Где искать опыт в информационной безопасности: стажировки, хакатоны, песочницы

По разным данным, в 2024 году количество вакансий в сфере информационной безопасности выросло на 17–50%. Растут и зарплаты специалистов в этой области: в зависимости от должности, медианная зарплата колеблется от 146 до 450 тысяч рублей в месяц.

В этой статье рассказываем, как набраться опыта в ИБ и где пройти стажировки.

Стажировки

Работа в кибербезопасности сейчас востребована: в России дефицит кадров в IT, поэтому компании охотно берут начинающих специалистов на стажировки.

Присмотреться стоит прежде всего к крупным IT-компаниям и вендорам (разработчикам ИБ-продуктов). Вот несколько примеров реальных стажировок и их условий.

Яндекс — IT-гигант

• Длится от 3 до 6 месяцев.
• Нужно пройти тестовое задание, два технических собеседования и интервью с сотрудниками.
• Кандидатам из небольших городов могут оплатить перелет и проживание в Москве.
• Ожидают кандидатов с базовым уровнем знаний в ИБ, которые хотят дальше развиваться в этой сфере.

Solar — вендор

• Набирают студентов 3–5 курсов.
• Ищут стажера-аналитика SOC.
• Занятость от 20 часов в неделю.
• Нужно пройти внутренние онлайн-курсы и сдать экзамен, после этого — интервью и офер.

Innostage — разработка и ИБ-консалтинг

• Не оплачивается.
• Длится 2–3 месяца.
• Гибридный формат от 20 часов в неделю.
• Ищут студентов-айтишников 3–4 курсов.
• Можно выбирать из разных специализаций.

Jet Security — ИБ-интегратор

• Подойдет студентам-айтишникам последних курсов.
• Оплачиваемая стажировка.
• Занятость от 25 часов в неделю.
• При отборе нужно пройти собеседование и решить кейс.
• Ищут ИБ-инженеров, консультантов по кибербезопасности и пресейл-инженеров.

Вакансии и стажировки в ИБ можно мониторить в этих телеграм-каналах:

• RuSecJobs;
• Вакансии в ИБ.

Хакатоны

Хакатон — это командное соревнование, где участники вместе решают прикладные задачи в сжатые сроки. В сфере ИБ это, например, поиск и анализ уязвимостей или разработка ИБ-продуктов.

С помощью хакатонов компании получают реальные решения и рекрутят IT-специалистов. Для новичков хакатоны полезны прежде всего тем, что на них можно посмотреть на реальные задачи, которые актуальны компаниям. И, конечно, это отличный шанс получить опыт: протестировать свои скилы и получить фидбек от менторов.

Найти российские хакатоны можно на агрегаторе Codenrock или на портале Хакатоны.рф. За зарубежными хакатонами можно следить в календаре Devpost.

Соревнования

Самый распространенный формат соревнований по кибербезопасности — это CTF (Catch The Flag). Они делятся на два типа:

• Jeopardy — участникам дают список тасков по кибербезопасности, а «флаг» — это подтверждение того, что человек справился с ними. Сами задачи могут быть разными: от выявления уязвимостей в сетевом трафике до дешифровки данных. Как правило, флаг — это строка с кодом или файл.
• Attack-defense — каждая команда получает свой сервер с встроенным набором уязвимостей. Нужно одновременно защищать свою инфраструктуру и атаковать чужие сервера и захватывать их «флаги».

Кстати, полезно не только участвовать в соревнованиях, но и читать про прошедшие CTF: по завершении участники часто публикуют райтапы на GitHub, где анализируют ход своей работы и допущенные ошибки.

Следить за календарем соревнований в России можно здесь. А за рубежом CTF регулярно проводят как независимые проекты, так и гиганты-корпорации вроде Google.

Онлайн-тренажеры и песочницы

Песочница — это изолированная среда, в которой можно безопасно отрабатывать атаки и изучать вредоносный код. Песочницами пользуются не только новички, но и опытные пентестеры. Среди популярных пентест-инструментов — OWASP ZAP, Kali Linux, OpenVAS и Metasploitable2.

Для тех, кто только начинает путь в ИБ, подойдут песочницы-лаборатории. Это учебные платформы, где юзеру выдают упражнения по кибербезопасности:

• HackTheBox — пожалуй, самая популярная песочница-тренажер. Подойдет как новичкам, так и специалистам. У HackTheBox есть активное комьюнити на Discord, где участники вместе разбирают лабораторные задания, обмениваются опытом и дают советы.
• TryHackMe — еще одна популярная платформа-песочница. Задачи запускаются в браузере. Бесплатно можно освоить основы сетей, криптографии и пентеста. Из приятного — геймификация: за выполнение заданий начисляются баллы и достижения.
• OverTheWire — серия CTF-игр. Все задания решаются через терминал с помощью SSH. На старте юзер учится работать в Linux, с правами доступа и файлами, а потом переходит к шифрованию и сетям.
• CyberDefenders — образовательная платформа для аналитиков SOC. Есть задачи по работе с логами, обнаружению атак и с инструментами вроде Splunk или Wireshark.
• CTFLearn — задачи для новичков и любителей по криптографии, веб-безопасности, анализу файлов и реверс-инжинирингу.

Полезные ресурсы для самообразования

Базы данных

• OWASP Top 10 — основа основ о ключевых уязвимостях веб-приложений. Их знание часто прописывают в требованиях к стажировкам.
• MITRE ATT&CK — огромная база знаний о поведении злоумышленников и атаках. Маст-рид для моделирования угроз.
• ITsecwiki — удобная вики с инструментами, примерами и шпаргалками для CTF и пентеста. Особенно полезна для подготовки к соревнованиям.
• Red Team Village — база знаний об инструментах и тактиках атак.

Курсы

• Курс по белому хакингу с нуля от Skillfactory.
• Информационные технологии и их безопасность — онлайн-курс от Иннополиса.
• Бесплатные англоязычные курсы по кибербезопасности от Coursera.

Телеграм-каналы с упором на практику

• Life-Hack.
• Кавычка.
• CyberYozh.
• Codeby.
• Анонсы лучших ИБ мероприятий.
• Записки Безопасника.
• Библиотека хакера.

Youtube-каналы

• spbCTF — разборы тасков с соревнований и ликбез-лекции.
• NetworkChuck — обзоры на ИБ-продукты и софт.
• The Cyber Mentor — лайфхаки и ликбез для новичков.

Информационная безопасность — сфера с высоким спросом, где ценится практический опыт. Получить практику в ИБ можно на хакатонах, соревнованиях и стажировках. А еще для новичков есть отличные ресурсы и инструменты — онлайн-лаборатории, песочницы и онлайн-курсы.