Пообщались с экспертами по кибербезопасности и узнали сколько зарабатывают и как приходят в профессию специалисты ИБ, какие направления существуют и чего ждут работодатели от соискателей.
Анастасия Боярчук — Senior IT Recruiter в Spice IT собрала данные для статьи, а Юлия Попова оформила иллюстрации.
Максимально коротко о специализациях
1) Defensive security — направление на защиту. Здесь специалистов часто разделяют на защищающих инфраструктуру и продукт.
Первые занимаются интеграцией средств защиты и обеспечением безопасности сетей и серверов: контролируют настройку ПО, ставят средства защиты. От них в основном требуются хорошие знания работы сетей и операционных систем — всего того, с чем работают системные администраторы и DevOps. В эту же категорию можно включить вирусных аналитиков и тех, кто занимается расследованием инцидентов и форензикой.
Примеры: Network Security Engineer, Cloud Security Engineer, Security Research, SOC, Fraud Analyst.
Вторые занимаются обеспечением написания безопасного кода. Они взаимодействуют с разработчиками, помогая им писать код без уязвимостей. Здесь важно знать типовые уязвимости, языки программирования, на которых ведётся разработка, модели разработки (Scrum, Kanban и т.д.) и самим быть скорее разработчиками, чем администраторами, как в предыдущем случае.
Примеры: Reverse Engineer, Application Security Engineer.
2) Offensive security — направление на нападение. Сюда можно отнести тех, кто воспроизводит действия злоумышленников, чтобы понять насколько хорошо средства защиты умеют их обнаружить и блокировать. Им важно умение найти нестандартный подход или знать места, которые чаще всего упускают при организации защиты.
Примеры: Эксперт по тестированию на проникновение (пентестер), Offensive Security Engineer.
3) Направление на регламентацию и стандартизацию. Здесь работают люди, способные написать хороший непротиворечивый документ, регламент или политику на грамотном языке. Коротко и понятно. Они хорошо знают стандарты и законодательство. Часто те же самые люди занимаются всем, что связано с формальной оценкой рисков и соответствию отраслевым стандартам, построением безопасных бизнес-процессов.
Примеры: Аудитор ИБ, менеджер комплаенса ИБ.
Начало карьеры
В кибербезопасности не так много людей, которые попали в профессию «случайно». Обычно, это осознанный выбор и у каждого специалиста свой путь в профессию. Но можно выделить три распространенных мотива:
- Романтический — это и образ «белого рыцаря» на страже интернета, и хакерская романтика, и влияние кинематографа. Для многих хакеры — это мифические персонажи, которых никто не знает, никто не видит, но при этом они наносят существенный урон компаниям. Кто-то сам начинает со взломов, а потом переходит на легальную сторону (не все работодатели это приветствуют, предпочитая нанимать сотрудников без «темного прошлого»).
- Интеллектуальный — пока появляются новые угрозы и способы мошенничества, придется искать новые нестандартные способы борьбы с ними. Часто приходится решать задачи, которые никто до тебя не решал (все это не отменяет рутинные процессы, который есть в любой профессии). Кроме того, в кибербезопасности огромное количество вариантов карьерного и профессионального развития.
- Прагматический — пока появляются новые угрозы и способы мошенничества, компаниям придется с ними бороться. А значит, нанимать специалистов по кибербезопасности и достойно оплачивать их труд. Спрос на квалифицированных специалистов не исчезнет в ближайшие десятилетия, а сейчас на рыке есть кадровый голод.
В связи с возросшими случаями совершения киберпреступлений, возросла и необходимость в квалифицированных специалистах в сфере информационной безопасности. Думаю, люди, решившие связать свою жизнь с ИБ, руководствуются тем, что это перспективная сфера, которая развивается и будет стремительно развиваться в условиях всеобщей цифровизации.
В кибербезопасность часто приходят из разработки, DevOps или системного администрирования. Навыки создания приложений или инфраструктуры позволяют эффективно выстраивать защиту.
Есть ряд областей, где требуются специалисты с направленностями в методологии, обучении, менеджеры различных направлений, технические специалисты, которые должны обладать как пониманием IoT, так и узконаправленных задач ИБ: Пентесты, форензика и тд. Часто требуются люди со знаниями языков программирования и архитекторы, которые, в свою очередь, должны смотреть на ИТ-решения с точки зрения рисков и потерь для компании.
С профильным образованием, но без опыта работы в IT, на подготовку к собеседованиям нужно потратить около трех месяцев. Необходимо изучить основы: базовые понятия, угрозы, принципы и проблемы обеспечения безопасности, правовые аспекты, способы и средства защиты. Практический опыт можно получить на стажировке.
Полезно будет участвовать в конференциях и митапах. Участие в соревнованиях по cybersecurity тоже будет засчитано работодателем как большой плюс.
Отличным инструментом развития практических компетенций может стать участие в соревнованиях по кибербезопасности и системному администрированию — Capture the flag (CTF). Например, наша компания проводит ежегодный турнир CTFZone: финал соревнований состоялся 25–26 апреля, команда-победитель получила 10 000 $ и пропуск на самые престижные в мире соревнования — DEF CON CTF в Лас-Вегасе.
Универсальная рекомендация — тщательно готовиться к собеседованиям и учиться гуглить. Большинство респондентов разных IT-профессий выделяют навык поиска информации как первостепенный для джуна. Все ответы есть в интернете, не стоит сразу отказываться от незнакомой задачи. Многие работодатели осознанно дают сложные кейсы и не ждут готового решения. Они хотят увидеть в какую сторону соискатель будет копать, какие подходы к решению предложит.
Грейды и компетенции
Здесь мы рассматриваем средние зарплаты в ИБ. Конкретные требования к соискателям зависят от компании и специальности, а наш обзор поможет понять общую картину.
Зарплата — 60 000 - 100 000 руб.
Требования:
- Базовые знания ОС Windows/Linux.
- Знание минимум одного языка программирования (Python, C++, Go, Java, JS)
- Базовые знания работы сетей.
- IP-адресация, статическая маршрутизация, модели ISO OSI, TCP.
- Опыт администрирования Active Directory: настройка групповых политик (GPO), управление правами пользователями.
- Опыт настройки систем защиты от НСД на базе Windows.
Важно иметь базовые представления в области, в которую ты хочешь попасть. Если ты хочешь присоединиться к команде как application security engineer, то важно базовое понимание как взламывают продукты и как их защитить, если как cloud security engineer, то точно потребуются знания о том, как взламывают облачные сервисы.
Минимальный набор навыков для Junior: Linux, сети, криптография, программирование. С Linux вы будете сталкиваться практически каждый день в работе. Без навыка администрирования Linux вы будете как художник без красок и кистей. Представление о работе сетей и протоколов является важным аспектом в работе специалиста ИБ. Нужно понимать, как работает сеть в компании, какие потенциальные риски возможны и чем может грозить открытый на весь мир протокол удаленного доступа (RDP). Без знаний криптографии и обеспечения конфиденциальности информации работа в безопасности ничем бы ни отличалась от Linux-администратора
Зарплата — 160 000 - 200 000 руб.
Требования:
- Знание модели ISO/OSI.
- Опыт автоматизации (bash, Perl, Python).
- Знание принципов построения и функционирования сетей и протоколов стека TCP/IP.
- Опыт Penetration Testing/RedTeam.
- Знание основных веб-уязвимостей (OWASP) reverse engineering, binary exploitation.
- Наличие сертификатов (OSCP, CEH, etc).
- Участие в CTF (например, HackTheBox.eu)
Ты уже находил уязвимости и защищал от реальных атак и находил реальные проблемы. Ты уже можешь писать скрипты и маленькие сервисы по безопасности для себя и коллег. Важно иметь хорошие soft skills. Идеально было бы рассказать различные кейсы из жизни, какие уязвимости удавалось находить и как, какие атаки удалось предотвратить, какие тулзы удалось написать и чем они помогли.
Зарплата — 200 000 - 350 000 руб. В некоторых случаях может достигать 450 000 руб.
Требования:
- Умение программировать на одном или нескольких скриптовых языках.
- Опыт внедрения методов безопасной разработки ПО.
- Знание основных законов и требований GDPR, PCI DSS, ISO2700x.
- Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks, Cisco ASA и т.д).
- Экспертные знания в узкоспециализированных системах: (например, SCADA/ERP/SS7/Hardware).
- Опыт разработки собственных средств/утилит/методик.
- Опыт разработки технической и аналитической документации.
- Опыт проведения статистических исследований.
- Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика.
- Soft skills — умение находить общий язык с менеджерами и руководителями уровня C-level; находить решения этих проблем с помощью внутренних ресурсов команд или внешних сервисов.
Нужно уметь писать скрипты и сервисы. Идеально — наличие открытых проектов, которыми пользуется комьюнити или блог, а также публикации в журналах и выступления на конференциях.
Специалист Senior-уровня — это, прежде всего, лидер, на которого будут ориентироваться другие сотрудники. Поэтому при проведении собеседования мы обращаем внимание не только на богатый опыт и подтвержденные сертификатами компетенции, но и на то, способен ли кандидат исследовать новые методы и находить нестандартные решения, заряжать членов команды на достижение значимых результатов, обучать новых сотрудников, выступать экспертом в сложных вопросах, принимать мотивированные решения по выбору того или иного инструмента.
Уже несколько лет набирает оборот направление по работе с большими данными, я также делаю ставку на развитие современной аналитики в области ИБ. Формирование BigData в рамках информационной безопасности и работы с большим количеством информации и построение аналитических моделей позволит более эффективно выявлять угрозы и инциденты ИБ.
Подходы в инфраструктуре, за последние несколько лет развивались очень быстро. Думаю в ближайшие годы будет бурно развиваться подход DevSecOps, будут появляться новые инструменты и сервисы. Для бизнеса важен Time-to-Market новых фич и продуктов, но при этом надо не забывать про риски и встраивать процессы безопасности в процессы DevOps и разработки.
О трендах в эпоху пандемии
Сегодня многие решения все еще базируются на закрытых сетях, то есть все должно храниться в стенах компании. А в новых условиях компаниям всё-таки пришлось ослабить контроль и разрешить доступ к программам ради обеспечения непрерывного функционирования своего бизнеса. Но VPN-инфраструктура не была рассчитана на такую работу, так как раньше лишь несколько сотрудников имели к ним доступ и только со специальных компьютеров. Как результат - хакеры не преминули воспользоваться ситуацией. По моему мнению, это тренд, который после пандемии будет усиливаться - переход от централизованной модели облачной платформы хранения данных к распределенной. При такой модели обслуживание серверов остается за единым оператором, а хранение распределяется в микро-облаках, расположенными за пределами централизованного облака. Рост динамики блокчейна будет поддерживать этот тренд. И хотя распределенное облако - совсем не новый тренд, но именно сейчас как никогда есть запрос на него. Если раньше распределенные облака едва могли конкурировать с централизованной платформой, в новых условиях вес этой технологии увеличился.
Тема коронавируса уже не первый месяц формирует основную повестку в изданиях по всему миру. Пользователи не задумываясь нажимают на ссылки и загружают контент, связанный с коронавирусом, чтобы узнать последние новости, и часто становятся жертвами мошенников. В мобильных маркетах уже были найдены десятки вредоносных «информеров о коронавирусе», которые заражают устройства и блокируют их, например, обнаруженный в марте CovidLock. Благодаря теме Covid-19 объем фишинга за последнее время вырос десятикратно. Последние недели наш центр безопасности CPOC блокирует все больше атак, и их количество приблизилось к 1000 атак в день — рост составляет примерно 25% за три месяца.
Хочу отметить, что спрос на защиту удаленных рабочих мест возрос. Стали популярны средства двухфакторной аутентификации, контроля утечки данных, контроля рабочего времени, анализа уязвимостей и т.д. На сегодняшний день вектор безопасности смещён на удаленных пользователей, поэтому сформировался тренд не на одну технологию, а на комплекс мер по защите «удаленщиков». Отдельный блок – повышенная защита от DDoS-атак в условиях возросшей нагрузки на онлайн-ресурсы многих сервисов, особенно связанных с цифровыми услугами.
Образование
ВУЗы: МГТУ им. Баумана, МИФИ, ИТМО, ВШЭ, МГУ, КФУ
Курсы: OSCP (тестирование и проникновение), CEH (этичный хакинг), AWS Cloud Engineer, Pentesting with Kali Linux, CCNA, курсы RedHat, SANS, EC-Council, курс OTUS
ТОП компаний-работодателей
BI.ZONE, CheckPoint, Digital Security, Exness, Group IB, HP, IBM, Microsoft, Positive Technologies, PT, Qiwi, Wallarm, Whitespots.io, Альфа-банк, Лаборатория Касперского, Московская Биржа, Сбербанк Технологии, Тинькофф, Яндекс
Рекомендации
Литература:
- «Подготовка к CISSP» — Шонн Харрис
- Книги издательств Manning и No Starch Press
Блоги:
Telegram-каналы:
Видео и стримы:
BrightTALK (интересные лекции по криптографии)
- NOOFFENCE_CHANNEL
Интересно, что специалисты скажут о безопасности экосистемы утопия. Горячие споры вокруг этого как тренд в последнее время
Больше полезных ссылок и сообществ DC7495 можно посмотреть тут: https://dc7495.org/links/