Кто такой специалист по кибербезопасности и где ему прокачивать знания?

Кадры

Прерву тему про customer journey map, так как за последние 2 дня я получил сразу несколько запросов о том, как прокачать свои навыки в области кибербезопасности и какие курсы и книги я могу посоветовать для начинающего. Повторив несколько раз один и тот же текст, я решил его вытащить в паблик и оформить в виде заметки.

Знаете ли вы, что в США нет высшего образования по ИБ?

Так посчитала американская академия наук, решив, что роль ИБшника слишком разнопланова, чтобы объединять ее под одним зонтиком. Кибербезопасность охватывает разнообразные контексты, роли и виды деятельности. И это точно не только технические аспекты. Например, я за 30 лет работы успел позаниматься совершенно разными направлениями ИБ, в каждом из которых мне нужны были совершенно разные знания и навыки.

Начинал я программистом (сейчас модно говорить DevOps’ером) средств криптографической защиты информации в одном минобороновском «ящике» и в этой роли мне нужны были знания безопасного программирования (я тогда и такого термина-то не знал), SecDevOps и, в контексте разрабатываемых средств, знания прикладной криптографии; ГОСТ и тогда был ГОСТом, а вот работа с ключами, защита СКЗИ и т.п. требовали особых знаний.

Потом я работал администратором информационной безопасности в крупном ритейле и весь мой предыдущий опыт и знания там были вообще не нужны 🙁 Я занимался установкой антивируса, его обновлениями, повышением осведомленности, реагированием на инциденты, то есть вирусные эпидемии, которые накрывали наше здание за месяц (тогда это было быстро). Знания ПДИТР, структуры американского разведывательного сообщества, распознавания образов, анализ клавиатурного почерка и т.п., которые я получил в институте, мне так и не пригодились ни разу.

Потом была работа в банке, за которой последовал переход в Информзащиту, которой я отдал почти 8 лет своей жизни, побывав и аудитором, и аналитиком (им я был и в банке), и маркетологом, и продавцом. Я даже отвечал за безопасность разрабатываемого сайта. Причем все эти специальности имели прямое отношение к информационной безопасности. Но аудитором я больше времени тратил на изучение нормативки и анализ ее применения в аудируемых организациях (особенно много я тогда поездил по Главным управлениям Банка России) с точки зрения используемых ими технологий и процессов. Аналитиком я изучал рынок средств защиты информации в Интернет — только-только появляющийся рынок межсетевых экранов, систем предотвращения вторжений, систем поиска уязвимостей, систем защиты e-mail. Тут я впервые погрузился в методы «плохих парней», техники и тактики злоумышленников (о MITRE ATT&CK тогда еще никто не слышал), сетевые протоколы, методы их мониторинга и защиты и т.п. Тогда же я внедрял первый в своей жизни SIEM (в 98-м году) и строил SOC (тогда этого слова тоже никто не знал) в одном Нацбанке ныне сопредельного государства.

Руководителем отдела продвижения решений и заместителем директора по маркетингу я работал последние годы перед уходом из Информзащиты. И тут приходилось накладывать свое знание технологий ИБ и нормативки на способы донесения этой информации до потребителя — Интернет-коммуникации, выступления, статьи, книги, сайт и т.п. Был ли я специалистом по ИБ в это время? Безусловно. Полезные ли это навыки? Да, конечно. Умение достучаться до целевой аудитории правильным для нее языком — это то, что должен уметь любой безопасник.

За 12 лет работы в области ИБ я уже успел попробовать себя в совершенно разных ролях, которые все, так или иначе, можно было бы назвать «специалистом по ИБ», но требующих совершенно разных навыков.

Потом меня позвали в Cisco, где я и задержался на долгих 18 лет. И хотя моя должность за эти годы не претерпела никакого изменения — занимался я совершенно разными вещами. Помимо уже упомянутых ранее, довелось мне активно преподавать (а это еще один полезный навык для специалиста по ИБ, который занимается повышением осведомленности персонала и для разных целевых аудиторий разных возрастов использует разные способы донесения контента, используя для этого еще и разные каналы — оффлайн и онлайн). И тут, как нельзя кстати, активно вступает в игру психология, которая позволяет лучше разруливать конфликты со слушателями, требующими к себе особого отношения. А в ИБ эти знания нужны, чтобы понимать мотивацию злоумышленников, поведение работников, причины принимаемых ими решений. В работе того же SOCа важно еще быть знакомым с основами физиологии, так как длительное нахождение за монитором (двумя-четырьмя) приводит к усталости, психологической слепоте, с которыми надо уметь бороться. И кто это будет делать, если не безопасник?

Побывал я и квази-руководителем службы ИБ российского офиса Cisco. Почему квази? Потому что я не входил в состав службы ИБ, но был ее представителем в нашем регионе, решая различные вопросы, требующего локального присутствия — не только повышение осведомленности, но и ряд других, более специфических.

Написание большого числа презентаций, статей, white papers, книг, блогов (а их было три) и т.п. оттачивает умение пользоваться словом — писать кратко, но по делу. Для нашей отрасли, где бумажная безопасность пока еще берет верх над практической, это большое умение и ему тоже нужно учиться; благо материалов хоть отбавляй. Слово может быть не только письменное, но и устное. что требует от специалиста по ИБ умения выступать перед внешней и внутренней аудиторией, перед подчиненными и перед руководством, находя для каждого правильные слова и тезисы, убеждая в своей позиции. Не зря же сегодня правит миром сторителлинг, который «скучную» ИБ превращает в яркие истории, заставляющие нас принимать нужные рассказчикам решения.

И это я еще не вспоминал о роли «бумажного безопасника«, который либо читает, либо пишет нормативку и либо проверяет ее, либо внедряет на предприятии. Это особый мир и свои навыки, часто далекие от технологий (хотя вроде как и не должны). А ведь задавая вопрос про навыки специалиста по кибербезопасности важно еще помнить, что работая в коммерческой или государственной организации эти навыки могут менять свой приоритет, а идя на службу к регулятору картина и вовсе может перевернуться с ног на голову.

Обратите внимание. За 30 лет я попробовал себя в совершенно разных ролях и всегда я считал себя специалистом по ИБ. Но на каждой роли мне нужны были разные знания и навыки, которые сложно вместить в рамки даже одного ФГОСа, не говоря уже об отдельных курсах.

И только в конце заметки можно вернуться к тому, что чаще всего и имеют ввиду те, кто задают вопрос про навыки и знания. Распросы вопрошающих приводят к тому, что они хотят иметь некий список, в котором и прокачивать себя путем чтения книг и просмотра курсов. Так вот я не буду изобретать велосипед и просто сошлюсь на свою же заметку годовалой давности, в которой я упоминал отличную инициативу NICE (да, опять американскую), которая описывает 7 категорий (высокоуровневых функций, связанных с ИБ), 33  специализации по ИБ и 52 роли, для которых описываются необходимые знания, навыки и обязанности, которыми должен обладать специалист по ИБ, претендующий на конкретную роль. Просто бери и используй. Дальше дело за малым, начать учиться.

Где найти учебники и курсы под выбранную специализацию и роль с дополнением нужных навыков, упомянутых ранее? Udemy, Coursera, Lynda, Cybrary, SANS… Вот только небольшой список учебных центров, обучающих вопросам ИБ онлайн. Они хотят денег? Да, есть у них такой «грешок», но не у всех и не всегда. Хорошие знания требуют оплаты, которые окупятся сторицей. А вот бесплатно полученные обычно не ценятся. Они складируются на жестком диске и руки до них обычно не доходят. Но если уж денег нет, а начать с чего-то хочется, могу порекомендовать… Google 🙂 Считается, что школа учит детей социализации, а институт — умению искать информацию. Упрощенно, но это так. Я мог бы накидать десятки ссылок на Интернет-сайты или Telegram-каналы, в которых публикуются сотни книг по ИБ (даже самых свежих) и гигабайты курсов по различным темам по ИБ (с пособиями, видео и даже с лабами в виде виртуальных имиджей), но не буду — если будущий специалист не может найти нужную информацию, то может ему и не надо в ИБ 🙁 Обидно, но это так. Да и пропагандировать пиратство тоже не совсем правильно (хотя многие им и пользуются время от время).

Но одну ссылку все-таки дам — несколько десятков книг по ИБ «для чайников», то есть для начинающих.

Ну ладно, дам еще несколько ссылок:

  • Тонны материалов (whitepaper, webcast и т.п.) от SANS
  • Тысячи сортированных видео и презентаций с RSA Conference
  • Презентации и видео выступлений BlackHat
  • А вот тут я специально описал с десяток ресурсов с сотнями курсов по ИБ; многие бесплатно.

Мало? Хочется на русском? Ну вот вам еще ссылки:

  • Видео с PHDays и TheStandoff365
  • Видео с различных мероприятий по ИБ от BIS-TV
  • Новый проект Global Digital Space, который уже имеет немало интересных и познавательных видео у себя на площадке.

Мне кажется хватит для начала. Более профильные видео, книги и курсы ищутся тоже в Google — достаточно просто конкретизировать поисковый запрос в том же Google, Yandex или Youtube. Поверьте, это несложно 🙂

Интересно, что 17 лет назад я уже писал заметку на ту же самую тему 🙂 И 8,5 лет назад тоже. Столько лет прошло, а ничего не меняется 🙂 Еще через 8,5 лет опять напишу 🙂

Почитайте еще заметки в блоге в рубриках «Кадры» и «Обучение«. Я там много чего понаписал за полтора десятка лет, что веду блог. Многое до сих пор актуально.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).