с чего начать изучение информационной безопасности самостоятельно
С чего начать изучение информационной безопасности
Последнее время ИТ-безопасность стала неким трендом, все об этом пишут, все об этом говорят. Насколько это вообще перспективное направление? И главное, как к этому присоединиться? Какие учебные материалы (книги, курсы) помогут «внедриться» новичку в это всё?
Отвечает Максим Лагутин, основатель сервиса для защиты сайтов SiteSecure
В основном компаниям (среднего и крупного бизнеса) сейчас интересна практическая информационная безопасность (далее ИБ) и специалисты-практики. Менее интересны, но все же интересны, менеджеры по информационной безопасности, которые занимаются построением внутренних процессов ИБ и контролем их соблюдения.
Из российских курсов могу порекомендовать курсы этичного хакинга от компании Pentestit, которые направлены как раз на новичков в данной сфере. Также недавно Алексей Лукацкий, эксперт по информационной безопасности и известный блогер в этой сфере, выложил перечень доступных курсов по теме ИБ.
Из книг могу посоветовать «Тестирование черного ящика» Бориса Бейзера, «Исследование уязвимостей методом грубой силы» Майкла Саттона, Адама Грина и Педрама Амини. Также рекомендую подписаться на статьи SecurityLab, журнал «Хакер» и просматривать интересные темы и задавать вопросы на форуме «Античат».
Периодически смотреть обновления стоит на Owasp, где раскрывается много моментов по распространению уязвимостей в программном обеспечении и в сети, и исследования по безопасности интернета в России — наше и Positive Technologies
Чтобы задать свой вопрос читателям или экспертам, заполните форму заявки на странице.
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.
Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.
Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Наиболее важные специальности в ИБ
Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:
Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.
Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.
Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.
Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
А какие инструменты используют «безопасники»?
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:
Вот несколько примеров — реальные вакансии на сервисе «Мой круг».
Сколько получает эксперт по ИБ?
Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.
Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».
Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.
Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.
Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.
В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.
Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.
18 бесплатных курсов по информационной безопасности
Для начинающих с нуля в 2021 году.
1.«Основы безопасности и анонимности в сети» от GeekBrains
Длительность: 2 урока.
Формат: видеоуроки.
О программе: программа курса рассчитана на подготовку любого уровня и разделена на два видеоурока.
Первый урок:
Второй урок:
Об авторе: Мефодий Келевра — специалист по кибербезопасности с более чем 15-летним стажем работы, основатель TM Group Security, преподаватель в GeekBrains и OTUS, обладатель сертификатов:
2. «Школа информационной безопасности» от «Академии Яндекса»
Длительность курса: 8 лекций = 11 часов.
Формат: видеолекции.
О программе: курс состоит из восьми видеолекций от разных авторов — приглашённых «Яндексом» специалистов, которые рассказывают о безопасности в глобальной сети. Курс будет полезен как новичкам, так и продвинутым пользователям.
Каждый урок посвящён отдельной тематике. На них освящаются темы безопасности разных операционных систем и разновидностей приложений.
Авторы: Эльдар Заитов, Ярослав Бучнев, Борис Лыточкин, Игорь Гоц, Андрей Ковалёв, Андрей Конвалюк, Евгений Сидоров,
3. «Защита информации» от лектория МФТИ
Длительность курса: 14 лекций.
Формат обучения: видеолекции.
Сертификат по окончанию обучения: не предоставляется.
О программе: курс расскажет зрителю о математических основах криптографии, о криптографических примитивах и реализации таковых в современности. Также поведает о защите данных в информационных системах, таких как глобальная сеть.
Авторы: курс читает кандидат физико-математических наук, преподаватель кафедры радиотехники и телекоммуникации Сергей Владимиров. А также, два гостя: Игорь Сысоев и Александр Колыбельников.
4. «Менеджмент информационной безопасности» от НИУ «ВШЭ»
Длительность курса: 11 часов.
Формат: видеоуроки + текстовые материалы + тесты.
Сертификат: выдаётся (платно).
О программе: курс представляет собой лекции в видеоформате, разделённые на шесть блоков. В каждом блоке ученику предстоит прослушать от восьми до двенадцати лекций, изучить один текстовый материал и решить один тест.
По мере изучения материалов пользователь познакомится с основными принципами защиты информации в сети, узнает о том, как работают организации защиты в государстве, а также научится защищать свою конфиденциальность в интернете сам.
Автор: Александр Сорокин, старший преподаватель в НИУ «ВШЭ», заместитель заведующего Кафедрой компьютерной безопасности.
5. «Методы и средства защиты информации» от НИУ «ВШЭ»
Длительность курса: 15 часов.
Формат: видеоуроки.
Сертификат: выдаётся (платно).
О программе: программа курса разделена на девять недель обучения, во время каждой из которых слушателю предстоит прослушать от семи до девяти видео. В процессе обучения пользователь узнает об основных понятиях защиты информации в сети, как построены системы безопасности, а также узнает о методах контроля, которые применяются в этой сфере.
Также пользователь узнает о требованиях в безопасности в различных системах и как разрабатываются новые программы для этих целей.
Автор: Александр Сорокин, старший преподаватель в НИУ «ВШЭ», заместитель заведующего Кафедрой компьютерной безопасности.
6. «Введение в Инструменты кибербезопасности и кибератаки» от IBM
Длительность курса: 20 часов.
Формат: видеоуроки + текстовые материалы + тесты.
Сертификат: выдаётся (платно).
О программе: за четыре недели обучения вы:
А также узнаете о важности критического мышления для тех, кто хочет начать карьеру в области кибербезопасности.
Кто проводит: IBM — мировой лидер по трансформации бизнеса с помощью искусственного интеллекта.
7. «Безопасность операционных Систем» от IBM
Длительность курса: 20 часов.
Формат: видеоуроки + текстовые материалы + тесты.
Сертификат: выдаётся (платно).
О программе: курс даёт возможность изучить основы кибербезопасности.
Курс разделён на четыре недели.
Кто проводит: IBM.
8. «Системное администрирование» от IBM
Длительность курса: 16 часов.
Формат: видеоуроки + текстовые материалы + тесты.
Сертификат: выдаётся (платно).
О программе: этот курс будет полезен тем, кто начинает свой путь в системном администрировании и хочет научиться использовать основные команды для администрирования пользовательских ПК или сервисов.
В уроках освещается важность правильного администрирования для избегания взломов и кибератак.
Вы узнаете всё о криптографии, шифровании и защите в сети.
Кто проводит: IBM.
9. «Сетевая безопасность и уязвимости баз данных» от IBM
Длительность курса: 14 часов.
Формат: видеоуроки + текстовые материалы + тесты.
Сертификат: выдаётся (платно).
О программе: в данном курсе вы узнаете об основах безопасности в сети, о локальных сетях, TCP/IP, OSI и маршрутизации. Также узнаете, каким образом сетевое подключение может влиять на безопасность организаций.
Помимо этого, будет рассказано о базах данных и инструментах, с помощью которых можно бороться с кибератаками и улучшить безопасность фирмы.
Кто проводит: IBM.
10. «Этичный хакинг и тестирование на проникновение» от Box’Pandoras
Длительность курса: 23 урока.
Формат: видеоуроки.
О программе: данный материал представляет собой обзор уникальных хакерских техник и методов взлома систем. Курс предназначен не для использования, а для изучения информации о хакерских методах для разработки методов борьбы с ними.
Курс получил одобрения министерства обороны США и его необходимо проходить всем сотрудникам безопасности.
Также, к курсу приложены рекомендации по защите от описанных хакерских атак компьютерных систем и сетей.
11. «Полный Курс Этического Взлома — Тестирование на проникновение в сеть для начинающих» от Cyber Mentor
Длительность курса: 15 часов.
Формат: видеоуроки.
О программе: автор рассказывает о всех тонкостях и слабых сторонах операционных систем и систем безопасности.
Данная информация предназначена сугубо для изучения, применять её на практике противозаконно. Может помочь системным администраторам понять слабые места систем и найти способы защиты от взлома и кибератак.
Автор: создатель YouTube-канала The Cyber Mentor, профессиональный хакер.
12. «Полный курс кибербезопасности и хакерства» от InSEC-Techs
Длительность курса: 30 дней.
Формат: видеоуроки.
О программе: курс создан для введения в основы этического хакинга. Подойдёт для тех, кто хочет развиваться в области кибербезопасности. Вы узнаете:
Кто проводит: InSEC-Techs, образовательный проект в сфере IT-безопасности.
13. «Этичный хакинг» от SpecialistTV
Длительность курса: 23 урока.
Формат: видеоуроки.
О программе: набор отдельных видеоуроков на тему хакинга и методов борьбы с ним. В них профессионалы из центра компьютерного обучения «Специалист» раскрывают разные темы, связанные с безопасностью. Самые широко освещаемые темы:
Автор: Сергей Клевогин — ведущий преподаватель по направлению «Безопасность компьютерных сетей» в центре «Специалист» при МГТУ им. Н.Э. Баумана. Имеет опыт работы в качестве программиста в Министерстве Обороны РФ, специалиста по информационной безопасности в Центральном Банке РФ.
14. «Этичный Хакинг» от IT travel
Длительность курса: 13 уроков.
Формат: видеоуроки.
О программе: курс предоставляет собой короткие видеоролики от шести до двадцати минут, которые рассказывают слушателю об этичном хакинге в Wi-Fi-сетях.
Материал поможет всем, кто хочет обезопаситься от взлома хакерами.
15. «Уроки информационной безопасности» от «Роскомнадзора»
Длительность курса: 14 видео.
Формат: видеоуроки.
О программе: специалист РКН рассказывает простым языком основы безопасности в сети интернет, призывая людей не пренебрегать ею и обучать безопасному нахождению в глобальной паутине детей и престарелых родственников.
В курсе освещаются такие темы, как сетевой этикет, кибербуллинг, фейковые новости и важность использования надёжных паролей.
Автор: ведущая роликов — специалист управления Роскомнадзора по Челябинской области, Екатерина Рябова.
16. «Unlocking Information Security I: From Cryptography to Buffer Overflows» от Тель-Авивского университета
Длительность курса: 5 недель = 4-6 часов в неделю.
Формат: видеоуроки.
Сертификат: выдаётся (платно).
О программе: в современном мире, когда интернет буквально повсюду, очень важно помнить о безопасности. Курс предлагает посмотреть на операционные системы и системы защиты глазами хакеров, чтобы таким способом увидеть все слабые места и научиться защищать себя и свою сеть от кибератак и взломов.
Данный курс является вводным и может быть полезен как новичкам, так и продвинутым пользователям.
Преподаватели:
17. «Unlocking Information Security II: An Internet Perspective» от Тель-Авивского университета
Длительность курса: 7 недель = 4-6 часов в неделю.
Формат: видеоуроки.
Сертификат: выдаётся (платно).
О программе: курс направлен на изучение всемирной паутины. Вы изучите технологии действия веб-сайтов, веб-серверов и веб-браузеров, получите информацию об уязвимых местах интернета и о том, как атаковать веб-сервера. И, конечно, как их следует защищать.
Далее курс поведает о вирусах, троянах, червях: как они распространяются, скрываются и как работают. Узнаете много интересных фактов о подпольной гонке вооружений между вирусными программами и антивирусными ПО.
Преподаватели:
18. «Introduction to Cyber Security» от The Open University
Длительность курса: 8 недель = 3 часа в неделю.
Формат: видеоуроки.
Сертификат: выдаётся (платно).
О программе: курс простым языком расскажет слушателю, как правильно защищать свою личную жизнь в интернете и не позволять хакерам деанонимизировать вас по профилю в социальных сетях. Вы узнаете тонкости хакерского взлома и сможете защитить себя от кибератак, сможете распознать, на каких сайтах вероятность заразить компьютер вирусами высока.
После прохождения курса вы будете знать, что такое троянский вирус, сможете распознать вредоносное ПО и многое другое.
Преподаватель: Arosha K. Bandara. Инженер-программист с исследовательскими интересами в области разработки адаптивных систем, способных повысить информационную безопасность. Он также преподаёт сетевую безопасность в The Open University.
Основатель и главный редактор проекта. Специалист в области интернет-маркетинга (SEO-продвижения и копирайтинга, в частности). Работаю онлайн с 2018 года.