами по кибербезопасности и узнали сколько зарабатывают и как приходят в профессию специалисты ИБ, какие направления существуют и чего ждут работодатели от соискателей.

Анастасия Боярчук — Senior IT Recruiter в Spice IT собрала данные для статьи, а Юлия Попова оформила иллюстрации.

Cybersecurity: карьерный обзор

Максимально коротко о специализациях

1) Defensive security — направление на защиту. Здесь специалистов часто разделяют на защищающих инфраструктуру и продукт.

Первые занимаются интеграцией средств защиты и обеспечением безопасности сетей и серверов: контролируют настройку ПО, ставят средства защиты. От них в основном требуются хорошие знания работы сетей и операционных систем — всего того, с чем работают системные администраторы и DevOps. В эту же категорию можно включить вирусных аналитиков и тех, кто занимается расследованием инцидентов и форензикой.

Примеры: Network Security Engineer, Cloud Security Engineer, Security Research, SOC, Fraud Analyst.

Вторые занимаются обеспечением написания безопасного кода. Они взаимодействуют с разработчиками, помогая им писать код без уязвимостей. Здесь важно знать типовые уязвимости, языки программирования, на которых ведётся разработка, модели разработки (Scrum, Kanban и т.д.) и самим быть скорее разработчиками, чем администраторами, как в предыдущем случае.

Примеры: Reverse Engineer, Application Security Engineer.

2) Offensive security — направление на нападение. Сюда можно отнести тех, кто воспроизводит действия злоумышленников, чтобы понять насколько хорошо средства защиты умеют их обнаружить и блокировать. Им важно умение найти нестандартный подход или знать места, которые чаще всего упускают при организации защиты.

Примеры: Эксперт по тестированию на проникновение (пентестер), Offensive Security Engineer.

3) Направление на регламентацию и стандартизацию. Здесь работают люди, способные написать хороший непротиворечивый документ, регламент или политику на грамотном языке. Коротко и понятно. Они хорошо знают стандарты и законодательство. Часто те же самые люди занимаются всем, что связано с формальной оценкой рисков и соответствию отраслевым стандартам, построением безопасных бизнес-процессов.

Примеры: Аудитор ИБ, менеджер комплаенса ИБ.

Начало карьеры

В кибербезопасности не так много людей, которые попали в профессию «случайно». Обычно, это осознанный выбор и у каждого специалиста свой путь в профессию. Но можно выделить три распространенных мотива:

  • Романтический — это и образ «белого рыцаря» на страже интернета, и хакерская романтика, и влияние кинематографа. Для многих хакеры — это мифические персонажи, которых никто не знает, никто не видит, но при этом они наносят существенный урон компаниям. Кто-то сам начинает со взломов, а потом переходит на легальную сторону (не все работодатели это приветствуют, предпочитая нанимать сотрудников без «темного прошлого»).
  • Интеллектуальный — пока появляются новые угрозы и способы мошенничества, придется искать новые нестандартные способы борьбы с ними. Часто приходится решать задачи, которые никто до тебя не решал (все это не отменяет рутинные процессы, который есть в любой профессии). Кроме того, в кибербезопасности огромное количество вариантов карьерного и профессионального развития.
  • Прагматический — пока появляются новые угрозы и способы мошенничества, компаниям придется с ними бороться. А значит, нанимать специалистов по кибербезопасности и достойно оплачивать их труд. Спрос на квалифицированных специалистов не исчезнет в ближайшие десятилетия, а сейчас на рыке есть кадровый голод.

В связи с возросшими случаями совершения киберпреступлений, возросла и необходимость в квалифицированных специалистах в сфере информационной безопасности. Думаю, люди, решившие связать свою жизнь с ИБ, руководствуются тем, что это перспективная сфера, которая развивается и будет стремительно развиваться в условиях всеобщей цифровизации.

Артем Прохоров, Эксперт ИБ

В кибербезопасность часто приходят из разработки, DevOps или системного администрирования. Навыки создания приложений или инфраструктуры позволяют эффективно выстраивать защиту.

Есть ряд областей, где требуются специалисты с направленностями в методологии, обучении, менеджеры различных направлений, технические специалисты, которые должны обладать как пониманием IoT, так и узконаправленных задач ИБ: Пентесты, форензика и тд. Часто требуются люди со знаниями языков программирования и архитекторы, которые, в свою очередь, должны смотреть на ИТ-решения с точки зрения рисков и потерь для компании.

Владимир Садовский, Руководитель группы мониторинга и реагирования на инциденты информационной безопасности в М.Видео

С профильным образованием, но без опыта работы в IT, на подготовку к собеседованиям нужно потратить около трех месяцев. Необходимо изучить основы: базовые понятия, угрозы, принципы и проблемы обеспечения безопасности, правовые аспекты, способы и средства защиты. Практический опыт можно получить на стажировке.

Полезно будет участвовать в конференциях и митапах. Участие в соревнованиях по cybersecurity тоже будет засчитано работодателем как большой плюс.

Отличным инструментом развития практических компетенций может стать участие в соревнованиях по кибербезопасности и системному администрированию — Capture the flag (CTF). Например, наша компания проводит ежегодный турнир CTFZone: финал соревнований состоялся 25–26 апреля, команда-победитель получила 10 000 $ и пропуск на самые престижные в мире соревнования — DEF CON CTF в Лас-Вегасе.

Марина Смоленкова, Директор по персоналу в BI.ZONE

Универсальная рекомендация — тщательно готовиться к собеседованиям и учиться гуглить. Большинство респондентов разных IT-профессий выделяют навык поиска информации как первостепенный для джуна. Все ответы есть в интернете, не стоит сразу отказываться от незнакомой задачи. Многие работодатели осознанно дают сложные кейсы и не ждут готового решения. Они хотят увидеть в какую сторону соискатель будет копать, какие подходы к решению предложит.

Грейды и компетенции

Здесь мы рассматриваем средние зарплаты в ИБ. Конкретные требования к соискателям зависят от компании и специальности, а наш обзор поможет понять общую картину.

Cybersecurity: карьерный обзор

Зарплата — 60 000 - 100 000 руб.

Требования:

  • Базовые знания ОС Windows/Linux.
  • Знание минимум одного языка программирования (Python, C++, Go, Java, JS)
  • Базовые знания работы сетей.
  • IP-адресация, статическая маршрутизация, модели ISO OSI, TCP.
  • Опыт администрирования Active Directory: настройка групповых политик (GPO), управление правами пользователями.
  • Опыт настройки систем защиты от НСД на базе Windows.

Важно иметь базовые представления в области, в которую ты хочешь попасть. Если ты хочешь присоединиться к команде как application security engineer, то важно базовое понимание как взламывают продукты и как их защитить, если как cloud security engineer, то точно потребуются знания о том, как взламывают облачные сервисы.

Минимальный набор навыков для Junior: Linux, сети, криптография, программирование. С Linux вы будете сталкиваться практически каждый день в работе. Без навыка администрирования Linux вы будете как художник без красок и кистей. Представление о работе сетей и протоколов является важным аспектом в работе специалиста ИБ. Нужно понимать, как работает сеть в компании, какие потенциальные риски возможны и чем может грозить открытый на весь мир протокол удаленного доступа (RDP). Без знаний криптографии и обеспечения конфиденциальности информации работа в безопасности ничем бы ни отличалась от Linux-администратора

Павел Шмидт, Information Security Specialist в компании Эвотор
Cybersecurity: карьерный обзор

Зарплата — 160 000 - 200 000 руб.

Требования:

  • Знание модели ISO/OSI.
  • Опыт автоматизации (bash, Perl, Python).
  • Знание принципов построения и функционирования сетей и протоколов стека TCP/IP.
  • Опыт Penetration Testing/RedTeam.
  • Знание основных веб-уязвимостей (OWASP) reverse engineering, binary exploitation.
  • Наличие сертификатов (OSCP, CEH, etc).
  • Участие в CTF (например, HackTheBox.eu)

Ты уже находил уязвимости и защищал от реальных атак и находил реальные проблемы. Ты уже можешь писать скрипты и маленькие сервисы по безопасности для себя и коллег. Важно иметь хорошие soft skills. Идеально было бы рассказать различные кейсы из жизни, какие уязвимости удавалось находить и как, какие атаки удалось предотвратить, какие тулзы удалось написать и чем они помогли.

Андрей Рассохин,

Co-Founder of Whitespots.io

Cybersecurity: карьерный обзор

Зарплата — 200 000 - 350 000 руб. В некоторых случаях может достигать 450 000 руб.

Требования:

  • Умение программировать на одном или нескольких скриптовых языках.
  • Опыт внедрения методов безопасной разработки ПО.
  • Знание основных законов и требований GDPR, PCI DSS, ISO2700x.
  • Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks, Cisco ASA и т.д).
  • Экспертные знания в узкоспециализированных системах: (например, SCADA/ERP/SS7/Hardware).
  • Опыт разработки собственных средств/утилит/методик.
  • Опыт разработки технической и аналитической документации.
  • Опыт проведения статистических исследований.
  • Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика.
  • Soft skills — умение находить общий язык с менеджерами и руководителями уровня C-level; находить решения этих проблем с помощью внутренних ресурсов команд или внешних сервисов.

Нужно уметь писать скрипты и сервисы. Идеально — наличие открытых проектов, которыми пользуется комьюнити или блог, а также публикации в журналах и выступления на конференциях.

Специалист Senior-уровня — это, прежде всего, лидер, на которого будут ориентироваться другие сотрудники. Поэтому при проведении собеседования мы обращаем внимание не только на богатый опыт и подтвержденные сертификатами компетенции, но и на то, способен ли кандидат исследовать новые методы и находить нестандартные решения, заряжать членов команды на достижение значимых результатов, обучать новых сотрудников, выступать экспертом в сложных вопросах, принимать мотивированные решения по выбору того или иного инструмента.

Марина Смоленкова, Директор по персоналу в BI.ZONE
Cybersecurity: карьерный обзор

Уже несколько лет набирает оборот направление по работе с большими данными, я также делаю ставку на развитие современной аналитики в области ИБ. Формирование BigData в рамках информационной безопасности и работы с большим количеством информации и построение аналитических моделей позволит более эффективно выявлять угрозы и инциденты ИБ.

Владимир Садовский, Руководитель группы мониторинга и реагирования на инциденты информационной безопасности в М.Видео

Подходы в инфраструктуре, за последние несколько лет развивались очень быстро. Думаю в ближайшие годы будет бурно развиваться подход DevSecOps, будут появляться новые инструменты и сервисы. Для бизнеса важен Time-to-Market новых фич и продуктов, но при этом надо не забывать про риски и встраивать процессы безопасности в процессы DevOps и разработки.

Сергей Дроздков
,

CTO в Sensorium

О трендах в эпоху пандемии

Сегодня многие решения все еще базируются на закрытых сетях, то есть все должно храниться в стенах компании. А в новых условиях компаниям всё-таки пришлось ослабить контроль и разрешить доступ к программам ради обеспечения непрерывного функционирования своего бизнеса. Но VPN-инфраструктура не была рассчитана на такую работу, так как раньше лишь несколько сотрудников имели к ним доступ и только со специальных компьютеров. Как результат - хакеры не преминули воспользоваться ситуацией. По моему мнению, это тренд, который после пандемии будет усиливаться - переход от централизованной модели облачной платформы хранения данных к распределенной. При такой модели обслуживание серверов остается за единым оператором, а хранение распределяется в микро-облаках, расположенными за пределами централизованного облака. Рост динамики блокчейна будет поддерживать этот тренд. И хотя распределенное облако - совсем не новый тренд, но именно сейчас как никогда есть запрос на него. Если раньше распределенные облака едва могли конкурировать с централизованной платформой, в новых условиях вес этой технологии увеличился.

Янн Штрауб,

Вице-президент по технологиям, сооснователь компании Sigfox Россия

Тема коронавируса уже не первый месяц формирует основную повестку в изданиях по всему миру. Пользователи не задумываясь нажимают на ссылки и загружают контент, связанный с коронавирусом, чтобы узнать последние новости, и часто становятся жертвами мошенников. В мобильных маркетах уже были найдены десятки вредоносных «информеров о коронавирусе», которые заражают устройства и блокируют их, например, обнаруженный в марте CovidLock. Благодаря теме Covid-19 объем фишинга за последнее время вырос десятикратно. Последние недели наш центр безопасности CPOC блокирует все больше атак, и их количество приблизилось к 1000 атак в день — рост составляет примерно 25% за три месяца.

Алексей Костюшко,

Ведущий разработчик в Acronis

Хочу отметить, что спрос на защиту удаленных рабочих мест возрос. Стали популярны средства двухфакторной аутентификации, контроля утечки данных, контроля рабочего времени, анализа уязвимостей и т.д. На сегодняшний день вектор безопасности смещён на удаленных пользователей, поэтому сформировался тренд не на одну технологию, а на комплекс мер по защите «удаленщиков». Отдельный блок – повышенная защита от DDoS-атак в условиях возросшей нагрузки на онлайн-ресурсы многих сервисов, особенно связанных с цифровыми услугами.

Алексей Щербаков, Руководитель направления системной и сетевой интеграции PROF-IT GROUP

Образование

ВУЗы: МГТУ им. Баумана, МИФИ, ИТМО, ВШЭ, МГУ, КФУ

Курсы: OSCP (тестирование и проникновение), CEH (этичный хакинг), AWS Cloud Engineer, Pentesting with Kali Linux, CCNA, курсы RedHat, SANS, EC-Council, курс OTUS

ТОП компаний-работодателей

BI.ZONE, CheckPoint, Digital Security, Exness, Group IB, HP, IBM, Microsoft, Positive Technologies, PT, Qiwi, Wallarm, Whitespots.io, Альфа-банк, Лаборатория Касперского, Московская Биржа, Сбербанк Технологии, Тинькофф, Яндекс

Рекомендации

Литература:

  • «Подготовка к CISSP» — Шонн Харрис
  • Книги издательств Manning и No Starch Press

Блоги:

Telegram-каналы:

Видео и стримы:

1818
2 комментария

Интересно, что специалисты скажут о безопасности экосистемы утопия. Горячие споры вокруг этого как тренд в последнее время

1
Ответить

Больше полезных ссылок и сообществ DC7495 можно посмотреть тут: https://dc7495.org/links/ 

Ответить