кибербезопасность с чего начать обучение
🕵 Обучение кибербезопасности: как освоить популярную профессию?
Miroslav Kungurov
Статистика и факты
Пандемия стимулировала рост IT-компаний, а те рынки, которые работали преимущественно в офлайне стали осваивать онлайн-продажи и переходить на удаленную работу. К 2024 году по прогнозу Минпромторга объем интернет-торговли достигнет 7 трлн рублей или 19% в общем обороте. А там, где большие деньги – повышается риск потерять их и нужны специалисты, обеспечивающие информационную безопасность. Вместе со спонсором этой статьи SkillBox рассказываем, как получить актуальные знания и востребованную профессию в сфере информационной безопасности.
Сколько платят начинающему специалисту
В московских государственных учреждениях начинающий специалист получает от 20 до 40 тыс. руб. С опытом работы 1-3 года можно заработать от 40 до 80 тыс. руб. Частные компании предлагают начинающим специалистам на 10-30% больше. У мидл-специалистов зарплата достигает 120 тыс. руб. А в свободное время можно подрабатывать этичным хакингом, одновременно повышая свой скилл.
Если рядовому программисту достаточно знать свой язык программирования и небольшой стек технологий, то специалисту по информационной безопасности нужно видеть общую картину продукта и понимать, где могут возникнуть проблемы. Продукты бывают разные: веб-приложения, корпоративные сети. Поэтому нужен учебный план, охватывающий все возможные варианты. Рассмотрим, что предлагает SkillBox.
Чему учат #1: Основы строения веб-ресурсов
В первом модуле «Основы строения веб-ресурсов» дают основы фронтенда: HTML, CSS, JavaScript. Также учат работать с базами данных и создавать SQL-запросы. Все это нужно, чтобы предотвращать XML-, SQL-инъекции, межсайтовый скриптинг (XSS) и межсайтовые подделки запросов (CSRF). Эти векторы атак не первый год входят в список OWASP TOP-10, по которому будет лабораторная работа. OWASP – международная некоммерческая организация, занимающаяся повышением безопасности программного обеспечения.
Чему учат #2: Сети
В модуле «Сети» студентов знакомят с семью уровнями сетевой модели OSI, которая дает понимание, как и по каким протоколам устройства взаимодействуют друг с другом (рис. 1). Разобравшись в OSI, узнаете как движется трафик от кабеля до клиентского приложения и поймете, где находятся потенциальные уязвимые места.
Рис. 1. Семь уровней сетевой модели OSI
Чему учат #3: Python для пентестеров
Я не программирую на Python. Что делать?
Бонусом идет бесплатный курс «Python-разработчик с нуля», на котором вы освоите азы программирования на Питоне: условные операторы, циклы, функции, ООП, мультипоточность и библиотеки для работы с данными.
Чему учат #4: Linux с нуля до сетевого администрирования
Если вы никогда не работали с Линукс, то ничего страшного – на курсе вы установите ОС, познакомитесь с терминалом, основными командами и файловой системой. На следующих продвинутых уровнях (их два) узнаете о сетевых интерфейсах, научитесь управлять доступом, проводить логирование и мониторинг сетевых подключений, настраивать фаервол, писать BASH-скрипты и использовать сетевые сканеры.
Чему учат #5: Основы шифрования
На рисунке 2 проиллюстрирован принцип работы хеш-функции (от hash – «мешанина»), которая преобразует данные произвольной длины в битовую строку установленной длины. Хеш используется, чтобы не хранить данные в открытом виде. Очевидно, что шифровать чувствительные данные, такие как пароли – нужно. По какой-то причине разработчики даже крупных компаний пренебрегают шифрованием и хранят данные в формате простого текста (plain text) либо шифруют слабыми алгоритмами:
Шифрование – маст-хэв для специалиста кибербезопасности. На курсе студент узнает о кодировках, симметричном и ассиметричном шифрованиях, хеш-функциях и научится использовать системы криптографической защиты информации.
Чему учат #6: Windows
По данным w3techs.com на 15 февраля 2021 года 73.7% серверов работают на Unix-подобных системах, 26.3% – на Windows. Поэтому в программу включен модуль по работе с Windows (службы аудита, политики доступа, цифровые подписи) и PowerShell, необходимый для администрирования и автоматизации администрирования серверов на базе Windows.
Чему учат #7: Базы данных
Чему учат #8: No Script kiddie
На курсе научитесь работать с популярными фреймворками для тестирования систем: Metasploit и другие. Чтобы не быть скрипт-кидди – так называют тех, кто пользуется только готовыми инструментами для атаки на компьютерные системы, – студенты напишут свой набор программ и скриптов для тестирования на проникновение, а также для взлома беспроводных сетей.
Дополнительные мини-курсы
В дополнение к основному курсу, открывается доступ к «Универсальным знаниям программиста» и «Английский для IT-специалистов», в которых прокачиваются софт-скиллы, продуктивность, учат создавать личный бренд, верстать e-mail рассылки, работать в фотошопе, искать заказы на разработку и дают базовый английский язык. То есть делают из студента T-Shaped специалиста, у которого есть углубленное знание в какой-то одной сфере – информационная безопасность, – а также широкий кругозор в смежных областях, который может быть полезен в остальной проектной работе и на фрилансе.
Дипломный проект
Для проверки знаний студенту предлагают ряд челленджей. Например, извлечь ценную информацию из базы данных сайта, применяя полученные знания. Каждая выполненная задача – плюс один флаг, подтверждающий компетентность студента.
Как все это успеть?
Курс длится 24 месяца (184 часов лекций и 120 часов практики), чтобы не сильно отрываться от текущей работы и без спешки усваивать новые знания. В среднем требуется около 3-5 часов в неделю. Также курс можно завершить за меньший срок, если есть свободное время.
А если возникнут вопросы?
Студентам открывается доступ к закрытому телеграм-каналу, где происходит коммуникация с преподавателями: они комментируют домашние задания, дают советы и лайфхаки.
Я ничего не умею, будет сложно?
Курс рассчитан на новичков. Плюс вам всегда на помощь придут наставники. Главное – систематически выполнять задания и не стесняться задавать вопросы.
Есть рассрочка или кредитная программа?
Да, действует программа рассрочки. А первый платеж – через три месяца.
Какие шансы, что я получу работу?
Точную цифру – с какой вероятностью тот или иной студент получит работу и через какое время – вам никто не назовет. SkillBox поможет составить резюме, даст персональные консультации по развитию карьеры и подготовит к собеседованиям. Лучшее, что может сделать студент, чтобы повысить свою конкурентоспособность – быть инициативным и жадным до знаний.
Кто ведет занятия?
Что в итоге?
Пять проектов в портфолио, работа на реальных кейсах с реальными командами, диплом об окончании и помощь в поиске работы. Доступ к курсу остается навсегда.
👨🎓️ С чего начать обучение кибербезопасности: курсы, материалы, практики
Vlada Korzun
В сфере кибербезопасности есть множество направлений для получения образования. Мы остановились на базовых материалах, которые помогут новичкам понять, куда двигаться дальше. Большинство ресурсов подходят для самообучения: вы найдете здесь курсы с теорией, а также платформы для практических занятий.
Что происходит в сфере кибербезопасности
1. Двухчасовое интервью с Марией Прохоровой, со-основательницей компании InDevLab, которая занимается разработкой, кибербезопасностью и ИТ-инфраструктурными решениями. Мария кратко и понятно описывает различные аспекты работы специалиста по кибербезопасности. Направления, узкопрофильные области, что нужно учить, где учиться, зарплаты, спрос, карьера, социальная инженерия, аудит безопасности, тестирование безопасности.
2. Основы для понимания работы безопасника. Это что-то вроде справочника: он подойдет специалистам по работе с персоналом, менеджерам или маркетологам, которым нужно изучить специфику работы профессионалов, а также планирующим карьеру в этой сфере. Здесь вы найдете разъяснения основных понятий, а также функции различных специалистов по кибербезопасности. Справочник поможет представителям других профессий увидеть общую картину.
3. Вебинар с молодым профессором, который консультирует Итерпол и работает в ISO над составлением стандартов по кибербезопасности. Он развеивает возникшие вокруг профессии мифы, рассказывает о сертификациях, и какие из них могут действительно увеличить размер зарплаты и востребованность на рынке труда. Вебинар поможет создать комфортную окружающую среду для обучения, чтобы сделать его более результативным.
Курсы для разных целей
Так как курс совсем не новый, о передовых технологиях он не рассказывает, а упомянутые в нем нормы законодательства лучше перепроверить на актуальность. В дополнительном разделе читателям предлагают небольшой детектив. После каждой лекции проводится тестирование, а в конце курса – экзамен. Сдавшим его успешно слушателям выдают сертификат.
4. Базовый бесплатный курс на MindsMapped по кибербезопасности и этичному хакингу (слушателям выдают сертификаты). В небольших видео рассматриваются фазы этичного хакинга, виртуализация, передовые техники и инструменты для пентеста и хакинга с практическими примерами.
7. Ну как же без Coursera? В этот раз предлагаем вам специализацию по основам кибербезопасности от сотрудников IBM. Программа рассчитана на 4 курса. Пройдя их, вы разберетесь с основными инструментами и процессами в кибербезопасности, ОС, стандартами, системным администрированием, безопасностью сетей, уязвимостями баз данных. По окончании есть возможность получить значок от IBM.
8. Курс по кибербезопасности и хакингу от EH Academy. Здесь детально расскажут и покажут, как настроить лабораторию для экспериментов, обучения и работы, а также дадут базу по сбору информации, базовым техникам хакинга систем и веб-приложений. Под каждым видео можно оставлять вопросы преподавателю и другим слушателям.
9. Когда начинаешь погружаться в кибербезопасность со всех сторон, рекомендуется в первую очередь изучать Linux. В то же время основной операционной системой в большинстве организаций остается Windows, и большинство вредоносных программ пишется под эту ОС. Погружаясь в кибербезопасность, стоит уделить системам Microsoft большее внимание.
Например, с этим курсом из Udemy. Перед его прохождением лучше иметь какие-то предварительные знания о хакинге. Курс содержит практические задания и подойдет для подготовки к CTF-соревнованиям и ряду сертификаций.
Шпаргалки по кибербезопасности
Посмотреть этот постер детальнее: Pen Test: Attack Surfaces, Tools & Techniques
P.S. Курсы у них тоже есть, но очень дорогие, поэтому мы не включали их в подборку.
Тренажеры
3. Game of Hacks – это тестирование для оценки знания уязвимого кода. Есть 3 уровня в зависимости от навыков. Каждую задачу вы решаете за ограниченный период времени.
Где искать опыт, когда минимальные навыки уже есть
1. На платформе Hack the Box вы сможете проверить навыки пентеста машин, а также влиться в комьюнити по кибербезопасности. Машина для тренировки выбирается из предлагаемых вариантов по уровню сложности, установленной ОС и другим параметрам. В разделе «Retired» можно найти уже пройденные машины с видео-прохождением. Просмотрев с десяток таких видео, вы будете понимать, с чего начинать и на что обращать внимание. Платформа также предлагает VIP-пакет с документацией к retired-машинам и подробным разбором.
Так выглядит личный кабинет с практическими заданиями, покрывающими большинство направлений кибербезопасности.
Создатели PicoCTF позиционируют проект, как платформу для начинающих. Они отмечают, что задания подойдут даже для подростков.
Кроме соревнований можно также участвовать в комьюнити в Slack. В разделе «ongoing ops» вы найдете доску trello, куда добавляется информация о розыске.
В этом воркспейсе можно найти много другой полезной информации, включая вакансии по всему миру и анонсы мероприятий.
Заключение
Не важно, какое направление в кибербезопасности вы в итоге выберете. Базовые технические знания и опыт с работы с инструментами необходимы для старта в профессии, благо, доступ к ним получить несложно.
С чего начать новичку? Гид по специальностям в ИБ для самых маленьких. Часть 1
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия и сейчас самое время начать учится. В этой статье мы расскажем про основные профессии в ИБ, а в следующей с чего начинать новичкам, вплоть до хороших курсов и литературы.
Объём информации с каждым годом увеличивается экспотенциально. Например, лишь с 2010 по 2020 год общий объём хранимой информации вырос в 50 раз. Только сервера Google и Amazon насчитывают миллионы машин. А по словам основателя Alibaba Джека Ма, «данные – это новая нефть». Ценность информации стала сравнима с ценностью сырья. Чем ценнее информация — тем выше необходимость её защиты. Кибербезопасность относится к одной из отраслей информационной безопасности и охватывает защиту данных в сетях компаний и организаций, а также защиту приватной информации частных лиц.
А сколько платят?
По данным SecurityLab.ru, средние зарплаты (в тыс. руб. в Москве, в других регионах на 20-30% ниже) в ИБ следующие:
ИБ – одна из наиболее востребованных отраслей информационных технологий. И в будущем она будет становиться ещё более популярной. Изучив основы ИТ и безопасности, ты сможешь получить первую работу в ИБ уже менее чем за год.
Что нужно знать?
Понятно, что для начала от тебя уже потребуется определенный багаж знаний. Но всё не так сложно.
Сразу скажу, что самым главным и важным требованием для специалиста ИБ является знание хотя бы рудиментарного английского языка. Объясню почему. Несмотря на то, что большинство приложений руссифицировано, тебе придется много работать с консольными командами и зачастую кодить. Все языки программирования (за исключением машинного кода, наверное), используют английские слова. Самые интересные книги и курсы тоже на английском. И несмотря на огромный объём информации — на русском, зачастую исчерпывающие ответы можно найти лишь при поиске на английском. English является де-факто международным стандартом обзения. Без знания английского можно даже не приступать.
Всему остальному можно научиться.
Кто такие специалисты по ИБ?
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Есть ещё один вариант деления специалистов:
Как и «красная команда», синяя должна владеть теми же знаниями о тактиках злоумышленников, техниках и процедурах, чтобы на их основании создавать стратегии реагирования. Однако обязанности «синей команды» не ограничиваются одной лишь защитой от атак. Она также участвует в укреплении всей инфраструктуры безопасности, используя, например, систему обнаружения вторжений (IDS), которая обеспечивает непрерывный анализ необычной и подозрительной активности.
Основное различие между зеленым и красным заключается в том, что красные нацелены на улучшение синей команды, что означает способность компании обнаруживать реальных противников и реагировать на них. Зеленая команда, с другой стороны, сосредоточена на устранении как можно большего количества уязвимостей и неправильных конфигураций, используемых красной командой, и делает это максимально эффективно во всей организации.
Если красный, синий и желтый являются нашими основными цветами, мы можем объединить их вместе, чтобы создать второстепенные команды, которые объединят навыки и сильные стороны команд.
Разведка угроз (Threat intelligence)
Отслеживание угроз — один из важных процессов обеспечения эффективной защиты бизнеса. Потребность в разведывательных данных возникла не сразу, но при современных технологиях и возросшем количестве кибератак возникает острая необходимость предугадывать действия злоумышленников и распознавать их по самым ранним признакам. Threat Intelligence – одна из таких техник, позволяющая узнавать об угрозах до того, как они реализовались и повлекли ущерб. Как показывает практика, обычно организации начинают интересоваться работой с данными киберразведки с момента построения собственного центра реагирования на инциденты (security operations center, SOC).
Threat Intelligence — инструмент, который активно обсуждается, как минимум, последние лет 5. Однако в России активно его применяет не так уж много компаний. В то же время, предложений на рынке уже сформировалось немало. Кибер-разведку в той или иной форме сейчас предлагают традиционные ИБ-вендоры и узкоспециализированные компании, отдельные вендоры разрабатывают специальные инструменты для анализа разведданных и поиска следов киберпреступника в инфраструктуре.
Процесс TI очень похож на классическую разведку, в которой команда получает задание, собирает разведданные, выводит их на командира, который анализирует риски, связанные с текущей ситуацией, принимает решение и действует. Исходя из контекста конкретной организации, необходимо собрать данные, проанализировать, обработать, обогатить их. В результате, они преобразуются в знания, которые передаются директору по информационной безопасности (CISO) или лицу, принимающему решение, после чего он анализирует соответствующие риски и принимает это решение. Поэтому качество данных TI напрямую влияет на скорость и качество принятия решений.
Данные принято подразделять на три уровня:
Инженер по кибербезопасности (Cybersecurity engineer)
По сути, инженеры по кибербезопасности являются “вратами” к информации внутри организации, обеспечивая защиту сетей и систем, где хранятся данные. Соответственно, специалисты подобного рода планируют и реализуют меры, направленные на защиту от вторжений и утечек, а также поддерживают безопасность в целом. Тем не менее, инженеры по кибербезопасности не работают изолированно, а в основном являются частью отдела по информационным технологиям.
Вот некоторые базовые задачи, возлагаемые на специалистов, работающих на этой должности:
Консультант по кибербезопасности (Cybersecurity Consultant)
Работа консультантом по кибербезопасности означает, что Вы будете нести ответственность за надлежащую защиту данных клиента и защиту от риска кибератак и связанных с ними проблем. Однако, эта роль гораздо более сложная и неотъемлемая часть современного бизнеса, чем можно предположить из этого простого определения.
Независимо от того, работаете ли Вы штатным или внештатным консультантом по кибербезопасности, Вы будете участвовать в различных организационных оценках рисков, проблем и предоставлять для них решения. Иногда Вы можете управлять риском, в том числе консультантом по физической безопасности или ИТ-консультантом, который работает с компьютерными системами, чтобы избежать киберугроз или вредоносных программ.
Консультанты по безопасности предлагают улучшения инфраструктуры и могут представить их высшему руководству. После того, как компания выбирает стратегию, консультант по безопасности наблюдает за внедрением новых мер безопасности и помогает поддерживать их в течение долгого времени. В часто меняющейся сфере консультанты по безопасности должны быть в курсе новейших технологий и факторов риска. Они также могут обучать персонал организации понимать риски информационной безопасности и защищаться от них.
Приведенное выше определение проливает немного больше света на профессию, но нам нужно погрузиться в специфику. Чем занимается консультант по кибербезопасности? Вот список их обязанностей, хотя имейте в виду, что не каждый клиент захочет или будет нуждаться в них всех.
Менеджер по информационной безопасности (Information Security Manager)
Менеджеры по информационной безопасности (также известные как менеджеры по кибербезопасности) выступают в качестве экспертов организации по защите, обнаружению, реагированию и восстановлению кибербезопасности. Однако обязанности менеджера могут варьироваться в зависимости от размера организации.
В небольших организациях вам может быть поручено все, от настройки политики безопасности до управления техническими аспектами безопасности. В более крупной организации роль менеджера по ИТ-безопасности обычно предполагает более узкую направленность, и можно ожидать, что Вы будете играть одну из двух ролей:
Technical security manager. Вы будете отвечать за системы безопасности, такие как брандмауэры, средства управления защитой данных, шифрование, сканирование уязвимостей, тестирование на проникновение и т. д. Вы также будете руководить командой, которая следит за правильным развертыванием, настройкой и функционированием этих систем.
Program security manager. Это более стратегическая роль, благодаря которой Вы будете вовлечены в мир управления рисками. Как правило, этот человек участвует в оценке рисков поставщика, изучении контрактов с поставщиками или условиях обслуживания, помогает различным группам в организации понять риски третьих лиц и проблемы конфиденциальности данных и многое другое.
Конечно, роль и обязанности менеджера по кибербезопасности будут сильно различаться в зависимости от размера команды и отрасли. Но почти в любой организации перед этим человеком по-прежнему возложен ряд важнейших функций:
Архитектор кибербезопасности (Cybersecurity Architect)
Архитектор кибербезопасности (иногда просто называемый “архитектором безопасности”) отвечает за проектирование, создание и обслуживание систем безопасности в ИТ-сети организации, включая компьютерные системы и данные. Другими словами, он является ответственным лицом в области кибербезопасности.
Вышеприведенное определение, конечно, снимает часть тайны, но что оно означает в реальных терминах? Как это определение переводится в должностные обязанности? Функции и обязанности архитектора кибербезопасности включают в себя:
Имейте в виду, что не все организации или предприятия захотят, чтобы их архитектор кибербезопасности выполнял все эти задачи. И наоборот, некоторые компании могут требовать от своих архитекторов еще большего.
Заключение
Когда Вы примерно понимаете, чем занимаются в ИБ, пришло время выбрать направление, в котором будете двигаться. В этом Вам может помочь одна из наших прошлых публикаций, где мы писали про сайты, которые помогут вам начать путь пентестера. Помимо списка сайтов, мы также писали про атаки на веб-приложения и прохождение простых CTF заданий. В следующей части мы расскажем вам про книги, лучшие курсы, которые стоит пройти будущему специалисту и лучшие сертификаты, которые Вы можете получить.
Как стать безопасником?
В Сети довольно часто встречаются вопросы: «что почитать по ИБ? как перейти в безопасники? что должен знать ИБ-специалист? с чего начать изучение информационной безопасности?»
Вот уже 6 лет как мы с коллегами «на передовой» разрабатываем и внедряем в вузах СНГ наши учебные курсы, посвящённые предотвращению утечек информации и использованию DLP-систем. За это время у нас выработалось собственное видение проблемы, обозначенной в заголовке. Это не аксиома, не истина в последней инстанции. Вы можете не согласиться с частью суждений. Но, начнем.
Быть, а не казаться
Как стать безопасником? А как стать сильным? Борцы, культуристы, бодибилдеры, пауэрлифтеры, турникмэны сильные? Да. Одинаково? Нет. У каждого своя специализация. Поэтому, собираясь стать безопасником, в первую очередь надо определиться со сферой деятельности: вирусный аналитик, разработчик тех или иных систем, пентестер, управленец и т.д. Каждому направлению соответствуют свои наборы качеств, знаний, обязанностей, задач и инструментов.
Что делает атлета хорошим штангистом? Пояс, штангетки, наколенники, «накрахмаленные» магнезией ладони? Снова нет. Эта атрибутика делает человека похожим на штангиста. В реальности же играет роль техника выполнения упражнения и взятый вес. Так и безопасник становится хорошим специалистом не потому, что у него есть гора сертификатов, 2 винчестера презентаций и 300 тематических вебинаров в папке «разобрать», а потому что он владеет знаниями, пониманием их применения и практическим опытом.
Схватка двух якодзун
B сфере ИБ также не обошлось без извечной проблемы работодателей и соискателей. Первым, как известно, хотелось бы видеть в штате опытного молодого специалиста, не старше 25 лет, но с 30-летним опытом работы, разбирающемся во всём от настройки СКУД’а до вёрстки корпоративных буклетов в Illustrator’е. И, конечно, он должен работать за 12000 рублей (желательно, в год). Что до соискателей, то на первом месте в пожеланиях у них идёт обычно шестизначная сумма месячного оклада. В общем, известный конфликт интересов.
Кроме того, бытует мнение, что выпускники ничего не знают, опыта не имеют и вообще должны быть благодарны, что их хоть кто-то хочет взять. С другой стороны, выпускники и рады бы подучиться самостоятельно, но требования работодателей часто настолько разнятся, что банально не понятно, с чего начать.
Начать с себя
Это возвращает нас к первому вопросу. Определившись, в какой сфере вы хотите трудиться, нужно проделать работу по сбору первичной информации. Хотите работать в банке – изучите открытые вакансии на порталах рекрутинговых агентств. Проанализируйте, какие навыки «мелькают» чаще, какие сертификаты востребованы и т.д. Не стесняйтесь спросить напрямую. Нет знакомых из нужной сферы – идите на тематические ресурсы, форумы, группы в соцсетях. Как бы то ни было, пока вы не определитесь с ответом, двигаться дальше нет смысла.
К примеру, что нужно знать безопаснику, предотвращающему утечки информации?
Первое, с чем придётся столкнуться на этой должности – нормативка. ГОСТы, отраслевые стандарты, федеральные законы, приказы ведомств и т.д. Обрабатываете персональные данные? – должны «знать и уметь» ФЗ-152. Связаны с государственными информационными системами? – не забывайте о приказах ФСТЭК №17 и №21. Хотите защищать информацию, составляющую коммерческую тайну? – сначала введите соответствующее положение. В общем, без горы бумаг никуда.
Второй обязательный пункт – навыки. В идеале нужно быть немного юристом (а им придётся стать, выполняя разнарядку по нормативной документации), немного психологом (работа с людьми в стиле следователя МВД) и много аналитиком, ведь основная деятельность связана с выявлением, предотвращением и расследованием утечек. Это минимальный набор, который в дальнейшем будет пополняться специфическими знаниями и опытом, характерными для конкретной компании.
Продолжать с профессионалами
Где взять недостающие знания? Если раньше хорошую техническую литературу было не достать, то сегодня информации так много, что глаза разбегаются и опускаются руки.
К сожалению, в основном Сеть богата на различные маркетинговые переливания из пустого в порожнее: презентации и доклады с «коммерческих» конференций, различные завлекающие вебинары и прочее. Отыскать что-либо действительно полезное становится нетривиальной задачей.
Тем не менее, кто ищет, тот найдёт. Например, Алексей Лукацкий, в своём блоге сделал подборку курсов и площадок на тему ИБ (часть 1, часть 2). Единственное «но» – большинство (не все!) из предлагаемых ресурсов англоязычные. Тем не менее, как показала практика, находятся энтузиасты, который берутся как за отдельные книги, так и за глобальные проекты.
Если вы хотите получить знания точечно, по какому-то конкретному вопросу или направлению, повторюсь, не бойтесь спрашивать. Существуют тематические и отраслевые сообщества, например «Союз руководителей служб безопасности Урала», где если вдруг не ответят напрямую, то хотя бы дадут совет, в какую сторону копать. Также полезно посещать мастер-классы и мероприятия практической направленности. На этом варианты не заканчиваются – существуют специализированные курсы для студентов.
Чтобы не ходить далеко за примером, расскажу о нашем учебном центре. Вот уже шесть лет мы бесплатно обучаем студентов, выбравших направление ИБ. Сегодня мы сотрудничаем с более чем 50 вузами в странах СНГ и даём участникам реальные практические знания за счёт комплексного подхода к процессу обучения. Схематично это выглядит так:
Помимо учебника и лекций, большая часть времени отведена под занятия с реальным ПО (DLP-системой) и разбору ситуаций, которые не «могут когда-нибудь случиться», а которые происходят «здесь и сейчас». В свою очередь, разделение материала между вузом и системой дистанционного обучения помогает отсеять тех, кто ленится или не способен усваивать материал самостоятельно. В конце концов, хороший специалист должен уметь работать автономно, а не оглядываться в поисках преподавателей, столкнувшись с незнакомой ситуацией.
Как видите, выбрать есть из чего. Надеюсь, я хотя бы частично ответил на вопрос «как стать безопасником?» Ну а если нет, то готов продолжить в комментариях.