Как стать специалистом по информационной безопасности — отвечают эксперты

Аватар Никита Прияцелюк

Специалисты по информационной безопасности становятся всё востребованнее с каждым годом. Как стать одним из них? Отвечают эксперты.

Сфера информационной безопасности очень обширна, поэтому не все понимают, с чего им начать становление в этой области и какие вообще есть пути развития. Мы решили узнать у экспертов, что они могут посоветовать тем, кто решил стать экспертом в ИБ.

Для начала нужно определиться с направлением, в котором вам хотелось бы развиваться. Можно быть специалистом по выстраиванию процессов ИБ, разработке регламентов и инструкций или инженером по проектированию и внедрению систем безопасности — межсетевых экранов, антиспам-шлюзов, DLP-систем и т.д. — а можно вообще пойти по пути пентестера, проникая в сети заказчиков в попытке добраться до ценной информации. Я работаю инженером-проектировщиком, и для специалистов нашей области очень важными являются знания современных средств защиты информации и применяемых в них технологий, понимание принципов организации сетей и логики работы сервисов, которые используются в современных инфраструктурах. Постоянно нужно задавать себе вопросы: «А как это работает? Зачем это нужно? Каким может быть ущерб при атаке?».

Что касается книг, то для начала я бы посоветовал обратить внимание на книгу Эндрю Таненбаума «Компьютерные сети» — в ней довольно доступным языком описаны основные аспекты организации сетей и логика протоколов, которые применяются в настоящее время. Также не менее полезными будут книги от Cisco, например, CCNA R&S и другие. Начитавшись книг, не стоит быть в полной уверенности, что теперь вы всё знаете и вас уже ничем не удивить. Нужно постоянно быть в курсе последних атак (какой вектор был использован, какое вредоносное ПО было применено), следить за выявлением новых уязвимостей в продуктах, то есть как минимум «Хакер» и Habr должны быть в закладках или можно подписаться на аналогичные каналы в Telegram.

Обратите внимание на обучающие курсы, я бы отметил MIT «Безопасность компьютерных систем» и Python на Coursera — знание языка программирования облегчает жизнь, когда нужно, например, выполнить миграцию с одного межсетевого экрана на другой, ведь вряд ли вы захотите переносить тысячи объектов и правил вручную. Помимо этого, нелишним будет посмотреть вебинары по типовым сценариям настройки решений от различных вендоров: Fortinet, Check Point Software Technologies, Palo Alto, Trend Micro и т. д. Найти их можно на YouTube или попросить поделиться ссылками друзей, уже работающих в сфере ИБ. И не забывайте о практике: разверните мини-лабораторию на KVM или VMware для знакомства с open source решениями ИБ или пробными версиями коммерческих продуктов. Посетите ИБ-конференции, послушайте лекции и доклады спикеров, задавайте вопросы по демонстрируемым продуктам — становитесь частью комьюнити.

Востребованность на рынке труда профессии «специалист по информационной безопасности» год от года возрастает. Это связано с неумолимым ростом угроз для бизнеса в сфере ИТ: атаки типа «отказ в обслуживании», утечки конфиденциальной информации и персональных данных, мошенничество, незаконный майнинг криптовалют и прочее. Постепенно правительства многих государств осознают, что необходимо регулировать данную область и принимают законы, направленные на обеспечение безопасности информационных технологий. Специалист по ИБ становится необходимым сотрудником для каждой более или менее серьёзной организации. Без ИТ в наше время бизнес вести невозможно, а риски стали уже вполне заметными (вспомним эпидемию WannaCry). В связи с этим актуален вопрос «Как стать ИТ-безопасником?». Для начала совет — выучите английский хотя бы на уровне чтения документации, так как все современные учебные материалы хорошего качества написаны на этом языке. Также потребуется часто общаться с иностранными коллегами на соответствующих площадках в Сети. Сам же ответ на вопрос можно разделить на две части.

1. Если человек вовсе не имел опыта в сфере ИТ, ему однозначно стоит сначала получить хорошее образование в области компьютерной инженерии, приобрести теоретические знания и практический опыт работы с информационными системами. Без этого невозможно выполнять задачи по защите таких систем от злоумышленников. Например, врачи годами изучают анатомию и физиологию человеческого организма: если ты знаешь, как оно работает, ты можешь и грамотно защитить, и умело починить.

2. Второй вариант — это айтишник, который хочет стать безопасником. Если он достаточно квалифицирован, то ему нужно обучиться основам ИБ и получить пару-тройку лет практического опыта. Ключевым моментом является самообразование, реальная осведомлённость о текущих угрозах и понимание, что в принципе может или не может сделать атакующий. В этом смысле лучшие безопасники — это опытные хакеры, перешедшие на «светлую сторону», но несмотря на действительно глубокие знания и опыт по теме, им иногда недостаёт организационных навыков.

Для новичка могу посоветовать лекции университета Тафтса по инфобезопасности.

Полезный курс: Offensive Security Certified Professional (OSCP) от Offensive Security. Программа весьма насыщенная, много практических заданий в виртуальной лаборатории.

Дальше рекомендую двигаться в сторону сертификации Certified Information Systems Security Professional (CISSP) и Certified Information Security Manager (CISM).

Из российских аналогов — профессиональная переподготовка по направлению «Информационная безопасность» от Информзащиты (актуально для айтишников, которые идут в ИБ). Кроме того, необходимо получить достаточные знания о юридическом регулировании процессов ИБ в России (знать содержание нормативных правовых актов и правоприменительную практику).

Если вы хотите работать специалистом по ИБ, вам потребуется непрерывно заниматься своим обучением, как официальным (сертификации, курсы, семинары), так и неофициальным — общаться в профильных сообществах, читать документацию и новую литературу по теме.

Специалист по ИБ — это, как правило, выпускник профильного вуза по направлению «математика», «прикладная математика и физика», «информационная безопасность», «информатика».

Специалисты по ИБ должны иметь стаж работы на линейных должностях в IT. Приветствуется опыт программиста, инженера поддержки, аналитика данных, аналитика угроз ИБ. Но без усиленных знаний по современным операционным системам, системам связи, аппаратному обеспечению безопасности информации делать в этой специальности нечего, можно быть только рядовым аналитиком.

Основные курсы по информационной безопасности в нашей стране преподаются в инженерных вузах с глубокой научной ориентацией. Например, профильные факультеты МФТИ, МИФИ. Спецкурсы по защите информации есть в технических университетах — МАИ, многих политехнических вузах. Отдельно надо упомянуть курсы ИТМО, в котором готовят специалистов мирового уровня.

Непосвящённым книги по информационной безопасности могут показаться рекомендациями параноика. Но поскольку цена средней информационной системы может достигать десятков миллионов долларов, а данные, которые в ней хранятся, могут быть бесценными, то книги и должны содержать в себе максимум потенциально полезной информации. Книги:

  • Шаньгин В.Ф. «Информационная безопасность и защита информации»;
  • Одинцов А.А. «Экономическая и информационная безопасность предпринимательства»;
  • Баранова Е.К. «Информационная безопасность. История специальных методов криптографической деятельности: Учебное пособие».

Курсы по ИБ в Москве: Центр «Специалист» МГТУ, курс «Сертифицированный специалист по безопасности сетей», «Построение системы безопасности персональных данных в организации».

Нужны базовые знания о компьютерных сетях, работе операционных систем и современных приложений. Далее нужно определиться, какая именно из множества специализаций ИБ интересна и уже под неё планировать наращивание знаний и компетенций.

Например, если интересна работа общим ИБшником / контролером ИБ / бумажным ИБшником, то в первую очередь необходимо будет изучить законодательство РФ: федеральные законы, постановления правительства, приказы ФСТЭК, ФСБ.

Читать блоги экспертов, пишущих про законодательство, процессы ИБ, документы ИБ: Лукацкий, Комаров, Борисов и прочие.

Смотреть доступные бесплатно вебинары про законодательства и общие подходы ИБ. Например, здесь.

Книги: «Семь безопасных информационных технологий», профессиональные комментарии к законодательству, например к 152-ФЗ.

Курсы: «Обеспечение безопасности персональных данных при их обработке в информационных системах персональных данных» и «Безопасность критической информационной инфраструктуры организации».

Если говорить о подготовке специалиста по информационной безопасности, то для начала необходимо определиться, какой именно безопасностью хочется заниматься — организационным и документарным обеспечением безопасности, технической защитой информации различных уровней секретности, поиском уязвимостей в программном обеспечении и т.д. Именно от выбранного направления будут зависеть необходимые к изучению материалы и требования.

Как правило, для того, чтобы стать специалистом по ИБ, необходимо получить техническое образование, в идеале со специализацией в данной области. Также нелишним будет свободное владение техническим английским, так как наша область знаний очень быстро и динамично меняется, а большинство профильных исследований и конференций проводятся в первую очередь на английском языке. Также профильную литературу целесообразно читать в оригинале, так как чаще всего переводы появляются с опозданием и знания могут потерять свою актуальность. Кроме того, есть отдельные направления, где безусловным плюсом будет либо наличие юридического образования, либо навыков чтения «юридических» документов. Здесь речь идёт о так называемой «бумажной» безопасности, связанной в первую очередь с выполнением требований регуляторов на территории Российской Федерации (ФСТЭК, ФСБ, Минобороны). Такого рода специалисты исторически крайне востребованы, так как информатизация в нашей стране выделена в перспективные направления, а людей, понимающих, как необходимо обеспечивать защиту как создаваемых информационных систем, так и существующих — всегда не хватает. На текущей момент ценятся выпускники следующих вузов: МГТУ, МФТИ, МИФИ, ИТМО, КНИТУ. В последнее время сложилась практика, что в ведущих вузах России за студентами начинают «охотиться» с 3 курса, так как специалист, выращенный компанией, намного более ценен для неё, чем сотрудник, пришедший «со стороны».

В качестве полезной литературы для ознакомления как с предметом в целом, так и с отдельными направлениями, я рекомендую следующие книги:

  • Барабанов, Дорофеев, Марков, Цирлов — «Семь безопасных информационных технологий»;
  • Alan Conheim — «Computer security and cryptography»;
  • Петренко и Курбатов — «Политики безопасности компании при работе в интернет»;
  • Jon Erickson — «Hacking: The Art of Exploitation»;
  • Саттон, Грин, Амини — «Фаззинг: Исследование уязвимостей методом грубой силы»;
  • Peter Kim — «The Hacker Playbook: Practical Guide To Penetration Testing».

Дополнительно для получения наиболее актуальной информации об отрасли поставьте себе «на мониторинг» профильные ресурсы, чтобы отслеживать тренды, существующие проблемы и запросы рынка:

Обучение специалиста с акцентом на компетенции в области информационной безопасности (ИБ) во многом повторяет базовый сценарий становления любого компетентного ИТ-специалиста сегодня. На мой взгляд, без фундаментального технического образования в ИБ не обойтись, поэтому за плечами кандидата на эту позицию должно быть обучение в вузе по ИТ-специальности.

Отмечу, что спрос на квалифицированных ИБ-специалистов растёт. Это связано с повсеместным использованием цифровых решений и пропорциональным ростом угроз и рисков взлома систем их защиты. При этом параллельно наблюдается сравнительно невысокий уровень популярности профессии ИБ-специалиста по сравнению, например, с направлением разработки. Кандидат на место в вузе в 8 случаях из 10 выберет карьеру девелопера, «инженер по ИБ» аналогичного флёра престижа и романтики вокруг себя не имеет.

Такова специфика этой области: в ИБ много рутины, монотонный ритм работы, требующий вдумчивого анализа и тщательного выполнения каждой детали поставленной задачи.

Между тем, сегодня во многих компаниях появляется должность директора по информационной безопасности (CISO) и целые ИБ-отделы в их ведении. Такие специалисты отвечают за разработку стратегии противодействия ИБ-угрозам внутри компании, и в том числе прогнозируют появление новых видов угроз. Требуется также иметь опыт проектирования и внедрения решений ИБ внутри организации и знать требования регуляторов и стандарты ИБ.

Важнейший момент в сегодняшних реалиях — контроль за работой службы ИБ, проведение аудита внутри отдела и организации в целом. Можно сказать, что в целом в ИБ сегодня требуются весьма разносторонне подкованные специалисты. От инженеров ИБ, которые способны обслуживать большие enterprise системы и проводить тестирование на проникновение, до аналитиков и широкопрофильных специалистов, архитекторов ИБ.

Однако в связи с упомянутыми акцентами в структуре спроса на ИТ-специальности, вузы не уделяют должного внимания ИБ, и пока рынок труда и ориентиры абитуриентов диктуют свои условия, им будет трудно выпускать достаточное число профильных специалистов. И здесь как обычно на помощь приходит самообразование и вендорские программы обучения ИБ-продуктам.

Что можно посоветовать здесь:

  • Образование в ИБ должно носить практически-ориентированный характер, в связи с чем имеет смысл изучать конкретные ИБ-продукты, проходить по ним сертификацию в центрах подготовки у вендоров, принимать участие в курсах и программах, реализуемых производителями ИБ-решений.
  • Второй важнейший аспект обучения ИБ — фундаментальные знания базовых протоколов, методов и технологий, что включает в себя компетенции в области операционных систем и компьютерных сетей. В связи с ростом роли сетевой составляющей в работе ИТ-систем большое внимание следует уделить этой стороне ИБ, включая технологии шифрования.
  • Отдельное направление — безопасность веб-приложений, которые сегодня используются компаниями практически в любой сфере деятельности и также требуют отдельного изучения.
  • Учитесь разбираться в оборудовании: физический уровень ИТ-инфраструктуры играет важную роль в ИБ, также от ИБ-профессионала требуется уметь устанавливать и настраивать «железо».
  • Сегодня практически все бизнес-процессы подвергаются автоматизации, а потому безопасность на уровне информационных потоков данных является обязательной практикой. Стоит отдельно упомянуть и про автоматизацию рутинных задач обеспечения ИБ, поэтому специалисты и инженеры должны быть готовы писать коды и скрипты, которые упрощают их работу. Нужно уметь расставлять приоритеты и оценивать возможные риски и потери из-за инцидентов. Здесь я также рекомендую обратить внимание на применение машинного обучения в области ИБ, которое позволяет работать с большими и очень большими инфраструктурами, вовремя выявлять аномалии и реагировать на атаки.
  • Уделять огромное внимание практике с самого начала своего обучения ИБ, т.е. стремиться проходить практику, получать работу по ИБ-профилю, пусть на начальном уровне это будут не самые сложные и ответственные задачи.
  • Постоянно читать статьи и исследования по ИБ в отечественных и зарубежных источниках: ИБ никогда не достигает совершенства по причине постоянной активности злоумышленников и появления новых продуктов, решений, а вместе с ними и новых уязвимостей. Бизнес против бизнеса.

В информационной безопасности, как и в любой профессиональной деятельности, есть огромное количество областей, каждая из которых требует от начинающего специалиста уникальных знаний и умений. Так, в работе над безопасностью веб-приложений и API важно:

1. Обязательно знать английский язык, особенно технический. Это знание пригодится для чтения различных мануалов и технических репортов. Кроме того, крупные конференции, на которых выступают профессионалы со всего мира в различных ИБ-областях, проводятся преимущественно на английском языке. Чтобы быть в курсе последних тенденций, обязательно нужно просматривать доклады с этих конференций, как минимум те, что касаются вашей специализации.

2. Хорошо понимать принципы работы операционной системы Linux. И чем выше уровень знаний, тем лучше, ведь это основная система, на которой работают серверы в интернете. Также необходимы знания в области компьютерных сетей: особенности их построения, архитектуры и протоколы, по которым всё это работает. Здесь могу порекомендовать 5-е издание книги Эндрю Таненбаума «Компьютерные сети». Как минимум будет полезно изучить раздел о TCP/IP. Также хорошей теоретической базой будет книга «Компьютерные сети. Принципы, технологии, протоколы» В. Олифера, Н. Олифера.

3. Приобрести знания по своему профилю. Сейчас в сети появилось огромное количество курсов по различным областям информационной безопасности. Обращайте внимание на отзывы, так как качество многих, на мой взгляд, оставляет желать лучшего.

Кроме того, никто не отменяет изучение печатно-электронной литературы. Из книг я могу порекомендовать, например, The Hacker Playbook 3: Practical Guide To Penetration Testing авторства Peter Kim. Это отличная книга, которая охватывает практические стороны эксплуатации и использования различных утилит. Её третья версия была выпущена в середине 2018 года, поэтому содержит актуальную информацию, которую не найти во многих учебных пособиях, что выходили ранее.

Информационная безопасность — это стремительно развивающаяся область, поэтому старайтесь изучать свежие рассылки по теме. Отлично подойдёт сервис Vulners. Это агрегатор уязвимостей с расширенными возможностями поиска. Также есть одноименный телеграм-бот vulnersBot, где можно подписаться на новости об интересующих вас областях. Свежие эксплоиты можно искать в твиттере, на GitHub и на проверенном ресурсе Exploit Database.

4. Знание разных языков программирования существенно облегчит исследование веб-приложений, а качественное тестирование методом «белого ящика» (когда изучаются исходные коды приложения), без него вообще невозможно. Сегодня чаще всего встречаются Ruby, Python, Java, PHP, .NET.

Начать можно, например, с Python — на нём написано огромное количество утилит и эксплоитов. У этого языка низкий порог вхождения, он довольно гибкий и слабо зависит от платформы.

5. Не стоит недооценивать умение быстро искать нужную информацию в поисковиках. Некоторые решения найти и встроить в рабочий поток проще и быстрее, нежели заново написать их. В 90% случаев задача, которая встала перед вами, уже была решена кем-то раньше.

Если говорить об утилитах, то существуют целые сборки со всем необходимым софтом. Чаще всего это системы, построенные на базе Linux, которые можно как установить на рабочую машину, так и использовать в Live-режиме, например, загрузив с носителя. Самые популярные — Kali Linux и Parrot Linux. Kali Linux выпускается с 2013 года. Это проверенная годами и стабильная среда для работы. Популярность этой сборки вызвала появление в сети множества различных мануалов и вариантов использования приложений, которые входят в её состав.

Также могу порекомендовать несколько хороших книг на эту тему. Для новичков будет полезно изучить «Hacking With Kali Linux: A Comprehensive, Step-By-Step Beginner’s Guide to Learn Ethical Hacking With Practical Examples to Computer Hacking, Wireless Network, Cybersecurity and Penetration Testing». Для более углубленного изучения — «Mastering Kali Linux for Advanced Penetration Testing: Secure your network with Kali Linux 2019.1 — the ultimate white hat hackers’ toolkit, 3rd Edition». Вообще книг довольно много, но большая часть из них на английском языке (вспоминаем первую рекомендацию). Из русских авторов могу отметить книгу Скабцова Н. «Аудит безопасности информационных систем».

Наконец, помимо необходимых знаний, количество которых будет только расти по мере углубления в отрасль, ИБ-специалисту пригодятся такие качества, как усидчивость, целеустремленность и умение нестандартно мыслить.

Информационная безопасность — очень разносторонняя сфера деятельности, начиная от организационно-правовой защиты информации и заканчивая инженерно-технической. Большинству работодателей требуется диплом о высшем образовании в сфере защиты информации, так что учиться в университете всё-таки нужно. Здесь можно получить организационные основы, да и законодательство изменяется не так стремительно. Но вот за техническим прогрессом вузы могут не поспевать. Преподавательский состав часто немолодой. Прокачивать навыки придётся дополнительно.

Отличный пример — соревнования по информационной безопасности Capture The Flag или CTF. В мире каждую неделю проводятся такие мероприятия, и если в них участвовать будучи студентом, то благодаря командной мотивации, азарту и обмену знаниями с другими участниками, можно повысить уровень в администрировании операционных систем, сетях web-безопасности, получить навыки поиска информации и форензики (расследования компьютерных инцидентов). На сайте CTFtime можно узнать информацию о различных мероприятиях CTF.

Конечно, есть множество учебных центров, где можно получить такое образование или повышение квалификации, онлайн-ресурсы, где за различный бюджет или бесплатно можно научиться поиску уязвимостей и т.д. Например, PentesterLab, Pentestit, DVWA. Потренироваться в поиске уязвимостей можно и в реальных условиях совершенно законно. Многие компании организовывают так называемые программы Bug Bounty, где за найденную уязвимость можно даже получить вознаграждение. Пример площадки для Bug Bounty — HackerOne.

А ещё компании в сфере ИБ проводят конференции, мастер-классы и онлайн-семинары, публикуют много информации, которая также полезна для самообразования.

Цена ошибок специалистов по информационной безопасности велика, поэтому им необходимо постоянно поддерживать высокий уровень своей квалификации: следить за развитием технологий, появлением новых угроз, изменениями законодательства. Оптимальный способ приобретать новые знания — комбинировать самообучение с посещением курсов, вебинаров, профессиональных мероприятий (форумы, конференции, круглые столы и пр.).

Мероприятия расширяют кругозор, позволяют увидеть общую картину состояния отрасли и её отдельных сегментов. Такое видение необходимо, чтобы понять, какие направления развиваются наиболее динамично, в изучение каких областей ИБ стоит углубиться в данный момент.

Самообразование даёт возможность осваивать новый материал с любой степенью детализации, в комфортном ритме и с минимальными затратами. Последнее важно, поскольку организации не всегда готовы платить за обучение сотрудника. Однако несмотря на то, что в Интернете можно найти большое количество материала, его бывает непросто систематизировать и почерпнуть из него можно достаточно поверхностные знания.

Преимущество курсов в том, что они позволяют сэкономить время на изучение предметной области, поскольку построены на основе заранее систематизированной информации. Курсы дают возможность получить углублённые знания по достаточно узкому направлению, разобрать узнанное на конкретных примерах, пройти тестирование и получить сертификат, который поднимает ценность специалиста на рынке труда. Регулярное тестирование, которым сопровождаются этапы обучения, даёт возможность заметить пробелы в знаниях и быстро их восполнить. При выборе центров обучения имеет смысл отдавать предпочтение тем, которые согласованы со ФСТЭК России и ФСБ России, поскольку для некоторых видов работ по защите информации требуются документы об обучении именно в таких центрах. Минус посещения курсов — жёсткие временные рамки и двойная нагрузка на специалиста, если он получает знания «без отрыва от производства».

Отдельно стоит отметить такую форму, как вебинары. Она очень удобна для получения знаний «из первых рук» — непосредственно от вендоров и интеграторов, обзора новых возможностей продуктов, разбора кейсов, вызывающих затруднения, обмена опытом.

При выборе учебников и другой профессиональной литературы стоит отдавать предпочтение наиболее «свежим» изданиям. Технологии и законодательство меняются очень динамично, поэтому и информация устаревает стремительно.

Итак, как стать специалистом по информационной безопасности?

  • Для начала определитесь с направлением: «безопасники» это не только типичные хакеры, к которым все привыкли.
  • Зачастую работодатели хотят видеть специалиста с дипломом по технической специальности, желательно непосредственно связанной с ИБ.
  • Если вы выпустились не как безопасник, а, например, как программист, то вам могут помочь различные онлайн- или офлайн-курсы от университетов.
  • Высшее образование важно, но не менее важно и самообразование — будьте готовы к тому, что многое придётся изучать самому.
  • Выучите английский хотя бы до уровня уверенного чтения — большая часть новой информации поступает именно на этом языке. Также на английском проводятся многие профильные конференции, записи которых полезно смотреть.
  • Читайте профильную литературу и не ждите её перевода на русский язык, ведь за это время информация может устареть.
  • Важно знать принципы работы ОС и компьютерных систем.
  • Также знание какого-нибудь языка программирования, например Python’а, может здорово облегчить вам жизнь.
  • Читайте блоги экспертов в области ИБ, профильный хаб на Хабре и прочие источники — в общем, будьте в курсе последних событий.
  • Попробуйте поучаствовать в CTF-соревнованиях и Bug Bounty программах, список которых можно найти в нашей статье.
  • Кроме того, есть различные онлайн-ресурсы (платные и бесплатные) для обучения поиску уязвимостей. Например PentesterLab или Pentestit.
  • С самого начала обучения уделяйте большое внимание практике.

Напоминаем, что вы можете задать свой вопрос экспертам, а мы соберём на него ответы, если он окажется интересным. Вопросы, которые уже задавались, можно найти в списке выпусков рубрики. Если вы хотите присоединиться к числу экспертов и прислать ответ от вашей компании или лично от вас, то пишите на experts@tproger.ru, мы расскажем, как это сделать.

Безопасность
Советы
37415