Путеводитель по карьере в кибербезопасности
Шрифт:
В-третьих, у большинства конференций есть важная особенность: возможность выступить с докладом и поделиться с другими участниками своими идеями, новыми данными и результатами исследований. Даже доклад на распространенную тему, преподнесенный нестандартным образом, может оказаться полезным, особенно на небольших конференциях для участников ИБ-сообщества.
Так или иначе, сведения о выступлении на одной или нескольких конференциях, включенные в резюме, способны привлечь внимание потенциального работодателя. Справедливости ради следует отметить, что для большинства начинающих профессионалов это довольно высокая планка. Однако если вы комфортно чувствуете себя на публике и у вас есть материал, которым вы готовы поделиться, будь то результат собственного или группового исследования, то эта задача вполне выполнима.
Одна из проблем с этими конференциями заключается в том, что за участие в них необходимо платить (если вы не докладчик или не владелец билета, полученного по стипендиальной программе). Кроме того, они проводятся в разных частях страны, поэтому если такое мероприятие организовано не поблизости от вас, то придется совершить поездку, а это дополнительные расходы.
Один из способов решить эту проблему — участвовать в конференциях BSides. Эти независимые конференции, проводимые под эгидой организации BSides, несколько отличаются друг от друга, но большинство из них охватывает довольно широкий спектр тем. Кроме того, большая часть таких конференций проводится в крупных городах по всему миру, что повышает шансы на то, что вам не придется далеко ехать. Многие ориентированы на небольшое количество участников, а значит, проще оказаться в числе докладчиков. В общем, участие в конференциях — это отличный способ получить знания и, вероятно, некоторые навыки, однако необходимо учитывать и связанные с этим затраты.
Дополнительные знания и навыки в области кибербезопасности можно получить и более неформальными способами. Например, соревнования по захвату флага (CTF) проводятся в рамках как конференций, так и специальных мероприятий, спонсируемых отраслевыми организациями. В этих соревнованиях участники или команды выполняют различные задания, чтобы получить так называемые флаги. В таких заданиях может потребоваться применить методы наступательной безопасности, социальной инженерии, разведки по открытым источникам, а иногда и защиты. CTF-соревнования различаются по уровню детализации задач: самые экстремальные предоставляют только целевую среду, которую пользователь должен исследовать, и больше никаких инструкций.
Также мероприятия различаются по уровню подготовки участников. Ориентированные на новичков, как правило, фокусируются на обучении и руководстве, а значение соревновательного аспекта в них меньше. Обычно участники здесь получают подробные описания заданий и советы по их выполнению. Во многих случаях администраторы этих соревнований при необходимости готовы участникам помочь.
Другие же CTF-соревнования, в том числе проводимые в рамках крупных конференций вроде DEF CON, делают акцент именно на соревновательности. Однако не стоит сбрасывать эти состязания со счетов, особенно если они командные. Если вам удастся найти команду, готовую принять нового человека, желающего учиться, они могут принести вам огромную пользу. В любом случае участие в CTF-соревнованиях — то, что определенно стоит включить в свое резюме. Подробнее об этом мы поговорим в главе 6.
Еще один отличный способ приобрести опыт в области кибербезопасности — использовать специализированные площадки вроде Hack Die Box (НТВ), где можно выполнять задания, связанные со взломом различных серверов, или смотреть, как их выполняют другие. Задания и серверы регулярно обновляются, как и рейтинг пользователей, основанный на количестве набранных ими очков. У площадки НТВ есть важная особенность: работодатели размещают на сайте объявления о вакансиях, которые сопоставляются с пользователями на основе их места в рейтинге. Эта площадка все еще развивается, но если вас интересует тестирование на проникновение и исследование уязвимостей, то, используя ее, вы получите отличный шанс продемонстрировать свои навыки потенциальным работодателям.
Существуют и другие площадки, например намеренно уязвимое приложение от О WASP под названием Web Go at. Вы можете установить его на свой компьютер и практиковать различные типы атак, понимать которые полезно не только пентестерам, но и специалистам, занимающимся защитой ПО. Помимо этой есть и другие доступные намеренно уязвимые среды. С некоторыми можно работать через интернет, но многие требуют настраивать среду на своем компьютере.
Это подводит нас к теме персональных лабораторий. Виртуализация, то есть создание виртуального компьютера, работающего как программное обеспечение на вашем персональном компьютере, позволяет легко (и, что более важно, без особых затрат) настраивать небольшие сетевые среды. Создав на домашнем компьютере небольшую сеть в виртуальной среде, вы сможете проводить эксперименты и исследования с использованием множества сетевых и защитных технологий. Это отличный способ получить новые знания, особенно для тех, кто имеет склонность к экспериментам. Даже сама настройка такой среды позволит вам приобрести ценные навыки. А если у вас возникнут вопросы, вы сможете найти нужную информацию с помощью Google, YouTube и других интернет-ресурсов.
К последней категории неформальных способов обучения, о которой мы поговорим, относятся такие онлайн-медиа, как вебинары, подкасты и прямые трансляции. Бесплатные вебинары часто проводят поставщики средств защиты и даже отраслевые организации. Подкасты почти всегда бесплатны для прослушивания, обычно их создают видные представители ИБ-сообщества. Постепенно набирают популярность прямые трансляции и видеоролики, где люди проводят бесплатные практические и обучающие занятия.
Чтение, просмотр и прослушивание подобного контента вы, скорее всего, не станете включать в свое резюме. Однако он ценен по многим причинам. Во-первых, так вы следите за тенденциями, темами, технологиями и дискуссиями, ведущимися в сфере кибербезопасности. И благодаря этому можете получить достаточно знаний, чтобы вести более содержательные разговоры в процессе собеседования. Кроме того, такой контент способен натолкнуть вас на идеи для дальнейшего самостоятельного обучения.
Во-вторых, благодаря этим ресурсам вы можете познакомиться с множеством выдающихся представителей ИБ-сообщества и с разными способами решения проблем. Вы также начнете усваивать профессиональную лексику, что, опять же, выделит вас на фоне остальных соискателей в процессе собеседования.
В третьих, эти занятия позволят вам освоить новые навыки. Постав щики продуктов в основном проводят вебинары, чтобы раскрыть для пользователей возможности своих инструментов или показать, как с их помощью можно решать определенные задачи. Прямые трансляции часто представляют собой обучающие или демонстрационные видеоролики с участием ИБ-специалистов. Даже в подкастах иногда встречается образовательный компонент, когда авторы обсуждают особенности своей работы или результаты исследований. В конечном счете эти бесплатные ресурсы помогут вам сформировать более компетентное мнение по поводу тех или иных целей, связанных с обеспечением кибер без опасности.
Еще один способ приобрести новые навыки — приходить на встречи участников местного ИБ-сообщества. Многие национальные и международные организации имеют отделения в разных городах. В этих отделениях регулярно проводятся собрания и другие менее формальные встречи, где участники могут обсудить интересующие их вопросы. Некоторые из этих мероприятий предусматривают выступления с докладами на темы, связанные с кибербезопасностью. В рамках других иногда организуют мастерские или интерактивные занятия, чтобы помочь участникам овладеть какими-то навыками. Третьи, еще менее формальные встречи, проводят, чтобы наладить связи между членами сообщества.
Все эти мероприятия предоставляют возможность получить знания, а иногда и отработать новые навыки. Ниже приведен список некоторых национальных и международных сообществ, в местных отделениях которых регулярно проводятся собрания:
— Cloud Security Alliance (CSA);
— DEF CON Groups;
— Information Systems Security Association (ISSA);
— InfraGard;
— International Association for Healthcare Security and Safety (IAHSS);
— ISACA;
— (ISC)2;