что такое факультет информационная безопасность
Специальность «Информационная безопасность» (бакалавриат)
Степень: Академический бакалавр
Наиболее распространенные экзамены при поступлении:
Содержание
Кто владеет информацией, тот владеет миром. Поэтому очень востребованной является специальность 10.03.01 «Информационная безопасность». Она объединяет в себе знания, которые касаются всего спектра проблем из сферы информационной защищенности.
Это сравнительно молодая профессия, которая предполагает не только умение определять ресурсы, нуждающиеся в защите. Такие специалисты способны вычислять возможные угрозы и предупреждать утечку информации. Сегодня для них существуют специальные технические, аппаратные и программные средства, которые помогают справляться максимально эффективно с поставленными целями.
Условия поступления
Основной задачей направления является обучение специалиста, который будет обладать большим багажом знаний, не будет останавливаться в своем развитии, ведь с появлением новых технологий перед ним встают все более серьезные задачи. Профессиональная деятельность требует знания точных наук, поэтому экзамены, которые необходимо сдать абитуриенту при поступлении, следующие::
Будущая профессия
Выпускник бакалавриата может решать целый комплекс задач:
Куда поступать
Такую востребованную профессию можно получить, обучаясь в лучших вузах Москвы:
Срок обучения
Для освоения курса на очной форме достаточно 4 лет.
Дисциплины, входящие в курс обучения
Для получения диплома бакалавра предстоит изучить множество предметов, которые имеют отношение к точным наукам и информатике:
Приобретаемые навыки
По завершении обучения каждый выпускник будет обладать следующими компетенциями:
Перспективы трудоустройства по профессии
Круг должностей, которые сможет занять выпускник с дипломом бакалавра, достаточно велик:
Уровень дохода молодого специалиста предопределяется местом работы и направлением деятельности. Она может быть эксплуатационной, проектно-технологической, организационно-управленческой, экспериментально-исследовательской. Для выпускника с дипломом бакалавра зарплата может составлять 40 тысяч. Если же профессионал доказывает свою состоятельность и становится незаменимым специалистом, ему готовы платить и от 100 тысяч рублей.
Преимущества обучения в магистратуре
Освоение магистерской программы позволит углубить собственные знания. Курс обучения предполагает практический опыт: это будут конкретные задачи, нацеленные на предупреждение угроз или поиск возможных утечек информации. Не теоретически, а практически специалист попробует свои силы в защите компьютерных систем, автоматизированных и информационно-аналитических ресурсов.
Магистерская программа является хорошей ступенькой для профессионального старта. Объемы информации, которая нуждается в защите, постоянно растут. Совершенствуются технологии ее защиты, но увеличиваются и риски.
Информационная безопасность — что нужно знать и уметь, чтобы считаться хорошим специалистом по ИБ?
Действительно, эксперты в сфере кибербезопасности защищают деньги, данные, репутацию компаний, их сотрудников и пользователей. Гордиться есть чем. Тем не менее, о тех, кто защищает нашу с вами безопасность в интернет-пространстве, известно далеко не так много, как о разработчиках, о которых говорят и пишут. Кто-то написал приложение или игру, которые принесли создателю популярность и деньги, еще кто-то разработал криптовалютную платформу, на которую обратили внимание криптобиржи. Работа «инфобезопасников» остается скрытой от любопытных глаз.
Тем не менее, она важна не менее, чем дело рук программистов, ведь их продукты в какой-то мере становятся популярными и благодаря слаженной работе экспертов по кибербезопасности. О том, что представляет собой сама профессия и на что можно рассчитывать, когда начинаешь свой путь в качестве ИБ, и рассказывает эта статья. Разобраться в этой сложной теме помог Виктор Чаплыгин преподаватель факультета GeekBrains по информационной безопасности (ИБ).
Кто может назвать себя специалистом по ИБ?
Как и во многих других технических специальностях, в инфобезе специалист — тот, кто обладает значительным техническим бэкграундом. У такого человека должен быть солидный опыт практической работы с разными технологиями (какими именно — поговорим ниже), но должна быть на высоте и теоретическая подготовка. Плюс ко всему, и это то, чего нет в большинстве других специальностей — он должен неплохо разбираться и в комплаенсе, т.е. знать законодательные нормы и требования области защиты информации и информационной безопасности в целом.
Хороший эксперт по кибербезопасности — практик, который знает, как примерно мыслит злоумышленник и какие инструменты киберпреступник может применить. Из всех методик и векторов атак около 80% известны специалистам, что позволяет применяя существующие средства защиты успешно бороться с ними. 20% — это уязвимости нулевого дня, новоизобретенные методы взлома и т.п. Профессионал должен быть всегда начеку для того, чтобы вовремя среагировать.
Наиболее важные специальности в ИБ
Здесь много возможных вариантов ответа, поскольку специальности можно делить на разные типы и разновидности. Кроме того, можно долго спорить, какие направления в ИБ всех главнее. Поэтому сделаем субъективное выделение трех важных направлений работы:
Пентестер. Мы живем в мире приложений, они везде — в смартфоне, ноутбуке, на стационаре и даже в холодильнике. К сожалению, далеко не все разработчики ПО имеют более-менее продвинутые навыки в информационной безопасности. А если и так, то уязвимость может возникнуть при взаимодействии, например, фронтенда приложения с бэкендом. Ошибки могут быть и в написанном коде. Эксперт, который может подсказать, как защитить приложение или сервис от взлома — весьма ценный специалист.
Пентестер (penetration tester) — по сути, белый хакер. Его задача — исследование безопасности веб-сайтов, мобильных приложений, программных платформ и т.п. В отличие от злоумышленников, которых за их деятельность ждет наказание, пентестеры за обнаружение уязвимости получают бонусы. Среди пентестеров есть и фрилансеры — это, зачастую, охотники за Bug Bounty, вознаграждением, предлагаемым какой-либо компанией за обнаружение уязвимости в ее сервисе или приложении. Кстати, факультет информационной безопасности GeekBrains готовит, в том числе, пентестеров. Об успехах некоторых студентов мы планируем опубликовать отдельную статью.
Специалист по безопасной разработке приложений. Такой эксперт уже не просто ищет потенциальные уязвимости используя готовые инструменты или тулзы собственной разработки. Он способен разобраться в коде проектов, написанных на разных языках программирования, определить типовые ошибки кода и указать разработчикам на их наличие. В своей работе специалист использует различные инструменты, использует статический и динамический анализ кода, знает разные инструменты и способен выступать в качестве эксперта для команды разработки. Он может указать разработчикам на потенциально уязвимые части кода, которые необходимо переписать.
Специалист по ИБ широкого профиля. Здесь речь о профессионалах, которые могут быть экспертами в 2-3 направлениях информационной безопасности и хорошо разбираться еще в 4-5 смежных направлений. Такие профессионалы могут погружаться в экспертизу и выступать в качестве консультантов или архитекторов сложных высоконагруженных проектов.
Ну а сколько времени нужно на то, чтобы стать хорошим специалистом?
Здесь есть два варианта развития событий. Если в информационную безопасность пришел, например, журналист, который ранее писал о путешествиях, то ему нужно потратить около полутора лет на то, чтобы выйти на уровень джуниора. Это при условии, если в неделю заниматься по 5-7 часов, целенаправленно изучать определенные темы.
Но если инфобезом решил заняться, например, системный администратор, то ему понадобится гораздо меньше времени. Он уже знает, что и как работает, остается на солидную основу (ее солидность зависит от опыта и времени работы) нанести новые знания и практику. При аналогичных названным выше условиям обучения — 5-7 часов в неделю техническому спецу хватит около полугода на выход на уровень джуниора по ИБ или даже более высокую ступень.
В любом случае рекомендуется изучать международные практики, например, с ISO/IEC 27000 — серией международных стандартов, которые включают стандарты по информационной безопасности, опубликованные совместно Международной Организацией по Стандартизации (ISO) и Международной Электротехнической Комиссии (IEC). Кроме того, передовые практики по ИБ можно найти в стандартах различных институтов. Так, некоммерческая организация MITRE ATT&CK позволяет получить детальную информацию о методах работы киберпреступников — например, как они начинают разведку, затем взламывают один из элементов защиты, проникают и закрепляются в системе. В фреймворке MITRE ATT&CK подробно описывается, как злоумышленники могут выполнить свою задачу, описаны меры противодействия или указываются эффективные способы минимизации ущерба, если взлом все же произошел.
Как всегда, есть «но». В том случае, если обучение выполняется формально, например, ради оценок, ничего хорошего из этого не получится. Да и знания без практики не сделают из новичка специалиста.
Конечно, в ходе самостоятельного обучения все инструменты студенты опробовать не могут, но те, без которых не обойтись в дальнейшей работе — осваиваются. Этой основы вполне достаточно джуниору.
А какие инструменты используют «безопасники»?
Сотрудникам коммерческих организаций проще — здесь можно работать с инструментами от Cisco, Palo Alto, других международных или отечественных компаний.
Новичку в информационной безопасности стоит начать с самостоятельного изучения опенсорс-инструментария, прежде, чем переходить к платным инструментам. Широкий спектр программных продуктов, которые нужны в ежедневной работе, есть в Kali Linux, Parrot OS. Нужно освоить Wireshark, SqlMap, Nmap, John the Ripper и многие другие вещи.
Что касается компетенций, наиболее необходимыми для начинающего специалиста можно назвать:
Вот несколько примеров — реальные вакансии на сервисе «Мой круг».
Сколько получает эксперт по ИБ?
Разброс зарплат довольно большой, как обычно, все зависит от региона и специальности. Но оплата труда специалиста по информационной безопасности сейчас достойная, а ее размер понемногу увеличивается. Во многом рост обусловлен кадровым «голодом» в сфере ИБ.
Для понимания уровня зарплат специалистов стоит ознакомиться с данными зарплатного калькулятора «Моего круга».
Стажеру-джуниору можно надеяться на диапазон от 35 тыс. руб. до 60-70 тысяч.
Средний уровень для миддла — от 60-70 тысяч до 80 тыс. руб. Кстати, пентестер может рассчитывать на зарплату от 100 тысяч, если есть хотя бы небольшой опыт реальной работы и хорошая подготовка.
Дальше уже идут «универсальные солдаты», которые знают языки программирование, могут писать скрипты, обладают знаниями в смежных сферах. Их зарплата начинается от 100 тысяч и может доходить до 300-500 тыс. руб. Но таких предложений на рынке не очень много, плюс чтобы достичь подобного уровня заработной платы, нужно быть очень, очень хорошим специалистом. За экспертизу готовы платить многие компании.
В целом же в таких городах, как Москва, Питер и Новосибирск можно рассчитывать на 60-120 тысяч рублей.
Завершая статью, стоит сказать, что защита информации — приоритетное направление ИТ-рынка. Несмотря на явный прогресс инструментов автоматизации, технологий искусственного интеллекта, на переднем краю информационной защиты все же находится человек. На хороших специалистов спрос есть всегда, а по мере роста кадрового голода в ИБ-сфере предложения становятся все более интересными.
Специалист по информационной безопасности. Что делает и сколько зарабатывает
Специалист по информационной безопасности — не самая простая, зато востребованная ИТ-профессия. Она пугает множеством терминов и своеобразных инструментов, хотя на деле доступна людям без технического бэкграунда. Изучив ИБ, вы будете работать с государственными корпорациями, банками, средним и крупным бизнесом, облачными сервисами и стартапами. Проще говоря, везде, где есть вероятность взлома.
В этой статье подробно рассказываем, кто такой специалист по информационной безопасности, чем он занимается, сколько зарабатывает и как им стать. Бонусом — подборка книг для знакомства с профессией.
Разобрался, чем занимается специалист по ИБ, что должен знать и где может работать
Кто такой специалист по ИБ сейчас
Обычно под специалистом по информационной безопасности подразумевают человека, который может внедрить и поддерживать защиту от несанкционированного доступа. Настроить сеть, предусмотреть ошибки и потенциальные баги, развернуть и запустить технологии мониторинга подключений.
Но есть и более узкие специальности уже внутри сферы:
Есть ещё один вариант деления специалистов:
Такое деление — условное. Например, в небольшом бизнесе по разработке мобильных приложений специалист по ИБ будет заниматься всем циклом, начиная от разработки и заканчивая внедрением. А в крупной облачной корпорации вы можете работать только с Kubernetes, не трогая больше ничего.
Важно. Специалист по информационной безопасности сейчас — это тот, кто внедряет систему защиты в компанию и поддерживает её от попыток проникнуть извне.
Из-за неустоявшихся терминов есть небольшая путаница и в названиях вакансий — компании ищут специалистов по информационной безопасности, администраторов защиты, инженеров безопасности компьютерных сетей и другие названия, подразумевая одного и того же специалиста.
Чем занимаются специалисты по информационной безопасности
Главные задачи специалиста по ИБ — настраивать инструменты для защиты и мониторинга, писать скрипты для автоматизации процессов, время от времени проводить пентесты, чувствуя себя хакером. Следить за общими показателями системы и администрировать средства защиты информации.
Вот типичные задачи специалиста по ИБ:
Плюс сферы ИБ — вы можете проработать несколько лет, но так и не столкнуться с чем-то неизвестным и непонятным. Конечно, точной статистики нет, но обычно все уязвимости и способы взлома известны.
Условно, порядка 80–90% времени работы занимает защита от уже известных способов взлома. Ещё 10% — это что-то новое, что ещё не прописали в методичках и документации.
Специалист по ИБ — это не всегда творческая профессия. Обычно наоборот, не нужно ничего выдумывать и изобретать велосипед. Специалист берет готовый чеклист или инструкцию, а затем внедряет систему защиты. Тестирует её, находит баги, исправляет их. И затем новая итерация.
Как стать специалистом по ИБ
Путь в профессию специалиста по информационной безопасности похож на стандартный для ИТ — сначала курсы или самообучение, затем стажировка и перевод на полноценную работу.
Судя по отзывам инженеров на профессиональных площадках, для старта в профессии достаточно 9–12 месяцев, из которых полгода занимает обучение на курсах.
Нужен ли технический бэкграунд
Опыт работы в ИТ и программировании не нужен — это особая профессия на стыке системного администрирования, разработки и консалтинга. Конечно, если вы начинающий разработчик или инженер, будет проще — разбираться в общих принципах процессов в ИТ не придётся. Но ненамного, потому что в любом случае в ИБ есть масса своих тонкостей и технологий.
Идеальный план обучения в сфере ИБ — минимум теории и максимум практики. Просто изучить список популярных уязвимостей бесполезно, нужно попробовать внедрить защиту от них в рабочий продукт и столкнуться с ограничениями системы.
Нужен ли английский язык
На старте хорошее знание языка необязательно — достаточно понимать необходимый минимум, чтобы не потеряться в интерфейсе программы и читать документацию с Google-переводчиком.
Но затем в языке стоит потренироваться. Качественная литература, журналы, блоги и форумы по информационной безопасности в основном зарубежные, хорошие переводы на русский появляются не сразу. Чтобы быть постоянно «в теме», придется обращаться к первоисточникам.
Выбирая курсы обучения по ИБ, обратите внимание, включены ли в них занятия по техническому английскому языку. На таких занятиях вы не будете тратить время на отработку посторонних тем вроде отпуска, кулинарии или чего-то ещё, не имеющего отношения к ИТ. Вместо этого познакомитесь со специальной лексикой, которую используют в тестировании, разработке и чтении документации.
Что нужно знать для старта работы
Проблема многих курсов, которые готовят специалистов по информационной безопасности — акцент на одном из направлений сферы:
Если вы планируете строить карьеру в сфере информационной безопасности, стоит поискать курсы, на которых учат полноценному внедрению системы защиты. Плюс учат использовать уязвимости для пентестов. И обязательно рассказывают о том, как всё это делать законно — нужно разобраться в нормативной базе и особенностях законодательства.
То есть и законам, и настройкам сети, и хакингу, и защите от взломов.
Стек навыков
Вот примерный список того, что нужно знать и уметь для старта:
Чему учат на факультете информационной безопасности GU
Кем вы сможете работать по окончании факультета информационной безопасности и где набрать опыт? Есть ли смысл учиться на безопасника, если вы живете в маленьком городе? Обо всем этом расскажет Сергей Кручинин — руководитель образовательных проектов GeekBrains. Этот человек руководит работой деканов всех 8 факультетов GeekUniversity и согласует учебные планы.
— Сергей, начнем с главного. Специалист по информационной безопасности — это широкое понятие. Чему конкретно вы учите?
— Прежде всего хочу сказать, что программа факультета разработана практикующими специалистами. Особая благодарность Никите Ступину — специалисту по информационной безопасности Mail.Ru и декану нашего факультета. Мы будем делиться со студентами лучшими практиками безопасности, которые уже используются в Mail.Ru Group.
Чтоб никто не запутался, надо понимать, что в сфере информационной безопасности (ИБ) есть «бумажная» и практическая работа. «Бумажные» специалисты следят, отвечает ли система безопасности — по документам — требованиям закона. На деле в ней может быть полно дыр, которые никто не ищет и не устраняет, но в документации — все по стандарту.
Не надо так
Мы делаем упор не на «бумажную», а на практическую безопасность веб-приложений, сетей, оборудования и данных. Наши студенты изучат методы и технологии взлома, инструменты хакеров, работу систем, которые предстоит защищать. Все эти знания необходимы для поиска и закрытия уязвимостей.
С «бумажной» стороной ИБ наши студенты тоже кратко познакомятся: научатся составлять регламенты и инструкции для сотрудников предприятия. Стандарты и документация ни в коем случае не бесполезны, но нельзя подменять ими реальную защиту.
— Почему в GeekUniversity выбрали именно такой путь?
— Практическая безопасность важнее. Сильному бизнесу интересен прежде всего результат. Я бы советовал начинать с практики еще и потому, что она скорее приведет вас в молодую и прогрессивную IT-команду.
На «бумажные» вакансии чаще идут люди 40–50 лет с особым типом мышления, вузовским образованием и опытом работы в госучреждениях. Они смотрят на вещи формально. Во время аудита они задают вопросы типа «Есть ли у вас система обнаружения вторжений?». Или, чтобы что-то проверить, просят у клиента пароль от root-а. Наш выпускник без пароля посмотрит на среднестатистической машине, что ему нужно, и сам поменяет пароль, если потребуется.
В GeekUnivestity мы готовим специалистов, которые будут востребованы в Mail.Ru Group и аналогичных компаниях — смогут участвовать в обеспечении безопасности крупного почтового сервиса, например.
— Кстати, специалистов по каким направлениям безопасности берут в компанию Mail.Ru Group?
— Среди приоритетов — продуктовая безопасность (Application Security), есть даже открытая вакансия. Специалисты в этой области умеют находить уязвимости веб-сервисов, нейтрализовывать инъекции SQL, OS Command injection и другое. Также востребованы специалисты по инфраструктурной безопасности. Их компетенции: защита на уровне сети (L3, L4, TCP/IP, фаерволы), безопасность операционных систем (контроль за обновлением пакетов и ядра), парольные политики, сканирование периметра — перечислять можно долго.
— Для тех, кто только знакомится с терминологией, — что такое инъекции в веб-сервисах?
— Это когда вместо ожидаемых приложением данных, таких как идентификатор сообщения, злоумышленник вбивает нужную ему команду, а скрипт ее выполняет. Мошенник получает доступ к конфиденциальным данным или даже к машине, на которой найдена уязвимость.
— Какие еще угрозы вы учите находить?
— Бинарные, криптографические. Видов уязвимостей много. Одной только веб-безопасности посвящены первые две четверти учебного года. Это очень важное направление, потому что бизнес из оффлайна переходит в онлайн, а пользовательские данные идут в веб и в облака. Еще 10 лет назад такси заказывали только по телефону. Теперь — в основном через сервисы типа Uber и Яндекс.Такси. И главный вопрос — насколько защищен веб-сервис, которому ты доверяешь свои данные.
Если разработчики сайта не позаботились о безопасности, более-менее продвинутый пользователь может прочитать чужие сообщения, посмотреть фотографии и так далее. Есть набор веб-уязвимостей, рассчитанных на беспечность программиста. Мы объясняем студентам, как злоумышленники находят и эксплуатируют такие уязвимости, к чему это может привести и как это предотвратить.
Знать такие вещи полезно и веб-разработчикам, и руководителям проектов, и всем, кто хочет защищать конфиденциальные данные посетителей своего сайта. Либо нужно привлекать специалиста-практика, который проведет аудит. Выявить угрозы — это меньше чем полдела. Нужно еще придумать, как их устранить, а потом проследить, чтобы защита работала.
Офис GeekBrains: работаем допоздна, лишь бы студенты получили знания
Кроме веб-безопасности наши студенты подробно изучают сетевую безопасность. Эти направления частично связаны, потому что есть угрозы, которые затрагивают не только серверную, но и клиентскую часть сервиса.
Например, некоторые сайты, в том числе крупных организаций, не шифруют трафик. Это позволяет перенаправлять его на подставные машины и перехватывать все, что пользователи хотели отправить на сервер.
— А если человек живет в маленьком городе, где нет передовых IT-компаний? Вот он выучился на безопасника-практика. Кем ему работать?
— Стек технологий, который мы преподаем, завязан и на системное администрирование, и на другие смежные с ИБ области. Если человек старательно учится, у нас он станет специалистом широкого профиля. Сейчас объясню подробнее.
Хороший безопасник должен уметь админить. Если вы посмотрите на резюме специалистов по информационной безопасности, у многих в карьере был этап сисадминства.
Наши студенты плотно изучают Linux. Кто раньше не работал с этой операционной системой, прежде всего научится ставить ее на виртуальной машине. Дальше студенты осваивают работу в терминале, установку программного обеспечения и решение базовых задач.
Еще мы учим работе с сервисами: как поднять сервер Nginx или Apache, базу СУБД, настроить DNS-сервер BIND и почту. Нужно только помнить, что знания не приходят автоматически после оплаты обучения — придется прикладывать усилия.
— Строить и настраивать сети — тоже учите?
— Да. Сетевой инженер — еще одна профессия, с которой перекликается работа безопасника. Надо уметь как минимум настраивать сетевые фильтры, закрывать порты, отслеживать активные соединения.
При изучении компьютерных сетей студенты отработают практические навыки на тренажере Cisco Packet Tracer. Мы его выбрали ради наглядности, но умение работать с оборудованием Cisco — еще и бонус к резюме.
Краеугольная тема сетевой безопасности — TCP/IP. Это модель передачи данных по сети. С разными ее реализациями админы и безопасники работают постоянно. Мы рассказываем, что такое протоколы канального и сетевого уровня, как они работают, зачем нужен MAC-адрес. Мало кто в этом разбирается, хотя именно на канальном уровне выстроены многие типы атак.
Изучаем сетевые технологии
Дальше мы объясняем, как устроен интернет, как работает провайдерская сеть и как настроить сеть предприятия — тоже на примере оборудования Cisco.
— Вернемся к ситуации «выпускник не хочет переезжать из маленького города». Где работать?
— Начнем с того, что везде есть провайдеры. Нашего выпускника они с удовольствием возьмут сетевым инженером. Причем это будет сетевой инженер с очень хорошим пониманием безопасности. В карьерном плане у него будет преимущество перед людьми, которые раньше только прокладывали сети: обжимали витую пару и бегали с ней по чердакам. Нашему инженеру-безопаснику будет проще дорасти до руководителя. У провайдеров есть сайты и какие-то сервисы — здесь тоже можно себя проявить.
Следующий момент — везде нужны сисадмины. Если в компании нет отдельного специалиста по информационной безопасности, его обязанности выполняет системный администратор. И снова — наш выпускник получает преимущество перед админами, которые изучали безопасность сами и поверхностно.
От себя лично добавлю, что если у вас есть возможность переехать в Москву или Санкт-Петербург и поработать в крупной местной или международной компании, оно того стоит. У нас есть студенты, которым это уже удалось.
— А как насчет работы с приложениями? Ведь безопасник должен еще и софт держать под контролем.
— Да, мы учим дизассемблированию и анализу приложений, чтобы студенты могли выявлять вредоносный код.
Нужно понимать, что злоумышленники и те, кто с ними борются, используют одни и те же инструменты. «Черные» (плохие) хакеры анализируют программное обеспечение и ищут уязвимости, которыми можно воспользоваться. «Белый» (этичный) хакер ищет ошибки, чтобы закрыть дыры в безопасности.
Мы учим исследовать код. Если программист был неосторожен, при определенных условиях программа может выдать конфиденциальные данные. Например, отправить пользователю кусок оперативной памяти, где хранятся пароли, закрытые ключи и другие интересные вещи.
Мы также учим программировать на языке Python. С ним удобно автоматизировать задачи или писать свои инструменты анализа данных. Эти навыки выводят безопасника на более высокий профессиональный уровень.
Еще у нас есть курс «Операционные системы». Он рассказывает об архитектуре ОС, о том, как отличаются угрозы безопасности в Linux, DOS, Windows, и другое.
Мы объясняем, что такое пространство ядра и пространство пользователя, как работает память, почему одно приложение в современных операционных системах не может изменить данные другого приложения. Чем процесс отличается от потока.
Ближе к концу курса — в четвертой четверти — студенты знакомятся с темой бинарных уязвимостей.
— Ты упомянул, что составлению регламентов и работе с документами студенты тоже учатся.
Есть и еще один важный момент. Мы учим основам социальной инженерии. Потому что злоумышленник никогда без нужды не идет сложным путем. Прежде чем что-то ломать, он пробует выманить пароль или другую нужную информацию у пользователя. Мы рассказываем, как учесть подобные схемы при составлении инструкций для сотрудников компании.
— То есть вы готовите «универсального солдата» безопасности?
— Мы готовим человека, который умеет взламывать и защищать. Необходимо понимать методы взлома, чтобы грамотно выстроить информационную систему.
Хороший безопасник обладает теми же навыками, что и злоумышленник. Но применяет их не в корыстных и/или преступных целях, а чтобы защитить систему и, в конечном итоге, — пользователей.
Взломать можно что угодно — это вопрос времени и ресурсов. Но обход хорошо выстроенной защиты может нападающего попросту разорить.
— Как расставлены приоритеты между изучаемыми направлениями?
— Главный упор на веб-безопасность. К ней примыкают сетевая инженерия и системное администрирование. По остальным направлением мы даем базовые знания, которые можно развивать в зависимости от интересов учащегося.
— Где студенту-безопаснику набирать практический опыт? Какие достижения он по итогам учебы сможет записать себе в резюме? И как прокачаться самому?
— Угрозы можно моделировать. Для этого есть специальные инструменты. Начинать лучше с простых вещей: берем и ставим на сайт «глючное веб-приложение» — bWAPP (buggy web application). Оно изначально создано небезопасным, чтобы на нем «этичные хакеры» тренировались находить и блокировать уязвимости.
Еще есть DVL — специальный Linux-дистрибутив с преднамеренными ошибками настройки.
Такие инструменты очень полезны, но они могут студентам быстро надоесть, поэтому мы заготовили более интересные испытания. Например, состязания типа Capture the flag. Вы получаете доступ к удаленной машине, но заранее не знаете ее уязвимостей и должны их найти. Победы в таких конкурсах и соревнованиях на рынке ценятся — их можно смело записывать в резюме. Взломать серьезный тренажер не легче, чем реальный сайт.
Также стоит участвовать в конкурсах типа Bug Bounty. Это когда организация предлагает вознаграждение тем, кто найдет уязвимости в продукте. Мы расскажем, как участвовать в подобных программах. Если у вас прокаченный аккаунт на hackerone, вам будут рады в крупных компаниях, в том числе зарубежных.
Еще наш студент может предлагать владельцам сайтов услуги аудита: находить и закрывать уязвимости. Главное — договориться с хозяином сайта заранее, потому что грань между «черным» и «белым» хакерством очень тонка и за непрошеную помощь можно попасть под статью.
— Есть ли смысл предлагать аудит безопасности тем, кто о ней не беспокоится? Бывает, уязвимость видна даже неспециалисту, но ее никто не устраняет.
— Пробовать стоит. Некоторым действительно бесполезно писать, но есть и те, кто не задумывался о проблеме. Я одному владельцу сайта объяснил, что он использует HTTP, а пора бы уже на HTTPS перейти, потому что иначе пароли пользователей передаются по незащищенному каналу связи. И человек прислушался. Если сайт приносит доход, владелец заинтересован в его развитии и, скорее всего, пойдет на диалог.
— Вот человек победил в конкурсе, провел кому-то аудит, но еще не работал в штате. При поиске работы это проблема?
— Нет. Наш выпускник целый год провел с GeekBrains и Mail.Ru Group. Он уже представляет себе работу безопасника в крупной компании, знает весь стек технологий и собрал стартовое портфолио. С точки зрения среднестатистического работодателя это немало.
— Будет чем блеснуть на собеседовании.
— Само собой. Не исключено, что выпускник будет разбираться в каких-то вопросах лучше будущего руководителя.
— Сергей, спасибо огромное! Теперь у меня целостная картина, чему и зачем учат на факультете информационной безопасности. Если у читателей остались вопросы — надеюсь, они их зададут в комментариях. А мы с тобой еще найдем время так же подробно поговорить о другом факультете — искусственного интеллекта.
— О новом факультете и о направлении Data Science действительно многое можно рассказать. Так что до следующего раза.
Освоить востребованную профессию в Data Science можно всего за полтора года на курсах GeekBrains. После учёбы вы сможете работать по специальностям Data Scientist, Data Analyst, Machine Learning, Engineer Computer Vision-специалист или NLP-специалист.
Кем вы сможете работать по окончании факультета информационной безопасности и где набрать опыт? Есть ли смысл учиться на безопасника, если вы живете в маленьком городе? Обо всем этом расскажет Сергей Кручинин — руководитель образовательных проектов GeekBrains. Этот человек руководит работой деканов всех 8 факультетов GeekUniversity и согласует учебные планы.
— Сергей, начнем с главного. Специалист по информационной безопасности — это широкое понятие. Чему конкретно вы учите?
— Прежде всего хочу сказать, что программа факультета разработана практикующими специалистами. Особая благодарность Никите Ступину — специалисту по информационной безопасности Mail.Ru и декану нашего факультета. Мы будем делиться со студентами лучшими практиками безопасности, которые уже используются в Mail.Ru Group.
Чтоб никто не запутался, надо понимать, что в сфере информационной безопасности (ИБ) есть «бумажная» и практическая работа. «Бумажные» специалисты следят, отвечает ли система безопасности — по документам — требованиям закона. На деле в ней может быть полно дыр, которые никто не ищет и не устраняет, но в документации — все по стандарту.
Не надо так
Мы делаем упор не на «бумажную», а на практическую безопасность веб-приложений, сетей, оборудования и данных. Наши студенты изучат методы и технологии взлома, инструменты хакеров, работу систем, которые предстоит защищать. Все эти знания необходимы для поиска и закрытия уязвимостей.
С «бумажной» стороной ИБ наши студенты тоже кратко познакомятся: научатся составлять регламенты и инструкции для сотрудников предприятия. Стандарты и документация ни в коем случае не бесполезны, но нельзя подменять ими реальную защиту.
— Почему в GeekUniversity выбрали именно такой путь?
— Практическая безопасность важнее. Сильному бизнесу интересен прежде всего результат. Я бы советовал начинать с практики еще и потому, что она скорее приведет вас в молодую и прогрессивную IT-команду.
На «бумажные» вакансии чаще идут люди 40–50 лет с особым типом мышления, вузовским образованием и опытом работы в госучреждениях. Они смотрят на вещи формально. Во время аудита они задают вопросы типа «Есть ли у вас система обнаружения вторжений?». Или, чтобы что-то проверить, просят у клиента пароль от root-а. Наш выпускник без пароля посмотрит на среднестатистической машине, что ему нужно, и сам поменяет пароль, если потребуется.
В GeekUnivestity мы готовим специалистов, которые будут востребованы в Mail.Ru Group и аналогичных компаниях — смогут участвовать в обеспечении безопасности крупного почтового сервиса, например.
— Кстати, специалистов по каким направлениям безопасности берут в компанию Mail.Ru Group?
— Среди приоритетов — продуктовая безопасность (Application Security), есть даже открытая вакансия. Специалисты в этой области умеют находить уязвимости веб-сервисов, нейтрализовывать инъекции SQL, OS Command injection и другое. Также востребованы специалисты по инфраструктурной безопасности. Их компетенции: защита на уровне сети (L3, L4, TCP/IP, фаерволы), безопасность операционных систем (контроль за обновлением пакетов и ядра), парольные политики, сканирование периметра — перечислять можно долго.
— Для тех, кто только знакомится с терминологией, — что такое инъекции в веб-сервисах?
— Это когда вместо ожидаемых приложением данных, таких как идентификатор сообщения, злоумышленник вбивает нужную ему команду, а скрипт ее выполняет. Мошенник получает доступ к конфиденциальным данным или даже к машине, на которой найдена уязвимость.
— Какие еще угрозы вы учите находить?
— Бинарные, криптографические. Видов уязвимостей много. Одной только веб-безопасности посвящены первые две четверти учебного года. Это очень важное направление, потому что бизнес из оффлайна переходит в онлайн, а пользовательские данные идут в веб и в облака. Еще 10 лет назад такси заказывали только по телефону. Теперь — в основном через сервисы типа Uber и Яндекс.Такси. И главный вопрос — насколько защищен веб-сервис, которому ты доверяешь свои данные.
Если разработчики сайта не позаботились о безопасности, более-менее продвинутый пользователь может прочитать чужие сообщения, посмотреть фотографии и так далее. Есть набор веб-уязвимостей, рассчитанных на беспечность программиста. Мы объясняем студентам, как злоумышленники находят и эксплуатируют такие уязвимости, к чему это может привести и как это предотвратить.
Знать такие вещи полезно и веб-разработчикам, и руководителям проектов, и всем, кто хочет защищать конфиденциальные данные посетителей своего сайта. Либо нужно привлекать специалиста-практика, который проведет аудит. Выявить угрозы — это меньше чем полдела. Нужно еще придумать, как их устранить, а потом проследить, чтобы защита работала.
Офис GeekBrains: работаем допоздна, лишь бы студенты получили знания
Кроме веб-безопасности наши студенты подробно изучают сетевую безопасность. Эти направления частично связаны, потому что есть угрозы, которые затрагивают не только серверную, но и клиентскую часть сервиса.
Например, некоторые сайты, в том числе крупных организаций, не шифруют трафик. Это позволяет перенаправлять его на подставные машины и перехватывать все, что пользователи хотели отправить на сервер.
— А если человек живет в маленьком городе, где нет передовых IT-компаний? Вот он выучился на безопасника-практика. Кем ему работать?
— Стек технологий, который мы преподаем, завязан и на системное администрирование, и на другие смежные с ИБ области. Если человек старательно учится, у нас он станет специалистом широкого профиля. Сейчас объясню подробнее.
Хороший безопасник должен уметь админить. Если вы посмотрите на резюме специалистов по информационной безопасности, у многих в карьере был этап сисадминства.
Наши студенты плотно изучают Linux. Кто раньше не работал с этой операционной системой, прежде всего научится ставить ее на виртуальной машине. Дальше студенты осваивают работу в терминале, установку программного обеспечения и решение базовых задач.
Еще мы учим работе с сервисами: как поднять сервер Nginx или Apache, базу СУБД, настроить DNS-сервер BIND и почту. Нужно только помнить, что знания не приходят автоматически после оплаты обучения — придется прикладывать усилия.
— Строить и настраивать сети — тоже учите?
— Да. Сетевой инженер — еще одна профессия, с которой перекликается работа безопасника. Надо уметь как минимум настраивать сетевые фильтры, закрывать порты, отслеживать активные соединения.
При изучении компьютерных сетей студенты отработают практические навыки на тренажере Cisco Packet Tracer. Мы его выбрали ради наглядности, но умение работать с оборудованием Cisco — еще и бонус к резюме.
Краеугольная тема сетевой безопасности — TCP/IP. Это модель передачи данных по сети. С разными ее реализациями админы и безопасники работают постоянно. Мы рассказываем, что такое протоколы канального и сетевого уровня, как они работают, зачем нужен MAC-адрес. Мало кто в этом разбирается, хотя именно на канальном уровне выстроены многие типы атак.
Изучаем сетевые технологии
Дальше мы объясняем, как устроен интернет, как работает провайдерская сеть и как настроить сеть предприятия — тоже на примере оборудования Cisco.
— Вернемся к ситуации «выпускник не хочет переезжать из маленького города». Где работать?
— Начнем с того, что везде есть провайдеры. Нашего выпускника они с удовольствием возьмут сетевым инженером. Причем это будет сетевой инженер с очень хорошим пониманием безопасности. В карьерном плане у него будет преимущество перед людьми, которые раньше только прокладывали сети: обжимали витую пару и бегали с ней по чердакам. Нашему инженеру-безопаснику будет проще дорасти до руководителя. У провайдеров есть сайты и какие-то сервисы — здесь тоже можно себя проявить.
Следующий момент — везде нужны сисадмины. Если в компании нет отдельного специалиста по информационной безопасности, его обязанности выполняет системный администратор. И снова — наш выпускник получает преимущество перед админами, которые изучали безопасность сами и поверхностно.
От себя лично добавлю, что если у вас есть возможность переехать в Москву или Санкт-Петербург и поработать в крупной местной или международной компании, оно того стоит. У нас есть студенты, которым это уже удалось.
— А как насчет работы с приложениями? Ведь безопасник должен еще и софт держать под контролем.
— Да, мы учим дизассемблированию и анализу приложений, чтобы студенты могли выявлять вредоносный код.
Нужно понимать, что злоумышленники и те, кто с ними борются, используют одни и те же инструменты. «Черные» (плохие) хакеры анализируют программное обеспечение и ищут уязвимости, которыми можно воспользоваться. «Белый» (этичный) хакер ищет ошибки, чтобы закрыть дыры в безопасности.
Мы учим исследовать код. Если программист был неосторожен, при определенных условиях программа может выдать конфиденциальные данные. Например, отправить пользователю кусок оперативной памяти, где хранятся пароли, закрытые ключи и другие интересные вещи.
Мы также учим программировать на языке Python. С ним удобно автоматизировать задачи или писать свои инструменты анализа данных. Эти навыки выводят безопасника на более высокий профессиональный уровень.
Еще у нас есть курс «Операционные системы». Он рассказывает об архитектуре ОС, о том, как отличаются угрозы безопасности в Linux, DOS, Windows, и другое.
Мы объясняем, что такое пространство ядра и пространство пользователя, как работает память, почему одно приложение в современных операционных системах не может изменить данные другого приложения. Чем процесс отличается от потока.
Ближе к концу курса — в четвертой четверти — студенты знакомятся с темой бинарных уязвимостей.
— Ты упомянул, что составлению регламентов и работе с документами студенты тоже учатся.
Есть и еще один важный момент. Мы учим основам социальной инженерии. Потому что злоумышленник никогда без нужды не идет сложным путем. Прежде чем что-то ломать, он пробует выманить пароль или другую нужную информацию у пользователя. Мы рассказываем, как учесть подобные схемы при составлении инструкций для сотрудников компании.
— То есть вы готовите «универсального солдата» безопасности?
— Мы готовим человека, который умеет взламывать и защищать. Необходимо понимать методы взлома, чтобы грамотно выстроить информационную систему.
Хороший безопасник обладает теми же навыками, что и злоумышленник. Но применяет их не в корыстных и/или преступных целях, а чтобы защитить систему и, в конечном итоге, — пользователей.
Взломать можно что угодно — это вопрос времени и ресурсов. Но обход хорошо выстроенной защиты может нападающего попросту разорить.
— Как расставлены приоритеты между изучаемыми направлениями?
— Главный упор на веб-безопасность. К ней примыкают сетевая инженерия и системное администрирование. По остальным направлением мы даем базовые знания, которые можно развивать в зависимости от интересов учащегося.
— Где студенту-безопаснику набирать практический опыт? Какие достижения он по итогам учебы сможет записать себе в резюме? И как прокачаться самому?
— Угрозы можно моделировать. Для этого есть специальные инструменты. Начинать лучше с простых вещей: берем и ставим на сайт «глючное веб-приложение» — bWAPP (buggy web application). Оно изначально создано небезопасным, чтобы на нем «этичные хакеры» тренировались находить и блокировать уязвимости.
Еще есть DVL — специальный Linux-дистрибутив с преднамеренными ошибками настройки.
Такие инструменты очень полезны, но они могут студентам быстро надоесть, поэтому мы заготовили более интересные испытания. Например, состязания типа Capture the flag. Вы получаете доступ к удаленной машине, но заранее не знаете ее уязвимостей и должны их найти. Победы в таких конкурсах и соревнованиях на рынке ценятся — их можно смело записывать в резюме. Взломать серьезный тренажер не легче, чем реальный сайт.
Также стоит участвовать в конкурсах типа Bug Bounty. Это когда организация предлагает вознаграждение тем, кто найдет уязвимости в продукте. Мы расскажем, как участвовать в подобных программах. Если у вас прокаченный аккаунт на hackerone, вам будут рады в крупных компаниях, в том числе зарубежных.
Еще наш студент может предлагать владельцам сайтов услуги аудита: находить и закрывать уязвимости. Главное — договориться с хозяином сайта заранее, потому что грань между «черным» и «белым» хакерством очень тонка и за непрошеную помощь можно попасть под статью.
— Есть ли смысл предлагать аудит безопасности тем, кто о ней не беспокоится? Бывает, уязвимость видна даже неспециалисту, но ее никто не устраняет.
— Пробовать стоит. Некоторым действительно бесполезно писать, но есть и те, кто не задумывался о проблеме. Я одному владельцу сайта объяснил, что он использует HTTP, а пора бы уже на HTTPS перейти, потому что иначе пароли пользователей передаются по незащищенному каналу связи. И человек прислушался. Если сайт приносит доход, владелец заинтересован в его развитии и, скорее всего, пойдет на диалог.
— Вот человек победил в конкурсе, провел кому-то аудит, но еще не работал в штате. При поиске работы это проблема?
— Нет. Наш выпускник целый год провел с GeekBrains и Mail.Ru Group. Он уже представляет себе работу безопасника в крупной компании, знает весь стек технологий и собрал стартовое портфолио. С точки зрения среднестатистического работодателя это немало.
— Будет чем блеснуть на собеседовании.
— Само собой. Не исключено, что выпускник будет разбираться в каких-то вопросах лучше будущего руководителя.
— Сергей, спасибо огромное! Теперь у меня целостная картина, чему и зачем учат на факультете информационной безопасности. Если у читателей остались вопросы — надеюсь, они их зададут в комментариях. А мы с тобой еще найдем время так же подробно поговорить о другом факультете — искусственного интеллекта.
— О новом факультете и о направлении Data Science действительно многое можно рассказать. Так что до следующего раза.
Освоить востребованную профессию в Data Science можно всего за полтора года на курсах GeekBrains. После учёбы вы сможете работать по специальностям Data Scientist, Data Analyst, Machine Learning, Engineer Computer Vision-специалист или NLP-специалист.