vladared 13 октября 2020

?‍?️ С чего начать обучение кибербезопасности: курсы, материалы, практики

Ресурсы для старта обучения в кибербезопасности также будут полезны тем, кому для основной работы нужны базовые знания в этой области.

В сфере кибербезопасности есть множество направлений для получения образования. Мы остановились на базовых материалах, которые помогут новичкам понять, куда двигаться дальше. Большинство ресурсов подходят для самообучения: вы найдете здесь курсы с теорией, а также платформы для практических занятий.

Что происходит в сфере кибербезопасности

1. Двухчасовое интервью с Марией Прохоровой, со-основательницей компании InDevLab, которая занимается разработкой, кибербезопасностью и ИТ-инфраструктурными решениями. Мария кратко и понятно описывает различные аспекты работы специалиста по кибербезопасности. Направления, узкопрофильные области, что нужно учить, где учиться, зарплаты, спрос, карьера, социальная инженерия, аудит безопасности, тестирование безопасности.

2. Основы для понимания работы безопасника. Это что-то вроде справочника: он подойдет специалистам по работе с персоналом, менеджерам или маркетологам, которым нужно изучить специфику работы профессионалов, а также планирующим карьеру в этой сфере. Здесь вы найдете разъяснения основных понятий, а также функции различных специалистов по кибербезопасности. Справочник поможет представителям других профессий увидеть общую картину.

3. Вебинар с молодым профессором, который консультирует Итерпол и работает в ISO над составлением стандартов по кибербезопасности. Он развеивает возникшие вокруг профессии мифы, рассказывает о сертификациях, и какие из них могут действительно увеличить размер зарплаты и востребованность на рынке труда. Вебинар поможет создать комфортную окружающую среду для обучения, чтобы сделать его более результативным.

Курсы для разных целей

1. Курсы Факультета информационной безопасности GeekBrains покрывают большую часть необходимых специалисту в кибербезопасности знаний, умений и навыков. Студенты изучают основные и наиболее востребованные практики: пентест веб-приложений, Python, реверс-инжениринг, безопасность сетей и криптографию. Также они участвуют в CTF-соревнованиях, имеют своего ментора и сразу решают практические задачи. Успешно завершившие программу студенты получают дипломы о профессиональной подготовке.

2. На Интуите есть бесплатный базовый курс. Несмотря на древний интерфейс, материал дает хорошую базу для начинающих. Помимо технической сферы, затрагиваются разные аспекты кибербезопасности (законы, стандарты, управление рисками). Курс будет особенно полезен, если вы еще не решили, чем именно хотите заняться.

Так как курс совсем не новый, о передовых технологиях он не рассказывает, а упомянутые в нем нормы законодательства лучше перепроверить на актуальность. В дополнительном разделе читателям предлагают небольшой детектив. После каждой лекции проводится тестирование, а в конце курса – экзамен. Сдавшим его успешно слушателям выдают сертификат.

Здесь же можно пройти более подробный курс по безопасности сети. Еще на платформе есть две программы уже с более детальным погружением в отдельные направления кибербезопасности: технический специалист и менеджер ИБ.

3. 15-часовой видеокурс с домашними работами и подробным планом на GitHub от синьора в пентесте и популярного ютуб-блогера. Не волнуйтесь, там есть тайм-коды по разделам. Слушателям расскажут о правильном ведении заметок, питоне, инструментах и техниках белого хакинга, пассивном OSINT, сборе информации об объекте атаки, пентесте веб-приложений, а в конце дадут советы по написанию отчетов (очень важный скилл любого безопасника) и карьере в кибербезопасности.

4. Базовый бесплатный курс на MindsMapped по кибербезопасности и этичному хакингу (слушателям выдают сертификаты). В небольших видео рассматриваются фазы этичного хакинга, виртуализация, передовые техники и инструменты для пентеста и хакинга с практическими примерами.

7. Ну как же без Coursera? В этот раз предлагаем вам специализацию по основам кибербезопасности от сотрудников IBM. Программа рассчитана на 4 курса. Пройдя их, вы разберетесь с основными инструментами и процессами в кибербезопасности, ОС, стандартами, системным администрированием, безопасностью сетей, уязвимостями баз данных. По окончании есть возможность получить значок от IBM.

8. Курс по кибербезопасности и хакингу от EH Academy. Здесь детально расскажут и покажут, как настроить лабораторию для экспериментов, обучения и работы, а также дадут базу по сбору информации, базовым техникам хакинга систем и веб-приложений. Под каждым видео можно оставлять вопросы преподавателю и другим слушателям.

9. Когда начинаешь погружаться в кибербезопасность со всех сторон, рекомендуется в первую очередь изучать Linux. В то же время основной операционной системой в большинстве организаций остается Windows, и большинство вредоносных программ пишется под эту ОС. Погружаясь в кибербезопасность, стоит уделить системам Microsoft большее внимание.

Например, с этим курсом из Udemy. Перед его прохождением лучше иметь какие-то предварительные знания о хакинге. Курс содержит практические задания и подойдет для подготовки к CTF-соревнованиям и ряду сертификаций.

Шпаргалки по кибербезопасности

У Института SANS есть постеры по разным направлениям кибербезопасности: пентесту, киберзащите, расследованию киберпреступлений и не только. Информация фиксируется в виде схем, чеклистов (безопасность веб-приложений) и конспектов. Для некоторых постеров есть русский вариант. Можно использовать их в качестве шпаргалок или повесить в офисе, чтобы все остальные тоже просвещались.

Посмотреть этот постер детальнее: <a href="https://www.sans.org/security-resources/posters/pen-testing/pen-test-attack-surfaces-tools-techniques-70" target="_blank" rel="noopener noreferrer nofollow">Pen Test: Attack Surfaces, Tools &amp; Techniques</a>
Посмотреть этот постер детальнее: Pen Test: Attack Surfaces, Tools & Techniques

P.S. Курсы у них тоже есть, но очень дорогие, поэтому мы не включали их в подборку.

Тренажеры

1. Pentester Academy предлагает более 1900 лабораторий и курсов по подписке за $70 в месяц. Затрагиваются разные практики: анализ трафика, веб-приложения, разведка, сети интернета вещей, форензика, безопасное программирование и т.д. Лаборатории настраиваются в зависимости от навыков и интересов учащегося, временные лимиты на выполнение упражнений отсутствуют, а все нужные для практики инструменты предустановлены. В этом видео можно посмотреть, как выглядит работа в этих лабораториях.

2. У Института SANS есть множество форматов (в основном недешевых), чтобы попробовать новые знания в деле: соревнований в режиме реального времени и киберполигонов для самостоятельной тренировки. Соревнования можно выбирать по понравившемуся направлению: форензике, пентесту, безопасности промышленных систем и т.д. Большинство из тренировочных платформ платные, но до конца этого года работают еженедельные бесплатные интерактивные челенджи.

3. Game of Hacks – это тестирование для оценки знания уязвимого кода. Есть 3 уровня в зависимости от навыков. Каждую задачу вы решаете за ограниченный период времени.

4. На Crypto Pal собрано 48 практических упражнений по криптографии. Это возможность обучаться в формате, когда вы сначала сталкиваетесь с проблемой и пытаетесь ее решить, а уже потом ищите ответы. После решения всех упражнений вы будете понимать, как устроены криптосистемы, и как они могут быть атакованы. Подходит для новичков в криптографии, но понадобится знание хотя бы одного популярного языка программирования. Практикум помогает увидеть веб-приложение глазами хакера.

Где искать опыт, когда минимальные навыки уже есть

1. На платформе Hack the Box вы сможете проверить навыки пентеста машин, а также влиться в комьюнити по кибербезопасности. Машина для тренировки выбирается из предлагаемых вариантов по уровню сложности, установленной ОС и другим параметрам. В разделе «Retired» можно найти уже пройденные машины с видео-прохождением. Просмотрев с десяток таких видео, вы будете понимать, с чего начинать и на что обращать внимание. Платформа также предлагает VIP-пакет с документацией к retired-машинам и подробным разбором.

2. На платформе VulnHub собраны виртуальные машины, которые можно скачать, чтобы практиковаться в цифровой безопасности, а также в администрировании сети и ПО. Чтобы лучше понять, как работать с виртуальными машинами в хакинге, предлагаем ознакомиться с этим небольшим гайдом. Также стоит посмотреть разборы кейсов на том же Хабре: разбор виртуальной машины Mr.Robot (у этого автора есть прохождение и других машин). На Reddit тоже достаточно разборов. К тому же на VulnHub можно найти множество полезных ресурсов о хакинге и кибербезопасности в целом.

3. PicoCTF – еще одна платформа в формате all-in-one: ресурсы для изучения, практические задания и CTF-соревнования. Задачи берутся из прошедших CTF: в личном кабинете вы можете потренироваться их решать. Сначала попытайтесь найти ответы самостоятельно, а потом посмотрите прохождение в этом видео и в этом.

Так выглядит личный кабинет с практическими заданиями, покрывающими большинство направлений кибербезопасности.
Так выглядит личный кабинет с практическими заданиями, покрывающими большинство направлений кибербезопасности.

Создатели PicoCTF позиционируют проект, как платформу для начинающих. Они отмечают, что задания подойдут даже для подростков.

4. Есть возможность прокачивать скиллы безопасника, одновременно совершая благородные поступки. Ее предоставляет некоммерческая организация Trace Labs. Она организует CTF-соревнования по поиску пропавших людей: вы реально помогаете их родственникам и правоохранительным органам. Среди открытых данных нужно найти всевозможные уязвимости, которые помогут получить дополнительную информацию о пропавшем.

Кроме соревнований можно также участвовать в комьюнити в Slack. В разделе «ongoing ops» вы найдете доску trello, куда добавляется информация о розыске.

В этом воркспейсе можно найти много другой полезной информации, включая вакансии по всему миру и анонсы мероприятий.

Заключение

Неважно, какое направление в кибербезопасности вы в итоге выберете. Базовые технические знания и опыт работы с инструментами необходимы для старта в профессии, благо, доступ к ним получить несложно.

РУБРИКИ В СТАТЬЕ

МЕРОПРИЯТИЯ

Комментарии 0

ВАКАНСИИ

Unity Developer
по итогам собеседования
Unity 3D developer
по итогам собеседования
Unity3D Developer (Middle/Senior)
Ростов-на-Дону, по итогам собеседования

ЛУЧШИЕ СТАТЬИ ПО ТЕМЕ

BUG