Глава 5 Устранение пробелов в способностях

Книга: Путеводитель по карьере в кибербезопасности

Назад: Глава 4 Выбор наименее исхоженного пути

Дальше: Глава 6 Резюме, заявления и собеседования

Глава 5
Устранение пробелов в способностях

В этой главе

• Знакомство с сертификатами по кибербезопасности, определение их ценности и целесообразности их получения

• Понимание того, как прохождение академических программ по кибербезопасности влияет на поиск работы

• Приобретение практических навыков с помощью менее формального и самостоятельного обучения

Меня, как наставника людей, желающих построить карьеру в сфере кибербезопасности, часто спрашивают, какую программу обучения или сертификации следует пройти. Готовясь начать карьеру, человек в первую очередь думает о технических навыках, необходимых для трудоустройства. В предыдущей главе вы научились проводить самоанализ, выбирать подходящее для себя карьерное направление и выявлять пробелы в навыках. Теперь, когда у вас есть четкое представление о том, какие технические способности требуют совершенствования, пришло время изучить способы устранить эти пробелы.

Ранее я уже говорила, что сообщество специалистов по безопасности не может предоставить тем, кто желает работать в этой сфере, четкого представления о том, как это сделать. Спросив разных специалистов, с чего лучше всего начать, вы наверняка получите разные ответы. Я считаю, что многие из этих людей искренне хотят помочь, но, к сожалению, не обладают достоверной информацией.

На протяжении многих лет лидеры в сфере кибербезопасности полагали, что талантов не хватает, поскольку нет соответствующих академических программ. Чтобы решить эту проблему, темы кибербезопасности включили в планы учебных курсов различных уровней вплоть до начального. Колледжи и университеты запустили полноценные программы, направленные на получение ученой степени в сфере кибербезопасности, а в некоторых случаях даже посвященные конкретным направлениям этой сферы. Однако из-за самой природы таких программ знания выпускников часто оказывались слишком общими или устаревшими.

В связи с этим некоторые опытные и благонамеренные наставники стали рекомендовать начинающим специалистам пройти сертификацию, чтобы получить навыки, необходимые для трудоустройства. И люди принялись получать сертификаты по кибербезопасности. Если это не давало нужного результата, они получали дополнительные сертификаты. Довольно быстро отрасль наводнили кандидаты на должности начального уровня, обладающие множеством сертификатов, но не имеющие опыта работы. В результате специалисты стали говорить им, что в сертификатах нет смысла без опыта, и рекомендовать применять знания на практике.

В последнее время опытные профессионалы советуют новичкам участвовать в учебных мероприятиях. Зачастую — в соревнованиях типа CTF (Capture the Flag), где участники или команды пытаются использовать уязвимости, чтобы найти скрытые флаги и заработать тем самым очки. Еще одна распространенная рекомендация — участвовать в хака-тонах, где, как правило, целые группы реализуют инициативу, связанную с обеспечением безопасности. Некоторые специалисты предлагают новичкам создавать собственные виртуальные лаборатории, чтобы экспериментировать с защитными технологиями и методами наступательной безопасности.

К сожалению, в корпоративной среде, где описания должностей содержат требование опыта, рекрутеров интересует стаж, который трудно подтвердить участием в этих неформальных образовательных мероприятиях. В результате люди, желающие начать карьеру в сфере, где им не хватает навыков, не понимают, куда им идти.

Головоломка под названием «Мне нужен опыт, чтобы получить работу, но мне нужна работа, чтобы получить опыт» десятилетиями осложняла поиск талантов в сфере кибер безопасности. К сожалению, несмотря на усилия многих специалистов, из-за громких случаев утечки данных требования компаний к кандидатам ужесточились, что только усугубило ситуацию.

Эта глава поможет вам взглянуть на такие трудности с точки зрения соискателя и преодолеть их. В частности, мы поговорим о навыках и опыте, представляющих наибольшую ценность для кандидата на должность начального уровня, и о лучших способах продемонстрировать эти навыки потенциальным работодателям.

5.1. Алфавитный суп из сертификатов по кибербезопасности

Если вы задумывались о карьере в сфере кибербезопасности, то наверняка знаете о существовании бесчисленного множества сертификатов. Различные звания, присваиваемые сторонними организациями профессионалу и подтверждающие его владение навыком или набором навыков, упоминаются в описаниях множества должностей. Многим новичкам кажется, что получить один, два или даже десять сертификатов — отличный способ подготовиться к работе. Однако, как было сказано в главе 3, результаты моего опроса свидетельствуют, что корреляции между наличием отраслевого сертификата и более коротким периодом трудоустройства нет.

Несмотря на это, сертификат играет большую роль при поиске работы, особенно первой. В конце концов, большинство работодателей просят, а многие даже требуют его наличия по тому или иному направлению — это ли не веская причина его получить. С учетом всего кажется, что пройти сертификацию — очевидный первый шаг для начинающего специалиста. Однако не все так просто.

В огромном количестве доступных вариантов очень легко запутаться. Чтобы выбрать сертификат, недостаточно найти самое часто упоминаемое звание в описаниях должностей. Во многих программах сертификации есть требования к знаниям, опыту и имеющимся сертификатам. Следующая диаграмма может дать вам некоторое представление о сложности выбора подходящего сертификата по кибербезопасности.

Рис. 5.1. На этой диаграмме перечислено множество распространенных сертификатов по кибербезопасности, актуальных на разных этапах карьерного роста

Выбрать сертификат гораздо сложнее, чем кажется, но этот выбор может стать важным шагом при поиске первой работы в сфере кибербезопасности. Поэтому имеет смысл рассмотреть наиболее распространенные сертификаты и понять, как они вписываются в общий процесс построения карьеры.

5.1.1. Обзор программ сертификации по кибербезопасности

Прежде чем обсуждать конкретные сертификаты, давайте поговорим о целях программ и о том, почему их так много. Кибербезопасность и ее предшественница информационная безопасность не всегда были общепризнанными дисциплинами, какими считаются сейчас. Многих из доступных сегодня формальных обучающих программ просто не существовало. Даже теперь они часто не позволяют должным образом подготовить специалистов по кибербезопасности, поскольку все меняется слишком быстро, а спектр тем в этой области чрезвычайно широк.

Из-за недостатка формальных образовательных программ такие организации, как (ISC)², ISACA и другие, стали искать способы формализовать знания, генерируемые ИБ-специалистами, и распространять их среди участников сообщества. В конце концов были разработаны программы сертификации, позволяющие профессионалам продемонстрировать свое владение предметом путем сдачи экзамена. Человек, набравший проходной балл, признается сертифицированным специалистом.

С развитием кибербезопасности возникало множество специализированных областей знания. Чтобы выделять профессионалов с опытом в этих областях, были учреждены дополнительные программы сертификации. Их разработали такие организации, как Ассоциация производителей вычислительной техники (CompTIA), SANS, Международный совет консультантов по электронной коммерции (EC–Council) и Offensive Security; их программы затрагивали не только специализированные темы, но и область общих знаний. В результате появился установленный способ оценки и подтверждения профессиональных навыков. Сертификаты превратились в инструмент, позволяющий рекрутерам и менеджерам по найму искать и оценивать потенциальных кандидатов.

Помимо этих организаций (многие из которых, будучи некоммерческими, имеют целью повысить уровень образования в области кибербезопасности) специальные программы сертификации учредили поставщики коммерческих средств защиты. Так, компания Cisco Systems предлагает множество сертификатов, подтверждающих умение не только профессионально обращаться с ее продуктами, но и использовать их в контексте конкретных дисциплин, например кибербезопасности. Некоторые из них перечислены на рис. 5.1.

По мере развития сферы кибербезопасности растет спрос на людей, обладающих подобными сертификатами, а также появляются образовательные программы и контент, призванные помочь профессионалам подготовиться к сдаче сертификационных экзаменов. Множество материалов и программ предоставляют сами сертифицирующие организации. Однако существуют и сторонние образовательные организации, построившие бизнес на помощи людям в подготовке к таким экзаменам. Материалы, курсы и программы, направленные на получение сертификатов по кибербезопасности, теперь все больше фокусируются не только на подготовке к экзамену, но и на отработке навыков, необходимых для его сдачи. Из-за такого смещения фокуса прохождение программ начали воспринимать как образовательный процесс, а не как возможность доказать владение навыками.

В результате многие профессионалы видят в программах сертификации основной способ приобрести новые умения. А значит — правильно это или нет, — что некоторые обладатели сертификатов не применяли их за пределами классной комнаты или лаборатории. Большинство представителей отрасли ситуацию охарактеризовали отрицательно: по их мнению, в таком случае ценность самой сертификации падает. В ответ на это некоторые сертифицирующие организации ввели требования к опыту работы. По многим сертификатам требуется ежегодно подтверждать прохождение программ непрерывного образования. Кое-где есть даже фиксированный порядок выдачи сертификатов, то есть профессионалу не дадут пройти сертификацию более высокого уровня, если у него нет сертификата предыдущего уровня.

Все это, разумеется, влияет на то, какую сертификационную программу стоит выбрать начинающему специалисту. Нередко в вакансиях требуется наличие сертификатов, которые невозможно получить без опыта. Такие должности, даже начального уровня, оказываются недосягаемы для соискателей-новичков. Подробнее об описаниях должностей, а также о способах выявить и решить эти проблемы мы поговорим в главе 6. А пока давайте рассмотрим некоторые сертификаты, которые наиболее часто встречаются в объявлениях о вакансиях.

5.1.2. (ISC)² Certified Information Systems Security Professional

Один из старейших и наиболее широко признанных сертификатов по информационной безопасности — CISSP (Certified Information Systems Security Professional, «Сертифицированный специалист по безопасности информационных систем»), выдаваемый (ISC)² с 1994 года. Он фигурирует в объявлениях о вакансиях чаще всего. Изучив выборку объявлений на пяти крупнейших сайтах, посвященных поиску работы, я обнаружила, что более чем в 90 % из них упоминается CISSP как необходимая или предпочтительная квалификация соискателя. В некоторых прямо указывалось, что наличие этого сертификата обязательно, а большинство содержало фразу вроде «сертификат CISSP или эквивалент».

Итак, что же собой представляет программа сертификации CISSP? Эта широко признанная программа охватывает темы по следующим восьми дисциплинам или областям знания:

— управление безопасностью и рисками;

— безопасность активов;

— архитектура и проектирование систем безопасности;

— коммуникации и сетевая безопасность;

— управление идентификацией и доступом (IAM);

— оценка безопасности и тестирование;

— операции по обеспечению безопасности;

— безопасность разработки программного обеспечения.

Как видите, в программе сертификации CISSP есть несколько весьма масштабных тем, а потому этот сертификат актуален практически для любого специалиста по кибербезопасности. Однако сложность его получения не ограничивается необходимостью продемонстрировать обширные знания при сдаче экзамена. Человек также должен подтвердить пятилетний опыт работы как минимум в двух направлениях. Это служит залогом того, что сертифицированные специалисты не просто прошли интенсивный подготовительный курс, а способны применять знания и навыки в реальных ситуациях.

(ISC)² прилагает большие усилия, чтобы гарантировать квалификацию обладателей ее сертификатов. Помимо соответствия основным условиям от специалистов она также требует, чтобы они подтверждали свое участие в программе непрерывного профессионального образования. Обладатели сертификатов CISSP должны пройти как минимум 120 часов обучения в рамках таких программ в течение трех лет, притом зарегистрировать их в (ISC)². Так организация сможет проводить аудит, чтобы гарантировать их соответствие утвержденным стандартам.

Наконец, давайте поговорим о стоимости. Эти сертификаты не бесплатны. Вам придется отдать деньги не только за прохождение экзамена и сам сертификат, но и за подготовительный курс или учебные материалы. На момент написания книги стоимость сдачи экзамена CISSP составляла 699 долларов США. Это немало, особенно для тех, кто только начинает карьеру. Ежегодная плата за подтверждение сертификата составляет 85 долларов. Стоимость подготовительных курсов сильно варьируется в зависимости от поставщика услуг, но может достигать 3000 долларов. Это большие деньги, которые необходимо потратить еще до начала работы.

Если вас как начинающего специалиста это устрашает, ничего удивительного. CISSP — престижное звание, присваиваемое признанным профессионалам в области информационной безопасности. Как видно из условий его выдачи и подтверждения, сертификат не подходит для тех, кто только входит в отрасль. Поэтому, увидев в объявлении о вакансии требование CISSP, имейте в виду, что получение этого сертификата — не тот путь, который вы можете выбрать на раннем этапе карьеры. Однако не расстраивайтесь: большинство объявлений содержит фразу «или эквивалент», на чем вам и следует сосредоточиться.

Теперь, когда вы осознали, что путь через сертификацию CISSP для начинающего профессионала нереалистичен, давайте поговорим о том, какие еще сертификаты вы можете получить, чтобы продемонстрировать свою квалификацию.

5.1.3. CompTIA Security+

Сертификат CompTIA Security+ существует уже довольно давно, но получает гораздо меньше внимания по сравнению с CISSP. Эта программа, официально запущенная в 2002 году организацией CompTIA (),

— угрозы, атаки и уязвимости;

— технологии и инструменты;

— архитектура и дизайн;

— управление идентификацией и доступом;

— управление рисками;

— криптография и инфраструктура открытых ключей (PKI).

Несмотря на разницу в порядке тем, они в значительной степени пересекаются с темами программы CISSP. Цель CompTIA — оценить общие навыки, а потому ее сертификат актуален для широкого круга специалистов по кибербезопасности. На сайте CompTIA последняя версия этого экзамена описывается так:

Успешная сдача сертификационного экзамена CompTIA Security+ подтверждает наличие у кандидата знаний и навыков, позволяющих ему оценивать безопасность корпоративной среды, рекомендовать и внедрять необходимые защитные решения; контролировать и защищать гибридные среды, в том числе облачные, мобильные и IoT-среды; работать с учетом применимых законов и политик, включая принципы управления, риск-менеджмента и соблюдения требований; выявлять и анализировать события и инциденты безопасности, а также реагировать на них.

Сертификат Security-i - более доступен для начинающего специалиста по сравнению с сертификатом CISSP. Несмотря на то что CompTIA рекомендует кандидатам пройти сертификацию Network-ь и иметь не менее двух лет опыта работы в сфере кибербезопасности, это не обязательное требование. Человек, получивший необходимые технические знания другими способами (например, освоив обучающий материал самостоятельно или по какой-либо программе), может сдать экзамен и получить сертификат Security+. Тем не менее здесь требуется проходить программу непрерывного образования. Чтобы подтвердить сертификат Security-i-, его держатель должен заработать 50 так называемых единиц непрерывного образования (CEU, continuing education unit) в течение трех лет.

В финансовом плане сертификат Security+ также более доступен. На момент написания книги пройти экзамен стоило 379 долларов. Это недешево, но более чем на 300 долларов дешевле, чем сдача экзамена CISSP. Ежегодная плата за продление сертификата Security+ составляет 50 долларов. Подготовительные курсы предлагают многие поставщики образовательных услуг, и они в целом также дешевле курсов по CISSP. Стоимость дистанционных курсов, предлагаемых непосредственно CompTIA, варьируется в диапазоне от 499 до 899 долларов. Обучение под руководством инструктора обойдется дороже, однако цена даже самого дорогого пакета не превышает 2000 долларов.

В целом сертификат Security+ позволяет оценить широкий спектр тем и знаний в области безопасности, а потому актуален практически для любого специалиста. В этом смысле он очень похож на CISSP. Тем не менее по затратам и требованиям это более подходящий начальный вариант для тех, кто ищет свою первую работу. Хотя на некоторых должностях, в частности государственных, сертификат CISSP необходим, большинство работодателей признают и другие, подтверждающие то, что кандидат обладает определенным уровнем знаний в области кибербезопасности и технологий.

Популярность программы Security+ среди людей, желающих начать карьеру в этой сфере, постепенно растет, но это не единственный доступный им вариант. Существуют и другие сертификаты, правда, более специализированные. Далее мы рассмотрим один из них.

5.1.4. EC–Council Certified Ethical Hacker

Программа сертификации Certified Ethical Hacker (СЕН, «Сертифицированный этичный хакер»), запущенная в 2010 году организацией ЕС-Council, относительно новый вариант. Как следует из названия, она предназначена для оценки навыков этичных хакеров (которых обычно называют пентестерами или специалистами по тестированию на проникновение). Сертификация СЕН претерпела множество изменений в плане как содержания, так и программ для управления ею. Многие из этих изменений, скорее всего, были обусловлены критикой со стороны представителей ИБ-сообщества, считавших процесс сертификации недостаточно строгим. Таким образом, хотя большинство работодателей воспринимает этот сертификат как доказательство, что у соискателя есть фундаментальные знания в области тестирования на проникновение, в целом он пользуется меньшим уважением по сравнению с другими.

С самого начала программа СЕН предназначалась для специализированного обучения и для оценки способности применять инструменты, методы и концепции, относящиеся к тестированию на проникновение. Обратите внимание на слова «обучение» и «оценка». В отличие от многих других программ сертификации, включая обсуждавшиеся ранее, в рамках программы СЕН обучение тесно связано с самим экзаменом. Сдать его можно и не проходя формальный курс обучения, но для этого организация EC–Council требует, чтобы у кандидата был двухлетний опыт работы в сфере ИБ. Чтобы подтвердить этот опыт, необходимо подать заявку, приложив свое резюме, и заплатить 100 долларов за ее проверку и за допуск к экзамену. Также следует отметить, что EC–Council — одна из немногих коммерческих сертификационных организаций.

Согласно документу EC–Council СЕН Exam Blueprint version 3.0, экзамен позволяет оценить знания в следующих семи областях:

— общие знания;

— анализ/оценка;

— безопасность;

— инструменты/системы/программы;

— процедуры/методология;

— регулирование/политика;

— этика.

Сертификационные курсы СЕН может пройти любой желающий. Несмотря на то что EC–Council дает некоторые рекомендации относительно того, кому следует записываться на них, обязательных требований к участникам она не предъявляет. Благодаря этому курсы доступны для начинающих профессионалов. Каки большинство других подобных проектов, СЕН ставит непременное условие: участвовать в программе непрерывного образования. Чтобы подтвердить сертификат, EC–Council требует, чтобы его держатель заработал 120 кредитов непрерывного образования EC–Council (ЕСЕ) в течение трех лет.

В плане затрат программа сертификации СЕН несколько отличается от тех, что мы рассматривали ранее. Получить допуск к экзамену, не проходя подготовительный курс, трудно, а потому трудно определить его итоговую стоимость. EC–Council требует, чтобы держатели сертификатов вносили ежегодный членский взнос 80 долларов США для поддержания их актуальности. Отличие здесь заключается в том, что членский взнос распространяется на все имеющиеся у человека сертификаты EC–Council (организация предлагает еще несколько более продвинутых и специализированных сертификатов). Стоимость подготовки к экзамену СЕН варьируется от 1899 долларов США за дистанционный курс для самостоятельного изучения до 2999 долларов США за курс очного обучения (цены актуальны на момент написания книги).

В целом, несмотря на доступность для начинающих специалистов по кибербезопасности, сертификат СЕН имеет существенные недостатки. Главный из них — стоимость, если только вы уже не работаете в компании, готовой оплатить сертификацию, чтобы помочь вам перейти на более высокую должность. Другой недостаток — узкая специализация программы. Если вы уверены, что хотите заниматься тестированием на проникновение, то сертификат СЕН может стать хорошей инвестицией. Однако, если в будущем вы захотите сменить направление деятельности, он может стать ограничивающим фактором.

5.1.5. Прочие сертификаты

Сертификаты, которые мы обсудили, самые распространенные среди начинающих ИБ-специалистов. Однако, как вы видели на рис. 5.1, существует множество других вариантов, предлагаемых различными организациями и продавцами продуктов. Надеюсь, приведенное выше описание сертификатов CISSP, Security-i - и СЕН дало вам более четкое представление о важных аспектах, которые необходимо учитывать при выборе программ сертификации. Все они различаются по объему оцениваемых знаний, стоимости и условиям, касающимся непрерывного образования. Некоторые из наиболее технически ориентированных даже требуют сдачи практического экзамена, где надо выполнять задачи в лабораторной среде на время.

Подробное описание всех сертификационных программ выходит за рамки этой главы и заслуживает отдельной книги. Однако сфера меняется так быстро, что гораздо важнее уметь анализировать и оценивать каждую из программ с точки зрения ваших собственных целей, чем знать все подробности о каждой из них. Тем не менее нам необходимо ответить еще на один вопрос, связанный с сертификатами.

5.1.6. Слишком много — это сколько?

Заголовок предыдущего раздела «Алфавитный суп из сертификатов по кибербезопасности» — отсылка к метафоре, которой многие представители ИБ-сообщества описывают длинные списки аббревиатур, что некоторые люди указывают рядом со своими именами в резюме, на визитных карточках и так далее. На самом деле многие нынешние специалисты по кибербезопасности имеют по 10, 15 и даже 20 сертификатов.

Кому-то может показаться, что больше — значит лучше, но так ли это на самом деле? Работает ли в этом случае закон убывающей отдачи? Как насчет сложностей, связанных с поддержанием актуальности сертификатов? А затраты? Все это необходимо учитывать, обдумывая, сколько вы хотите сертификатов. Однако такие вопросы станут актуальны на более позднем этапе карьеры. Сейчас важно определиться с тем, что нужно для ее начала.

Признаюсь, я еще ни разу не видела, чтобы в вакансии указывалось, что соискателю необходимо иметь более одного сертификата. Хотя иногда наличие нескольких ключевых сертификатов действительно может выделить вас на фоне остальных или повысить шансы на получение какой-то конкретной должности, как правило, это не обязательное требование. Для начала вам достаточно просто иметь сертификат. Многие работодатели этого требуют, другие просто считают преимуществом. Во всяком случае наличие сертификата говорит о том, что вы серьезно относитесь к развитию своих навыков и обладаете достаточными знаниями для того, чтобы сдать экзамен.

Это не означает, что вам хватит одного сертификата, чтобы найти работу. Необходимо учитывать и другие факторы. Как дополнительный сертификат может помочь вам в поиске? Если у вас есть Security-i-, повысит ли СЕН или SANS GIAC Penetration Tester (GPEN) ваши шансы занять должность младшего специалиста по тестированию на проникновение? Возможно. Однако получение и подтверждение этих дополнительных сертификатов также требует вложений. Стоит ли оно того? Вам решать. Возможно, есть программа, позволяющая получить сертификаты Network-ь и Security+ с меньшими затратами, чем если бы вы получали их по отдельности. В таком случае целесообразно было бы ею воспользоваться. Такого рода решения вам предстоит принимать по мере своего карьерного роста.

Однако слишком большое количество сертификатов может помешать вам в поиске работы, поскольку у менеджера по найму может сложиться впечатление, что вы потратили больше усилий на получение сертификатов, чем на обучение и применение знаний. Я сама не раз сталкивалась с подобным явлением во время собеседований с кандидатами на должности начального уровня. Хотя я никогда не исключала кандидатов только из-за того, что у них много сертификатов, в разговоре с ними я не раз убеждалась, что знания, проверенные экзаменами, они усвоили не в полной мере. Их хватило, чтобы пройти тест, но применить их в реальной ситуации эти люди были не способны.

Чтобы найти первую работу в сфере кибербезопасности, получить первый сертификат очень важно. Однако в случае последующих сертификатов отдача от инвестиций быстро снижается. Второй, более специализированный, вероятно, поможет вам выделиться на фоне остальных соискателей, так что, может, было бы неплохо его получить. А вот приобретение дополнительных сертификатов — дорогостоящее мероприятие, которое вряд ли позволит достичь цели быстрее и даже способно навредить.

5.2. Академические программы по кибербезопасности

Как уже говорилось, пару десятилетий назад было очень мало формальных обучающих программ по информационной безопасности / кибербезопасности. Однако с тех пор ситуация кардинально изменилась, поскольку кибербезопасность превратилась не только в популярную новостную тему, но и в предпочтительное карьерное направление для многих людей.

Колледжи и университеты учредили программы для получения ученой степени и даже создали передовые исследовательские лаборатории, специализирующиеся на кибербезопасности. Сегодня студенты могут получить все виды ученых степеней в этой области, а также наработать навыки и опыт в лабораториях и в рамках исследовательских программ.

На первый взгляд кажется, что ученой степени по кибербезопасности достаточно, чтобы найти работу. Однако не спешите. Давайте разберемся в этом вопросе получше и посмотрим, насколько необходимо изучать такие программы, чтобы начать карьеру в сфере кибербезопасности.

5.2.1. Программы, направленные на получение ученой степени

Когда кибербезопасность превратилась в самостоятельное карьерное направление, бизнес начал оказывать все большее давление на систему образования, чтобы та обеспечила формальную подготовку специалистов. Многие учебные учреждения запустили программы для получения ученой степени в области кибербезопасности. Еще больше впечатляет, что многие средние школы сейчас тоже включают курсы по этой дисциплине в учебные программы, а иногда даже интегрируют соответствующие темы в экзамены по информатике Computer Science Advanced Placement (АР).

Учитывая, насколько огромное внимание уделяется программам, направленным на получение ученой степени в области кибербезопасности, человек, желающий начать карьеру в этой сфере, может посчитать, что пройти такую программу необходимо. Однако опрос опытных специалистов по кибербезопасности, касающийся полученных ими ученых степеней, говорит, что это не так (рис. 5.2).

Рис. 5.2. Ученые степени опытных специалистов по кибербезопасности

Как и следовало ожидать, ученые степени, связанные с компьютерными технологиями, явно доминируют. В частности, степень в области кибербезопасности третья по распространенности. Это говорит о потенциальной ценности соответствующих учебных программ. Однако, если у вас степень в другой области или вообще нет степени, значит ли это, что вам непременно нужна степень в области кибербезопасности? Нет. Согласно результатам опроса (рис. 5.2), четвертым наиболее распространенным вариантом было отсутствие ученой степени! А далее перечислено множество иных направлений. Очевидно, что многие из этих ответов дали люди, перешедшие в сферу кибербезопасности из совершенно другой области.

Готовясь к написанию этой книги, я взяла интервью у нескольких опытных специалистов по кибербезопасности, в том числе у Алет Денис, с которой я познакомила вас в главе 4. Я обнаружила кое-что, что, впрочем, меня не особенно удивило: многие мои собеседники начинали карьеру в областях, никак не связанных с компьютерами. Однако когда их работа соприкоснулась с темой безопасности, они обнаружили в себе интерес к ней и сменили направление деятельности. Очень часто профессионалы попадают в эту область совершенно случайно. Даже я изначально собиралась заниматься медициной. Только через несколько семестров в колледже я переключилась на компьютерные науки и занялась разработкой программного обеспечения. Я работала программистом почти десять лет, прежде чем перейти к кибербезопасности.

Как было сказано в главе 1, тема безопасности затрагивает практически все аспекты нашей жизни. Поэтому любой человек может легко перейти в эту сферу из другой области, напрямую не связанной с технологиями. Итак, какую же степень следует получить начинающему профессионалу? Как и во многих других случаях, ответ зависит от множества обстоятельств.

Как отмечалось ранее, внушительное число ИБ-специалистов вообще не имеют ученой степени. Однако это вовсе не означает, что начинающему специалисту по кибер безопасности рекомендуется вообще не получать высшее образование. Несмотря на то что многие организации не требуют от соискателя прохождения полноценной четырехлетней обучающей программы, в большинстве из них по-прежнему ожидают, что у кандидата есть либо степень, либо сопоставимый опыт работы в смежной области. Действительно, большинство опытных профессионалов без степени годами работали в той или иной связанной с технологиями области, прежде чем перешли в сферу кибербезопасности. Таким образом, начинающему специалисту и без опыта, и без степени найти работу будет сложно.

Итак, ученая степень необходима; означает ли это, что ее нужно получить именно в области кибербезопасности? Вовсе нет. Для тех, кто ищет первую работу и уже имеет степень, возвращаться в колледж нет особого смысла. Есть способы более эффективно использовать денежные и временные ресурсы, которых требует университетская программа. А вот для тех, кто только поступает в колледж и планирует работать в сфере кибербезопасности, соответствующая степень может оказаться более полезной. Это имеет смысл: вы же все равно идете учиться, — однако не обязательно.

Как видно из результатов опроса на рис. 5.2, наиболее распространены степени в области компьютерных наук и информационных технологий. Справедливости ради следует отметить, что эти результаты необъективны: многие опытные профессионалы пришли в сферу кибербезопасности еще до появления программ, позволяющих получить ученую степень в этой области. Однако даже сегодня работодатели, как правило, готовы принимать на работу ИБ-специалистов со степенями в разных областях. На самом деле учебные программы по компьютерным наукам и информационным технологиям охватывают множество тем, которые могут быть полезны специалисту по кибербезопасности. Понимать, как функционируют сети, операционные системы, как разрабатывается программное обеспечение, а также уметь разбираться в других темах, раскрываемых в этих программах, для такого специалиста может быть очень важно.

А что же делать новичку? Как уже говорилось в главе 3, очень важно, чтобы вы выбрали учебную программу, которая лучше всего соответствует вашим интересам и увлечениям. Это поможет сохранять мотивацию и вовлеченность на протяжении всего обучения, что даст плоды после выхода на рынок труда. Итак, выделите время на то, чтобы внимательно ознакомиться с каталогом курсов. Изучите содержание каждой программы, направленной на получение степени, и выберите ту, что кажется вам самой интересной и захватывающей. Далее мы поговорим о других способах развить навыки, которые могут прибавить вам очков при общении с потенциальными работодателями.

5.2.2. Программы перспективных исследований

Большое значение имеет выбор не только программы для получения степени, но и университета или колледжа. Помимо учебного плана, важно оценить также вспомогательные мероприятия, предлагаемые учебным учреждением. Сейчас набирают популярность программы, которые предоставляют учащимся возможность приобрести практические навыки, выполняя реальные исследования в области кибербезопасности в рамках работы внешних исследовательских групп и лабораторий.

Одна из таких программ — Computer Security Group Калифорнийского университета в Санта-Барбаре, известная как SecLab. Команда SecLab реализует различные инициативы, связанные с «проектированием, созданием и проверкой безопасных программных систем». Характер ее деятельности на первый взгляд может показаться теоретическим, однако она имеет вполне практическое значение. Ее участники анализируют программное обеспечение с открытым исходным кодом, чтобы проверить, нет ли в нем уязвимостей. Обнаружив слабое место, они сообщают о нем не только специалисту, отвечающему за сопровождение этого ПО, но и отраслевым организациям, которые в итоге доносят информацию до всего ИБ-сообщества. Таким образом, работа SecLab помогает сделать программное обеспечение более безопасным.

Другие программы ориентированы на сотрудничество с отраслевыми организациями, работающими над разнообразными проектами и исследованиями. Например, MITRE управляет различными исследовательскими центрами в США, финансируемыми за счет средств федерального бюджета. В рамках исследований она регулярно сотрудничает с университетами и другими академическими учреждениями. Ей это дает доступ к исследователям, а студентам — возможность приобрести практические навыки, которые им пригодятся при поиске первой работы.

При выборе учебного заведения и программы для получения степени важно разобраться в доступных возможностях. В частности, при получении степени, не связанной с кибербезопасностью, участие в такого рода исследованиях позволит выделить свое резюме на фоне остальных. Если же выбранная вами школа не предлагает таких программ, не отчаивайтесь, Вы можете наработать практические навыки в сфере кибербезопасности другими, менее формальными способами, которые тоже будет нелишним указать в резюме.

5.3. Менее формальные способы развития навыков

Активный обмен информацией и высокий спрос на квалифицированных специалистов по кибер без опасности создают множество возможностей для обучения. Это, конечно, не формальные программы для получения ученой степени, но они часто позволяют обрести актуальные и практические навыки, которые нельзя развить в рамках академического образования.

Проблема здесь в том, что подобные варианты сложно представить в резюме как доказательство наличия тех или иных способностей. Далее мы рассмотрим наиболее распространенные неформальные методы обучения и развития дополнительных профессиональных навыков.

5.3.1. Отраслевые конференции

Сообщество специалистов по кибербезопасности уже давно проводит конференции, позволяющие участникам обменяться информацией, развить навыки и наладить деловые связи. В ходе этих конференций опытные специалисты обычно делятся идеями, результатами последних исследований, исчерпывающими обзорами технологий и другими сведениями из области кибербезопасности.

Кроме того, участники часто могут посещать формальные тренинги или мастерские. В рамках многих мероприятий организуют так называемые «деревни» — центры практического обучения определенной технологии или технике. Например, как отмечалось в главе 3, большой популярностью на многих конференциях пользуется «деревня взлома замков»: ее посетители могут узнать о конструкции физических замков и поучиться у опытных инструкторов их взламывать. Кроме замков в «деревнях» можно научиться взламывать все что угодно, начиная с автомобилей и промышленных систем управления и заканчивая системами голосования.

Существует множество различных типов конференций. Понимание целевой аудитории и тематики поможет вам выбрать ту, что наиболее интересна и ценна именно для вас. Отличные возможности для обучения предоставляют не только практические и специализированные конференции конкретно для ИБ-специалистов, но и конференции, напрямую не связанные с информационной безопасностью.

Практические конференции, как правило, ориентированы на тех, кто уже работает или хочет работать в организации, помогая создавать и поддерживать средства защиты. Их темы могут быть самыми разнообразными. Обычно основное внимание на них уделяется действиям, связанным с управлением безопасностью внутри организации. На ИБ-специалистов ориентированы, например, RSA, Black Hat и InfoSec World. Благодаря тому, что на них рассматривается широкий спектр тем, участники могут выбрать тренинги и выступления себе по интересам.

Кроме того, ежегодно проводится ряд специализированных конференций, посвященных обычно конкретному направлению сферы кибербезопасности. Одна из самых популярных и старейших — конференция хакеров DEF CON, учрежденная в 1993 году в Лас-Вегасе. За время своего существования она превратилась из неформальной встречи хакеров в одну из крупнейших конференций по кибербезопасности в мире. Изначально основное внимание здесь уделяли хакерскому сообществу и соответствующим темам. Однако со временем стали организовывать все больше различных «деревень», благодаря чему спектр рассматриваемых тем расширился. Другие известные хакерские конференции, такие как BSides, SchmooCon и THOTCON, посвящены наступательной безопасности.

Помимо хакерских, существует еще одна известная специализированная конференция — Layer 8. Понятие Layer 8 («Восьмой уровень») относится к человеку как к элементу системы безопасности, поэтому конференция посвящена темам, связанным с социальной инженерией и сбором разведданных. Несмотря на то что организованные в ее рамках «деревни» и мастерские охватывают более широкий круг тем, фокус внимания самой конференции сосредоточен на человеческом факторе и соответствующих тактиках нападения и защиты.

Еще одна специализированная конференция — OWASP Global AppSec. OWASP — это отраслевая организация, занимающаяся безопасностью приложений, защитой программного обеспечения и процессов его разработки. Опять же, хотя конференция в целом фокусируется на этой тематике, некоторые мероприятия и даже выступления спикеров касаются других аспектов или направлений сферы кибербезопасности.

О различных формах конференций и каждом отдельном мероприятии можно было бы написать целую книгу. Вам необязательно знакомиться со всеми темами и всеми существующими конференциями. Гораздо важнее понимать, как эти мероприятия способны помочь вам обогатить свои знания и развить навыки, которые пригодятся в карьере.

Во-первых, само по себе посещение одной из таких конференций предоставляет возможность обучения, и это можно указать в резюме, чтобы продемонстрировать наличие знаний в определенной области или областях. То, что вы присутствовали на подобном мероприятии, свидетельствует не только о ваших знаниях, но и о вашем желании учиться и расти профессионально. Для некоторых менеджеров по найму это важный фактор.

Во-вторых, на мастерских и тренингах, проводимых в рамках конференций, вы можете развить дополнительные практические навыки, а потом указать их в своем резюме. Демонстрация того, что вы потратили время не только на получение знаний, но и на их практическое применение, способно помочь при недостатке более формального опыта работы.

В-третьих, у большинства конференций есть важная особенность: возможность выступить с докладом и поделиться с другими участниками своими идеями, новыми данными и результатами исследований. Даже доклад на распространенную тему, преподнесенный нестандартным образом, может оказаться полезным, особенно на небольших конференциях для участников ИБ-сообщества.

Так или иначе, сведения о выступлении на одной или нескольких конференциях, включенные в резюме, способны привлечь внимание потенциального работодателя. Справедливости ради следует отметить, что для большинства начинающих профессионалов это довольно высокая планка. Однако если вы комфортно чувствуете себя на публике и у вас есть материал, которым вы готовы поделиться, будь то результат собственного или группового исследования, то эта задача вполне выполнима.

Одна из проблем с этими конференциями заключается в том, что за участие в них необходимо платить (если вы не докладчик или не владелец билета, полученного по стипендиальной программе). Кроме того, они проводятся в разных частях страны, поэтому если такое мероприятие организовано не поблизости от вас, то придется совершить поездку, а это дополнительные расходы.

Один из способов решить эту проблему — участвовать в конференциях BSides. Эти независимые конференции, проводимые под эгидой организации BSides, несколько отличаются друг от друга, но большинство из них охватывает довольно широкий спектр тем. Кроме того, большая часть таких конференций проводится в крупных городах по всему миру, что повышает шансы на то, что вам не придется далеко ехать. Многие ориентированы на небольшое количество участников, а значит, проще оказаться в числе докладчиков. В общем, участие в конференциях — это отличный способ получить знания и, вероятно, некоторые навыки, однако необходимо учитывать и связанные с этим затраты.

5.3.2. CTF-соревнования, площадки для хакеров и персональные лаборатории

Дополнительные знания и навыки в области кибербезопасности можно получить и более неформальными способами. Например, соревнования по захвату флага (CTF) проводятся в рамках как конференций, так и специальных мероприятий, спонсируемых отраслевыми организациями. В этих соревнованиях участники или команды выполняют различные задания, чтобы получить так называемые флаги. В таких заданиях может потребоваться применить методы наступательной безопасности, социальной инженерии, разведки по открытым источникам, а иногда и защиты. CTF-соревнования различаются по уровню детализации задач: самые экстремальные предоставляют только целевую среду, которую пользователь должен исследовать, и больше никаких инструкций.

Также мероприятия различаются по уровню подготовки участников. Ориентированные на новичков, как правило, фокусируются на обучении и руководстве, а значение соревновательного аспекта в них меньше. Обычно участники здесь получают подробные описания заданий и советы по их выполнению. Во многих случаях администраторы этих соревнований при необходимости готовы участникам помочь.

Другие же CTF-соревнования, в том числе проводимые в рамках крупных конференций вроде DEF CON, делают акцент именно на соревновательности. Однако не стоит сбрасывать эти состязания со счетов, особенно если они командные. Если вам удастся найти команду, готовую принять нового человека, желающего учиться, они могут принести вам огромную пользу. В любом случае участие в CTF-соревнованиях — то, что определенно стоит включить в свое резюме. Подробнее об этом мы поговорим в главе 6.

Еще один отличный способ приобрести опыт в области кибербезопасности — использовать специализированные площадки вроде Hack Die Box (НТВ), где можно выполнять задания, связанные со взломом различных серверов, или смотреть, как их выполняют другие. Задания и серверы регулярно обновляются, как и рейтинг пользователей, основанный на количестве набранных ими очков. У площадки НТВ есть важная особенность: работодатели размещают на сайте объявления о вакансиях, которые сопоставляются с пользователями на основе их места в рейтинге. Эта площадка все еще развивается, но если вас интересует тестирование на проникновение и исследование уязвимостей, то, используя ее, вы получите отличный шанс продемонстрировать свои навыки потенциальным работодателям.

Существуют и другие площадки, например намеренно уязвимое приложение от О WASP под названием Web Go at. Вы можете установить его на свой компьютер и практиковать различные типы атак, понимать которые полезно не только пентестерам, но и специалистам, занимающимся защитой ПО. Помимо этой есть и другие доступные намеренно уязвимые среды. С некоторыми можно работать через интернет, но многие требуют настраивать среду на своем компьютере.

Это подводит нас к теме персональных лабораторий. Виртуализация, то есть создание виртуального компьютера, работающего как программное обеспечение на вашем персональном компьютере, позволяет легко (и, что более важно, без особых затрат) настраивать небольшие сетевые среды. Создав на домашнем компьютере небольшую сеть в виртуальной среде, вы сможете проводить эксперименты и исследования с использованием множества сетевых и защитных технологий. Это отличный способ получить новые знания, особенно для тех, кто имеет склонность к экспериментам. Даже сама настройка такой среды позволит вам приобрести ценные навыки. А если у вас возникнут вопросы, вы сможете найти нужную информацию с помощью Google, YouTube и других интернет-ресурсов.

5.3.3. Вебинары, подкасты и прямые трансляции

К последней категории неформальных способов обучения, о которой мы поговорим, относятся такие онлайн-медиа, как вебинары, подкасты и прямые трансляции. Бесплатные вебинары часто проводят поставщики средств защиты и даже отраслевые организации. Подкасты почти всегда бесплатны для прослушивания, обычно их создают видные представители ИБ-сообщества. Постепенно набирают популярность прямые трансляции и видеоролики, где люди проводят бесплатные практические и обучающие занятия.

Чтение, просмотр и прослушивание подобного контента вы, скорее всего, не станете включать в свое резюме. Однако он ценен по многим причинам. Во-первых, так вы следите за тенденциями, темами, технологиями и дискуссиями, ведущимися в сфере кибербезопасности. И благодаря этому можете получить достаточно знаний, чтобы вести более содержательные разговоры в процессе собеседования. Кроме того, такой контент способен натолкнуть вас на идеи для дальнейшего самостоятельного обучения.

Во-вторых, благодаря этим ресурсам вы можете познакомиться с множеством выдающихся представителей ИБ-сообщества и с разными способами решения проблем. Вы также начнете усваивать профессиональную лексику, что, опять же, выделит вас на фоне остальных соискателей в процессе собеседования.

В третьих, эти занятия позволят вам освоить новые навыки. Постав щики продуктов в основном проводят вебинары, чтобы раскрыть для пользователей возможности своих инструментов или показать, как с их помощью можно решать определенные задачи. Прямые трансляции часто представляют собой обучающие или демонстрационные видеоролики с участием ИБ-специалистов. Даже в подкастах иногда встречается образовательный компонент, когда авторы обсуждают особенности своей работы или результаты исследований. В конечном счете эти бесплатные ресурсы помогут вам сформировать более компетентное мнение по поводу тех или иных целей, связанных с обеспечением кибер без опасности.

5.3.4. Прочие встречи участников сообщества

Еще один способ приобрести новые навыки — приходить на встречи участников местного ИБ-сообщества. Многие национальные и международные организации имеют отделения в разных городах. В этих отделениях регулярно проводятся собрания и другие менее формальные встречи, где участники могут обсудить интересующие их вопросы. Некоторые из этих мероприятий предусматривают выступления с докладами на темы, связанные с кибербезопасностью. В рамках других иногда организуют мастерские или интерактивные занятия, чтобы помочь участникам овладеть какими-то навыками. Третьи, еще менее формальные встречи, проводят, чтобы наладить связи между членами сообщества.

Все эти мероприятия предоставляют возможность получить знания, а иногда и отработать новые навыки. Ниже приведен список некоторых национальных и международных сообществ, в местных отделениях которых регулярно проводятся собрания:

— Cloud Security Alliance (CSA);

— DEF CON Groups;

— Information Systems Security Association (ISSA);

— InfraGard;

— International Association for Healthcare Security and Safety (IAHSS);

— ISACA;

— (ISC)²;

— Open Web Application Security Project (OWASP);

— Women in Cybersecurity (WiCyS);

— Women of Security (WoSEC).

Подведение итогов

— В сфере кибербезопасности есть широкий спектр программ сертификации, охватывающих различные направления деятельности. При выборе подходящего сертификата важно найти правильный баланс между ценой и качеством.

— Наличие множества сертификатов не облегчает поиск работы. Один или два сертификата позволят вам соответствовать требованиям большинства вакансий, и в начале карьеры этим вполне можно ограничиться.

— Чтобы получить работу в сфере кибербезопасности, вам необязательно иметь ученую степень в этой области. Важнее получить степень в той области, которая вас по-настоящему интересует.

— Программы, позволяющие в реальных условиях развивать практические навыки в сфере кибербезопасности, предлагают различные учреждения.

— Конференции, мастерские, CTF-соревнования, лаборатории и даже онлайн-ресурсы способны стать мощными обучающими инструментами; можно указывать в резюме свое участие в них или использовать их, чтобы приобрести знания в области кибербезопасности.