Как стать информационным безопасником?

Этот текст написал читатель в Сообществе Т⁠—⁠Ж

Хочу в недалёком будущем работать в информационной безопасности. Как правильнее это реализовать? Вижу две траектории: второе высшее/магистратура по профилю или самообразование («Курсера», «Хабр», книги и так далее).

Расскажите о вашем опыте работы в ИБ: что нужно изучить, как правильнее впоследствии «продать» себя потенциальному работодателю? Образование у меня гуманитарное и давно заброшенное, технические трудности не пугают и я к ним готова. На данный момент совмещаю работу в финансах, трейдинг и копирайтинг — всё удалённо. На горизонте 5 лет планируется эмиграция в Европу. Для себя вижу порог входа в профессию в пределах минимум 3 лет. У мужа техническое образование, он руководит отделом DevOps-инженеров, готов помогать и всячески поддерживает моё начинание.

Я не планирую бросать трейдинг, но хочу уйти из финансов: работодатель осенью выводит нас с удалённого формата работы в офис, а в офис я возвращаться больше не хочу. Равно как и искать новую работу в этой сфере тоже не хочу. У меня есть определённые накопления и относительно стабильный доход от трейдинга, поэтому офисную работу брошу без сожалений.

Буду признательна за полезные советы, наводки, рекомендации вузов (если дистанционно — возможно, зарубежных) и описание подводных камней. Если всё же необходимо вузовское образование, в этом году ещё не поздно подать документы на второе высшее, в приоритете — заочное/дистанционное обучение. Если лучше магистратура — морально готова потратить год на подготовку к поступлению.

Если цель "войти в айти", то ИБ это не самый лучший путь: зарплаты сильно ниже, чем у разработчиков, знаний нужно существенно больше, вакансий существенно меньше. Если хочется "войти в айти" потому что хайп и деньги, то лучше учить питон и идти разрабатывать или уйти в QA.

Если же нет, то Информационный безопасносник это все равно очень широкая область, сначала нужно понять что конкретно интересно, чтобы развиваться в этом направлении.
Информационным безопасником может быть: бумажный безопасник, который пишет приказы и другие документы; аудитор безопасности, который эти приказы проверяет в других организациях, также он проверяет соответствие стандартам, например pcidss или iso27001; пентестер - человек, который проверяет информационную инфраструктуру( внутреннюю(AD, сеть, компьютеры), внешнюю(веб-приложея)) компании на уязвимости; реверс-инженер, который проводит анализ различных программм; сотрудник SOC, который занимается анализом и реагированием на инциденты ИБ; appsec - обеспечение безопасности приложений компании; еще много различных направлений.

Если первые два, то хватит магистратуры или бакалавриата любого вуза, после этого можно пойти в какой-нибудь ФСТЭК даже без собеседования и получать свои 20к в месяц.

Если идти не на первых двух, то:
Вузы по ИБ это пустая трата времени, если идти туда за знаниями и опытом, если же нужна корочка, то можно пойти в ИТМО магистратуру, многому там не научат, но корочеа и связи появятся.

Лучше всего изучать все самому, благо БЕСПЛАТНЫХ курсов в интернете достаточно, платные это опять же пустая трата времени, вас там ничему не научат, может дадут какой-то обзор, но точно не больше.
Лучше всего учится на практике, постепенно подтягивая под это теорию, для этого множество площадок есть: hack the box, rootme, ctftime и тд. Обучающие видео и курсы: spbctf, liveoverflow, portswigger academy, hackerdom, курс от ugractf и много других.

Обязательно английский и какой-нибудь язык программирования.

Из теории, в среднем, надо знать устройство операционных систем windows и Linux, на уровне продвинутого пользователя, устройство сетей, принципы работы веб приложений, атаки на них и типичные уязвимости, методв защиты, основы криптографии, основы реверс-инжениринга.

Можно ходить на стажировки, но туда обычно порог вхождения высокий, и с наскока вы отвалитесь на отборе. Из стажировок могу посоветовать summer of hack от digital security.

После пары лет практики и теории можно пытаться подаваться на джунов на скромные зарплаты в различные компании, проходить собеседования, записывать вопросы и после собеседований искать на них ответы, если чего-то не знаешь. Через 5-10 собеседований скорее всего уже получиться устроиться на работу.

Удачи! :)

23

Oleg, пробейте, пожалуйста! Вторая сторона такая же

6

Устроиться на начальную должность в аналитический центр крупного интегратора.
Как правило на такие вакансии не требуются базовые знания. Поэтому вакансии есть всегда.

За 2-3 года вполне реально определиться с вектором развития: руководство проектами, внедрение, чистая аналитика, архитектура и проектирование, аудиты и тд.
Обычно за 2 года младший аналитик становится старшим и начинает вести свои проекты.

идти за каким-то дополнительным образованием в магистратуру совсем не обязательно. я физик по образованию. со старта в ИТ, в том числе безопасностью занимаюсь. Образование дает легкий бонус при устройстве, но крайне мало влияет на общий рост.

пытаться выучиться, а потом мощно "продавать" себя - бесполезно. Поскольку на старте можно вызывать "вау", а после пары месяцев работы разочарование будет у всех.

как и везде: надо уметь работать и давать тот результат, который от тебя просят. :)

5

Кирилл, но на самом деле почти везде в требованиях к кандидату на должность специалиста по ИБ пишут о профильном образовании, либо о переподготовке в объёме 500 часов.
Ибо нужна большая база в плане понимания технологий и прочих вещей.
Приведу пример, в руководящих документах ЦБ по инф. безопасности есть требование: необходимо обеспечить сетевую изоляцию на втором (канальном) уровне модели OSI.
Не думаю, что человек без хорошей переподготовки можно будет норм работать.
У нас есть случаи что люди учатся на ИТ/ИБ и не все понимают ))) а вы говорите гуманитарий курсы почитал в интернете и безопасник готов ))

0

Роман, "а вы говорите гуманитарий курсы почитал в интернете и безопасник готов ))"
я этого не говорил. Более того, я сказал, что не обязательно идти за дополнительным образованием. Опять же, потому что "учатся и не понимают"

надо просто начинать работать.
За 2 года, больше 3тысяч часов, вполне можно получить основы и более глубокие знания, достаточные для развития.
В нашем регионе на должность младшего аналитика есть несколько вакансий без требований каких-то навыков в области ИБ

1
Герой Т—Ж

Кирилл, «учатся и не понимают» потому что не работают. Просто так учиться и эти знания не применять такое себе

0
Герой Т—Ж
Отредактировано

Script, ну дык о чем и речь. Такое ощущение, что меня игнорируют и читают какого-то другого человека )))

0
Герой Т—Ж

Кирилл, так я с вами и согласилась)

0
Герой Т—Ж

Роман, писать могут что угодно. Переподготовка требуется только в гос.структуры, некоторые банки и компании, у которых есть лицензия на ТЗКИ. Состав этих 512 часов крайне грустный, а состав лекторов очень часто заставляет ещё больше унывать - преподают нихрена не те, кто работает в отрасли.

Сетевую изоляцию очень часто делать вы будете вместе с системными администраторами, чтоб ниче у вас там не попадало.))) очень (ну вот очень) редко вы будете полностью самостоятельно выполнять работы, связанные с риском потери работоспособности системы - скорее вы будете выступать таким себе консалтером, который говорит чего и как сделать. Нужно понимание, нужно желание учиться и развиваться.

ИБ одна из тех областей, где чем больше знаешь - тем больше не знаешь. Да и новые дырки каждый день появляются:)

0

Script, я этот пример привёл для того, чтобы показать, что надо знать базовые вещи:разные устройства работают на разных уровнях, по своим принципам, протоколам и тд )
Я не говорю о том, что специалист по ИБ будет заниматься настройкой коммутаторов/маршрутизаторов )

0
Герой Т—Ж

Во-первых, стоит ответить себе на вопрос – что привлекает в профессии? Если убрать публичный флёр романтики, это обычная инженерно-техническая специальность (Дмитрий Татаров отлично описал варианты). Во внутреннем подразделении – чаще всего наделённом в рабочих процессах контрольно-карательной привилегией. В исполнительской среде – это сервисная, интеграторская, продуктовая деятельность, довольно схожая с ИТ или проектированием. По уровню зрелости отрасль в России отстаёт в развитии от ИТ на 5-7 лет. Отдача от усилий и вложений в сфере ИБ в целом ниже, чем в ИТ, логистике. Это довольно узкий специфический рынок, на котором нужно понимать, зачем вы в него идёте.

Во-вторых, если вы действительно планируете миграцию, традиционная зона ответственности и подход к обеспечению ИБ в России и на Западе несколько отличаются. Исходя из этого, есть смысл смотреть либо крупные международные компании, либо локальные филиалы западных, чтобы усвоить подходы и практики. Также из международных компаний с именем рекрутёры гораздо охотнее предлагают позиции за рубежом.
Соответственно, российское образование по ИБ (или проф. переподготовка 512 часов) вам не очень нужно, оно требуется больше для выполнения требований законодательства, чем для получения реальных знаний. Хотя базу всё равно где-то надо взять! Coursera, HackerU, Udemy – если это комфортно. Для западных компаний важно подтверждение знаний, поэтому дальнейшая профильная сертификация (CompTIA, CEH, CISM) будет полезной, в скобках в принципе в порядке возрастающей сложности.

Далее, полной удалёнкой вы несколько сужаете круг возможных для себя позиций, особенно без опыта в данной сфере. Прям очень сильно. Возможно, разумным подходом будет некое диагональное движение – переход на позицию в ИБ с минимальными требованиями к техническим навыкам: администратор проектов, технический писатель, аккаунт-менеджер, ручной QA. И параллельное движение в выбранную сторону развития с получением профильного образования. Попробуйте посмотреть на компании с гибридным режимом – 1-2 дня в офисе, 3-4 дня из дома.

При отклике на вакансии, чтобы не испугать рекрутёра (а вам при таком переходе скорее всего придётся проявлять активную позицию в поиске работы) – подумайте, как адаптировать CV под нужные для профессии навыки, сделайте какое-то небольшое сопровождение с пояснением, почему и зачем вы идёте в эту сферу.

В любом случае – успехов. Поиск себя – это здорово и важно.

4
Герой Т—Ж

Ко всем комментатором хочется добавить, что врядли вы будете работать на удаленке. Если аудиты - будете кататься к клиенту, а если на внутреннее обеспечение - то будете почти всегда в «периметре».

И второе, если рассматриваете вариант уезжать - обязательно ищите сертификации, которые признаёт мир. Всякие Исаки, ISC2 и пр. В России не сильно на это смотрят, но за пределами найти че-то дельное будет тяжело без сертификатов

3
Герой Т—Ж

Igor, "Это замечание дано на основании секретного распоряжения и комментировать я его не буду" ну вот кстати гораздо проще объяснить таким образом, чем разжевывать всем и каждому своё решение. + с большой долей вероятности ваше руководство всегда в курсе, что и зачем сделала СИБ

3

Университет-не даст ничего нового,так что не стоит даже рассматривать
Плюс нужно понимать,какую именно специализацию вы хотите-можете поискать короткие введения в профессию от различных школ(там 1-3 дня и обычно или бесплатно или в пределах 3 тысяч)-будет понятно, подходит ли вам то или иное направление)

2
Отредактировано

Слушайте, ну ИБ, криптография и тому подобное - это самый брейнфак из всех брейнфаков всего ИТ. Не лучший способ войти в айти, от слова совсем))

2

Александр, подтверждаю как отучившийся на ИБ. 6 лет страданий на разной комбинаторике и криптографии. Без пыток это заходит, только если у человека дар, имхо.

1
Герой Т—Ж

У крупных ИБ-компаний часто есть свои программы обучения.
Вот, например, обучение от Group-IB: https://www.group-ib.ru/cyber-education.html

Там по идее перенимаешь знания у практикующих ребят)

1

Igor, вот пожалуй плюсую. А ещё был знакомый ИБшник, который ещё в восьмом году целенаправлено эмигрировал, тк по его словам в РФ профессионально в этой сфере негде, некуда и незачем развиваться, международные сертификации никому не нужны.

1
Отредактировано

Тоже менял специальность и пришел в иб без профильного образования. Правда, не технический ИБ, а управление. Так как работаем в основном с Европой, то основа основ - ISO27k и CIS controls. Раз в три года аудит BSI, каждый год подтверждение. Сейчас все больше конечно ухожу в непрерывность бизнеса, но поделиться советами могу, если есть менеджерские навыки и понимание что это, то у нас и вакансия вроде открыта для новичка как раз.

1

Комментарий удален пользователем

Анатомия, понятно, только это не управление людьми, а управление процессами :-) А, ну и удаленка естественно

0

Комментарий удален пользователем

Анатомия, ит-аутсорс для огромного числа компаний, я во внутренней безопасности. Но есть и аутсорс (инженеры-безопасники, аналитики, архитекторы и так далее, работающие на заказчиков) можно попробовать туда в SOC на на начальные позиции, если есть английский и базовые знания сетей. В общем, гуглить icl services.

0
Герой Т—Ж

Constantin, в армию-то зачем или в полицию?

А в ИТ вообще не нужно лезть если есть такая возможность. Гораздо чище сформируется мышление если сразу заниматься безопасностью. Многие пришли через айти, и 80% из них потом перестраивают своё видение процессов.

1

Script, если говорить об РФ, слова Константина не лишены смысла. Среди топов ИБ наших самых денежных компаний много людей с военным/мвдшным прошлым. Со всеми вытекающими. Важно определиться, хочется под таким начальством работать или нет.

0
Герой Т—Ж

Никита, развитие ИБ в РФ случилось вообще не так давно, поэтому все эти топы, это +- переученные СБ (а вот уже у ним в своё время были требования армии, ФСБ и пр.). Сейчас уже военная подготовка не имеет никакого веса - все таки инфобез на 90% процентов обеспечивается СЗИ...

0

Если очень захотеть, то потом в Европу можно мигрировать и просто ИП там открыв.
ИБ это та сфера, где мало конкуренции, если уже побывал по разные стороны IT, но также именно в РФ есть потолок, выше которого не прыгнешь. Если прям дико интересно, то тогда можно попробовать.

0

whitespots.io - Велком пообщаться за миграцию и ИБ)

0

В вузе параллельно с вышло ходила на курсы проф.переподготовки по ИБ, корочка есть, но без технарского опыта и понимания информац.процессов я просто бумажный червь-теоретик:(

0

Сообщество Т—Ж

Лучшее за неделю