Чтение онлайн

Большое значение имеет выбор не только программы для получения степени, но и университета или колледжа. Помимо учебного плана, важно оценить также вспомогательные мероприятия, предлагаемые учебным учреждением. Сейчас набирают популярность программы, которые предоставляют учащимся возможность приобрести практические навыки, выполняя реальные исследования в области кибербезопасности в рамках работы внешних исследовательских групп и лабораторий.

Одна из таких программ — Computer Security Group Калифорнийского университета в Санта-Барбаре, известная как SecLab. Команда SecLab реализует различные инициативы, связанные с «проектированием, созданием и проверкой безопасных программных систем». Характер ее деятельности на первый взгляд может показаться теоретическим, однако она имеет вполне практическое значение. Ее участники анализируют программное обеспечение с открытым исходным кодом, чтобы проверить, нет ли в нем уязвимостей. Обнаружив слабое место, они сообщают о нем не только специалисту, отвечающему за сопровождение этого ПО, но и отраслевым организациям, которые в итоге доносят информацию до всего ИБ-сообщества. Таким образом, работа SecLab помогает сделать программное обеспечение более безопасным.

Другие программы ориентированы на сотрудничество с отраслевыми организациями, работающими над разнообразными проектами и исследованиями. Например, MITRE управляет различными исследовательскими центрами в США, финансируемыми за счет средств федерального бюджета. В рамках исследований она регулярно сотрудничает с университетами и другими академическими учреждениями. Ей это дает доступ к исследователям, а студентам — возможность приобрести практические навыки, которые им пригодятся при поиске первой работы.

При выборе учебного заведения и программы для получения степени важно разобраться в доступных возможностях. В частности, при получении степени, не связанной с кибербезопасностью, участие в такого рода исследованиях позволит выделить свое резюме на фоне остальных. Если же выбранная вами школа не предлагает таких программ, не отчаивайтесь, Вы можете наработать практические навыки в сфере кибербезопасности другими, менее формальными способами, которые тоже будет нелишним указать в резюме.

Активный обмен информацией и высокий спрос на квалифицированных специалистов по кибер без опасности создают множество возможностей для обучения. Это, конечно, не формальные программы для получения ученой степени, но они часто позволяют обрести актуальные и практические навыки, которые нельзя развить в рамках академического образования.

Проблема здесь в том, что подобные варианты сложно представить в резюме как доказательство наличия тех или иных способностей. Далее мы рассмотрим наиболее распространенные неформальные методы обучения и развития дополнительных профессиональных навыков.

Сообщество специалистов по кибербезопасности уже давно проводит конференции, позволяющие участникам обменяться информацией, развить навыки и наладить деловые связи. В ходе этих конференций опытные специалисты обычно делятся идеями, результатами последних исследований, исчерпывающими обзорами технологий и другими сведениями из области кибербезопасности.

Кроме того, участники часто могут посещать формальные тренинги или мастерские. В рамках многих мероприятий организуют так называемые «деревни» — центры практического обучения определенной технологии или технике. Например, как отмечалось в главе 3, большой популярностью на многих конференциях пользуется «деревня взлома замков»: ее посетители могут узнать о конструкции физических замков и поучиться у опытных инструкторов их взламывать. Кроме замков в «деревнях» можно научиться взламывать все что угодно, начиная с автомобилей и промышленных систем управления и заканчивая системами голосования.

Существует множество различных типов конференций. Понимание целевой аудитории и тематики поможет вам выбрать ту, что наиболее интересна и ценна именно для вас. Отличные возможности для обучения предоставляют не только практические и специализированные конференции конкретно для ИБ-специалистов, но и конференции, напрямую не связанные с информационной безопасностью.

Практические конференции, как правило, ориентированы на тех, кто уже работает или хочет работать в организации, помогая создавать и поддерживать средства защиты. Их темы могут быть самыми разнообразными. Обычно основное внимание на них уделяется действиям, связанным с управлением безопасностью внутри организации. На ИБ-специалистов ориентированы, например, RSA, Black Hat и InfoSec World. Благодаря тому, что на них рассматривается широкий спектр тем, участники могут выбрать тренинги и выступления себе по интересам.

Кроме того, ежегодно проводится ряд специализированных конференций, посвященных обычно конкретному направлению сферы кибербезопасности. Одна из самых популярных и старейших — конференция хакеров DEF CON, учрежденная в 1993 году в Лас-Вегасе. За время своего существования она превратилась из неформальной встречи хакеров в одну из крупнейших конференций по кибербезопасности в мире. Изначально основное внимание здесь уделяли хакерскому сообществу и соответствующим темам. Однако со временем стали организовывать все больше различных «деревень», благодаря чему спектр рассматриваемых тем расширился. Другие известные хакерские конференции, такие как BSides, SchmooCon и THOTCON, посвящены наступательной безопасности.

Помимо хакерских, существует еще одна известная специализированная конференция — Layer 8. Понятие Layer 8 («Восьмой уровень») относится к человеку как к элементу системы безопасности, поэтому конференция посвящена темам, связанным с социальной инженерией и сбором разведданных. Несмотря на то что организованные в ее рамках «деревни» и мастерские охватывают более широкий круг тем, фокус внимания самой конференции сосредоточен на человеческом факторе и соответствующих тактиках нападения и защиты.

Еще одна специализированная конференция — OWASP Global AppSec. OWASP — это отраслевая организация, занимающаяся безопасностью приложений, защитой программного обеспечения и процессов его разработки. Опять же, хотя конференция в целом фокусируется на этой тематике, некоторые мероприятия и даже выступления спикеров касаются других аспектов или направлений сферы кибербезопасности.

О различных формах конференций и каждом отдельном мероприятии можно было бы написать целую книгу. Вам необязательно знакомиться со всеми темами и всеми существующими конференциями. Гораздо важнее понимать, как эти мероприятия способны помочь вам обогатить свои знания и развить навыки, которые пригодятся в карьере.

Во-первых, само по себе посещение одной из таких конференций предоставляет возможность обучения, и это можно указать в резюме, чтобы продемонстрировать наличие знаний в определенной области или областях. То, что вы присутствовали на подобном мероприятии, свидетельствует не только о ваших знаниях, но и о вашем желании учиться и расти профессионально. Для некоторых менеджеров по найму это важный фактор.

Во-вторых, на мастерских и тренингах, проводимых в рамках конференций, вы можете развить дополнительные практические навыки, а потом указать их в своем резюме. Демонстрация того, что вы потратили время не только на получение знаний, но и на их практическое применение, способно помочь при недостатке более формального опыта работы.