информационная безопасность какие предметы изучают на факультете
Дисциплины
Согласно учебному плану, студенты изучают дисциплины, которые условно можно разделить на несколько групп.
1. Обязательный цикл дисциплин. Среди них «Иностранный язык» (обучение проводится в течение двух лет), «История», «Философия», «Физическая культура», «Русский язык и культура речи».
2. Обязательный цикл базовых профессиональных дисциплин:
3. Специализированный цикл профессиональных дисциплин: «Основы информационной безопасности», «Технологии баз данных», «Безопасность вычислительных сетей», «Машинное обучение», «Теория информации», «Web-технологии», «Проектирование программного обеспечения», «Криптографические методы защиты информации», «Комплексное обеспечение информационной безопасности».
4. Дисциплины по выбору, позволяющие реализовать студенту свои предпочтения в выборе профессиональной направленности.
5. Учебные и производственные практики, ориентированные на проектную деятельность студента.
На третьем курсе студенты выполняют курсовую работу по направлению, которая позволяет студенту выбрать собственную траекторию профессионального развития (прикладной или исследовательской направленности).
Государственная итоговая аттестация включает защиту выпускной квалификационной работы. Каталог выпускных квалификационных работ студентов прошлых лет доступен по ссылке.
Таким образом, в результате освоения образовательной программы бакалавриата по направлению 10.03.01 «Информационная безопасность» выпускники будут знать:
Специальность «Информационная безопасность» (бакалавриат)
Степень: Академический бакалавр
Наиболее распространенные экзамены при поступлении:
Содержание
Кто владеет информацией, тот владеет миром. Поэтому очень востребованной является специальность 10.03.01 «Информационная безопасность». Она объединяет в себе знания, которые касаются всего спектра проблем из сферы информационной защищенности.
Это сравнительно молодая профессия, которая предполагает не только умение определять ресурсы, нуждающиеся в защите. Такие специалисты способны вычислять возможные угрозы и предупреждать утечку информации. Сегодня для них существуют специальные технические, аппаратные и программные средства, которые помогают справляться максимально эффективно с поставленными целями.
Условия поступления
Основной задачей направления является обучение специалиста, который будет обладать большим багажом знаний, не будет останавливаться в своем развитии, ведь с появлением новых технологий перед ним встают все более серьезные задачи. Профессиональная деятельность требует знания точных наук, поэтому экзамены, которые необходимо сдать абитуриенту при поступлении, следующие::
Будущая профессия
Выпускник бакалавриата может решать целый комплекс задач:
Куда поступать
Такую востребованную профессию можно получить, обучаясь в лучших вузах Москвы:
Срок обучения
Для освоения курса на очной форме достаточно 4 лет.
Дисциплины, входящие в курс обучения
Для получения диплома бакалавра предстоит изучить множество предметов, которые имеют отношение к точным наукам и информатике:
Приобретаемые навыки
По завершении обучения каждый выпускник будет обладать следующими компетенциями:
Перспективы трудоустройства по профессии
Круг должностей, которые сможет занять выпускник с дипломом бакалавра, достаточно велик:
Уровень дохода молодого специалиста предопределяется местом работы и направлением деятельности. Она может быть эксплуатационной, проектно-технологической, организационно-управленческой, экспериментально-исследовательской. Для выпускника с дипломом бакалавра зарплата может составлять 40 тысяч. Если же профессионал доказывает свою состоятельность и становится незаменимым специалистом, ему готовы платить и от 100 тысяч рублей.
Преимущества обучения в магистратуре
Освоение магистерской программы позволит углубить собственные знания. Курс обучения предполагает практический опыт: это будут конкретные задачи, нацеленные на предупреждение угроз или поиск возможных утечек информации. Не теоретически, а практически специалист попробует свои силы в защите компьютерных систем, автоматизированных и информационно-аналитических ресурсов.
Магистерская программа является хорошей ступенькой для профессионального старта. Объемы информации, которая нуждается в защите, постоянно растут. Совершенствуются технологии ее защиты, но увеличиваются и риски.
Информационная безопасность какие предметы изучают на факультете
Программа направлена на подготовку высококвалифицированных кадров по информационной безопасности автоматизированных финансово-банковских систем. В процессе обучения на программе студенты овладевают одновременно техническими, экономическими и правовыми знаниями, приобретают технологические и процессуальные навыки, которые необходимы сегодня для профессиональной деятельности в организациях финансово-кредитной сферы в текущих условиях глобальной трансформации и перехода к цифровой экономике. Программа опирается на фундаментальную подготовку в областях высшей и прикладной математики, физических процессов информационной безопасности, подготовку в области информационных наук и программирования, подготовку в области профессиональной коммуникации, в том числе на иностранных языках. Основные приоритеты реализации программы направлены на: обеспечение информационной безопасности автоматизированных финансово-банковских систем; стратегическое управление информационной безопасностью; обеспечение устойчивости функционирования критически важных процессов автоматизированных финансово-банковских систем; проектирование и эксплуатацию систем управления информационной безопасностью автоматизированных финансово-банковских систем; аудит и оценку комплексных систем обеспечения информационной безопасности; фундаментальные знания в области кибербезопасности; понимание принципов управления бизнесом; правовую подготовку; формирование лидерских качеств, умение структурировать и решать поставленные задачи в области информационной безопасности. Учебный процесс программы построен таким образом, что позволяет преломлять теоретические знания по информационной безопасности в практические умения и владения профессиональными навыками, с учетом требований ведущих отраслевых работодателей в области управления рисками коммерческих и публичных организаций, включая экономические, технические, технологические и правовые аспекты.
Собираешься работать в кибербезопасности? Прочитай это
Автор статьи — Брайан Кребс, известный журналист в сфере информационной безопасности.
Каждый год из колледжей и университетов выходят тысячи выпускников по специальностям «информационная безопасность» или «информатика», абсолютно не подготовленных к реальной работе. Здесь мы посмотрим на результаты недавнего опроса, который выявил самые большие пробелы в навыках выпускников, а также подумаем, как кандидатам на работу выделиться из толпы.
Практически каждую неделю мне приходит минимум одно письмо от читателя, который просит совета, как начать карьеру в сфере ИБ. В большинстве случаев соискатели спрашивают, какие сертификаты им следует получить или у какой специализации самое светлое будущее.
Редко спрашивают, какие практические навыки нужно освоить, чтобы стать более привлекательным кандидатом. Я всегда предупреждаю, что у меня самого нет никаких сертификатов и дипломов, но я регулярно разговариваю с руководителями отделов ИБ и рекрутерами — и часто спрашиваю о впечатлениях о современных кандидатах.
Типичный ответ — что очень многим кандидатам просто не хватает опыта работы с практическими задачами.
Конечно, большинству выпускников не хватает практического опыта. Но, к счастью, уникальный аспект ИБ заключается в том, что опыт и фундаментальные знания можно получить старым добрым методом проб и ошибок.
Один из ключевых советов — изучать основу, как компьютеры и другие устройства взаимодействуют друг с другом. Я говорю это потому, что умение работать в сети — фундаментальный навык, на котором строятся многие другие области обучения. Получить работу в сфере безопасности без глубокого понимания того, как работают пакеты данных, немного похожа на попытку стать инженером-химиком, не изучив сначала таблицу Менделеева.
Пожалуйста, не верьте мне на слово. Исследовательский институт SANS недавно провёл опрос более 500 практиков кибербезопасности в 284 различных компаниях в попытке выяснить, какие навыки они находят наиболее полезными для кандидатов на работу, а какие чаще всего отсутствуют.
В ходе опроса респондентам предлагалось ранжировать различные навыки от «критических» до «необязательных». Целых 85% назвали знание сети критическим или «очень важным» навыком, за которым следует владение операционной системой Linux (77%), Windows (73%), распространённые методы применения эксплоитов (73%), компьютерная архитектура и виртуализация (67%), обработка данных и криптография (58%). Довольно удивительно, что только 39% назвали программирование критическим или очень важным навыком (к этому вернёмся через минуту).
Как специалисты по кибербезопасности оценивали потенциальных кандидатов на работу по этим критическим и очень важным навыкам? Результаты кажутся ошеломляющими:
| Навыки | Сколько кандидатов не смогли решить даже базовые задачи | Сколько кандидатов продемонстрировали мастерство |
|---|---|---|
| Общие техники взлома | 66% | 4,5% |
| Компьютерные архитектуры | 47% | 12,5% |
| Сеть | 46% | 4% |
| Linux | 40% | 14% |
| Программирование | 32% | 11,5% |
| Данные и криптография | 30% | 2% |
«Работодатели сообщают, что подготовка студентов по кибербезопасности в значительной степени неадекватна, и они разочарованы, что приходится тратить месяцы на поиски, прежде чем они найдут квалифицированных сотрудников начального уровня, если таковые вообще могут быть найдены, — говорит Алан Паллер, директор по исследованиям Института SANS. — Мы предположили, что для начала решения этих проблем и устранения разрыва следует сформулировать навыки, которые работодатели ожидают, но не находят у выпускников».
Правда в том, что некоторые из самых умных, проницательных и талантливых специалистов по компьютерной безопасности, которых я знаю, не имеют никаких сертификатов и дипломов по информатике или программированию. На самом деле, многие из них вообще никогда не учились в колледже и не заканчивали университет.
Скорее они попали в безопасность потому, что их страстно и сильно интересовала тема, и это любопытство заставляло как можно больше учиться — главным образом, читая, пробуя и делая ошибки (много ошибок).
Я не отговариваю читателей от получения высшего образования или сертификации в данной области (что может быть основным требованием во многих корпорациях), а просто чтобы они не рассматривали это как гарантию стабильной и высокооплачиваемой работы.
Без овладения одним или несколькими из перечисленных навыков вас просто не будут считать очень привлекательным или выдающимся кандидатом.
Но… как?
Итак, на чём сосредоточиться и с чего лучше всего начать? Во-первых, хотя существует почти бесконечное количество способов получения знаний и практически нет предела глубинам, которые вы можете исследовать, но самый быстрый способ обучения — это запачкать руки.
Я не говорю о взломе чьей-то сети или какого-то плохого сайта. Пожалуйста, не делайте этого без разрешения. Если ломать сторонние сервисы и сайты, то выбирайте те, которые предлагают вознаграждение через программы bug bounty, а затем убедитесь, что соблюдаете правила этих программ.
Но почти всё можно воспроизвести локально. Хотите овладеть общими методами взлома и эксплуатации уязвимостей? Существует бесчисленное множество доступных бесплатных ресурсов; специально разработанные инструменты, такие как Metasploit и WebGoat, и дистрибутивы Linux, такие как Kali Linux, с большим количеством учебников и онлайновых туториалов. Кроме того, есть ряд бесплатных инструментов для пентестинга и обнаружения уязвимостей, такие как Nmap, Nessus, OpenVAS и Nikto. Это далеко не полный список.
Организуйте собственную хакерскую лабораторию. Можете сделать это на запасном компьютере или сервере или на старом ПК, которых в изобилии по дешёвке продаются на eBay или Craigslist. Бесплатные инструменты виртуализации, такие как VirtualBox, упрощают работу с различными операционными системами без необходимости установки дополнительного оборудования.
Или подумайте о том, чтобы заплатить кому-то за установку виртуального сервера, на котором можете ставить опыты. Amazon EC2 — хороший недорогой вариант. Если хотите тестировать веб-приложения, можно установить на компьютеры в собственной локальной сети любое количество веб-сервисов, таких как старые версии WordPress, Joomla или движки интернет-магазинов, такие как Magento.
Хотите изучить сети? Начните с приличной книги по TCP/IP, хорошенько изучите сетевой стек и то, как все слои взаимодействуют друг с другом.
Пока усваиваете эту информацию, научитесь использовать некоторые инструменты, которые помогут применить знания на практике. Например, познакомьтесь с Wireshark и Tcpdump, удобными инструментами, используемыми сетевыми администраторами для устранения неполадок сети и безопасности, а также для понимания того, как работают (или не работают) сетевые приложения. Начните с проверки собственного сетевого трафика, просмотра веб-страниц и повседневного использования компьютера. Попытайтесь понять, что делают приложения на вашем компьютере, глядя на то, какие данные они отправляют и получают, как и где.
О программировании
Работодатели могут требовать или не требовать навыки программирования на таких языках, как Go, Java, Perl, Python, C или Ruby. Независимо от этого, знание одного или нескольких языков не только сделает вас более привлекательным кандидатом, но и облегчит дальнейшее обучение и переход на более высокие уровни мастерства.
В зависимости от специализации, в какой-то момент вы можете обнаружить, что возможности дальнейшего обучения ограничены именно пониманием программирования.
Если вас пугает идея изучения языка, начните с основных инструментов командной строки в Linux. Просто научиться писать базовые скрипты для автоматизации рутинных задач — уже прекрасный шаг вперёд. Более того, мастерство в создании шелл-скриптов принесёт солидные дивиденды на протяжении всей вашей карьеры практически в любой технической роли, связанной с компьютерами (независимо от того, изучаете вы конкретный язык программирования или нет).
Получите помощь
Не заблуждайтесь: подобно изучению музыкального инструмента или нового языка, приобретение навыков кибербезопасности отнимает много времени и сил. Но не впадайте в уныние, если вас перегружает и подавляет весь объём информации. Просто не торопитесь и продолжайте идти.
Вот почему помогают группы поддержки. Серьёзно. В индустрии ИБ человеческая сторона сетевого взаимодействия принимает форму конференций и локальных встреч. Сложно переоценить, насколько важно для вашего здравомыслия и карьеры общаться с единомышленниками на полурегулярной основе.
Многие из этих мероприятий бесплатны, в том числе встречи BSides, группы DEFCON и собрания OWASP. И поскольку в технологической индустрии по-прежнему преимущественно представлены мужчины, существует ряд встреч по кибербезопасности и групп, ориентированных на женщин, таких как Женское общество Cyberjutsu и другие, перечисленные здесь.
Если вы не живёте в глуши, скорее всего, в вашем районе есть несколько конференций и встреч по ИБ. Но даже если вы в глуши, многие из этих встреч сейчас проводятся виртуально из-за пандемии COVID-19.
Короче говоря, не рассчитывайте, что диплом или сертификат дадут вам навыки, которые работодатели по понятным причинам ожидают от вас. Это может быть несправедливо или нет, но вам придётся развивать и совершенствовать навыки, которые послужат будущему работодателю(-ям) и возможности трудоустройства в этой области.
Уверен, у читателей есть собственные идеи, на чём лучше всего сосредоточить свои усилия новичкам и студентам. Пожалуйста, не стесняйтесь высказываться в комментариях.
Чему учат на факультете информационной безопасности GU
Кем вы сможете работать по окончании факультета информационной безопасности и где набрать опыт? Есть ли смысл учиться на безопасника, если вы живете в маленьком городе? Обо всем этом расскажет Сергей Кручинин — руководитель образовательных проектов GeekBrains. Этот человек руководит работой деканов всех 8 факультетов GeekUniversity и согласует учебные планы.
— Сергей, начнем с главного. Специалист по информационной безопасности — это широкое понятие. Чему конкретно вы учите?
— Прежде всего хочу сказать, что программа факультета разработана практикующими специалистами. Особая благодарность Никите Ступину — специалисту по информационной безопасности Mail.Ru и декану нашего факультета. Мы будем делиться со студентами лучшими практиками безопасности, которые уже используются в Mail.Ru Group.
Чтоб никто не запутался, надо понимать, что в сфере информационной безопасности (ИБ) есть «бумажная» и практическая работа. «Бумажные» специалисты следят, отвечает ли система безопасности — по документам — требованиям закона. На деле в ней может быть полно дыр, которые никто не ищет и не устраняет, но в документации — все по стандарту.
Не надо так
Мы делаем упор не на «бумажную», а на практическую безопасность веб-приложений, сетей, оборудования и данных. Наши студенты изучат методы и технологии взлома, инструменты хакеров, работу систем, которые предстоит защищать. Все эти знания необходимы для поиска и закрытия уязвимостей.
С «бумажной» стороной ИБ наши студенты тоже кратко познакомятся: научатся составлять регламенты и инструкции для сотрудников предприятия. Стандарты и документация ни в коем случае не бесполезны, но нельзя подменять ими реальную защиту.
— Почему в GeekUniversity выбрали именно такой путь?
— Практическая безопасность важнее. Сильному бизнесу интересен прежде всего результат. Я бы советовал начинать с практики еще и потому, что она скорее приведет вас в молодую и прогрессивную IT-команду.
На «бумажные» вакансии чаще идут люди 40–50 лет с особым типом мышления, вузовским образованием и опытом работы в госучреждениях. Они смотрят на вещи формально. Во время аудита они задают вопросы типа «Есть ли у вас система обнаружения вторжений?». Или, чтобы что-то проверить, просят у клиента пароль от root-а. Наш выпускник без пароля посмотрит на среднестатистической машине, что ему нужно, и сам поменяет пароль, если потребуется.
В GeekUnivestity мы готовим специалистов, которые будут востребованы в Mail.Ru Group и аналогичных компаниях — смогут участвовать в обеспечении безопасности крупного почтового сервиса, например.
— Кстати, специалистов по каким направлениям безопасности берут в компанию Mail.Ru Group?
— Среди приоритетов — продуктовая безопасность (Application Security), есть даже открытая вакансия. Специалисты в этой области умеют находить уязвимости веб-сервисов, нейтрализовывать инъекции SQL, OS Command injection и другое. Также востребованы специалисты по инфраструктурной безопасности. Их компетенции: защита на уровне сети (L3, L4, TCP/IP, фаерволы), безопасность операционных систем (контроль за обновлением пакетов и ядра), парольные политики, сканирование периметра — перечислять можно долго.
— Для тех, кто только знакомится с терминологией, — что такое инъекции в веб-сервисах?
— Это когда вместо ожидаемых приложением данных, таких как идентификатор сообщения, злоумышленник вбивает нужную ему команду, а скрипт ее выполняет. Мошенник получает доступ к конфиденциальным данным или даже к машине, на которой найдена уязвимость.
— Какие еще угрозы вы учите находить?
— Бинарные, криптографические. Видов уязвимостей много. Одной только веб-безопасности посвящены первые две четверти учебного года. Это очень важное направление, потому что бизнес из оффлайна переходит в онлайн, а пользовательские данные идут в веб и в облака. Еще 10 лет назад такси заказывали только по телефону. Теперь — в основном через сервисы типа Uber и Яндекс.Такси. И главный вопрос — насколько защищен веб-сервис, которому ты доверяешь свои данные.
Если разработчики сайта не позаботились о безопасности, более-менее продвинутый пользователь может прочитать чужие сообщения, посмотреть фотографии и так далее. Есть набор веб-уязвимостей, рассчитанных на беспечность программиста. Мы объясняем студентам, как злоумышленники находят и эксплуатируют такие уязвимости, к чему это может привести и как это предотвратить.
Знать такие вещи полезно и веб-разработчикам, и руководителям проектов, и всем, кто хочет защищать конфиденциальные данные посетителей своего сайта. Либо нужно привлекать специалиста-практика, который проведет аудит. Выявить угрозы — это меньше чем полдела. Нужно еще придумать, как их устранить, а потом проследить, чтобы защита работала.
Офис GeekBrains: работаем допоздна, лишь бы студенты получили знания
Кроме веб-безопасности наши студенты подробно изучают сетевую безопасность. Эти направления частично связаны, потому что есть угрозы, которые затрагивают не только серверную, но и клиентскую часть сервиса.
Например, некоторые сайты, в том числе крупных организаций, не шифруют трафик. Это позволяет перенаправлять его на подставные машины и перехватывать все, что пользователи хотели отправить на сервер.
— А если человек живет в маленьком городе, где нет передовых IT-компаний? Вот он выучился на безопасника-практика. Кем ему работать?
— Стек технологий, который мы преподаем, завязан и на системное администрирование, и на другие смежные с ИБ области. Если человек старательно учится, у нас он станет специалистом широкого профиля. Сейчас объясню подробнее.
Хороший безопасник должен уметь админить. Если вы посмотрите на резюме специалистов по информационной безопасности, у многих в карьере был этап сисадминства.
Наши студенты плотно изучают Linux. Кто раньше не работал с этой операционной системой, прежде всего научится ставить ее на виртуальной машине. Дальше студенты осваивают работу в терминале, установку программного обеспечения и решение базовых задач.
Еще мы учим работе с сервисами: как поднять сервер Nginx или Apache, базу СУБД, настроить DNS-сервер BIND и почту. Нужно только помнить, что знания не приходят автоматически после оплаты обучения — придется прикладывать усилия.
— Строить и настраивать сети — тоже учите?
— Да. Сетевой инженер — еще одна профессия, с которой перекликается работа безопасника. Надо уметь как минимум настраивать сетевые фильтры, закрывать порты, отслеживать активные соединения.
При изучении компьютерных сетей студенты отработают практические навыки на тренажере Cisco Packet Tracer. Мы его выбрали ради наглядности, но умение работать с оборудованием Cisco — еще и бонус к резюме.
Краеугольная тема сетевой безопасности — TCP/IP. Это модель передачи данных по сети. С разными ее реализациями админы и безопасники работают постоянно. Мы рассказываем, что такое протоколы канального и сетевого уровня, как они работают, зачем нужен MAC-адрес. Мало кто в этом разбирается, хотя именно на канальном уровне выстроены многие типы атак.
Изучаем сетевые технологии
Дальше мы объясняем, как устроен интернет, как работает провайдерская сеть и как настроить сеть предприятия — тоже на примере оборудования Cisco.
— Вернемся к ситуации «выпускник не хочет переезжать из маленького города». Где работать?
— Начнем с того, что везде есть провайдеры. Нашего выпускника они с удовольствием возьмут сетевым инженером. Причем это будет сетевой инженер с очень хорошим пониманием безопасности. В карьерном плане у него будет преимущество перед людьми, которые раньше только прокладывали сети: обжимали витую пару и бегали с ней по чердакам. Нашему инженеру-безопаснику будет проще дорасти до руководителя. У провайдеров есть сайты и какие-то сервисы — здесь тоже можно себя проявить.
Следующий момент — везде нужны сисадмины. Если в компании нет отдельного специалиста по информационной безопасности, его обязанности выполняет системный администратор. И снова — наш выпускник получает преимущество перед админами, которые изучали безопасность сами и поверхностно.
От себя лично добавлю, что если у вас есть возможность переехать в Москву или Санкт-Петербург и поработать в крупной местной или международной компании, оно того стоит. У нас есть студенты, которым это уже удалось.
— А как насчет работы с приложениями? Ведь безопасник должен еще и софт держать под контролем.
— Да, мы учим дизассемблированию и анализу приложений, чтобы студенты могли выявлять вредоносный код.
Нужно понимать, что злоумышленники и те, кто с ними борются, используют одни и те же инструменты. «Черные» (плохие) хакеры анализируют программное обеспечение и ищут уязвимости, которыми можно воспользоваться. «Белый» (этичный) хакер ищет ошибки, чтобы закрыть дыры в безопасности.
Мы учим исследовать код. Если программист был неосторожен, при определенных условиях программа может выдать конфиденциальные данные. Например, отправить пользователю кусок оперативной памяти, где хранятся пароли, закрытые ключи и другие интересные вещи.
Мы также учим программировать на языке Python. С ним удобно автоматизировать задачи или писать свои инструменты анализа данных. Эти навыки выводят безопасника на более высокий профессиональный уровень.
Еще у нас есть курс «Операционные системы». Он рассказывает об архитектуре ОС, о том, как отличаются угрозы безопасности в Linux, DOS, Windows, и другое.
Мы объясняем, что такое пространство ядра и пространство пользователя, как работает память, почему одно приложение в современных операционных системах не может изменить данные другого приложения. Чем процесс отличается от потока.
Ближе к концу курса — в четвертой четверти — студенты знакомятся с темой бинарных уязвимостей.
— Ты упомянул, что составлению регламентов и работе с документами студенты тоже учатся.
Есть и еще один важный момент. Мы учим основам социальной инженерии. Потому что злоумышленник никогда без нужды не идет сложным путем. Прежде чем что-то ломать, он пробует выманить пароль или другую нужную информацию у пользователя. Мы рассказываем, как учесть подобные схемы при составлении инструкций для сотрудников компании.
— То есть вы готовите «универсального солдата» безопасности?
— Мы готовим человека, который умеет взламывать и защищать. Необходимо понимать методы взлома, чтобы грамотно выстроить информационную систему.
Хороший безопасник обладает теми же навыками, что и злоумышленник. Но применяет их не в корыстных и/или преступных целях, а чтобы защитить систему и, в конечном итоге, — пользователей.
Взломать можно что угодно — это вопрос времени и ресурсов. Но обход хорошо выстроенной защиты может нападающего попросту разорить.
— Как расставлены приоритеты между изучаемыми направлениями?
— Главный упор на веб-безопасность. К ней примыкают сетевая инженерия и системное администрирование. По остальным направлением мы даем базовые знания, которые можно развивать в зависимости от интересов учащегося.
— Где студенту-безопаснику набирать практический опыт? Какие достижения он по итогам учебы сможет записать себе в резюме? И как прокачаться самому?
— Угрозы можно моделировать. Для этого есть специальные инструменты. Начинать лучше с простых вещей: берем и ставим на сайт «глючное веб-приложение» — bWAPP (buggy web application). Оно изначально создано небезопасным, чтобы на нем «этичные хакеры» тренировались находить и блокировать уязвимости.
Еще есть DVL — специальный Linux-дистрибутив с преднамеренными ошибками настройки.
Такие инструменты очень полезны, но они могут студентам быстро надоесть, поэтому мы заготовили более интересные испытания. Например, состязания типа Capture the flag. Вы получаете доступ к удаленной машине, но заранее не знаете ее уязвимостей и должны их найти. Победы в таких конкурсах и соревнованиях на рынке ценятся — их можно смело записывать в резюме. Взломать серьезный тренажер не легче, чем реальный сайт.
Также стоит участвовать в конкурсах типа Bug Bounty. Это когда организация предлагает вознаграждение тем, кто найдет уязвимости в продукте. Мы расскажем, как участвовать в подобных программах. Если у вас прокаченный аккаунт на hackerone, вам будут рады в крупных компаниях, в том числе зарубежных.
Еще наш студент может предлагать владельцам сайтов услуги аудита: находить и закрывать уязвимости. Главное — договориться с хозяином сайта заранее, потому что грань между «черным» и «белым» хакерством очень тонка и за непрошеную помощь можно попасть под статью.
— Есть ли смысл предлагать аудит безопасности тем, кто о ней не беспокоится? Бывает, уязвимость видна даже неспециалисту, но ее никто не устраняет.
— Пробовать стоит. Некоторым действительно бесполезно писать, но есть и те, кто не задумывался о проблеме. Я одному владельцу сайта объяснил, что он использует HTTP, а пора бы уже на HTTPS перейти, потому что иначе пароли пользователей передаются по незащищенному каналу связи. И человек прислушался. Если сайт приносит доход, владелец заинтересован в его развитии и, скорее всего, пойдет на диалог.
— Вот человек победил в конкурсе, провел кому-то аудит, но еще не работал в штате. При поиске работы это проблема?
— Нет. Наш выпускник целый год провел с GeekBrains и Mail.Ru Group. Он уже представляет себе работу безопасника в крупной компании, знает весь стек технологий и собрал стартовое портфолио. С точки зрения среднестатистического работодателя это немало.
— Будет чем блеснуть на собеседовании.
— Само собой. Не исключено, что выпускник будет разбираться в каких-то вопросах лучше будущего руководителя.
— Сергей, спасибо огромное! Теперь у меня целостная картина, чему и зачем учат на факультете информационной безопасности. Если у читателей остались вопросы — надеюсь, они их зададут в комментариях. А мы с тобой еще найдем время так же подробно поговорить о другом факультете — искусственного интеллекта.
— О новом факультете и о направлении Data Science действительно многое можно рассказать. Так что до следующего раза.
Освоить востребованную профессию в Data Science можно всего за полтора года на курсах GeekBrains. После учёбы вы сможете работать по специальностям Data Scientist, Data Analyst, Machine Learning, Engineer Computer Vision-специалист или NLP-специалист.
Кем вы сможете работать по окончании факультета информационной безопасности и где набрать опыт? Есть ли смысл учиться на безопасника, если вы живете в маленьком городе? Обо всем этом расскажет Сергей Кручинин — руководитель образовательных проектов GeekBrains. Этот человек руководит работой деканов всех 8 факультетов GeekUniversity и согласует учебные планы.
— Сергей, начнем с главного. Специалист по информационной безопасности — это широкое понятие. Чему конкретно вы учите?
— Прежде всего хочу сказать, что программа факультета разработана практикующими специалистами. Особая благодарность Никите Ступину — специалисту по информационной безопасности Mail.Ru и декану нашего факультета. Мы будем делиться со студентами лучшими практиками безопасности, которые уже используются в Mail.Ru Group.
Чтоб никто не запутался, надо понимать, что в сфере информационной безопасности (ИБ) есть «бумажная» и практическая работа. «Бумажные» специалисты следят, отвечает ли система безопасности — по документам — требованиям закона. На деле в ней может быть полно дыр, которые никто не ищет и не устраняет, но в документации — все по стандарту.
Не надо так
Мы делаем упор не на «бумажную», а на практическую безопасность веб-приложений, сетей, оборудования и данных. Наши студенты изучат методы и технологии взлома, инструменты хакеров, работу систем, которые предстоит защищать. Все эти знания необходимы для поиска и закрытия уязвимостей.
С «бумажной» стороной ИБ наши студенты тоже кратко познакомятся: научатся составлять регламенты и инструкции для сотрудников предприятия. Стандарты и документация ни в коем случае не бесполезны, но нельзя подменять ими реальную защиту.
— Почему в GeekUniversity выбрали именно такой путь?
— Практическая безопасность важнее. Сильному бизнесу интересен прежде всего результат. Я бы советовал начинать с практики еще и потому, что она скорее приведет вас в молодую и прогрессивную IT-команду.
На «бумажные» вакансии чаще идут люди 40–50 лет с особым типом мышления, вузовским образованием и опытом работы в госучреждениях. Они смотрят на вещи формально. Во время аудита они задают вопросы типа «Есть ли у вас система обнаружения вторжений?». Или, чтобы что-то проверить, просят у клиента пароль от root-а. Наш выпускник без пароля посмотрит на среднестатистической машине, что ему нужно, и сам поменяет пароль, если потребуется.
В GeekUnivestity мы готовим специалистов, которые будут востребованы в Mail.Ru Group и аналогичных компаниях — смогут участвовать в обеспечении безопасности крупного почтового сервиса, например.
— Кстати, специалистов по каким направлениям безопасности берут в компанию Mail.Ru Group?
— Среди приоритетов — продуктовая безопасность (Application Security), есть даже открытая вакансия. Специалисты в этой области умеют находить уязвимости веб-сервисов, нейтрализовывать инъекции SQL, OS Command injection и другое. Также востребованы специалисты по инфраструктурной безопасности. Их компетенции: защита на уровне сети (L3, L4, TCP/IP, фаерволы), безопасность операционных систем (контроль за обновлением пакетов и ядра), парольные политики, сканирование периметра — перечислять можно долго.
— Для тех, кто только знакомится с терминологией, — что такое инъекции в веб-сервисах?
— Это когда вместо ожидаемых приложением данных, таких как идентификатор сообщения, злоумышленник вбивает нужную ему команду, а скрипт ее выполняет. Мошенник получает доступ к конфиденциальным данным или даже к машине, на которой найдена уязвимость.
— Какие еще угрозы вы учите находить?
— Бинарные, криптографические. Видов уязвимостей много. Одной только веб-безопасности посвящены первые две четверти учебного года. Это очень важное направление, потому что бизнес из оффлайна переходит в онлайн, а пользовательские данные идут в веб и в облака. Еще 10 лет назад такси заказывали только по телефону. Теперь — в основном через сервисы типа Uber и Яндекс.Такси. И главный вопрос — насколько защищен веб-сервис, которому ты доверяешь свои данные.
Если разработчики сайта не позаботились о безопасности, более-менее продвинутый пользователь может прочитать чужие сообщения, посмотреть фотографии и так далее. Есть набор веб-уязвимостей, рассчитанных на беспечность программиста. Мы объясняем студентам, как злоумышленники находят и эксплуатируют такие уязвимости, к чему это может привести и как это предотвратить.
Знать такие вещи полезно и веб-разработчикам, и руководителям проектов, и всем, кто хочет защищать конфиденциальные данные посетителей своего сайта. Либо нужно привлекать специалиста-практика, который проведет аудит. Выявить угрозы — это меньше чем полдела. Нужно еще придумать, как их устранить, а потом проследить, чтобы защита работала.
Офис GeekBrains: работаем допоздна, лишь бы студенты получили знания
Кроме веб-безопасности наши студенты подробно изучают сетевую безопасность. Эти направления частично связаны, потому что есть угрозы, которые затрагивают не только серверную, но и клиентскую часть сервиса.
Например, некоторые сайты, в том числе крупных организаций, не шифруют трафик. Это позволяет перенаправлять его на подставные машины и перехватывать все, что пользователи хотели отправить на сервер.
— А если человек живет в маленьком городе, где нет передовых IT-компаний? Вот он выучился на безопасника-практика. Кем ему работать?
— Стек технологий, который мы преподаем, завязан и на системное администрирование, и на другие смежные с ИБ области. Если человек старательно учится, у нас он станет специалистом широкого профиля. Сейчас объясню подробнее.
Хороший безопасник должен уметь админить. Если вы посмотрите на резюме специалистов по информационной безопасности, у многих в карьере был этап сисадминства.
Наши студенты плотно изучают Linux. Кто раньше не работал с этой операционной системой, прежде всего научится ставить ее на виртуальной машине. Дальше студенты осваивают работу в терминале, установку программного обеспечения и решение базовых задач.
Еще мы учим работе с сервисами: как поднять сервер Nginx или Apache, базу СУБД, настроить DNS-сервер BIND и почту. Нужно только помнить, что знания не приходят автоматически после оплаты обучения — придется прикладывать усилия.
— Строить и настраивать сети — тоже учите?
— Да. Сетевой инженер — еще одна профессия, с которой перекликается работа безопасника. Надо уметь как минимум настраивать сетевые фильтры, закрывать порты, отслеживать активные соединения.
При изучении компьютерных сетей студенты отработают практические навыки на тренажере Cisco Packet Tracer. Мы его выбрали ради наглядности, но умение работать с оборудованием Cisco — еще и бонус к резюме.
Краеугольная тема сетевой безопасности — TCP/IP. Это модель передачи данных по сети. С разными ее реализациями админы и безопасники работают постоянно. Мы рассказываем, что такое протоколы канального и сетевого уровня, как они работают, зачем нужен MAC-адрес. Мало кто в этом разбирается, хотя именно на канальном уровне выстроены многие типы атак.
Изучаем сетевые технологии
Дальше мы объясняем, как устроен интернет, как работает провайдерская сеть и как настроить сеть предприятия — тоже на примере оборудования Cisco.
— Вернемся к ситуации «выпускник не хочет переезжать из маленького города». Где работать?
— Начнем с того, что везде есть провайдеры. Нашего выпускника они с удовольствием возьмут сетевым инженером. Причем это будет сетевой инженер с очень хорошим пониманием безопасности. В карьерном плане у него будет преимущество перед людьми, которые раньше только прокладывали сети: обжимали витую пару и бегали с ней по чердакам. Нашему инженеру-безопаснику будет проще дорасти до руководителя. У провайдеров есть сайты и какие-то сервисы — здесь тоже можно себя проявить.
Следующий момент — везде нужны сисадмины. Если в компании нет отдельного специалиста по информационной безопасности, его обязанности выполняет системный администратор. И снова — наш выпускник получает преимущество перед админами, которые изучали безопасность сами и поверхностно.
От себя лично добавлю, что если у вас есть возможность переехать в Москву или Санкт-Петербург и поработать в крупной местной или международной компании, оно того стоит. У нас есть студенты, которым это уже удалось.
— А как насчет работы с приложениями? Ведь безопасник должен еще и софт держать под контролем.
— Да, мы учим дизассемблированию и анализу приложений, чтобы студенты могли выявлять вредоносный код.
Нужно понимать, что злоумышленники и те, кто с ними борются, используют одни и те же инструменты. «Черные» (плохие) хакеры анализируют программное обеспечение и ищут уязвимости, которыми можно воспользоваться. «Белый» (этичный) хакер ищет ошибки, чтобы закрыть дыры в безопасности.
Мы учим исследовать код. Если программист был неосторожен, при определенных условиях программа может выдать конфиденциальные данные. Например, отправить пользователю кусок оперативной памяти, где хранятся пароли, закрытые ключи и другие интересные вещи.
Мы также учим программировать на языке Python. С ним удобно автоматизировать задачи или писать свои инструменты анализа данных. Эти навыки выводят безопасника на более высокий профессиональный уровень.
Еще у нас есть курс «Операционные системы». Он рассказывает об архитектуре ОС, о том, как отличаются угрозы безопасности в Linux, DOS, Windows, и другое.
Мы объясняем, что такое пространство ядра и пространство пользователя, как работает память, почему одно приложение в современных операционных системах не может изменить данные другого приложения. Чем процесс отличается от потока.
Ближе к концу курса — в четвертой четверти — студенты знакомятся с темой бинарных уязвимостей.
— Ты упомянул, что составлению регламентов и работе с документами студенты тоже учатся.
Есть и еще один важный момент. Мы учим основам социальной инженерии. Потому что злоумышленник никогда без нужды не идет сложным путем. Прежде чем что-то ломать, он пробует выманить пароль или другую нужную информацию у пользователя. Мы рассказываем, как учесть подобные схемы при составлении инструкций для сотрудников компании.
— То есть вы готовите «универсального солдата» безопасности?
— Мы готовим человека, который умеет взламывать и защищать. Необходимо понимать методы взлома, чтобы грамотно выстроить информационную систему.
Хороший безопасник обладает теми же навыками, что и злоумышленник. Но применяет их не в корыстных и/или преступных целях, а чтобы защитить систему и, в конечном итоге, — пользователей.
Взломать можно что угодно — это вопрос времени и ресурсов. Но обход хорошо выстроенной защиты может нападающего попросту разорить.
— Как расставлены приоритеты между изучаемыми направлениями?
— Главный упор на веб-безопасность. К ней примыкают сетевая инженерия и системное администрирование. По остальным направлением мы даем базовые знания, которые можно развивать в зависимости от интересов учащегося.
— Где студенту-безопаснику набирать практический опыт? Какие достижения он по итогам учебы сможет записать себе в резюме? И как прокачаться самому?
— Угрозы можно моделировать. Для этого есть специальные инструменты. Начинать лучше с простых вещей: берем и ставим на сайт «глючное веб-приложение» — bWAPP (buggy web application). Оно изначально создано небезопасным, чтобы на нем «этичные хакеры» тренировались находить и блокировать уязвимости.
Еще есть DVL — специальный Linux-дистрибутив с преднамеренными ошибками настройки.
Такие инструменты очень полезны, но они могут студентам быстро надоесть, поэтому мы заготовили более интересные испытания. Например, состязания типа Capture the flag. Вы получаете доступ к удаленной машине, но заранее не знаете ее уязвимостей и должны их найти. Победы в таких конкурсах и соревнованиях на рынке ценятся — их можно смело записывать в резюме. Взломать серьезный тренажер не легче, чем реальный сайт.
Также стоит участвовать в конкурсах типа Bug Bounty. Это когда организация предлагает вознаграждение тем, кто найдет уязвимости в продукте. Мы расскажем, как участвовать в подобных программах. Если у вас прокаченный аккаунт на hackerone, вам будут рады в крупных компаниях, в том числе зарубежных.
Еще наш студент может предлагать владельцам сайтов услуги аудита: находить и закрывать уязвимости. Главное — договориться с хозяином сайта заранее, потому что грань между «черным» и «белым» хакерством очень тонка и за непрошеную помощь можно попасть под статью.
— Есть ли смысл предлагать аудит безопасности тем, кто о ней не беспокоится? Бывает, уязвимость видна даже неспециалисту, но ее никто не устраняет.
— Пробовать стоит. Некоторым действительно бесполезно писать, но есть и те, кто не задумывался о проблеме. Я одному владельцу сайта объяснил, что он использует HTTP, а пора бы уже на HTTPS перейти, потому что иначе пароли пользователей передаются по незащищенному каналу связи. И человек прислушался. Если сайт приносит доход, владелец заинтересован в его развитии и, скорее всего, пойдет на диалог.
— Вот человек победил в конкурсе, провел кому-то аудит, но еще не работал в штате. При поиске работы это проблема?
— Нет. Наш выпускник целый год провел с GeekBrains и Mail.Ru Group. Он уже представляет себе работу безопасника в крупной компании, знает весь стек технологий и собрал стартовое портфолио. С точки зрения среднестатистического работодателя это немало.
— Будет чем блеснуть на собеседовании.
— Само собой. Не исключено, что выпускник будет разбираться в каких-то вопросах лучше будущего руководителя.
— Сергей, спасибо огромное! Теперь у меня целостная картина, чему и зачем учат на факультете информационной безопасности. Если у читателей остались вопросы — надеюсь, они их зададут в комментариях. А мы с тобой еще найдем время так же подробно поговорить о другом факультете — искусственного интеллекта.
— О новом факультете и о направлении Data Science действительно многое можно рассказать. Так что до следующего раза.
Освоить востребованную профессию в Data Science можно всего за полтора года на курсах GeekBrains. После учёбы вы сможете работать по специальностям Data Scientist, Data Analyst, Machine Learning, Engineer Computer Vision-специалист или NLP-специалист.