Спогади про пошук власного шляху в кібербезпеці (коли було нічого не зрозуміло, але дуже цікаво), надихнули Application Security Engineer Ангеліну Коваленко поділитися своїм досвідом із початківцями. Стаття Ангеліни допоможе розібратися, хто такий Security Specialist, чим він займається, скільки заробляє, у яких напрямах кібербезпеки може працювати та які навички йому потрібні.
Трохи про мій досвід
Усім привіт, мене звати Ангеліна Коваленко, я — Application Security Engineer в IT-компанії Master Of Code Global, маю приблизно п’ять років досвіду в цій сфері.
На другому курсі навчання в КПІ я задумалась про пошук роботи. З кібербезпеки тоді було лише кілька предметів: я вивчала, що таке CIA-тріада і SQL-ін’єкція, не більше. Мене спокушали ласі вакансії для Trainee Python або інші програми інтернатур для програмістів. Власне, 90% випускників моєї кафедри ними й стали. Це непогано, але ж ми все-таки вчились на кібербезпеці 🙂
Зрештою я натрапила на пропозицію пройти практику у відділі ризиків однієї з компаній Big4 (чотири найбільші у світі аудиторські компанії: Deloitte, PwC, Ernst & Young і KPMG — прим. ред.). Після всіх етапів відбору, перед якими я переглядала відео “Cyber Security Full course in 15 hours” (нікому не раджу дивитись подібне), омріяна робота була моя. Але замість хакерських штучок довелося готувати документацію, перекладати тексти й читати попередні звіти.
Після цього я зрозуміла, що вчитися маю сама. Самостійний шлях — дуже тернистий і сповнений помилок. Кілька разів (хоча кого я обманюю — доволі часто) я впадала у відчай від того, що не розуміла, як рухатись і куди, що вчити, що читати. Спогади про це надихнули мене написати дану статтю, що буде корисною студентам спеціальності «кібербезпека» або світчерам, які лише відкривають для себе цей потаємний світ.
Хто такий Security Specialist і чому він — не Юлій Цезар
Загалом фахівець із кібербезпеки — це спеціаліст, який забезпечує захист IT-систем від зламів і шкідливого програмного забезпечення: допомагає уникнути витоків інформації, запобігає хакерським атакам, розробляє системи захисту даних тощо.
«Мабуть, такому спеціалісту багато платять», — подумаєте ви й матимете рацію. Хороший фахівець із кібербезпеки зараз на вагу золота, оскільки попит зростає, а кількість нових професіоналів збільшується повільно. Тож рівень оплати зазвичай гідний: Junior — $500-1500, Middle — $2000-4500, Senior — $5000+. Універсального прайсу не існує: компанії можуть пропонувати фахівцям на одній і тій самій посаді зарплату з різницею в кілька разів. Усе залежить від конкретного спеціаліста та його навичок.
Варто розуміти, що універсального бійця-кіберзбезпеківця не існує. Security Specialist не може одночасно розв’язувати геть усі проблеми безпеки в цифровому світі, ніби якийсь Юлій Цезар. У кібербезпеці є чотири основні напрями роботи: SOC, Audit, Penetration Testing, Application Security. Спеціалісти всіх напрямів мають шалений попит на ринку праці як серед продуктових чи консалтингових компаній, так і серед державних установ. Вакансій для початківців без досвіду небагато (спойлер), але хто шукає та докладає зусиль, той завжди знайде.
До речі, про пошук роботи. Раджу обов’язково перевірити у відкритих джерелах, чи легально працює компанія, що робить вам пропозицію роботи. Якщо є сумніви або у вакансії розмито прописані майбутні завдання, ліпше не ризикуйте та шукайте інше місце. Бо трапляються недоброчесні організації, де люди працюють, не підозрюючи, що «ламають» системи без відповідних дозволів від компанії, яку тестують. А потім при перетині кордону виявляється, що вони вважаються злочинцями в тій чи іншій країні. Загалом раджу дуже ретельно дотримуватись букви закону, якщо займаєтесь даною професією.
А тепер давайте детальніше розглянемо кожен із напрямів кібербезпеки.
SOC (Security Operations Center)
Цей напрям передбачає спостереження за системою і вчасне реагування на сигнали тривоги. Security Operations Center займається моніторингом та журналюванням контролю вразливостей, потенційних ризиків, їх аналізом та виробленням рішень щодо їх усунення. Тут необхідно вміти трішки кодувати, мати високу пильність і надзвичайне терпіння. А ще — вміти працювати в будь-який час доби, адже такі спеціалісти чергують навіть уночі.
Що ще потрібно SOC-спеціалісту:
- знати принципи побудови та функціонування мереж і протоколів стека TCP/IP та інших;
- мати досвід чи навички адміністрування сучасних засобів та систем захисту;
- розуміти основи криптографії;
- мати досвід чи навички роботи з мережевими сканерами та сканерами безпеки хоста;
- вміти налаштовувати інструменти моніторингу — Next-Generation Firewall (Palo Alto), Netwrix тощо.
Розвиток у професії — вертикальний: є декілька рівнів SOC-спеціалістів.
Поріг входу — 2\5: навички можна здобути самому і в університеті.
Зроблю маленьку ремарку про вищу освіту. Чому багато хто вважає, що університет для таких професій не потрібен взагалі? Бо не стикалися з певною «стелею» в розвитку. Та сама вища математика розвиває логічне мислення й дозволяє вашому мозку не «затверднути». Деякі лекції з криптографії чи комп’ютерних мереж теж можуть бути корисними, бо що не вакансія — то вимога «знання функціонування мереж». А фахові предмети допоможуть вам краще розуміти самі принципи й основи, закладені в понятті кібербезпеки. Тож не цурайтесь вищої освіти як такої — вона може не все вам дати, але з неї, безсумнівно, є користь.
Audit
Спеціалісти напряму IT Audit діляться на дві категорії:
- внутрішні — ті, хто є аудиторами власної компанії, тобто розробляють основи безпеки для своєї організації;
- зовнішні аудитори — ті, хто перевіряють, наскільки добре працює відділ безпеки іншої компанії, та роблять із цього висновки.
Діяльність внутрішніх аудиторів часто пов’язана з SOC: вони розробляють плани реагування на кіберінциденти, надають рекомендації щодо покращення методів моніторингу тощо. У перелік робочих обов’язків аудиторів також входить проведення навчань серед співробітників і контроль за дотриманням нормативних вимог щодо безпеки.
Що потрібно ІТ-аудитору:
- добре знати теорію кібербезпеки, розуміти, які процеси мають відбуватися в компанії з погляду кібербезпеки та як їх корегувати;
- глибоко розуміти технології безпеки, зокрема SIEM, EDR, SOAR/IRP, IDS/IPS, TIP тощо;
- мати досвід чи навички роботи з нормативними вимогами щодо безпеки, такими як NIST, PCI/DSS, ISO 27001, НБУ;
- мати сильні навички в ІТ та мережі, розумітися на загальних корпоративних технологіях — Windows і Windows Active Directory, Linux, Cisco, хмарних рішеннях тощо.
Розвиток у професії — як горизонтальний (можна залишатись на цій позиції й лише вдосконалювати свою майстерність), так і вертикальний (можна вирости до рівня Senior або розвиватись далі як IT Security Officer). Для вертикального розвитку потрібні будуть сертифікації, такі як CEH, CISSP тощо.
Поріг входу — 1\5: навички можна отримати на курсах із кібербезпеки в університеті.
Якщо хочете розвиватись як аудитор і не маєте досвіду, найкращим виходом буде влаштуватись на посаду Trainee IT Auditor у велику компанію, наприклад в одну з компаній Big4 — вони часто публікують вакансії на цю позицію.
Penetration testing
Ось тут нарешті мова йтиме про роботу «білого» хакера. Чому «білого»? Бо не «чорного» — «чорні» хакери займаються кримінальною діяльністю, зламуючи системи заради шантажу, власного блага чи блага зловмисної організації, а тому з цією професією ми ніяк не будемо їх пов’язувати.
Ви, мабуть, бачили у фільмах хакерів: зазвичай вони носять худі з капюшоном, екраном їхнього компа бігають зелені символи, як у «Матриці», і вони зламують будь-яку систему (навіть Пентагону) за кілька хвилин. Але реальність інша.
Penetration tester (по-народному — пентестер) займається емуляцією (відтворенням) атаки на визначену систему чи застосунок і намагається знайти найбільшу кількість вразливостей за визначений проміжок часу. Після виявлення вразливостей спеціаліст описує їх у звіті та віддає замовнику.
Наче все просто, але навички для роботи мають бути дуже глибокі. До того ж пентестер, який займається, наприклад, вебзастосунками, не може без необхідного навчання протестувати мобільні застосунки чи AWS Cloud і навпаки.
Що потрібно Penetration Tester (основні навички):
- практичні та глибокі знання у таких галузях, як апаратне забезпечення, мережі, вебтестування та пентестування мобільних застосунків, розробка фаззерів або зворотне проєктування;
- практичні навички роботи з Python, Bash або іншими мовами сценаріїв;
- розуміння мережевих і вебпротоколів;
- знання англійської мови для письмової та усної комунікації — потрібно читати технічну документацію та складати звіти про вразливості англійською.
Розвиток у професії — як горизонтальний, так і вертикальний: можна все життя розвиватись як пентестер в одній галузі, але є можливість перерости в універсального бійця, який стане Team Lead або Tech Lead.
Поріг входу — 4\5: початківцю дуже важко знайти вакансію, необхідно проходити стажування та онлайн-курси (наприклад на платформі INE), а для розвитку знадобляться сертифікації.
Application Security
А тепер перейдемо до напряму, яким я нині живу і який дуже люблю, а ще більше полюбляю про нього розказувати. Він охоплює майже всі перераховані вище професії: тут потрібно і розуміти концепти кібербезпеки, і проводити пентест, і реагувати на кіберінциденти, і проводити навчання, і «читати» код, тобто мати певні навички програмування, а ще потрібно вміти комунікувати з людьми.
Спеціалісти Application Security відповідальні за безпеку одного чи всіх продуктів компанії. Якщо пентестер найчастіше не переймається, що буде з продуктом після проведення його оцінки, то Application Security Engineer бере участь у плануванні, розробці, тестуванні та складанні плану усунення помилок протягом усіх етапів SDLC (System/Software Development Life Cycle, тобто життєвий цикл системи / програмного забезпечення — прим. ред.). До такого фахівця розробники можуть звертатися за порадою, як у конкретному випадку зробити правильно з погляду безпеки.
Що потрібно Application Security Engineer:
- досвід або знання безпеки застосунків;
- тверде розуміння основ безпеки, таких як автентифікація, авторизація, перевірка даних, шифрування, забезпечення безпеки;
- добре розуміння архітектури програмного забезпечення та технологій (зокрема архітектури вебзастосунків, архітектури операційних систем, хмарної архітектури, стеку TCP/IP, процесів розробки програмного забезпечення);
- бути знайомим з концепціями безпеки — застосунками / стандартами / законами / найкращими практиками (OWASP, CIS, NIST SP 800, серія ISO 27K тощо);
- досвід або знання з тестування безпеки, моделювання загроз застосунків та оцінки ризиків безпеки систем / застосунків;
- досвід тестування безпеки конфігурації, сортування результатів безпеки та знання моделювання загроз та оцінки ризиків безпеки застосунків;
- здатність пояснити проблеми безпеки інженерним групам;
- досвід використання популярних інструментів тестування безпеки (Acunetix, Burp, OWASP ZAP, Nessus/ Tenable.io тощо).
Розвиток у професії — горизонтальний, але є можливість перейти до позицій Tech Lead. Розвиток потребує багатьох інвестицій — як грошових (у платформи для навчання), так і часових.
Поріг входу — 4\5: трапляються вакансії для початківців, проте знайти їх дуже важко. Краще починати розвиток з іншого напряму кібербезпеки, як-от Penetration testing чи Audit.
Ось і все, що я хотіла розповісти про різноманіття й особливості професій, які охоплює поняття Security Specialist. Усі оцінки є моєю суб’єктивною думкою, були сформовані з особистого досвіду, відчуттів і досвіду моїх колег, ви можете з ними не погоджуватись.
Бажаю вам успішного пошуку себе в даній сфері. І пам’ятайте: на початку кар’єри нормально відчувати себе дещо розчарованим від того, що це не схоже на роботу хакерів у фільмах. Почуватися трішки тупішим за інших колег теж окей. Усе прийде з досвідом. Порада, яку гуру кібербезпеки найчастіше дають іншим і яку популяризувала одіозна організація Offensive Security, звучить так: “Try harder”.
А наостанок ловіть перелік корисних ресурсів для початківців.
- Біблія для пентестера, або Що почитати у вільний час.
- Книжка «Black Hat Python: програмування для хакерів і пентестерів».
- Лабораторні для практикування.
- Джерело знань від Portswigger.
- Ютуб-канал проходження лабораторій.
- Крутий ресурс із курсами від eLearnSecurity.
- Детальний огляд топ-10 вразливостей за версією OWASP.
Шукаєте роботу в ІТ?
Маємо багато вакансій для різних спеціалістів, зокрема і в ІТ-сфері 👉
ВакансіїЧитайте також про інші ІТ-професії
Хто такий Back-end розробник і як ним стати? Короткий гайд професією
Хто такий QA automation engineer та як ним стати
Хто такий девопс? Що робить і скільки заробляє DevOps Engineer
Спасибо!
Теперь редакторы в курсе.