Memang, para ahli keamanan dunia maya melindungi uang, data, dan reputasi perusahaan, karyawan mereka, dan pengguna. Ada sesuatu yang bisa dibanggakan. Namun demikian, tidak banyak yang diketahui tentang mereka yang melindungi keamanan kami di ruang internet seperti tentang pengembang yang mereka bicarakan dan tulis. Seseorang menulis aplikasi atau game yang membawa popularitas dan uang pencipta, orang lain mengembangkan platform cryptocurrency yang menarik perhatian cryptocurrency. Karya "keamanan informasi" tetap tersembunyi dari mata yang mengintip.
Namun demikian, ini tidak kalah pentingnya dari karya pemrogram, karena produk mereka menjadi populer sampai batas tertentu karena pekerjaan terkoordinasi para pakar keamanan siber. Artikel ini menceritakan tentang apa profesi itu sendiri dan apa yang dapat Anda andalkan ketika Anda memulai perjalanan Anda sebagai keamanan informasi. Victor Chaplygin, seorang dosen
di fakultas keamanan informasi (IS)
GeekBrains , membantu memahami topik yang sulit ini.
Siapa yang dapat menyebut dirinya spesialis keamanan informasi?
Seperti dalam banyak spesialisasi teknis lainnya, dalam spesialis keamanan informasi - orang yang memiliki latar belakang teknis yang signifikan. Orang seperti itu harus memiliki pengalaman yang solid dalam pekerjaan praktis dengan berbagai teknologi (yang mana - kita akan berbicara di bawah), tetapi pelatihan teoretis juga harus di atas. Plus, dan ini adalah sesuatu yang tidak ditemukan di sebagian besar spesialisasi lainnya - harus berpengalaman dalam kepatuhan, yaitu mengetahui norma dan persyaratan hukum di bidang perlindungan informasi dan keamanan informasi secara umum.
Pakar cybersecurity yang baik adalah seorang praktisi yang tahu bagaimana kira-kira seorang penyerang berpikir dan alat apa yang bisa digunakan penjahat cyber. Dari semua teknik dan vektor serangan, sekitar 80% diketahui oleh spesialis, yang memungkinkan untuk berhasil menanganinya menggunakan pertahanan yang ada. 20% adalah kerentanan nol hari, metode peretasan yang baru ditemukan, dll. Seorang profesional harus selalu waspada untuk bereaksi tepat waktu.
Spesialisasi paling penting dalam keamanan informasi
Ada banyak kemungkinan jawaban, karena spesialisasi dapat dibagi menjadi berbagai jenis dan varietas. Selain itu, orang dapat berdebat lama tentang bidang keamanan informasi mana yang paling penting bagi semua orang. Karena itu, kami membuat alokasi subyektif dari tiga bidang pekerjaan penting:
Pentester. Kita hidup di dunia aplikasi, ada di mana-mana - di telepon pintar, laptop, rumah sakit, dan bahkan di lemari es. Sayangnya, tidak semua pengembang perangkat lunak memiliki keterampilan yang kurang lebih maju dalam keamanan informasi. Dan jika demikian, maka kerentanan dapat muncul dalam interaksi, misalnya, aplikasi frontend dengan backend. Kesalahan bisa dalam kode tertulis. Seorang ahli yang dapat memberi tahu Anda cara melindungi aplikasi atau layanan dari peretasan adalah spesialis yang sangat berharga.
Penguji penetrasi pada dasarnya adalah peretas putih. Tugasnya adalah mempelajari keamanan situs web, aplikasi seluler, platform perangkat lunak, dll. Tidak seperti penyerang yang dihukum karena aktivitas mereka, pentester menerima bonus untuk mendeteksi kerentanan. Ada freelancer di antara pentester - ini sering pemburu Bug Bounty, hadiah yang ditawarkan oleh perusahaan untuk mendeteksi kerentanan dalam layanan atau aplikasinya. Omong-omong, Fakultas Keamanan Informasi GeekBrains mempersiapkan, termasuk Pentester. Kami berencana untuk menerbitkan artikel terpisah tentang keberhasilan beberapa siswa.
Spesialis dalam pengembangan aplikasi yang aman. Pakar seperti itu tidak lagi hanya mencari kerentanan potensial menggunakan alat atau alat desain sendiri. Dia mampu memahami kode proyek yang ditulis dalam berbagai bahasa pemrograman, mengidentifikasi kesalahan kode yang khas dan menunjukkan kepada pengembang keberadaan mereka. Dalam karyanya, spesialis menggunakan berbagai alat, menggunakan analisis kode statis dan dinamis, tahu berbagai alat dan mampu bertindak sebagai ahli untuk tim pengembangan. Dia dapat menunjukkan kepada pengembang potongan-potongan kode yang berpotensi rentan yang perlu ditulis ulang.
Spesialis Keamanan Informasi. Di sini kita berbicara tentang para profesional yang bisa menjadi ahli dalam 2-3 bidang keamanan informasi dan berpengalaman dalam 4-5 bidang terkait. Para profesional seperti itu dapat terjun ke dalam keahlian dan bertindak sebagai konsultan atau arsitek dari proyek-proyek yang sangat rumit.
Nah, berapa lama untuk menjadi spesialis yang baik?
Ada dua opsi untuk pengembangan acara. Jika, misalnya, seorang jurnalis yang sebelumnya menulis tentang perjalanan datang ke keamanan informasi, maka ia perlu menghabiskan sekitar satu setengah tahun untuk mencapai tingkat junior. Ini asalkan jika Anda terlibat dalam 5-7 jam seminggu, pelajari topik tertentu dengan sengaja.
Tetapi jika, misalnya, administrator sistem memutuskan untuk melakukan infobase, maka ia akan membutuhkan waktu yang jauh lebih sedikit. Dia sudah tahu apa dan bagaimana dia bekerja, tetap di atas fondasi yang kuat (soliditasnya tergantung pada pengalaman dan waktu kerja) untuk menerapkan pengetahuan dan praktik baru. Di bawah kondisi pelatihan serupa yang disebutkan di atas - 5-7 jam seminggu, seorang spesialis teknis akan memiliki sekitar enam bulan untuk mencapai tingkat junior dalam keamanan informasi atau bahkan tingkat yang lebih tinggi.
Dalam kasus apa pun, disarankan untuk mempelajari praktik internasional, misalnya, dengan ISO / IEC 27000 - serangkaian standar internasional yang mencakup standar keamanan informasi yang diterbitkan bersama oleh Organisasi Internasional untuk Standardisasi (ISO) dan Komisi Elektroteknik Internasional (IEC). Selain itu, praktik terbaik dalam keamanan informasi dapat ditemukan dalam standar berbagai lembaga. Jadi, organisasi nirlaba MITER ATT & CK memungkinkan Anda untuk mendapatkan informasi terperinci tentang metode kerja penjahat cyber - misalnya, bagaimana mereka memulai pengintaian, kemudian membobol salah satu elemen keamanan, menembus dan diperbaiki dalam sistem. Kerangka kerja MITER ATT & CK menjelaskan secara rinci bagaimana penyerang dapat melakukan tugas mereka, menggambarkan tindakan balasan, atau menunjukkan cara yang efektif untuk meminimalkan kerusakan jika peretasan memang terjadi.
Seperti biasa, ada "tetapi." Dalam hal pelatihan dilakukan secara formal, misalnya, demi penilaian, tidak ada hal baik yang akan terjadi. Dan pengetahuan tanpa latihan tidak akan membuat seorang spesialis pemula.
Tentu saja, dalam pembelajaran mandiri, siswa tidak dapat menguji semua alat, tetapi yang tidak dapat dihindari dalam pekerjaan selanjutnya dikuasai. Dasar ini cukup untuk junior.
Dan alat apa yang digunakan oleh "keamanan"?
Itu semua tergantung pada ke arah mana spesialis dilibatkan, serta pada tempat pekerjaannya - apakah itu organisasi komersial atau organisasi negara. Berbicara tentang Rusia, spesialis keamanan informasi sering harus bekerja dengan alat yang disertifikasi oleh FSTEC FSB - hanya karena organisasi pemerintah diharuskan untuk hanya menggunakan perangkat lunak dan perangkat keras bersertifikat. Ini bisa berupa antivirus dalam negeri, firewall, semua jenis perangkat keras.
Lebih mudah bagi karyawan organisasi komersial - di sini Anda dapat bekerja dengan alat dari Cisco, Palo Alto, perusahaan internasional atau domestik lainnya.
Pendatang baru dalam keamanan informasi harus memulai dengan studi independen terhadap perangkat sumber terbuka sebelum beralih ke perangkat berbayar. Berbagai macam produk perangkat lunak yang dibutuhkan dalam pekerjaan sehari-hari berada di Kali Linux, Parrot OS. Anda perlu menguasai Wireshark, SqlMap, Nmap, John the Ripper dan banyak hal lainnya.
Adapun kompetensi, yang paling diperlukan untuk spesialis pemula dapat dipanggil:
- mencari kerentanan di sisi klien dari aplikasi web, eksploitasi kerentanan klien, metode perlindungan;
- Keterampilan pencarian untuk kerentanan sisi server, memahami fitur Bug Bounty;
- Keterampilan meretas jaringan nirkabel, jaringan perangkat, dan cara untuk memastikan keamanan di dalamnya;
- Keahlian aplikasi terbalik, pencarian dan eksploitasi kerentanan biner. Dasar-dasar protokol kriptografi.
Omong-omong, pada tahun 2016 tentang "Habr"
daftar rata -
rata tugas dan persyaratan pentester diterbitkan .
Tanggung jawab:- Pengujian lingkungan informasi dan produk perangkat lunak perusahaan;
- Menguji sistem informasi untuk toleransi kesalahan;
- Analisis instrumental sistem informasi;
- Identifikasi ancaman saat ini sesuai dengan klasifikasi OWASP TOP 10, pengembangan tindakan kompensasi;
- Pengujian penetrasi;
- Analisis keamanan kode sumber perangkat lunak.
Persyaratan:- Pengalaman dalam mengidentifikasi kerentanan sistem;
- Pengalaman dengan Burp Suite, Hydra;
- Pengalaman SQLMap, OpenVAS, Kerangka Metasploit, Fortify, AppScan;
- Rasakan Acunetix, w3af, X-Spider, Max-Patrol, Nmap;
- Pengetahuan tentang prinsip-prinsip konstruksi dan pengoperasian aplikasi web;
- Pengetahuan tentang ancaman khas dan kerentanan aplikasi web yang tercantum dalam OWASP Top 10;
- Keterampilan pengujian manual dan otomatis keamanan aplikasi web;
- Pengalaman pengujian penetrasi
- Pengalaman dalam mengaudit TI dan sistem keamanan informasi.
Seperti yang Anda lihat, daftarnya cukup luas, dan bisa jauh lebih besar. Tetapi Anda tidak perlu takut - sebagai suatu peraturan, majikan potensial berusaha untuk menutupi "volume" maksimum pasar tenaga kerja, ia tidak memiliki tugas "mengirim" semua calon potensial bahkan pada tahap sosialisasi dengan kekosongan. Anda bisa mendapatkan ide tentang apa yang dibutuhkan majikan dengan membaca 3-5 lowongan kerja nyata.
Berikut adalah beberapa contoh - pekerjaan nyata
pada layanan My Circle .
Berapa yang diperoleh pakar keamanan?
Penyebaran gaji cukup besar, seperti biasa, semuanya tergantung wilayah dan spesialisasi. Tetapi gaji seorang spesialis keamanan informasi sekarang layak, dan ukurannya secara bertahap meningkat. Banyak dari pertumbuhan ini disebabkan oleh personil "kelaparan" di bidang keamanan informasi.
Untuk memahami tingkat gaji spesialis, sebaiknya biasakan diri Anda dengan data kalkulator gaji Lingkaran Saya.
Junior magang dapat berharap untuk kisaran 35 ribu rubel. hingga 60-70 ribu.
Tingkat rata-rata untuk menengah adalah 60-70 ribu hingga 80 ribu rubel. Ngomong-ngomong, pentester dapat mengandalkan gaji 100 ribu, jika setidaknya ada sedikit pengalaman dalam pekerjaan nyata dan persiapan yang baik.
Selanjutnya datang
"tentara universal" yang tahu bahasa pemrograman, dapat menulis skrip, dan memiliki pengetahuan di bidang terkait. Gaji mereka mulai dari 100 ribu dan dapat mencapai hingga 300-500 ribu rubel. Tetapi tidak ada banyak tawaran seperti itu di pasar, ditambah untuk mencapai tingkat upah yang serupa, Anda harus menjadi spesialis yang sangat, sangat baik. Banyak perusahaan bersedia membayar untuk keahlian tersebut.
Secara umum, di kota-kota seperti Moskow, St. Petersburg dan Novosibirsk, Anda dapat mengandalkan 60-120 ribu rubel.
Sebagai penutup artikel itu, perlu dikatakan bahwa perlindungan informasi adalah area prioritas pasar TI. Meskipun kemajuan yang jelas dari alat otomatisasi, teknologi kecerdasan buatan, seseorang masih berada di garis depan perlindungan informasi. Selalu ada permintaan untuk spesialis yang baik, dan karena kekurangan staf di bidang keamanan informasi meningkat, proposal menjadi lebih dan lebih menarik.