Специалист по информационной безопасности — это рамка, которая включает в себя сразу несколько профессий. Можно быть сотрудником, который защищает компанию, или пентестером, который нападает, чтобы найти уязвимости. Можно расследовать киберпреступления — это тоже работа в инфобезе.
Разбираемся, кем можно работать в информационной безопасности и какие навыки для этого нужны, вместе с экспертом.
Информационная безопасность: что это за профессия и кем в ней работать
Информационная безопасность — это система защиты конфиденциальности данных компании или отдельных пользователей.
Данные — ключевая часть любой организации. Условно их можно разделить на несколько кластеров. Первый – персональные данные пользователей, например, пароли, номера банковских карт, истории заказов. Второй кластер – рабочий код, на котором продукт написан. Третий — данные из локальной бизнес-сети. К ним относятся турникеты, камеры видеонаблюдения, телефония, компьютеры, принтеры. Любой из этих уровней могут хакнуть злоумышленники и завладеть данными. Что они будут делать дальше с полученной информацией — это уже вопрос к хакерам.
специалист по тестированию на проникновение
Небольшой интернет-магазин может стать источником утечки персональных данных покупателей, в том числе данных карты или документов. Большое промышленное предприятие, на котором много автоматизированных процессов, может остановиться из-за хакерской атаки. Поэтому крупные корпорации и малый бизнес нуждаются в специалистах по информационной безопасности. Именно кибербезопасники ищут слабые места в корпоративной базе данных или на сайте, защищают экосистему бизнеса от угроз, тестируют и предупреждают взломы в оборудовании, локальных сетях или коде.
Кем можно работать в информационной безопасности?
Сфера информационной безопасности включает в себя много профессий. Обозначим те, которые наиболее на слуху:
- Аналитики из SOC (Security Operations Center). Они следят за подозрительными активностями в компьютерных сетях и реагируют на них.
- Специалисты по тестированию на проникновение (Penetration Tester). Они тестируют сеть, приложение, инфраструктуру компании на проникновение, находят уязвимости и оценивают уровень текущей защиты.
- Инженеры по безопасности приложений (Application Security Engineer). Они следят за безопасностью веб-приложений и ПО на всех стадиях разработки.
- Инженеры по безопасности сетей. Строители цифрового мира. Вся их работа направлена на то, чтобы данные в сети были надежно защищены от кибератак.
Я поступил в университет на информационную безопасность, потому что это звучало круто. Параллельно с учебой я работал сетевым инженером. В пул моих задач входила настройка оборудования, а также автоматизация различных процессов с помощью Python. Двигаться в сетевое направление, где надо обслуживать оборудование, оптимизировать его, мне не очень хотелось. Поэтому я решил выбирать между двух профессий: пентест или программирование. На тот момент мне нравились обе сферы, но белый хакинг показался чуть более интересным или даже романтичным. Чуть позже я открыл для себя CTF (Capture The Flag, или «Захват флага» — соревнования с упором на прикладные задачи по кибербезопасности) и осознал, что тестирование на проникновение мне интереснее, чем программирование. Я получаю куда больше удовольствия от найденного бага, нежели от написанного и составленного кода. Так из сетевика я переквалифицировался в веб-пентестера.
специалист по тестированию на проникновение
Что должен знать и уметь специалист по информационной безопасности?
Для каждой подпрофессии в информационной безопасности нужен специфический набор навыков и инструментов. Однако есть базовые знания и умения, на которых строится дальнейшая специализация. Перечислим их:
- Понимание архитектуры ПО и сетей: как работают разные приложения и сервисы, где в них могут быть уязвимости.
- Настройка безопасности систем и сетей, анализ защищенности инфраструктуры.
- Знание принципов функционирования OC Linux, систем управления контейнерами и микросервисной архитектуры, облачной безопасности.
- Умение обнаруживать и останавливать кибератаки на системы.
- Аналитика и расследование инцидентов.
- Программирование на Python, работа с Bash и Powershell.
Даниил Козин рекомендует начинающим инфобезопасникам работать именно с Python. Это простой язык, на котором можно быстро написать скрипты автоматизации. Также большинство программ для атак на ПО пишут на Python.
Помимо технической базы не будет лишним английский, большинство документации все еще не перевели. Знание языка в разы ускорит процесс погружения в профессию. Что же касается софт скиллов, на мой взгляд, важны азарт и вера в себя. Азарт в нашей профессии — неустанно предлагать возможные сценарии, не бояться смотреть на вещи под другим, даже самым странным углом. Специалист идет по следу кода, а сложности не выбивают из него задор, интерес к тестированию. Под верой в себя я понимаю способность не опускать руки. Если у тебя не получилось найти RCE (критическую уязвимость, которая позволяет дистанционно запустить вредоносный код в системе), то это не значит, что ты плохой специалист. Это значит, ребята из другой команды хорошо поработали и придумали тебе интересный квест. Просто верь в себя и делай дальше.
специалист по тестированию на проникновение
Инструменты специалиста по информационной безопасности
У каждого специалиста по кибербезопасности найдутся свои фавориты, поэтому разделим необходимые инструменты по назначению:
- Для мониторинга сетей: Argus, Nagios, OSSEC.
- Для обнаружения атак: Acunetix, Forcepoint, Snort.
- Для сканирования уязвимостей в вебе: Burp Suite, Nessus Professional, Nmap.
- Для аудита паролей: Cain and Abel, John the Ripper.
- Для защиты сетей: Aircrack-ng, KisMAC, Netstumbler.
- Для пентеста: Metasploit.
- Для шифрования: KeyPass, Tor.
Расскажу про инструменты, которые использую в веб-пентесте. Burp Suite — швейцарский нож для пентестера. Это интегрированная платформа, где можно тестировать безопасность веб-приложений как в ручном, так и в автоматическом режиме. Плюс она работает на всех популярных операционных системах. Кстати, недавно на русском языке вышла книга, которая подробно и системно объясняет, как работать с этим инструментом: «Полное руководство по Burp Suite», Sagar Rahalka. Nmap — инструмент для сканирования сети, наверное самый популярный мире пентеста. Metasploit – мощный фреймворк, где есть множество модулей и эксплоитов для атак на различные уязвимости как веб-приложениях, так и в операционных системах. Ffuf – отличный фаззер для перебора директорий, поддоменов, параметров. Он отлично подойдет для автоматизированного тестирования веб-приложений на наличие скрытых ресурсов, уязвимостей и других проблем безопасности. Различные наборы словарей и пэйлоадов. Мой фаворит — SecLists. Это набор сгруппированных чек-листов по контексту, например, по паролям, пользователям, директориям, поддоменам, SQL-инъекциям.
специалист по тестированию на проникновение
Также для старта в работе специалисту по кибербезопасности понадобится компьютер, который соответствует минимальным требованиям. О том, как найти хорошее железо для новичка или идеальный инструмент пентестера, мы рассказали в статье.
Сколько зарабатывает специалист по информационной безопасности?
Конечно, уровень зарплаты — это колеблющаяся величина. Даже у начинающего специалиста она может меняться от региона к региону. Играют роль образование, личные и профессиональные умения и навыки, размер компании и будущие обязанности.
По данным Хабр.Карьеры за второе полугодие 2023-го средняя зарплата специалиста по инфобезу — 120 000 рублей.
Все идет к тому, что зарплаты в информационной безопасности в России будут расти, также для инфобезопасников будет много возможностей карьерного роста. Отечественные компании все чаще сталкиваются с утечками и кибератаками. В 2023 году количество сливов персональных данных российских пользователей со стороны финансовых организаций увеличилось в 3,2 раза по сравнению с 2022 годом.
Плюсы и минусы в работе пентестера
Конечно, как в любой профессиональной сфере, в информационной безопасности есть свои плюсы и минусы. Из плюсов я бы отметил постоянное развитие и прокачку экспертизы. Быть пентестером — значит следить за новыми трендами в ИБ и учиться каждый день. Кроме того, если любите головоломки, инфобез может стать вашей любимой работой. Захватывающих загадок здесь очень много. Также важный плюс — удовольствие, что провел успешную атаку. Успешная атака — это награда за неустанный интерес, азарт и трудолюбие. Если говорить о главном минусе, то он частично вытекает из плюса: пентестер должен быть постоянно в тонусе. У хакеров нет выходных или праздников, они придумывают способы взлома ежесекундно. Кому-то такой ритм не подходит.
специалист по тестированию на проникновение
