6 историй про старт в информационной безопасности

В наше время информационная безопасность (ИБ, инфобез) является одной из самых востребованных и перспективных областей в IT-сфере. Все больше компаний и организаций осознают необходимость защиты своей информации, и, соответственно, растет спрос на специалистов в области ИБ.

Однако те, кто пока только начинает интересоваться этой областью, задаются вопросами:

• Что нужно знать, чтобы стать специалистом по ИБ?
• Нужны ли сертификаты и диплом, чтобы проводить тестирования на проникновения (пентесты)?
• Требуется ли проходить курсы или же можно обойтись самостоятельным изучением материалов?
• Насколько сложно пробиться в этой профессии и с чего лучше всего начинать?

Мы попросили наших специалистов поделиться своим опытом. Ребята дали советы для развития в этой области и рассказали о начале своего пути, о сертификатах и собеседованиях, а также о том, как они попали в Digital Security.

ЛОНГРИД АЛЕРТ! В конце статьи вас ждет подборка полезных и забавных ИБ-каналов ;)

Никита

В общем-то направлений действительно много, с чем столкнулся и я. Например, в тот же геймдев в свое время пытался влиться, участвовал в GameJam'ах* на itch.io, пробовал пилить свои проекты, какие-то из них до сих пор пылятся где-то на жестком диске. :) Пробовал и в разрабы пойти, изучив целый вагон языков программирования, залетал и на хакатоны по ИИ* в роли аналитика данных. Попробовал многое в общем-то, но как-то не зацепило... В каждом из этих направлений как будто чего-то не хватало, что-то я пытался найти.

В общем, именно это "что-то" в инфобезе я и нашел :) Точнее я нашел ВСЕ.

Это не секрет, что не существует такой сферы, которой так или иначе не касалась бы ИБ. Везде есть информация, которую необходимо защищать. Это приводит к тому, что значительно расширяется спектр необходимой осведомленности, тебе действительно необходимо быть вовлеченным во ВСЕ.

Как только ты входишь в инфобез, ты понимаешь, что тут есть задача на любой вкус.

Тяготеешь к железкам? Идешь решать задачи ИБ на аппаратном уровне.

Нравится писать код? Как много эксплойтов еще не написано. Как много...

Любишь психологию? Социалочка тебя заждалась, мой друг!

Предпочитаешь сидеть над текстами законов и нечитабельными документами? Любое извращение на твой вкус! Политику ИБ тоже кому-то надо писать ;)

Все, что хочешь, можно найти в ИБ — сложнее сказать чего тут найти нельзя.

Тимур

Увидел сериал про хакеров и тоже захотелось. В реале все оказалось не так беззаботно: пентест мобилок, проекты с аудитом API ручек. Но график сна хороший.

Артем

Во-первых, мне интересно изучать детали и искать изъяны и несоответствия.

Во-вторых, нравится находить уязвимости в реальных проектах, где разработчики в большинстве случаев "оставляют" только неочевидные бреши в безопасности ― в сравнении с заранее сконфигурированной тестовой средой для тренировки навыков, где уязвимости в основном типичны.

В-третьих, работа с известными заказчиками определяет и собственную уверенность в использовании их продуктов.

Руслан

Люблю “ломать”. Девелопить* не сильно люблю. Очень весело находить дыры в реальных системах, это примерно как решение (не всегда) сложной головоломки, но только лучше. А как сказал один мудрый человек: "Че по кайфу, то и делаю".

Николай

Я очень давно засматривался на профессию хакера. Если можно так сказать, это мечта детства.

Святослав

В данный момент привлекает как раз многогранность сферы инфобеза. С хорошими базовыми знаниями и при желании можно перейти из редтима в блутим и наоборот. Можно заниматься как исследованиями уязвимостей, так и строить систему защиты с нуля.

Никита

Уже в 10 классе я определился для себя, что хочу в ИБ. Инфобез на тот момент мне казался интересным и перспективным направлением. Тогда же определился и с университетом, куда хочу. Так, в 11 классе я дистанционно проходил курсы при ИТМО, чтобы полноценно подготовиться к специализации "Информационная Безопасность".

В общем, с высоты прожитых лет, скажу, что я не прогадал с выбором, тут действительно интересно!

Тимур

В ИБ задумался пойти в 10-11 классе. Тогда я еще не знал, сколько бумажной безопасности меня ждет в универе…

Николай

Прямо пробовать себя в этом деле начал не так давно. Кстати, моя профессия по диплому вообще к ИБ не относится. Отработал по специальности год, начал понимать, что не цепляет и неинтересно.

Артем

Еще в старших классах задумывался об информационной безопасности. Тогда это, конечно, казалось типичным противостоянием хакерам из фильма, тем интереснее было узнать, как они так быстро "научились печатать кучу непонятных символов".

В университете уже выбор был более осознанным — между разработкой и ИБ. По объему своих посещений учебных занятий стало ясно, что мне по душе.

Руслан

Идея появилась еще в подростковом возрасте. Тогда я увлекался книгами и прочел “Искусство Вторжения” К. Митника. Примерно в те же годы я веселился, взламывая странички друзей в ВК и ставя им веселые статусы на странице. Поэтому хакинг у меня тогда стал ассоциироваться с “весело и интересно”. Так и родилось желание стать хакером в будущем, но по разным причинам (школа, игры и т.д.) на долгое время оно ушло в спячку.

Летом 2021 собрался с мыслями, закончил бакалавриат по педагогической специальности. Начал думать, что со своей жизнью делать, чего хочу. В целом уже тогда неплохо умел программировать (помимо учебы в вузе самообучался…) и что "пойду в ИТ" было понятно. Вопрос был только куда? Что было триггером, сейчас и не вспомню. Возможно какая-то реклама или видео в предложке ютуба. Но в итоге появилась мысль: "А что если научиться нормально “ломать”, это же очень интересно".

Поскольку в ИБ я был где-то между нубом и полным нубом, то решил жестко учиться. Примерно весь июль я учился по 16 часов в день с перерывами на сон и редбулл — в основном htb, таски ctf* и слитые курсы.

Интерес никуда не пропал. Отобрал себе 5 вузов для магистратуры по ИБ из списка "ТОП ИТ вузы РФ" или что-то такое, прошел в один по вступительному, тыкался в разные ctf-движи. Благодаря магистратуре уже осенью 2021 нашел стажировку в SOC банка, т.к. хотелось посмотреть, как все это с другой стороны работает.

Стажировка длилась до лета 2022 в конце которого я и пошел на работу в Digital Security.

Святослав

На этапе выбора места обучения в 17 лет вообще не понимал, чем хотел заниматься, так что выбор инфобеза был абсолютно случайный. В ходе обучения было очень много ненужного и неактуального материала, но в массе ГОСТов и законов оставалась небольшая надежда, что сфера обширная и в ней можно много чего найти и развиваться.

Никита

Попал я в Digital Security через собес.

Если быть точнее, то загорелся этой идеей после рассказов моего друга об этой компании, он уже работал тут какое-то время и был более чем доволен.

Увидел вакансию на HH.ru, отправил резюме. Дальше тестовое, собес, работа. Короче классика.

Тимур

В Digital Security попал через стажировку в 2021 году, это был мой второй Summ3r 0f h4ck.

Сама стажировка длится месяц. Каждому стажеру выдается тема для ресерча или стажер придумывает сам. Я взял тему исследования "Поиск уязвимостей и типичных мисконфигураций Sentry”.

Нам читали лекции по пентесту и реверсу, давали лабы для похека – самая интересная и захватывающая часть стажировки!

Во время обучения занимался аудитом приложения для репортинга багов Sentry. В результате аудита были собраны типичные мисконфигурации, а также найдена возможность энумерации существующих пользователей и была раскручена одна известная уязвимость. Однако докрутить ее до чего-то сильно критичного не удалось в связи с ограниченностью времени.

Артем

В Digital Security попал через собес. Решил перейти на темную сторону ― из отдела внутренней ИБ в пентестеры.

Пентест в Digital Security позволяет развиваться во всех направлениях сразу, т.к. отсутствует явное разделение типов проектов по командам. На прошлом месте работы я был узконаправленным специалистом и понимал, что отстаю в других сферах безопасности, в том числе поэтому я и здесь.

Святослав

Все прозаично ― через HH. Мне понравилась возможность заниматься не только проектами, но и исследованиями.

Никита

В этой области я на текущий момент качаю два направления: хакинг и кодинг.

Как первое, так и второе для пентестера жизненно необходимо. В плане обучения предпочитаю практико-ориентированный подход.

Например, курс на Portswigger — это база. Его должен пройти каждый на нашем направлении. Тут соблюдается хороший баланс между практикой и теорией. Классная тема HTB – это уже 100% практика.

Отлично еще помогают CTF'ки, но тут важно не только решать таски, но и после них читать WriteUP'ы от других участников.

Нужно и даже важно отметить, что все вышеперечисленное действительно классно, но без реальной практики очень тяжко. А за такой практикой надо идти на Bug Bounty*. Я, например, сижу на площадках standoff365.com и bugbounty.bi.zone. Огромный выбор программ на любой вкус и цвет.

В направлении кодинга так же нужна практика. Берем свой любимый Python и летим на leetcode.com и codewars.com. Там решаем все что видим)))

Ох, что же я не советую...

Наверное курсы, где дают вводную в ИБ в общем виде (что такое КЦД, какие НПА есть, какие СЗИ юзают и тп, и тд). Тут позиция простая, в формате курса в несколько месяцев ты это нормально все равно не поймешь, так как здесь нужно полноценное образование в формате Университета. Но самое обидное ― это то, что ты не получишь реального видения, что такое инфобез и что тут вообще можно делать.

Николай

Ну тут все вместе: и самостоятельное обучение, и курсы. Курсы, кстати, на платформе Hacktory можно пройти. Ближайшее время тоже курсы проходить буду.

Артем

Курсами, честно, не баловался, а вот самостоятельное обучение — конечно, тем более когда есть желание. Есть множество платформ, имеющих как теоретическую базу, так и практическую для отработки навыков. Я, например, в 2022 половину майских праздников посвятил прохождению новых модулей на portswigger.net.

portswigger.net ― обучение и лабораторные работы по безопасности web-приложений.

hackthebox.com — обучение и лабораторные работы по тестированию на проникновение.

Руслан

Мой вариант ― это узконаправленные курсы с практикой (Portswigger, htb и т.д.) и просто практика (htb, таски ctf, bug bounty). Под узконаправленными я имею в виду те, которые глубоко рассматривают какую-то отдельную уязвимость/тулзу, а не "в ИБ за 3 недели" — курсы обо всем и ни о чем.

Святослав

На начальном этапе могу посоветовать комбинированный подход. Зубрежка книжек и следование только по шаблону или программе курса не будут эффективными, если не привносить в обучение долю экспериментов. Чем больше пробуешь, чем больше задаешь ответы и находишь на них ответы самостоятельно, тем эффективнее обучение.

Никита

Пока не получал, но планирую! Смотрю в сторону OSCP ― он лучше многих.

Говоря, что OSCP лучше, я отталкиваюсь от самого формата как сдачи сертификационного экзамена, так и подготовки к нему.

Если CEH больше ориентирован на теорию, что отражается и в экзамене, который представлен в формате теста на 125 вопросов, то OSCP оценивает именно практические навыки. Для сдающего подготавливаются задания на базе виртуальных машин, по завершении которых от него требуется подробный отчет. Как по мне, именно за счет такого подхода OSCP более точно оценивает уровень пентестера.

Тут сразу необходимо отметить один важный момент. OSCP имеет более высокий порог входа, так как этот экзамен изначально и был рассчитан на тех, кто уже работает в этой сфере, а не только собирается начать :)

Тимур

Сейчас в процессе получения OSCP. Решаю OSCP-лабы (они не очень) и htb-машины/пролабу. Планирую CRTP/CRTO.

Еще важны OSWE и OSEP. Правда, у них в отличие от CRTP/CRTO есть прокторинг и жестко ограниченное время сдачи, что добавляет волнения.

Николай

Да, есть сертификат HWSP.

Круто получить сертификат OSWE. Его прям крутые ребята осиливают. Из особенно важных я бы отметил OSCE, CISSP, CISA, OSWE.

Артем

Сертификацию пока не получал. Планирую, возможно, получить сертификаты от OSCP, OSWE. Это самые известные типы сертификатов, подтверждающие компетентность пентестера.

Руслан

Планирую получить OSCP, хорошо отражает наличие актуальных скиллов и котируется большинством работодателей. Из того что я слышал, CEH не нужен, остальное где-то между.

Святослав

Получал CEH — не рекомендую. Информация хорошая, описана доступно и структурировано, но без самостоятельного копания в лабах и исследования уязвимостей вручную это совсем не то.

Планирую все-таки отбить свой OSCP, в котором при первой попытке сдачи не добрал 10 баллов.

Хотя и говорят, что после OSCP выходят операторы nmapa, я считаю, что обязательно нужно сдать OSCP. Причем как атакующим, так и защитникам. Знание оружия соперника помогает ему противостоять.

Особенно важны OSCP, OSWE, OSEP.

Никита

Софт-скиллы в нашем деле необходимы. Здесь подразумевается умение взаимодействовать в рамках команды и гибко, нестандартно мыслить, чтобы находить интересные багулины. Сам формат проектной деятельности подразумевает в некотором смысле творческий подход. И неожиданно найденные креды в одном месте, причем заведомо неизвестно от чего они, могут помочь апнуть (повысить) привилегии в другом.

Николай

Здесь важно то, что мы работаем в одном коллективе. Сложно представить директора или тимлида, который не имеет коммуникативных навыков или не умеет решать проблемы. Конечно важно, чтобы человек и выслушать мог, и помочь чем-то, тем более работая в команде.

Артем

Наиболее важный скилл — это умение работать в команде и time-management. Проектная работа ограничена временными рамками, поэтому следует грамотно распределять обязанности и не стесняться просить помощи или помогать коллегам в случае трудностей.

Руслан

Умение взаимодействовать с тимой, задавать вопросы, когда заходишь в тупик, и правильно общаться с клиентом.

Святослав

Думаю, самым важным софт-скиллом является умение доносить свою мысль. Желательно это уметь делать и в отчетах, и при личном общении. Также важна коммуникация в команде, желание докопаться до сути.

Никита

Проверяй все, что нашел.) ВСЕГДА!

Уверен ли ты, что там действительно доступ без аутентификации? Точно нигде не спряталась кука (файл cookie) или хедер (HTTP-заголовок) с токеном (сгенерированное значение, как правило, имеющее случайный характер; используется при авторизации)? А точно ли там была SQL'ка? Этот вывод был в результате '1'='1 (сокр. от SQL-инъекции: ‘ or ‘1’=‘1) или он просто ничего не нашел и вывел все, что есть?

Нужно всегда проверять все уязвимости, которые находишь. Потом очень тяжко объяснять клиенту, почему в отчете есть то, чего в действительности нет.

Николай

Ошибки могут быть недостатком знаний в какой-то области или недостаточное внимание к мелочам. Из головы вообще ничего выкидывать нельзя. Либо постоянно делать заметки, либо составлять себе тщательно расписанный план.

Артем

Типичные ошибки новичка ― различные деструктивные действия для тестируемой среды. Например, отправка излишне большого объема трафика при тестировании может повлечь блокировку офисных ip-адресов; эксплуатация потенциальной уязвимости критического уровня на продуктивной среде заказчика может привести к нарушению работоспособности инфраструктуры и повлечь финансовые потери и т.п. В большинстве случаев ничего страшного не происходит, вопрос можно решить в команде или с заказчиком.

Важно понимать, какие действия могут потенциально привести к негативным последствиям и не совершать их/совершать согласовано с заказчиком.

Руслан

Главное — это внимательность. Не забывать делать проверки на все уязвимости. С этим может помочь чеклист или создание заметок.

Тимур

Уронить прод. К счастью, это не так легко сделать. Возможной ошибкой еще является запуск покряканных (взломанных) специализированных тулз не в виртуалках ― там с большой вероятностью зашит бэкдор.

Святослав

Пытаться успеть все и сразу, охватить все сферы.

Плохо вести заметки, записи, ворклоги.

Переписывать команды из туториала, не вникая в их суть.

Никита

До этого работал в ОАСЗ (отдел администрирования средств защиты). Задачи были из двух категорий: решение проблем с оборудованием и реагирование на инциденты в роли L3 SOC*.

Одним словом, рутина. Уже через месяц работы наизусть запоминаешь все... Отписки по инцидентам, где из раза в раз меняются лишь 3-4 поля, формулировки писем при начале и завершении плановых работ, формулировки заявок на ту или иную службу. Построчно помнишь конфиги, которые по 10-30 штук набиваешь каждую ночную смену. Это, наверное, тяжелее всего.

Также дневные смены всегда были связаны с непрекращающимися звонками по поводу оборудования, когда на тебя одного таких железок несколько тысяч единиц, звонков действительно много. Забавно лишь то, что часть из них связана с тем, чтобы доказать, что проблема не на твоей стороне :)

В Offensive* в этом плане намного легче. Как я писал выше, это во многом творческая работа. Ты сталкиваешься с уникальными задачами, для решения которых тебе необходимо найти уникальный подход.

Артем

Я работал на светлой стороне ИБ — на стороне внутренней ИБ в крупной компании. Там было по-своему интересно, но из-за специфики обязанностей приходилось выполнять множество рутинной работы и погружаться в узконаправленную деятельность.

В нынешней работе же такого не наблюдаю. Можно сообщить о своих предпочтениях по типам проектов, чтобы развиваться в какую-то конкретную сторону или без предпочтений для разностороннего изучения аспектов безопасности. Также, кроме проектной деятельности, можно заниматься саморазвитием в свободное время или заниматься разработкой автоматизированных средств, упрощающих работу коллегам.

Руслан

Я проходил стажировку по SOC в банке. Намного легче и скучнее пентеста в плане рамок работы. За месяц можно выучить 99% всего, что предстоит делать.

Но намного тяжелее в плане графиков и их строгости. Например, в банке только очный формат. Наличие четкого расписания, от которого нельзя отклоняться. Штат ограничен, и если коллега заболел, за него кто-то работает. Обязательное чередование ночных смен с дневными, из-за чего режим нормально никак не поставить.

Святослав

Я работал всегда в сфере ИБ, но до пентеста был "бумажным" безопасником. Трудно сказать, что сложнее, а что проще. Тут скорее так: что больше нравится и увлекает тебя, то и проще и приятнее изучать.

Никита

Собесы всегда страшно :)

В Digital Security сначала было тестовое задание. Некоторые таски были простые, над другими пришлось поломать голову, но все они были интересными. Потом пригласили на собеседование. На самом собеседовании необходимо было рассказать о себе, потом попросили рассказать, какие веб-уязвимости известны. Далее в рамках названного был более глубокий опрос.

Например, был вопрос: «В чем отличие Reflected XSS от Stored XSS?»

Также спрашивали про флаги на куках: какие есть и что они означают.

И… все. Я действительно больше вспомнить не могу ничего :)

Тимур

На первом собесе после стажировки 2019 года меня “сломали” вебовским клиент-сайдом (xss, csrf, sop, cors). Обычно еще спрашивают сервер-сайд уязвимости, сетевые протоколы, эксплуатацию виндовых AD-сетей, линуксов.

Николай

Я бы не сказал, что это страшно, но я очень переживал, когда шел на собес. Казалось, что никаких знаний не хватит попасть сюда. На деле спрашивали про различные уязвимости, и были вопросы на общее понимание работы сети.

Артем

Конечно, страшно. «Сожрут вопросами,» — думал я, когда шел на собеседование в Digital Security. А по факту кроме обоснованных вопросов по теории и практике значительная часть собеседования посвящена "общению по душам". Как работодателю, так и собеседуемому важно понять ожидания от совместного сотрудничества. Поэтому атмосферы как на экзамене с вопросом на отчисление тут не будет. Но подготовиться, безусловно, необходимо.

Руслан

Все собесы ― это страшно. Но не страх самого собеседования, а страх провала. На самом собеседовании ничего страшного нет. Спрашивали что хочу, что умею и по всем веб и сетевым уязвимостям по списку.

Святослав

Вообще не страшно, но волнительно немного. Достаточно много собесов прошел, отношусь к ним как к бесплатному инструменту проверки своих знаний, чтобы подсветить самому себе проблемные места.

Зачастую спрашивают одно и то же. Как происходит тестирование на проникновение внутреннее, внешнее, мобилок? То есть методологии работы. Типовые уязвимости. Что такое XSS, SQL, CSRF, SSRF? Как эксплуатируется, из-за чего возникает, как закрыть? Механизмы защиты веб-приложений (CORS, Cookie, CSP). Типовые уязвимости внутреннего периметра, структура AD, как работает Kerberos.

Артем

SecLabNews (Telegram-канал — новости из мира ИБ)

SecAtor (Telegram-канал — здесь рассказывают новости из мира хакерских атак и критических уязвимостей различных продуктов)

Руслан

Статьи на хабре по теме информационной безопасности

Ralf Hacker Channel (Telegram-канал — много полезного)

Offensive Twitter (Telegram-канал — твиттер в телеге)

Святослав

Волосатый бублик (Telegram-канал)

Поросенок Петр (Telegram-канал)

RedTeam brazzers (Telegram-канал)

Никита

overbafer1 (YouTube-канал)

Люди PRO (YouTube-канал)

Николай

Loi Liang Yang (YouTube-канал)

Infosec Write-Ups (Сайт — коллекция рецензий от лучших хакеров мира на самые разные темы)

Тимур

CyberSecrets (Telegram-канал)

APT (Telegram-канал)

s0i37_channel (Telegram-канал)

PT SWARM (Telegram-канал)

#информационнаябезопасность #иб #it #хакеры