Как найти работу специалисту по информационной безопасности

Недавно Positive Technologies и Tproger провели опрос среди молодых специалистов — о том, готовы ли они связать свою жизнь с перспективной сферой информационной безопасности. Полученные данные помогли нам понять, что они знают про эту область, с какими сложностями сталкиваются, делая первые шаги в профессии, и как мы можем помочь им начать карьеру в ИБ. В этом материале мы расскажем об особенностях работы в нашей отрасли.

Большинство участников опроса (71%) к моменту окончания школы уже знают, что есть такая отрасль — информационная безопасность. Это нас как компанию, занимающуюся кибербезопасностью уже 18 лет, не может не радовать. Кто-то почерпнул первые знания о теме security из фильмов и книг, кто-то познакомился с азами на уроках информатики и в кружках по программированию, а кто-то столкнулся с темой ИБ узнав о взломе своей страницы в соцсетях. После самостоятельного изучения вопроса многие осознают специфичность задач специалиста по ИБ (74% респондентов), а также перспективность и стабильность этого направления IT-отрасли (15% опрошенных). При этом 11% особенно привлекательным считают достойный уровень оплаты труда в отрасли.

Действительно, задачи специалиста по кибербезопасности весьма нетривиальны, а полноценное представление о том, что именно, с точки зрения профессиональных ниш, привлекает молодежь в этой сфере, имеют немногие. К примеру, только 14% отметили реверс-инжиниринг как наиболее интересное направление, 12% выделили red teaming и 13% ― инфраструктурную информационную безопасность. Но это даже верхушкой айсберга назвать сложно, настолько широк спектр задач и возможностей в области ИБ.

Специализации в ИБ: многообразие терминов

Сегодня существует множество направлений кибербезопасности. Но, по большому счету, область ИБ укрупненно имеет две составляющие — технологическую и нормативную. Сразу хочу отметить, что должность может звучать по-разному, вне зависимости от выбранного направления профессионального развития: специалист, аналитик, консультант, менеджер, инженер и т. д. Наименование здесь не так важно, как выполняемые задачи.

Начнем с нормативной составляющей, ее еще частенько называют compliance. Она включает несколько векторов: методологию, стандартизацию и awareness¹. Итак, здесь предполагается решение вполне конкретных задач: работа со стандартами в области ИБ (нормативы ISO², федеральные законы, приказы ФСТЭК и др.), анализ реальной ситуации в компании, приведение существующей документации и инфраструктуры к соответствию положениям различных международных и отечественных стандартов, взаимодействие с коллегами из смежных IT-подразделений. Нередко все перечисленное дополняется еще и awareness-задачами по разработке методологических пособий с целью повышения грамотности сотрудников компании в вопросах ИБ и непосредственному их обучению. Одна из основных целей просветительской составляющей ИБ — это популяризация кибербезопасности у бизнеса: нужно доносить до руководства ее важность и необходимость в компании, а также стремиться к выделению ИБ в самостоятельное от IT-подразделения направление.

Технологический аспект информационной безопасности объединяет два лагеря — red team и blue team. Blue team иногда именуется defensive security. Сюда относятся: security operations center (SOC), threat intelligence (TI), форензика, киберразведка.

SOC — центр реагирования на киберугрозы. Главный аналитик Gartner Сидхарт Дешпанде характеризует его как совокупность оборудования и специалистов, задачи которых направлены на предотвращение, выявление и устранение угроз и инцидентов в области ИБ. Аналитики SOC также плотно взаимодействуют с коллегами из compliance, когда необходим анализ и соблюдение требований регуляторов (ФСТЭК, Центробанка, ФСБ), обеспечивают мониторинг и анализ инцидентов, расследуют их, разрабатывают и выстраивают защиту от атак.

SOC тесно связан с threat intelligence; это непрерывный сбор, систематизация информации об угрозах и ее обогащение для наиболее эффективного использования в защите от атак. Иногда задачи по TI выделяют в отдельное от SOC направление. Развиваясь в TI нужно накапливать базу знаний об инцидентах, их обнаружении и предотвращении. Эти знания можно систематизировать и очень оперативно применять для своевременного предотвращения атак, также эти данные специалисты публикуют на порталах соответствующих организаций и комьюнити.

Еще одно любопытное направление — форензика, то есть компьютерная криминалистика, предполагающая сбор и анализ данных по следам инцидента ИБ. Как правило, в задачи специалистов в данной области входит понять способ взлома, восстановить хронологию и сценарий атаки, собрать доказательства, следы злоумышленника, восстановить нанесенный ущерб и разработать меры защиты.

Кстати, атаку можно и предсказать. И здесь на помощь приходит киберразведка, которая позволяет превентивно детектировать угрозу, оценить и предсказать все возможные сценарии. А для того, чтобы это стало возможным, киберразведчики скрытно собирают все возможные данные об активности злоумышленников, их инструментарии и прочем, в том числе на хакерских форумах в дарквебе. Конечно же, такими данными принято делиться в комьюнити специалистов по ИБ, своевременное уведомление отрасли о потенциальной опасности помогает предотвратить возможные атаки.

Эффект от киберразведки намного мощнее, когда она выступает в связке с услугами red team, то есть команды атакующих, offensive security. Их методы основаны на полной симуляции действий злоумышленника, включая применение их инструментов, техник и тактик. Как правило, такая команда, в числе прочего, выявляет и уязвимости в информационных системах компаний (application security) ― в их исходном коде, бизнес-логике, файлах конфигурации. Далее, когда уязвимость найдена, ее необходимо устранить. Как правило, последняя задача реализуется совместно с разработчиками продукта. Конечно, все возможности для скрытой эксплуатации таких уязвимостей фиксируются и описываются в процессе penetration testing, тестов на проникновение. Специалисты в данной обрасти (пентестеры) исследуют ПО или оборудование на наличие уязвимостей, с помощью которых киберпреступники могут их атаковать, цель пентестера — найти такие уязвимости раньше, чем это сделают реальные злоумышленники.

Работодатель: кто он и как выбрать своего

Как оказалось, большая часть (54%) будущих молодых специалистов знают, какие компании есть на рынке ИБ. Во-первых, компании, которым нужна информационная безопасность in-house: это организации из самых разных отраслей, но достаточно зрелые в технологическом плане, чтобы создавать и развивать свои команды ИБ. То есть в этом случае речь идет о «домашнем», внутреннем подразделении, отделе ИБ. Да, для таких компаний ИБ не является ключевой темой: их бизнес-задачи находятся в другой плоскости, они зарабатывают за счет создания, продвижения и продажи других продуктов и услуг. Но для некоторых из них кибербезопасность играет ключевое значение. И чем более высокотехнологичной является компания, тем выше риски, а значит, и роль информационной безопасности. Каждая такая внутренняя команда ИБ включает в себя разные специализации (в том числе compliance, red team, blue team). Ключевое, что надо помнить: в такой организации вы будете сфокусированы на потребностях одной конкретной IT-инфраструктуры.

Второе, о чем нельзя не упомянуть, ― это компании-аутсорсеры, которые оказывают различного рода услуги по обеспечению ИБ. У таких организаций множество клиентов и, как следствие, множество различных проектов. Специалист, работающий в такой аутсорсинговой компании, будет иметь дело сразу с множеством вариаций инфраструктур, отраслевых специфик, требований и пр. В целом, с одной стороны, это своего рода конвейер, а с другой ― интересная возможность работать в проектах с самой разной спецификой.

Третий тип компаний, к которым стоит присмотреться, ― вендоры, производители ПО и средств защиты. Реализуя себя у такого работодателя, вы сможете изучить продукты и услуги в прямом смысле слова изнутри, приобрести в них глубокую экспертизу, что менее вероятно, если работать по другую сторону (в компании, использующей такие продукты).

Ну и конечно, в этом списке нельзя обойтись без IT-интеграторов, предоставляющих консультационные, интеграционные услуги, а иногда и разрабатывающих собственные продукты. В этом случае копилка опыта будет пополняться, с одной стороны, знанием различных сфер бизнеса с точки зрения их потребностей в киберзащите, а с другой ― изучением максимального спектра средств защиты, которые представлены на рынке.

Как получить свою первую работу в ИБ

Чаще всего в учебном заведении дают фундаментальные знания, а вот развитие в практической области — задача самого молодого специалиста. При этом работодатель традиционно ищет уже сколько-нибудь опытного сотрудника. Что делать в таком случае? Один из наиболее доступных и эффективных способов получить опыт — стажировка. На деле оказывается, что очень небольшое число выпускников (всего 17% участников опроса) проходили практику или стажировались в профильных компаниях. Однако именно стажировка — отличная возможность лучше узнать профессию, которая кажется наиболее интересной и перспективной, выяснить, верное ли мнение о ней сложилось. И к счастью, практически все компании в отрасли запускают стажировки в тех или иных форматах. Чаще всего они проходят летом, но бывают и во время учебного года. Выбирать стажировку стоит учитывая специфику компании; иными словами, учиться надо у лучших в своем деле. Например, возьмем направление compliance: составляем список профильных компаний (прежде всего, это большая четверка аудиторских и консалтинговых организаций ― Deloitte, PWC, Ernst & Young и KPMG, но есть и ряд других успешных игроков), внимательно изучим публичную информацию о них ― узнаем сроки стажировок, условия участия. У нас получится такая таблица.

По другим специализациям и направлениям список формируется аналогичным образом. Кстати, искать стажировки можно в профильных группах в соцсетях и телеграм-каналах. Даже если стажировка в компании закончилась, стоит все равно изучить требования, сроки, условия — и внести это в свой список на будущее: многие организации проводят стажировки ежегодно.

После того как карта сформирована, стоит обратить внимание на требования к соискателям: как правило, там описан уровень необходимых знаний; если в знаниях есть пробелы, а до начала стажировки еще есть время, эти пробелы можно попытаться восполнить самостоятельно, хотя бы на базовом уровне. Эти знания нужно продемонстрировать на собеседовании перед стажировкой. Не стоит рассчитывать на поблажки лишь на том основании, что вы пока студент: умение освоить нужную информацию самостоятельно вполне может оказаться конкурентным преимуществом.

Следующий шаг, очень важный — подача резюме. Главная цель — рассказать о ваших hard skills. Кроме того, должна быть указана общая информация (имя, образование, контактные данные), а также области профессиональных интересов. Ну и конечно, в резюме стоит включить информацию о ваших личных качествах, но без лишних деталей.

После каждого собеседования стоит резюмировать вопросы, которые вызвали затруднения, чтобы тщательнее изучить тему и блеснуть в следующий раз. Ну а уже после стажировки ее саму стоит тоже внести в резюме: это сыграет на руку при дальнейшем трудоустройстве.

Курсы и сертификаты

Конечно, сейчас существует огромное число онлайн-ресурсов, которые могут помочь развивать hard и soft skills. В первую очередь, стоит обратить внимание на журнал «Хакер», Habr.com, SecurityLab.ru, Anti-Malware.ru, Tproger.ru, блоги профильных компаний. Есть интересные каналы на YouTube. Есть и специализированные лекции, которым стоит уделить внимание, записи митапов OWASP, видео с профильных конференций, CTF, HighLoad и много чего еще.

Прохождение курсов и подготовка к сдаче экзамена на сертификат (Offensive Security Certified Professional, CCNA Security и др.), во-первых, помогают структурировать полученные ранее знания, во-вторых, дают шанс узнать что-то новое. Ну и третье: наличие сертификатов является большим плюсом в резюме, поэтому к ним следует подходить серьезно. Есть различные платформы с онлайн-обучением, по итогам которого можно попасть на стажировку или даже трудоустроиться.

Поэтому, дорогой друг, все в твоих руках! Сейчас, как никогда, у тебя есть огромное количество ресурсов для саморазвития. Пробуй! И все получится.

Ну а чтобы вдохновиться и проникнуться духом информационных технологий и информационной безопасности, рекомендуем к просмотру: сериалы «Хакервилль», «Черное зеркало», «Кремниевая долина», «Мистер Робот», фильмы «Социальная сеть», «Кто я», «Апгрейд», «Превосходство», «Сноуден», «Джонни Мнемоник».

Доброго времени суток читателям! Нескольким пользователям форума стал интересен процесс прохождения собеседований, потому я расскажу в отдельной теме свою историю поиска работы и свой опыт прохождения собеседований. Пожалуй, начнем.

Немного предыстории. На момент написания статьи являюсь студентом 3-го курса по направлению, никак не связанном с информационной безопасностью.

Год назад я решил пойти путем изучения разных аспектов сферы ИБ через курсы вендора (не стану рекламировать, мне за это не платили ). Для ориентира, приведу пример. Вендором вашего сертификата могут быть компании Google, Microsoft, Huawei, Microtik, IBM, Cisco или организации, которые напрямую занимаются подготовкой специалистов, такие как EC-Council, GIAC etc. Выбор вендора упирается в ваше направление последующей сертификации (или просто прохождения курсов ради знаний, в чем я особо не вижу смысла без подтверждения скиллов) и финансовым положением.

Далее пришло время попробовать устроиться на работу. После курсов я зарегистрировался на LinkedIn: здесь можно обзавестись и новыми связями, и найти новую работу. Заполнение профиля – это отдельная история, которая выходит за рамки этой статьи. В LinkedIn я и получил свое первое приглашение на собеседование (в личку мне написала рекрутер, мы договорились о времени и созвонились конфой с ней и тимлидом). Перед созвоном в голосовой связи меня набрала по телефону рекрутер, уточнила пару организационных моментов и спросила, что такое “пинг” и для чего применяется. Вакансия была что-то около InfoSec engineer, Blue Team, проще говоря.

Опустив все формальности, скажу, ожидаемо, прямо в конце собеседования я получил отказ, который аргументировался тем, что искали человека, на которого свалят бумажную волокиту, а я все же в большей степени технарь. Для должности технаря моих знаний было недостаточно. Вопросы были из рода основ (как я считаю), ничего сложного:

• Шифрование (симметрия, асимметрия, преимущества, недостатки, отличия, примеры, где применяется то или иное шифрование);
• Системы разграничения доступа (MAC, DAC, ABAC, RBAC etc) – здесь по сути ничего сложного, несколько аббревиатур из примера могут подходить к одной и той же системе разграничения доступа. Всего их 4 или 5. Одна комбинированная из предыдущих.
• OSI/ISO модель сетевого взаимодействия открытых систем. Не помню, был ли вопрос по ней конкретно на этом собесе, но на каждом последующем он был. Спрашивают обычно все 7 уровней, могут спросить два подуровня Data Link’a (2 уровень OSI) и погонять по протоколам, которые работают на разных уровнях.
• Без вопроса по ожидаемой ЗП не обходилось тоже ни одно собеседование. В этот раз его переформулировали в нечто: “Какие ваши ожидания по ЗП с момента устройства, через месяц, через год и через 5 лет?”.
• Отличие TCP от UDP.

В заключение этой части скажу, что технарь из компании и рекрутер были одними из лучших, с кем приходилось общаться. В конце рассказали, чего не хватает, почему отказ и в целом приятно было общаться. Всем таких работодателей.

Среди русскоговорящих работодателей выделять особо нечего. Потому дальше хочу рассказать, как проходили собеседования в зарубежные компании. Первое сразу дроп, по скольку технарь сразу задал вопрос о моем бэкграунде в пентесте и реверс инжиниринге (я не занимался ни тем, ни другим и не планировал). Первая беседа с англоговорящим работодателем далась сложновато, но мы друг друга поняли, т.к. для него английский тоже не был родным.

Вспоминается интервью во французскую компанию, где девушка рекрутер неплохо так погоняла на технические вопросы. Из интересных вопросов:

• Сетевое оборудование (объяснить что за железка и для чего она нужна);
• Сетевые протоколы (самое излюбленное – связка HTTP + SSL, отличия протокола и его защищенной версии и для чего применять. Но также могут спрашивать по DNS и DHCP).

При прохождении собеседования на позицию саппорта были вопросы на сообразительность. Например, прилетает тикет с сообщением, что у клиента ничего не работает или после нажатия кнопки все пропало. Нужно было рассказать ход своих действий, будто уже приняли на работу. Из более технических, вспоминается вопрос про самые интересные моменты в процессе обучения на курсах, что больше всего запомнилось и т.п.

Когда я рассказывал историю про лабу со взломом сервиса удаленного доступа (ssh или telnet, давно было ) через эксплуатацию его уязвимости на собесе в Red Team спрашивали про уязвимость, которую эксплуатировал, инструменты, версию сервиса и подобные вещи, в которых я не силен, честно говоря.

Резюмируя, скажу, что вопросы на Blue Team должности в большинстве своем пересекаются с Red Team вакансиями, если говорить о начальном уровне. Работодателю важно понимать, что потенциальный сотрудник знает хотя бы основы и они смогут говорить на “одном языке” с уже имеющейся командой. Вообще, всегда стоит смотреть на требования к идеальному кандидату. Большинство вопросов берется оттуда. Часто есть графа “Nice to have” или “Will be a plus”. Да, описание таких вакансий в 85% на английском, потому хотя бы база должна быть.

В мае-июне я хочу попробовать пройти собеседование в компанию, куда в последнее время есть огромное желание устроиться, но там все упирается в переезд. Если будет что-то интересное, дополню эту статью или напишу в этой же теме.

Это моя первая статья, если будут где-то ошибки или неточности, пишите в обсуждении, поправлю.