确实,网络安全专家可以保护金钱,数据以及公司,员工和用户的声誉。 有一些值得骄傲的事情。 但是,对于那些保护我们在Internet空间中的安全性的人所知不多,而对于他们正在谈论和所写的开发人员来说却知之甚少。 有人写了一个应用程序或游戏,使创造者获得了知名度和金钱,另一个人开发了一个加密货币平台,引起了加密货币交易所的注意。 “信息安全”的工作仍不为所动。
尽管如此,它与程序员的工作同样重要,因为由于网络安全专家的协同工作,他们的产品在某种程度上变得越来越流行。 本文介绍了什么是职业本身,以及您在作为信息安全之旅时可以依靠什么。
GeekBrains信息安全 (IS)
部门的老师Victor Chaplygin
帮助理解了这一难题。
谁可以称自己为信息安全专家?
与许多其他技术专业一样,信息安全专家中-具有丰富技术背景的一位。 这样的人应该在使用不同技术的实际工作中具有扎实的经验(哪些-我们将在下面讨论),但是理论培训也应该放在首位。 另外,这是大多数其他专业都没有的东西-应该精通合规性,即 总体上了解信息保护和信息安全领域的法律规范和要求。
网络安全方面的优秀专家是一名从业者,他知道攻击者的想法和网络犯罪分子可以使用的工具。 在所有技术和攻击媒介中,专家已知约80%,这使得可以使用现有防御措施成功应对它们。 零日漏洞,新发明的黑客方法等占20%。 专业人士应始终保持警惕,以便及时做出反应。
信息安全最重要的专业
有很多可能的答案,因为专业可以分为不同的类型和品种。 另外,人们可以争论很长时间,哪些信息安全领域对每个人来说都是最重要的。 因此,我们对三个重要的工作领域进行了主观分配:
五月。 我们生活在一个应用程序世界中,它们无处不在-智能手机,笔记本电脑,医院甚至冰箱中。 不幸的是,并非所有软件开发人员都具有或多或少的信息安全高级技能。 如果是这样,则该漏洞可能发生在交互中,例如,应用程序的前端与后端。 错误可能出在书面代码中。 可以告诉您如何保护应用程序或服务免受黑客攻击的专家是非常有价值的专家。
渗透测试人员本质上是白人黑客。 它的任务是研究网站,移动应用程序,软件平台等的安全性。 与因行为受到惩罚的攻击者不同,渗透测试者会因检测漏洞而获得奖金。 渗透测试者中有自由职业者-通常是Bug赏金猎人,这是公司为检测其服务或应用程序中的漏洞而提供的奖励。 顺便说一下,GeekBrains的信息安全学院正在准备中,包括渗透测试者。 我们计划发表另一篇有关某些学生成功的文章。
安全应用程序开发专家。 这样的专家不再只是使用现成的工具或他自己设计的工具来寻找潜在的漏洞。 他能够理解用不同编程语言编写的项目代码,识别典型的代码错误并向开发人员指示其存在。 在他的工作中,专家使用各种工具,使用静态和动态代码分析,了解各种工具,并能够充当开发团队的专家。 他可以向开发人员指出需要重写的潜在易受攻击的代码段。
信息安全专员。 在这里,我们谈论的专业人员可以是2-3个信息安全领域的专家,并且精通4-5个相关领域。 这样的专业人员可以投入专业知识,并担任复杂的高负荷项目的顾问或建筑师。
那么,成为一名优秀的专家需要多长时间?
事件的开发有两种选择。 例如,如果某个以前写过旅行的记者来到了信息安全领域,那么他需要花费大约一年半的时间才能达到初级水平。 如果您每周工作5-7个小时,请有目的地学习某些主题。
但是,例如,如果系统管理员决定创建一个信息库,那么他将需要更少的时间。 他已经知道自己的工作方式和工作方式,并保持扎实的基础(其扎实性取决于经验和工作时间)以应用新的知识和实践。 在上述类似的培训条件下(每周5-7个小时),技术专家将有大约六个月的时间达到信息安全初级水平甚至更高水平。
无论如何,建议您研究国际惯例,例如,使用ISO / IEC 27000-一系列国际标准,其中包括由国际标准化组织(ISO)和国际电工委员会(IEC)联合发布的信息安全标准。 此外,可以在各种机构的标准中找到信息安全的最佳实践。 因此,非营利组织MITER ATT&CK可让您获取有关网络犯罪分子工作方法的详细信息-例如,他们如何开始侦察,然后闯入安全要素之一,渗透并固定在系统中。 MITER ATT&CK框架详细描述了攻击者如何执行任务,描述对策或指出有效的方法,以防止黑客入侵。
一如往常,有一个“但是”。 如果正式进行培训(例如出于评估目的),将无济于事。 没有实践的知识不会使专家成为新手。
当然,在自学过程中,学生无法测试所有工具,但可以掌握在以后的工作中无法避免的那些工具。 这个基础对于初中生来说已经足够了。
以及“安全性”使用哪些工具?
这完全取决于专家的工作方向以及工作地点-无论是商业组织还是州立组织。 说到俄罗斯,信息安全专家通常必须使用经FSTEC FSB认证的工具-仅仅是因为要求政府组织仅使用经过认证的软件和硬件。 它可以是家用防病毒软件,防火墙,各种硬件。
对于商业组织的员工而言,这更加容易-在这里,您可以使用Cisco,Palo Alto,其他国际或国内公司的工具。
信息安全的新手应该从对开源工具的独立研究开始,然后再转向付费工具。 Kali Linux,Parrot OS是日常工作中需要的各种软件产品。 您需要掌握Wireshark,SqlMap,Nmap,Ripper John和许多其他东西。
至于能力,对于新手专家来说最必要的可以称为:
- 在Web应用程序的客户端上搜索漏洞,利用客户端漏洞,保护方法;
- 搜索服务器端漏洞的技能,了解Bug赏金的功能;
- 无线网络,设备网络的黑客技巧以及确保其安全性的方法;
- 反向应用,搜索和利用二进制漏洞的技能。 密码协议的基础。
顺便说一句,2016年在“
哈勃”上发布了渗透测试人员的
平均职责和要求清单 。
职责:- 测试公司的信息环境和软件产品;
- 测试信息系统的容错能力;
- 信息系统的仪器分析;
- 根据OWASP TOP 10分类确定当前威胁,制定补偿措施;
- 渗透测试;
- 软件源代码的安全性分析。
要求:- 具有识别系统漏洞的经验;
- 体验九头蛇Burp套房;
- 体验SQLMap,OpenVAS,Metasploit框架,Fortify,AppScan;
- 体验Acunetix,w3af,X-Spider,Max-Patrol,Nmap;
- 了解Web应用程序的构建和操作原理;
- 了解OWASP Top 10中列出的Web应用程序的典型威胁和漏洞;
- 手动和自动测试Web应用程序安全性的技能;
- 渗透测试经验
- 具有审核IT和信息安全系统的经验。
如您所见,该列表非常广泛,并且可能更大。 但是,您不必担心-通常,潜在雇主力图覆盖劳动力市场的最大“数量”,即使在熟悉空缺职位的情况下,他也没有“派遣”所有潜在候选人的任务。 通过阅读3-5个实际职位空缺,您可以了解雇主的需求。
以下是一些示例
-My Circle服务上的实际工作。
安全专家会得到多少?
和往常一样,薪水的差异很大,这完全取决于地区和专业。 但是,信息安全专家的薪水现在是可观的,并且其规模正在逐渐增加。 增长的主要原因是信息安全领域的人员“饥渴”。
要了解专家的薪水水平,您应该熟悉“我的圈子”薪水计算器的数据。
初级实习生的希望范围为35,000卢布。 高达60-70000。
中产阶级的平均水平是60-70000到80000卢布。 顺便说一句,如果至少有一点实际工作经验和良好的准备工作,那么一个pentester的年薪可以达到10万。
接下来是
“通用士兵” ,他们了解编程语言,可以编写脚本并具有相关领域的知识。 他们的薪水从十万卢布开始,最高可以达到三百至五十万卢布。 但是市场上没有很多这样的报价,而且为了达到类似的工资水平,您需要成为非常非常好的专家。 许多公司愿意为此付出代价。
一般来说,在莫斯科,圣彼得堡和新西伯利亚等城市,您可以指望60-120 000卢布。
最后,值得一提的是,信息保护是IT市场的优先领域。 尽管自动化工具,人工智能技术取得了显着进步,但人们仍然处在信息保护的最前沿。 总是需要优秀的专家,并且随着信息安全领域人员的短缺,提议变得越来越有趣。