BLACK FRIDAY

осталось 3 дня

Скидка 10% и подарок на выбор — при покупке одной программы
При покупке двух программ  — вторая со скидкой 50%
Все статьи | Код

Как стать специалистом по кибербезопасности: рассказывает этичный хакер Александр Герасимов

Как стать специалистом по кибербезопасности: рассказывает этичный хакер Алекс... главное изображение

Директор по информационной безопасности и сооснователь компании Awillix Александр Герасимов рассказывает, как стать кибербезопасником, сколько может зарабатывать такой специалист и где новичкам прокачивать свои знания.

С чего начать свой путь в кибербезопасность

Прежде всего будущему кибербезопаснику стоит выбрать направление. Специалистов по кибербезопасности принято разделять на две группы: red team — красная команда (редтимеры) и blue team — синяя команда (блютимеры). Первые ищут уязвимости систем с помощью легальных взломов, а вторые — защищают информацию и реагируют на несанкционированные взломы.

Специалистам всех направлений кибербезопасности важно понимать:

  • Как устроена сеть и устройство, на котором работает специалист
  • Что такое архитектура приложений и база данных
  • Как работают клиент-серверные приложения
  • Какие есть протоколы безопасности, за что они отвечают и как работают на сетевом уровне.

Затем нужно расширять свои знания и глубже изучать сети, программирование, базовые уязвимости в мобильных и веб-приложениях, базовые методологии, по которым работают специалисты по кибербезу.

Как будущему кибербезопаснику прокачивать знания

После изучения основ будущему специалисту нужно как можно больше практиковаться. Рекомендую уделять 30% учебного времени теории и 70% — практике. В сфере кибербеза гораздо важнее именно практические навыки, так как новые знания можно получать при решении реальных задач. Профессия кибербезопасника — прикладная. Бизнесу важна безопасность на практике, фокус на реальных практических задачах, а не на абстрактных политиках безопасности.

Вот несколько вариантов того, как можно практиковаться:

  1. Решать лабораторные работы, направленные на взлом серверов, задачи из интернета
  2. Изучить сайт Hack The Box — там много разных задачек
  3. Пройти курсы от eLearnSecurity, Offensive Security — они помогут не только подтянуть теорию, но и лучше решать лабораторные работы. Курсы комплексные, с хорошей практической базой.

При выборе курсов обращайте внимание на практический опыт преподавателей и выбирайте те программы, преподаватели которых известны в отрасли и тесно связаны со сферой кибербезопасности.

Некоторые студенты, особенно будущие редтимеры, в качестве практики взламывают сайты реальных компаний. Так делать нельзя, это незаконно. Те, кому не терпится поскорее что-нибудь взломать ради практики, могут участвовать в соревнованиях Capture the Flag (CTF). На них индивидуально или с командой будущие кибербезопасники решают разные задачи, взламывают тренировочные системы или находят в них уязвимости. На соревнованиях выстраиваются личные рейтинги игроков: на вершине те, чья инфраструктура стабильно работает и хорошо защищается, а также те, кто быстрее всех атакует системы.

Читайте также: «Мы все в зоне риска»: этичный хакер Александр Герасимов — о кибербезопасности, утечках данных и многомиллионном теневом бизнесе

Как можно вырасти в профессии

После выбора направления, изучения основ профессии и часов практики уровень кибербезопасника повышается до мидла. Когда это происходит, у специалиста появляется выбор: он может либо развивать свои профессиональные знания вглубь, либо стать тимлидом или менеджером, либо уйти в предпринимательство и основать свою компанию по информационной безопасности.

У меня есть схема того, каким я вижу развитие в профессии кибербезопасника. Вот она:

Сколько зарабатывает специалист по кибербезопасности

Мы приводим примерную зарплату, так как уровень заработка специалиста зависит от его навыков, компании, в которой он работает, и ее местонахождения.

Джуны-кибербезопасники, младшие специалисты по тестированию или по информационной безопасности могут получать от 70 000 до 100 000 рублей на руки. Мидлы — от 140 000 до 150 000 рублей. Зарплата сеньоров или старших специалистов может составлять около 200 000 рублей. Гонорар ведущих специалистов по информационной безопасности — около 300 000 рублей.

Какие полезные материалы помогут в обучении

Всем, кто хочет стать редтимером, я советую прочитать книгу Питера Кима «The Hacker Playbook: Practical Guide To Penetration Testing». Автор описывает, как работают такие специалисты, какие средства они используют при взломах и многое другое.

Блютимерам я бы советовал прочитать прекрасную книгу «Компьютерные сети» Эндрю Таненбаума (чем свежее издание, тем лучше). Разобраться в устройстве Windows и Linux помогут две книги: «Внутреннее устройство Windows. Седьмое издание» Марка Руссиновича и «Внутреннее устройство Linux» Уорда Брайана. Также советую почитать про исследования Malware.

Блютимерам в идеале надо знать, что такое RFC, какие есть основные сетевые протоколы (FTP, HTTP, SSL, DNS, SSH). На изучение всего этого потребуется минимум полгода.

Также советую подписаться на Telegram-канал компании Awillix — Just Security, мы публикуем разные новости и тренды из мира кибербезопасности, а еще иногда делимся ссылками на другие каналы по этой же теме.

Еще несколько советов начинающим специалистам по кибербезопасности

Тем, кто еще сомневается, идти в эту профессию или нет, рекомендую посмотреть видео по теме, почитать книги по кибербезопасности или порешать лабораторные работы. Это очень затягивает, особенно тех, кто любит что-то исследовать, разгадывать загадки и выявлять закономерности.

Начинающим специалистам рекомендую большую часть обучения уделять практике. С практикой придет и теория. В сфере кибербезопасности больше всего востребованы те специалисты, которые сталкивались с совершенно разными ситуациями, находили из них выходы и делали правильные выводы.

Продолжайте учиться: На Хекслете есть несколько больших профессий, интенсивов и треков для джуниоров, мидлов и даже сеньоров: они позволят не только узнать новые технологии, но и прокачать уже существующие навыки

Рекомендуемые программы

С нуля до разработчика. Возвращаем деньги, если не удалось найти работу.

Иконка программы Фронтенд-разработчик
Профессия
с нуля
Разработка фронтенд-компонентов для веб-приложений
1 декабря 10 месяцев
Иконка программы Онлайн-буткемп. Фронтенд-разработчик
Профессия
Новый с нуля
Интенсивное обучение профессии в режиме полного дня
15 декабря 4 месяца
Иконка программы Python-разработчик
Профессия
с нуля
Разработка веб-приложений на Django
1 декабря 10 месяцев
Иконка программы Java-разработчик
Профессия
с нуля
Разработка приложений на языке Java
1 декабря 10 месяцев
Иконка программы PHP-разработчик
Профессия
с нуля
Разработка веб-приложений на Laravel
1 декабря 10 месяцев
Иконка программы Инженер по тестированию
Профессия
с нуля
Ручное тестирование веб-приложений
дата определяется 4 месяца
Иконка программы Node.js-разработчик
Профессия
с нуля
Разработка бэкенд-компонентов для веб-приложений
1 декабря 10 месяцев
Иконка программы Fullstack-разработчик
Профессия
с нуля
Разработка фронтенд- и бэкенд-компонентов для веб-приложений
1 декабря 16 месяцев
Иконка программы Разработчик на Ruby on Rails
Профессия
c опытом
Создание веб-приложений со скоростью света
1 декабря 5 месяцев
Иконка программы Верстальщик
Профессия
с нуля
Верстка с использованием последних стандартов CSS
в любое время 5 месяцев
Иконка программы Аналитик данных
Профессия
В разработке с нуля
Сбор, анализ и интерпретация данных
дата определяется 8 месяцев