Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
- Пентестеры — так называемые «белые», или «этичные» хакеры. Они не взламывают ресурсы бизнеса незаконно. Вместо этого они работают на компании и ищут уязвимости, которые потом исправляют разработчики. Бывает, такие люди трудятся на окладе, или участвуют в программах Bug Bounty — когда бизнес просит проверить их защиту, обещая за найденные баги премию.
- Специалисты по разработке — такие специалисты участвуют в создании приложений и программ. Проще говоря, изучают архитектуру и готовый код и подсказывают, что здесь может быть ошибка или «форточка» для взлома. Банальный пример — оставить в форме ввода сайта возможность отправить SQL-инъекцию.
- Специалисты по сетям — они ищут возможные потенциальные и известные уязвимости в аппаратных и сетевых комплексах. Проще говоря, знают, как с помощью Windows, Linux или других систем злоумышленник может попасть в ваш компьютер и установить нужное ПО. Могут как найти возможность взлома, так и создать систему, в которую будет сложно попасть.
Есть ещё один вариант деления специалистов:
- Те, кто взламывает, и неважно, что именно, сети или программы. Их специализация — поиск ошибок и уязвимостей, этичный хакинг.
- Те, кто строит и поддерживает систему защиты. Именно этот вариант сейчас подразумевают работодатели, когда ищут специалистов по ИБ.
Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной
корпорации вы можете работать только с Kubernetes, не трогая больше ничего.
Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
- Изучить систему информационной безопасности в компании, разобраться, где есть явные уязвимости.
- Посмотреть общую ситуацию, узнать, кто в принципе может заинтересоваться взломом компании.
- Составить программу внедрения защиты. Решить, что исправлять сначала — например, настроить протоколы доступа, прописать скрипты защиты, настроить систему генерации паролей.
- Разобраться с продуктом — найти уязвимости в коде, составить техническое задание на устранение.
- Провести оценку системы защиты — провести согласованные атаки на сетевые ресурсы.
- Проанализировать мониторинг — узнать, кто интересовался системой, какими способами, как часто.
- Внедрить защиту для особо слабых узлов.
Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
- Много теории. Например, на курсах рассказывают много про особенности проектирования, про возможные уязвимости, но нет практических заданий. Это плохо — важно, чтобы вы могли сразу попробовать атаковать или защищаться.
- Только сети — если посмотреть на структуру таких курсов, то окажется, что это учеба для системных администраторов. Ничего плохого в этой профессии нет, но она всё-таки отличается от специалиста по ИБ. Сисадмин настраивает сеть, заботится о работоспособности парка техники, даже настраивает процесс непрерывной интеграции продукта вместе с DevOps. Специалист по ИБ же во всех этих процессах участвует с точки зрения внедрения системы защиты. Это разные профессии.
- Только взлом — на таких курсах много практической информации, и это хорошо. Но не забывайте, что сейчас работодатель платит в основном за внедрение защиты, а не только за пентесты.
Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
- Настроить сетевой стек.
- Провести аудит системы, проанализировать, какое место уязвимое.
- Атаковать сетевые ресурсы популярными способами и настроить систему защиты от таких атак.
- Настроить систему мониторинга и систему предупреждения о проблемах.
- Учитывать человеческий фактор в построении защиты.
Кроме этого, пригодится понимание криптографических и других методов защиты. Плюс разберитесь в нормативно-правовых актах в сфере ИБ, сфере ответственности государственных структур (ФСТЭК, ФСБ, Министерство Обороны, ЦБ).
Стек инструментов
Вот что нужно попробовать ещё до устройства на работу стажёром:
- Linux — сделайте свою сборку, почитайте о популярных уязвимостях самой системы и внутренних программ.
- Windows — пригодится умение настраивать как пользовательские, так и серверные решения. Знать, как проводить атаки через обновления, подмену драйверов или служебных утилит.
- DLP — попробуйте популярные технологии защиты утечек данных. Проще говоря, это программы, которые умеют блокировать запись на флешку или отправку в соцсети или на почту определённых видов данных. Например, Sophos или McAfee DLP.
- IDS — системы выявления сетевых атак. Такие инструменты, если их грамотно настроить, сообщат о срабатывании определённого правила. Например, попытки неавторизованного доступа или повышения прав определённого пользователя.
- SIEM — система, которая в реальном времени анализирует события в сетевых устройствах и реагирует при появлении настроенного правила. Проще говоря, смотрит, изменилось ли что-то в настройках, и если да — делает то, что придумал специалист по ИБ. Можно потрогать решения Splunk, IBM и LogRhythm.
- Kubernetes. Если вы умеете разворачивать кластер Kubernetes, работать с конфигурацией и сетевой безопасностью, то шансы устроиться стажёром в любую облачную компанию повышаются в разы.
Ещё пригодится знание методологий. Разберитесь в том, как работает DevSecOps. Это современная философия, которая позволяет внедрять защиту на любом этапе разработки продукта. Пригодится, если вы будете работать специалистом по ИБ в компании, занимающейся созданием продуктов.
Для старта в карьере не обязательно знать все технологии на уровне профессионала. Достаточно иметь общее представление о системе, не теряться в настройках и документации. Если условно — нужно знать, «как» сделать, а не «что» сделать.
- Научитесь выявлять уязвимости на всех этапах разработки
- Сможете определять, откуда ждать угроз, как их минимизировать и расследовать последствия атак
- Изучите необходимые нормы законодательства, чтобы действовать в рамках закона
Сколько зарабатывают такие специалисты и насколько они востребованы
Средний заработок у специалистов по защите данных по данным «Хабр Карьеры» — порядка 125 тысяч рублей. Но это общая сумма для всех уровней и компаний. Есть те, кто начинает с 50 тысяч рублей, а есть и вакансии руководителей с доходов в 300–400 тысяч.
Рост в зарплате
Вот типичная картина на сайтах с вакансиями:
- Начинающий специалист в Москве зарабатывает порядка 50-60 тысяч — это стажёр без опыта работы.
- Junior-позиция — есть вакансии по 60–80 тысяч.
- Полноценный специалист по информационной безопасности с опытом 1-2 года — 100–150 тысяч.
- Специалист с опытом в 3-5 лет — 150–200 тысяч.
- Руководитель — 200 тысяч и выше.
Востребованность
Спрос на специалистов по информационной безопасности высокий — только на HeadHunter обычно ищут по 800–900 таких людей. Если добавить другие названия профессии, например, администраторов защиты или компьютерных «безопасников», то получается порядка 2 000 вакансий.
В основном предложения от 150 тысяч в Москве или Санкт-Петербурге. В регионах специалист с опытом в 1–2 года может рассчитывать на 50–120 тысяч.
Работать удалённо предлагают только высококлассным специалистам — например, встречаются такие вакансии с доходов по 250–350 тысяч рублей. В основном же инженер защиты работает в офисе.
Что почитать по теме
Вот подборка литературы, которая поможет лучше разобраться со сферой информационной безопасности. Но читать её стоит параллельно с курсами — только на теории дойти до уровня стажера не получится.
- Scott Donaldson. Enterprise CybersecurITy: How to Build a Successful Cyberdefence Program Against Advanced Threats — шаблон/методичка для создания плана внедрения системы ИБ. Актуальна для крупных компаний и промышленных предприятий. Но даже если работаете в малом бизнесе — полезна для понимание общей картины создания защиты.
- Jim Bird. DevOpsSec — книга рассказывает о том, как построить процессы внедрения ИБ, не заставляя разработчиков и тестировщиков страдать.
- RTFM: Red Team Field Manual — подборка сценариев взлома для пентестеров от компании, которая зарабатывает на «белом» хакинге.
- SecurITy for Web Developers — популярные методы взлома и защиты веб-страниц.
- Михаэль Кофлер «Linux. Установка, настройка, администрирование» — поможет разобраться в принципах работы и администрирования на Linux.
В рубрике «ЭтоИзи» на YouTube-канале Нетологии рассказали об ошибках в кибербезопасности и как их избежать.
Курс Нетологии «Специалист по информационной безопасности»
Вы научитесь:
- выстраивать процесс выявления уязвимостей на всех этапах разработки;
- определять, откуда ждать угроз, как их минимизировать и расследовать последствия атак;
- изучите необходимые нормы законодательства, чтобы действовать в рамках закона.
Мнение автора и редакции может не совпадать. Хотите написать колонку для Нетологии? Читайте наши условия публикации. Чтобы быть в курсе всех новостей и читать новые статьи, присоединяйтесь к Телеграм-каналу Нетологии.