19 февраля 2021

🕵 Обучение кибербезопасности: как освоить популярную профессию?

Пишу об IT и на Python. kungurov.net
Рассказываем о самом быстром способе стать специалистом по информационной безопасности и этичным хакером – пойти учиться.
🕵 Обучение кибербезопасности: как освоить популярную профессию?

Статистика и факты

По оценке (.pdf) Kaspersky Security Network за 2020 год:

  • 10% ПК в мире хотя бы однажды были заражены вирусом;
  • более 170 млн уникальных URL содержали вредоносный код;
  • майнеры эксплуатировали более 1.5 млн домашних ПК пользователей;
  • программы-вымогатели заразили полмиллиона компьютеров.

С начала пандемии возросло количество кибератак. По опросам (.pdf) компании HLB (The Global Advisory and Accounting Network) за 2020 год:

  • 12% атак на компании были успешны;
  • 53% компании заметили повышение к ним интереса со стороны хакеров;
  • каждая пятая компания имеет слабую защиту от киберугроз.

Недавние взломы:

  • в штате Флорида хакер подключился к системе водоочистной станции и изменил уровень гидроксида натрия до опасного;
  • злоумышленники атаковали бразильские энергетические компании с помощью программ-вымогателей и украли 1 ТБ конфиденциальной информации;
  • хакеры получили доступ к исходному коду игр Cyberpunk 2077 и «Ведьмак 3».

Пандемия стимулировала рост IT-компаний, а те рынки, которые работали преимущественно в офлайне стали осваивать онлайн-продажи и переходить на удаленную работу. К 2024 году по прогнозу Минпромторга объем интернет-торговли достигнет 7 трлн рублей или 19% в общем обороте. А там, где большие деньги – повышается риск потерять их и нужны специалисты, обеспечивающие информационную безопасность. Вместе со спонсором этой статьи SkillBox рассказываем, как получить актуальные знания и востребованную профессию в сфере информационной безопасности.

Сколько платят начинающему специалисту

🕵 Обучение кибербезопасности: как освоить популярную профессию?

В московских государственных учреждениях начинающий специалист получает от 20 до 40 тыс. руб. С опытом работы 1-3 года можно заработать от 40 до 80 тыс. руб. Частные компании предлагают начинающим специалистам на 10-30% больше. У мидл-специалистов зарплата достигает 120 тыс. руб. А в свободное время можно подрабатывать этичным хакингом, одновременно повышая свой скилл.

Если рядовому программисту достаточно знать свой язык программирования и небольшой стек технологий, то специалисту по информационной безопасности нужно видеть общую картину продукта и понимать, где могут возникнуть проблемы. Продукты бывают разные: веб-приложения, корпоративные сети. Поэтому нужен учебный план, охватывающий все возможные варианты. Рассмотрим, что предлагает SkillBox.

Чему учат #1: Основы строения веб-ресурсов

В первом модуле «Основы строения веб-ресурсов» дают основы фронтенда: HTML, CSS, JavaScript. Также учат работать с базами данных и создавать SQL-запросы. Все это нужно, чтобы предотвращать XML-, SQL-инъекции, межсайтовый скриптинг (XSS) и межсайтовые подделки запросов (CSRF). Эти векторы атак не первый год входят в список OWASP TOP-10, по которому будет лабораторная работа. OWASP – международная некоммерческая организация, занимающаяся повышением безопасности программного обеспечения.

Чему учат #2: Сети

В модуле «Сети» студентов знакомят с семью уровнями сетевой модели OSI, которая дает понимание, как и по каким протоколам устройства взаимодействуют друг с другом (рис. 1). Разобравшись в OSI, узнаете как движется трафик от кабеля до клиентского приложения и поймете, где находятся потенциальные уязвимые места.

Рис. 1. Семь уровней сетевой модели OSI
Рис. 1. Семь уровней сетевой модели OSI

Чему учат #3: Python для пентестеров

В основной программе курса упор сделан на применение Питона для пентестеров: автоматизация сбора информации о системе, исследование веб-ресурсов, анализ трафика, брутфорс, взлом криптографических шифров и отладка кода.

Я не программирую на Python. Что делать?

Бонусом идет бесплатный курс «Python-разработчик с нуля», на котором вы освоите азы программирования на Питоне: условные операторы, циклы, функции, ООП, мультипоточность и библиотеки для работы с данными.

Чему учат #4: Linux с нуля до сетевого администрирования

Если вы никогда не работали с Линукс, то ничего страшного – на курсе вы установите ОС, познакомитесь с терминалом, основными командами и файловой системой. На следующих продвинутых уровнях (их два) узнаете о сетевых интерфейсах, научитесь управлять доступом, проводить логирование и мониторинг сетевых подключений, настраивать фаервол, писать BASH-скрипты и использовать сетевые сканеры.

Чему учат #5: Основы шифрования

Рис. 2. Иллюстрация принципа работы хеш-функции: даже небольшое изменение предложения полностью меняет хеш
Рис. 2. Иллюстрация принципа работы хеш-функции: даже небольшое изменение предложения полностью меняет хеш

На рисунке 2 проиллюстрирован принцип работы хеш-функции (от hash – «мешанина»), которая преобразует данные произвольной длины в битовую строку установленной длины. Хеш используется, чтобы не хранить данные в открытом виде. Очевидно, что шифровать чувствительные данные, такие как пароли – нужно. По какой-то причине разработчики даже крупных компаний пренебрегают шифрованием и хранят данные в формате простого текста (plain text) либо шифруют слабыми алгоритмами:

Шифрование – маст-хэв для специалиста кибербезопасности. На курсе студент узнает о кодировках, симметричном и ассиметричном шифрованиях, хеш-функциях и научится использовать системы криптографической защиты информации.

Чему учат #6: Windows

По данным w3techs.com на 15 февраля 2021 года 73.7% серверов работают на Unix-подобных системах, 26.3% – на Windows. Поэтому в программу включен модуль по работе с Windows (службы аудита, политики доступа, цифровые подписи) и PowerShell, необходимый для администрирования и автоматизации администрирования серверов на базе Windows.

Чему учат #7: Базы данных

Когда фронтенд-разработчики забывают экранировать символы, которые пользователь вводит в форму отправки, открывается окно для взлома через SQL-инъекцию. По статистике за 2019 год (.pdf) SQL-инъекции составили 42% от всех атак на веб-приложения, доступные через сеть интернет (internet/public facing applications). Чтобы уделить должное внимание этой теме, работа с базами данных вынесена в отдельный модуль: базовые операции с таблицами, синтаксис запросов, архитектура БД и разбор SQL-инъекций.

Чему учат #8: No Script kiddie

На курсе научитесь работать с популярными фреймворками для тестирования систем: Metasploit и другие. Чтобы не быть скрипт-кидди – так называют тех, кто пользуется только готовыми инструментами для атаки на компьютерные системы, – студенты напишут свой набор программ и скриптов для тестирования на проникновение, а также для взлома беспроводных сетей.

Дополнительные мини-курсы

В дополнение к основному курсу, открывается доступ к «Универсальным знаниям программиста» и «Английский для IT-специалистов», в которых прокачиваются софт-скиллы, продуктивность, учат создавать личный бренд, верстать e-mail рассылки, работать в фотошопе, искать заказы на разработку и дают базовый английский язык. То есть делают из студента T-Shaped специалиста, у которого есть углубленное знание в какой-то одной сфере – информационная безопасность, – а также широкий кругозор в смежных областях, который может быть полезен в остальной проектной работе и на фрилансе.

Дипломный проект

Для проверки знаний студенту предлагают ряд челленджей. Например, извлечь ценную информацию из базы данных сайта, применяя полученные знания. Каждая выполненная задача – плюс один флаг, подтверждающий компетентность студента.

Как все это успеть?

🕵 Обучение кибербезопасности: как освоить популярную профессию?

Курс длится 24 месяца (184 часов лекций и 120 часов практики), чтобы не сильно отрываться от текущей работы и без спешки усваивать новые знания. В среднем требуется около 3-5 часов в неделю. Также курс можно завершить за меньший срок, если есть свободное время.

А если возникнут вопросы?

Студентам открывается доступ к закрытому телеграм-каналу, где происходит коммуникация с преподавателями: они комментируют домашние задания, дают советы и лайфхаки.

Я ничего не умею, будет сложно?

Курс рассчитан на новичков. Плюс вам всегда на помощь придут наставники. Главное – систематически выполнять задания и не стесняться задавать вопросы.

Есть рассрочка или кредитная программа?

Да, действует программа рассрочки. А первый платеж – через три месяца.

Какие шансы, что я получу работу?

Точную цифру – с какой вероятностью тот или иной студент получит работу и через какое время – вам никто не назовет. SkillBox поможет составить резюме, даст персональные консультации по развитию карьеры и подготовит к собеседованиям. Лучшее, что может сделать студент, чтобы повысить свою конкурентоспособность – быть инициативным и жадным до знаний.

Кто ведет занятия?

Занятия ведут сертифицированный этичный хакер Александр Огнев, старший инженер безопасности в Alibaba Cloud Анастасия Полякова, инженер по информационной безопасности и старший консультант центра сетевых решений компании «Инфосистемы Джет» Нина Пакшина и Максим Клочков, главный методист технического направления Skillbox Михаил Овчинников и директор кадрового центра SymbioWay Даниил Пилипенко.

🕵 Обучение кибербезопасности: как освоить популярную профессию?

Что в итоге?

Пять проектов в портфолио, работа на реальных кейсах с реальными командами, диплом об окончании и помощь в поиске работы. Доступ к курсу остается навсегда.

МЕРОПРИЯТИЯ

Комментарии

ВАКАНСИИ

Добавить вакансию

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ