Cybersecurity: карьерный обзор
Пообщались с экспертами по кибербезопасности и узнали сколько зарабатывают и как приходят в профессию специалисты ИБ, какие направления существуют и чего ждут работодатели от соискателей.
Анастасия Боярчук — Senior IT Recruiter в Spice IT собрала данные для статьи, а Юлия Попова оформила иллюстрации.
Максимально коротко о специализациях
1) Defensive security — направление на защиту. Здесь специалистов часто разделяют на защищающих инфраструктуру и продукт.
Первые занимаются интеграцией средств защиты и обеспечением безопасности сетей и серверов: контролируют настройку ПО, ставят средства защиты. От них в основном требуются хорошие знания работы сетей и операционных систем — всего того, с чем работают системные администраторы и DevOps. В эту же категорию можно включить вирусных аналитиков и тех, кто занимается расследованием инцидентов и форензикой.
Примеры: Network Security Engineer, Cloud Security Engineer, Security Research, SOC, Fraud Analyst.
Вторые занимаются обеспечением написания безопасного кода. Они взаимодействуют с разработчиками, помогая им писать код без уязвимостей. Здесь важно знать типовые уязвимости, языки программирования, на которых ведётся разработка, модели разработки (Scrum, Kanban и т.д.) и самим быть скорее разработчиками, чем администраторами, как в предыдущем случае.
Примеры: Reverse Engineer, Application Security Engineer.
2) Offensive security — направление на нападение. Сюда можно отнести тех, кто воспроизводит действия злоумышленников, чтобы понять насколько хорошо средства защиты умеют их обнаружить и блокировать. Им важно умение найти нестандартный подход или знать места, которые чаще всего упускают при организации защиты.
Примеры: Эксперт по тестированию на проникновение (пентестер), Offensive Security Engineer.
3) Направление на регламентацию и стандартизацию. Здесь работают люди, способные написать хороший непротиворечивый документ, регламент или политику на грамотном языке. Коротко и понятно. Они хорошо знают стандарты и законодательство. Часто те же самые люди занимаются всем, что связано с формальной оценкой рисков и соответствию отраслевым стандартам, построением безопасных бизнес-процессов.
Примеры: Аудитор ИБ, менеджер комплаенса ИБ.
Начало карьеры
В кибербезопасности не так много людей, которые попали в профессию «случайно». Обычно, это осознанный выбор и у каждого специалиста свой путь в профессию. Но можно выделить три распространенных мотива:
- Романтический — это и образ «белого рыцаря» на страже интернета, и хакерская романтика, и влияние кинематографа. Для многих хакеры — это мифические персонажи, которых никто не знает, никто не видит, но при этом они наносят существенный урон компаниям. Кто-то сам начинает со взломов, а потом переходит на легальную сторону (не все работодатели это приветствуют, предпочитая нанимать сотрудников без «темного прошлого»).
- Интеллектуальный — пока появляются новые угрозы и способы мошенничества, придется искать новые нестандартные способы борьбы с ними. Часто приходится решать задачи, которые никто до тебя не решал (все это не отменяет рутинные процессы, который есть в любой профессии). Кроме того, в кибербезопасности огромное количество вариантов карьерного и профессионального развития.
- Прагматический — пока появляются новые угрозы и способы мошенничества, компаниям придется с ними бороться. А значит, нанимать специалистов по кибербезопасности и достойно оплачивать их труд. Спрос на квалифицированных специалистов не исчезнет в ближайшие десятилетия, а сейчас на рыке есть кадровый голод.
В кибербезопасность часто приходят из разработки, DevOps или системного администрирования. Навыки создания приложений или инфраструктуры позволяют эффективно выстраивать защиту.
С профильным образованием, но без опыта работы в IT, на подготовку к собеседованиям нужно потратить около трех месяцев. Необходимо изучить основы: базовые понятия, угрозы, принципы и проблемы обеспечения безопасности, правовые аспекты, способы и средства защиты. Практический опыт можно получить на стажировке.
Полезно будет участвовать в конференциях и митапах. Участие в соревнованиях по cybersecurity тоже будет засчитано работодателем как большой плюс.
Универсальная рекомендация — тщательно готовиться к собеседованиям и учиться гуглить. Большинство респондентов разных IT-профессий выделяют навык поиска информации как первостепенный для джуна. Все ответы есть в интернете, не стоит сразу отказываться от незнакомой задачи. Многие работодатели осознанно дают сложные кейсы и не ждут готового решения. Они хотят увидеть в какую сторону соискатель будет копать, какие подходы к решению предложит.
Грейды и компетенции
Здесь мы рассматриваем средние зарплаты в ИБ. Конкретные требования к соискателям зависят от компании и специальности, а наш обзор поможет понять общую картину.
Зарплата — 60 000 - 100 000 руб.
Требования:
- Базовые знания ОС Windows/Linux.
- Знание минимум одного языка программирования (Python, C++, Go, Java, JS)
- Базовые знания работы сетей.
- IP-адресация, статическая маршрутизация, модели ISO OSI, TCP.
- Опыт администрирования Active Directory: настройка групповых политик (GPO), управление правами пользователями.
- Опыт настройки систем защиты от НСД на базе Windows.
Важно иметь базовые представления в области, в которую ты хочешь попасть. Если ты хочешь присоединиться к команде как application security engineer, то важно базовое понимание как взламывают продукты и как их защитить, если как cloud security engineer, то точно потребуются знания о том, как взламывают облачные сервисы.
Зарплата — 160 000 - 200 000 руб.
Требования:
- Знание модели ISO/OSI.
- Опыт автоматизации (bash, Perl, Python).
- Знание принципов построения и функционирования сетей и протоколов стека TCP/IP.
- Опыт Penetration Testing/RedTeam.
- Знание основных веб-уязвимостей (OWASP) reverse engineering, binary exploitation.
- Наличие сертификатов (OSCP, CEH, etc).
- Участие в CTF (например, HackTheBox.eu)
Зарплата — 200 000 - 350 000 руб. В некоторых случаях может достигать 450 000 руб.
Требования:
- Умение программировать на одном или нескольких скриптовых языках.
- Опыт внедрения методов безопасной разработки ПО.
- Знание основных законов и требований GDPR, PCI DSS, ISO2700x.
- Экспертные знания профильного ПО (IBM Qradar, Splunk Enterprise, Imperva DAM, Maxpatrol, Symantec Critical System Protection, Tuffin, Gigamon Networks, Cisco ASA и т.д).
- Экспертные знания в узкоспециализированных системах: (например, SCADA/ERP/SS7/Hardware).
- Опыт разработки собственных средств/утилит/методик.
- Опыт разработки технической и аналитической документации.
- Опыт проведения статистических исследований.
- Опыт расследования инцидентов безопасности, сбор доказательной базы, форензика.
- Soft skills — умение находить общий язык с менеджерами и руководителями уровня C-level; находить решения этих проблем с помощью внутренних ресурсов команд или внешних сервисов.
Нужно уметь писать скрипты и сервисы. Идеально — наличие открытых проектов, которыми пользуется комьюнити или блог, а также публикации в журналах и выступления на конференциях.
О трендах в эпоху пандемии
Образование
ВУЗы: МГТУ им. Баумана, МИФИ, ИТМО, ВШЭ, МГУ, КФУ
Курсы: OSCP (тестирование и проникновение), CEH (этичный хакинг), AWS Cloud Engineer, Pentesting with Kali Linux, CCNA, курсы RedHat, SANS, EC-Council, курс OTUS
ТОП компаний-работодателей
BI.ZONE, CheckPoint, Digital Security, Exness, Group IB, HP, IBM, Microsoft, Positive Technologies, PT, Qiwi, Wallarm, Whitespots.io, Альфа-банк, Лаборатория Касперского, Московская Биржа, Сбербанк Технологии, Тинькофф, Яндекс
Рекомендации
Литература:
- «Подготовка к CISSP» — Шонн Харрис
- Книги издательств Manning и No Starch Press
Блоги:
Telegram-каналы:
Видео и стримы:
BrightTALK (интересные лекции по криптографии)
- NOOFFENCE_CHANNEL
Интересно, что специалисты скажут о безопасности экосистемы утопия. Горячие споры вокруг этого как тренд в последнее время
Больше полезных ссылок и сообществ DC7495 можно посмотреть тут: https://dc7495.org/links/