с чего начать обучение информационной безопасности
С чего начать обучение информационной безопасности?
Несмотря на то что тема обучения в сфере информационной безопасности уже поднималась многими авторами, интерес читателей не угасает. Выпускники школ определяются со специальностью, профессионалы из других отраслей приходят в ИБ и задумываются об обучении, матерые специалисты повышают квалификацию, а руководители предприятий хотят, наконец, разобраться, за что они платят деньги. Благодаря часто мелькающим извещениям об утечках персональных данных и кражах денег со счетов безопасностью озаботились очень многие. Информационные технологии входят во все сферы нашей жизни, а где есть информация, там появляется и угроза, поэтому спрос на квалифицированных специалистов растет. Меня регулярно спрашивают: кому и зачем нужно обучение информационной безопасности? Раньше я отвечала каждому лично, но когда вопросов стало много, пришла идея написать обзорную статью.
Кому и зачем?
Информационной безопасности учатся не только студенты профильных специальностей, но и ИБ-профессионалы, сотрудники ИТ-подразделений, а также все, кто работает за компьютером. Все чаще обучение азам информационной безопасности требуется для личных нужд, даже в школах проходят открытые уроки на эту тему.
Каковы мотивы учащихся?
В первую очередь азы информационной безопасности нужно знать для защиты своих персональных данных. В быту мы постоянно сталкиваемся с попытками людей узнать о нас чуть больше, чем того требует ситуация: в детском саду у родителей спрашивают информацию о социальном положении семьи, в магазине узнают номер телефона и адрес электронной почты, мошенники пытаются заполучить ПИН-код и номер карточки.
Пройти обучение основам информационной безопасности, а может быть и посетить узкоспециализированные курсы, будет полезно непрофильным специалистам, занимающимся защитой информации. Часто работа по информационной безопасности «сваливается» на человека без должного образования. Например, системные администраторы в небольших организациях занимаются парольной политикой, настройкой и обслуживанием антивирусов, раздачей ключей электронной подписи.
Выпускники школ, а иногда и взрослые люди, состоявшиеся профессионалы, решают связать свою жизнь с информационной безопасностью и построить карьеру в этой области. В зависимости от уже имеющегося образования сроки обучения могут сильно разниться (от сотен часов до шести лет и более). Более подробно варианты обучения будут рассмотрены ниже.
Информационная безопасность относится к динамично меняющимся отраслям. Проходить повышение квалификации, а также заниматься самообразованием в этой сфере нужно регулярно. Даже за год нормативная база меняется существенно, не говоря уже о том, что постоянно появляются новые средства защиты информации.
Новости о взломах корпоративных сетей и масштабных утечках не оставляют равнодушными руководителей предприятий, а также служб безопасности. Некоторые из них желают самостоятельно изучить вопрос и разобраться, чем заняты их специалисты. Так как продукт нашего с вами труда невозможно потрогать руками и очень сложно оценить, возникают резонные сомнения в справедливости оплаты труда профессионала и оценке его эффективности.
Если руководители сами хотят узнать, что же такое «токен» и какие опасности подстерегают базу данных клиентов, то остальные сотрудники обычно не горят желанием просвещаться в области информационной безопасности. Однако обучение каждого, кто работает за компьютером, азам информационной безопасности очень важно: предприятию чаще всего угрожают ошибки и разглашение данных по неосторожности, а не промышленный шпионаж и социальная инженерия.
Где и сколько стоит?
Их достаточно, причем не только в столице, но и во многих крупных городах обучают специалистов по защите информации. Стоимость обучения зависит от ценовой политики учебного заведения. Для регионов примерный диапазон цен следующий: аспирантура от 35 тыс. руб. в год (заочная) до 180 тыс. руб. в год (очная), бакалавриат, специалитет – 80 тыс. руб. за семестр, магистратура – 90 тыс. руб. за семестр, среднее профессиональное образование – 40 тыс. руб. за семестр.
Учебные центры
Внутри организации
Обучение проводят сотрудники, которые непосредственно заняты защитой информации на предприятии или приглашенные специалисты (второе – реже). В некоторых случаях проведение обучения обязательно, например при работе с персональными данными. Стоимость обучения равна стоимости рабочего времени специалистов, которые ведут обучение, а также тех, кто обучается.
Обучаться дома можно по книгам, журналам, блогам, платным и бесплатным онлайн-курсам. Сейчас Интернет предоставляет поистине безграничные возможности – узнать азы информационной безопасности можно абсолютно бесплатно.
Сколько времени?
В табл. 1 указаны доступные на сегодняшний день варианты профессионального обучения, начиная от среднего профессионального до аспирантуры и курсов повышения квалификации.
Чему учат специалистов по информационной безопасности?
Прежде всего их обучают:
Чему нужно научить простых сотрудников (неспециалистов)?
В первую очередь необходимо научить:
В вузах студенты изучают: электронику и схемотехнику, углубленно физику и математику, программирование, дисциплины о системах связи, криптографию, технические средства защиты информации, организационно-правовое обеспечение ИБ.
В табл. 2 приведены предметы, по которым проходили обучение специалисты в 2010–2011 гг. Был взят мой диплом («информационная безопасность телекоммуникационных систем», 2011 г.) и диплом супруга («компьютерная безопасность», 2010 г.). Вузы разные. Срок обучения в обоих случаях составил 5,5 лет.
Как можно видеть, несмотря на кажущееся сходство специальностей, совпадает лишь 27 предметов. При этом одна из специальностей («компьютерная безопасность») направлена на углубленное изучение математики, вторая («информационная безопасность телекоммуникационных систем») – физики. Из чего можно сделать вывод, что специальности при их схожести все-таки неравнозначны и стоит дополнительно изучить учебный план перед поступлением. Если же времени на получение высшего образования по информационной безопасности нет, то названия учебных дисциплин помогут определиться с методами самообразования. Из приведенной выше таблицы видно, что специалист по защите информации в первую очередь является инженером и должен хорошо разбираться в информационных технологиях.
Многие спрашивают: как выбрать учебники и профессиональную литературу? Мне кажется, что чем учебник свежее, тем лучше. Написанное 10 лет назад имеет уже скорее историческую, чем практическую ценность, технологии и законодательство меняются стремительно. Также следует обратить внимание на квалификацию автора. К сожалению, сейчас книги пишут слишком многие, зачастую не обладая практическим опытом. Стоит отметить, что если вас интересует законодательство по ИБ, то вы можете искать учебники среди юридической литературы.
Заключение
Осветить тему обучения в сфере информационной безопасности в одной статье – дело неблагодарное. Я хотела бы дать вам информацию для размышления, некоторые идеи. Для изучения основ информационной безопасности необходимо в первую очередь определиться с целью учебы, имеющимся свободным временем и доступными финансовыми ресурсами. Достаточно ли будет отучиться в вузе? Думаю, что нет. Нужно постоянное, непрекращающееся самообразование.
👨🎓️ С чего начать обучение кибербезопасности: курсы, материалы, практики
В сфере кибербезопасности есть множество направлений для получения образования. Мы остановились на базовых материалах, которые помогут новичкам понять, куда двигаться дальше. Большинство ресурсов подходят для самообучения: вы найдете здесь курсы с теорией, а также платформы для практических занятий.
Что происходит в сфере кибербезопасности
1. Двухчасовое интервью с Марией Прохоровой, со-основательницей компании InDevLab, которая занимается разработкой, кибербезопасностью и ИТ-инфраструктурными решениями. Мария кратко и понятно описывает различные аспекты работы специалиста по кибербезопасности. Направления, узкопрофильные области, что нужно учить, где учиться, зарплаты, спрос, карьера, социальная инженерия, аудит безопасности, тестирование безопасности.
2. Основы для понимания работы безопасника. Это что-то вроде справочника: он подойдет специалистам по работе с персоналом, менеджерам или маркетологам, которым нужно изучить специфику работы профессионалов, а также планирующим карьеру в этой сфере. Здесь вы найдете разъяснения основных понятий, а также функции различных специалистов по кибербезопасности. Справочник поможет представителям других профессий увидеть общую картину.
3. Вебинар с молодым профессором, который консультирует Итерпол и работает в ISO над составлением стандартов по кибербезопасности. Он развеивает возникшие вокруг профессии мифы, рассказывает о сертификациях, и какие из них могут действительно увеличить размер зарплаты и востребованность на рынке труда. Вебинар поможет создать комфортную окружающую среду для обучения, чтобы сделать его более результативным.
Курсы для разных целей
Так как курс совсем не новый, о передовых технологиях он не рассказывает, а упомянутые в нем нормы законодательства лучше перепроверить на актуальность. В дополнительном разделе читателям предлагают небольшой детектив. После каждой лекции проводится тестирование, а в конце курса – экзамен. Сдавшим его успешно слушателям выдают сертификат.
4. Базовый бесплатный курс на MindsMapped по кибербезопасности и этичному хакингу (слушателям выдают сертификаты). В небольших видео рассматриваются фазы этичного хакинга, виртуализация, передовые техники и инструменты для пентеста и хакинга с практическими примерами.
7. Ну как же без Coursera? В этот раз предлагаем вам специализацию по основам кибербезопасности от сотрудников IBM. Программа рассчитана на 4 курса. Пройдя их, вы разберетесь с основными инструментами и процессами в кибербезопасности, ОС, стандартами, системным администрированием, безопасностью сетей, уязвимостями баз данных. По окончании есть возможность получить значок от IBM.
8. Курс по кибербезопасности и хакингу от EH Academy. Здесь детально расскажут и покажут, как настроить лабораторию для экспериментов, обучения и работы, а также дадут базу по сбору информации, базовым техникам хакинга систем и веб-приложений. Под каждым видео можно оставлять вопросы преподавателю и другим слушателям.
9. Когда начинаешь погружаться в кибербезопасность со всех сторон, рекомендуется в первую очередь изучать Linux. В то же время основной операционной системой в большинстве организаций остается Windows, и большинство вредоносных программ пишется под эту ОС. Погружаясь в кибербезопасность, стоит уделить системам Microsoft большее внимание.
Например, с этим курсом из Udemy. Перед его прохождением лучше иметь какие-то предварительные знания о хакинге. Курс содержит практические задания и подойдет для подготовки к CTF-соревнованиям и ряду сертификаций.
Шпаргалки по кибербезопасности
Посмотреть этот постер детальнее: Pen Test: Attack Surfaces, Tools & Techniques
P.S. Курсы у них тоже есть, но очень дорогие, поэтому мы не включали их в подборку.
Тренажеры
3. Game of Hacks – это тестирование для оценки знания уязвимого кода. Есть 3 уровня в зависимости от навыков. Каждую задачу вы решаете за ограниченный период времени.
Где искать опыт, когда минимальные навыки уже есть
1. На платформе Hack the Box вы сможете проверить навыки пентеста машин, а также влиться в комьюнити по кибербезопасности. Машина для тренировки выбирается из предлагаемых вариантов по уровню сложности, установленной ОС и другим параметрам. В разделе «Retired» можно найти уже пройденные машины с видео-прохождением. Просмотрев с десяток таких видео, вы будете понимать, с чего начинать и на что обращать внимание. Платформа также предлагает VIP-пакет с документацией к retired-машинам и подробным разбором.
Так выглядит личный кабинет с практическими заданиями, покрывающими большинство направлений кибербезопасности.
Создатели PicoCTF позиционируют проект, как платформу для начинающих. Они отмечают, что задания подойдут даже для подростков.
Кроме соревнований можно также участвовать в комьюнити в Slack. В разделе «ongoing ops» вы найдете доску trello, куда добавляется информация о розыске.
В этом воркспейсе можно найти много другой полезной информации, включая вакансии по всему миру и анонсы мероприятий.
Заключение
Не важно, какое направление в кибербезопасности вы в итоге выберете. Базовые технические знания и опыт с работы с инструментами необходимы для старта в профессии, благо, доступ к ним получить несложно.
С чего начать обучение информационной безопасности?
С чего начать обучение информационной безопасности?
С чего начать обучение информационной безопасности?
Кому и зачем?
Информационной безопасности учатся не только студенты профильных специальностей, но и ИБ-профессионалы, сотрудники ИТ-подразделений, а также все, кто работает за компьютером. Все чаще обучение азам информационной безопасности требуется для личных нужд, даже в школах проходят открытые уроки на эту тему.
Каковы мотивы учащихся?
В первую очередь азы информационной безопасности нужно знать для защиты своих персональных данных. В быту мы постоянно сталкиваемся с попытками людей узнать о нас чуть больше, чем того требует ситуация: в детском саду у родителей спрашивают информацию о социальном положении семьи, в магазине узнают номер телефона и адрес электронной почты, мошенники пытаются заполучить ПИН-код и номер карточки.
Пройти обучение основам ИБ, а может быть и посетить узкоспециализированные курсы, будет полезно непрофильным специалистам, занимающимся защитой информации. Часто работа по информационной безопасности «сваливается» на человека без должного образования. Например, системные администраторы в небольших организациях занимаются парольной политикой, настройкой и обслуживанием антивирусов, раздачей ключей электронной подписи.
Выпускники школ, а иногда и взрослые люди, состоявшиеся профессионалы, решают связать свою жизнь с информационной безопасностью и построить карьеру в этой области. В зависимости от уже имеющегося образования сроки обучения могут сильно разниться (от сотен часов до шести лет и более). Более подробно варианты обучения будут рассмотрены ниже.
Если руководители сами хотят узнать, что же такое токен и какие опасности подстерегают базу данных клиентов, то остальные сотрудники обычно не горят желанием просвещаться в области информационной безопасности. Однако обучение каждого, кто работает за компьютером, азам очень важно: предприятию чаще всего угрожают ошибки и разглашение данных по неосторожности, а не промышленный шпионаж и социальная инженерия.
Где и сколько стоит?
Их достаточно, причем не только в столице, но и во многих крупных городах обучают специалистов по защите информации. Стоимость обучения зависит от ценовой политики учебного заведения. Для регионов примерный диапазон цен следующий: аспирантура от 35 тыс. руб. в год (заочная) до 180 тыс. руб. в год (очная), бакалавриат, специалитет – 80 тыс. руб. за семестр, магистратура – 90 тыс. руб. за семестр, среднее профессиональное образование – 40 тыс. руб. за семестр.
Учебные центры
Внутри организации
Обучение проводят сотрудники, которые непосредственно заняты защитой информации на предприятии или приглашенные специалисты (второе – реже). В некоторых случаях проведение обучения обязательно, например при работе с персональными данными. Стоимость обучения равна стоимости рабочего времени специалистов, которые ведут обучение, а также тех, кто обучается.
Обучаться дома можно по книгам, журналам, блогам, платным и бесплатным онлайн-курсам. Сейчас Интернет предоставляет поистине безграничные возможности, узнать азы информационной безопасности можно абсолютно бесплатно.
Сколько времени?
В табл. 1 указаны доступные на сегодняшний день варианты профессионального обучения, начиная от среднего профессионального до аспирантуры и курсов повышения квалификации.
Чему учат специалистов по информационной безопасности?
Прежде всего их обучают:
Чему нужно научить простых сотрудников (неспециалистов)?
В первую очередь необходимо научить:
В вузах студенты изучают: электронику и схемотехнику, углубленно физику и математику, программирование, дисциплины о системах связи, криптографию, технические средства защиты информации, организационно-правовое обеспечение ИБ.
В табл. 2 приведены предметы, по которым проходили обучение специалисты в 2010– 2011 гг. Был взят мой диплом («информационная безопасность телекоммуникационных систем», 2011 г.) и диплом супруга («компьютерная безопасность», 2010 г.). Вузы разные. Срок обучения в обоих случаях составил 5,5 лет.
Как можно видеть, несмотря на кажущееся сходство специальностей, совпадает лишь 27 предметов. При этом одна из специальностей («компьютерная безопасность») направлена на углубленное изучение математики, вторая («информационная безопасность телекоммуникационных систем») – физики. Из чего можно сделать вывод, что специальности при их схожести все-таки неравнозначны и стоит дополнительно изучить учебный план перед поступлением. Если же времени на получение высшего образования по информационной безопасности нет, то названия учебных дисциплин помогут определиться с методами самообразования. Из приведенной выше таблицы видно, что специалист по защите информации в первую очередь является инженером и должен хорошо разбираться в информационных технологиях.
Многие спрашивают: как выбрать учебники и профессиональную литературу? Мне кажется, что чем учебник свежее, тем лучше. Написанное 10 лет назад имеет уже скорее историческую, чем практическую ценность, технологии и законодательство меняются стремительно. Также следует обратить внимание на квалификацию автора. К сожалению, сейчас книги пишут слишком многие, зачастую не обладая практическим опытом. Стоит отметить, что если вас интересует законодательство по ИБ, то вы можете искать учебники среди юридической литературы.
Заключение
Осветить тему обучения в сфере информационной безопасности в одной статье – дело неблагодарное. Я хотела бы дать вам информацию для размышления, некоторые идеи. Для изучения основ информационной безопасности необходимо в первую очередь определиться с целью учебы, имеющимся свободным временем и доступными финансовыми ресурсами.
Достаточно ли будет отучиться в вузе? Думаю, что нет. Нужно постоянное, непрекращающееся самообразование.
С чего начать изучение информационной безопасности в 2020 году
Терминология, упомянутая в этой статье:
Должный уровень: что, зачем и почему — определим основное
Если хотите стать пентестером или специалистом по ИБ, нужно иметь познания некоторых базовых вещей.
Желательный ординар знаний должен быть, как минимум, таковым:
Личное заключение автора состоит в том, что он пытался несколько раз сделать первые шаги по просторам ИБ, но у него мало что получалось. После его затянуло программирование, где он достиг определённых успехов, вернувшись к тематике информационной безопасности — стал понимать намного больше, что написано в материалах, представленных ниже и его это увлекло.
Операционные системы: что выбрать, кто лучше
Серьёзно говоря, на данный момент на просторах Всемирной паутины уйма скриптов, методов и программ, выискивать каждую, а после проверять, анализировать и составлять перечень должного — очень долго и трудоёмко, поэтому люди объединили всё в одном, создав специальную OC.
Вторая, лично на мой взгляд походит больше для WEB тестов, потому мой взор упал, как и многих других, именно на Kali.
Сам использую и рекомендую, стоит на втором диске, совместно с гражданской ОС.
«Почему Linux? Создали же какую-то Ninjutsu OS на Windows», — скажут некоторые.
Список полезной литературы: какие книги почитать же
После этих книг приступайте к узкоспециализированным. Например по Reverse или уязвимостях самой популярной операционной системы для мобильных — Android.
На английском литературу загружаю в переводчик документов. Если размер книги слишком велик, делю на части. Иногда, перевод странный, но понять можно.
Обучение за деньги
Информационные порталы: форумы, блоги и много полезного в свободном доступе
CTF: что это такое
CTF (Capture the flag) — Захват флага, игры для специалистов по ИБ, полезно и интересно, посмотрите.
Где найти платный контент
Мотивация: как бензин для двигателя
Смотреть фильмы и сериалы нужно в перерывах между изучением, или во время нехватки мотивации, но не злоупотреблять. Больше изучайте, чем смотрите!
Рассказ о моём изучении информационной безопасности, как науки
Вы помните коронавирус и как мы сидели дома? Именно в карантин я начал изучать IT углубленно: Python, PHP, JavaScript. Я скачал курс Python-разработчик от Skillbox и курсы с udemy и прошёл. Скачал полный курс по JavaScript и по PHP от WebForMySelf, прошёл, но всё равно не всегда понимаю этот язык.
Хотелось написать программы, но не было идей, решил снова попробовать ИБ и стал понимать, что читаю!
Сейчас прохожу PWK (от Offensive Security), читаю книгу «Kali Linux 2018: Assuring Security by Penetration Testing». Я хочу больше углубиться в низкоуровневое программирование(C++) и как устроен компьютер.
В перерывах читаю А.В.Столяров «Программирование: введение в профессию» смотрю «Mr Robot» и читаю статьи на Codeby.
Три раза в неделю занимаюсь спортом, всем, а особенно для людей с сидячей профессией очень советую.
Где использую? К примеру: проверил свой WIFI, настроил везде защищенные пароли, на фрилансе тоже иногда пригождается. Каюсь, пару раз разыгрывал друзей.
Когда ещё больше узнаю, буду защищать что-нибудь.
Желаю находить качественную информацию. Не ленитесь и будьте активными. Удачи всем, пока.
Рекомендую отличную статью по теме «С чего начать изучение Информационной безопасности» — вот она: Welcome to the club, buddy! Или как начать свой путь в ИБ?
4 главных навыка специалиста по информационной безопасности
Авторизуйтесь
4 главных навыка специалиста по информационной безопасности
Даже базовые навыки информационной безопасности обеспечат вам, как IT-специалисту, высокую востребованность. Сегодня компании как никогда остро нуждаются в экспертной оценке защитных систем, десктопных программ, веб-приложений и других продуктов, а также элементов внутренней инфраструктуры.
Важность сферы информационной безопасности
Защита от киберугроз требуется на всех уровнях — от домашнего компьютера до корпоративных распределённых сетей. Опасностей становится всё больше: обнаружение критических уязвимостей операционных систем, раскрытие и кража конфиденциальной информации, увеличение количества вредоносных ПО, шпионаж с заражённых IoT-устройств и многое другое.
По данным Лаборатории Касперского, активность хакеров в пандемию выросла на 20–25%. Всё это приводит к тому, что востребованность специалистов по кибербезопасности растёт.
Классификация угроз
Основные угрозы информационной безопасности делятся на следующие группы:
Уязвимости
Любой пользователь должен знать об азах информационной безопасности. Доступ к данным может быть как украден, так и предоставлен — умышленно или нет. Как бы там ни было, в большинстве случаев проводниками хакерских атак выступают уязвимости. Только вот какие?
Из таблицы видно, что лидерами по-прежнему остаются инъекции и сломанная аутентификация, а на почётное третье место взошёл межсайтовый скриптинг (XSS).
О чём это говорит? При получении знаний и освоении навыков в области информационной безопасности следует в первую очередь делать упор на анализ и устранение наиболее распространённых уязвимостей.
Стек знаний и навыков специалиста по информационной безопасности
Данная отрасль включает пентестеров, разработчиков, изучающих готовый код и указывающих на его изъяны, а также специалистов по сетям. Соответственно, требуемые знания и навыки также достаточно обширны. Пробежимся по порядку.
Что должен знать специалист по ИБ?
Что должен уметь специалист по ИБ?
Специалист, прошедший обучение, далее должен получить опыт, и идеально, если практическому развитию послужат реальные проекты, которые, например, предоставляют курсы по информационной безопасности. Именно благодаря опыту и будут сформированы навыки в работе с информационной безопасностью.
Разумеется, всё зависит от конкретной специальности, но к наиболее распространённым навыкам безопасников в целом относятся:
В обязанности специалиста по информационной безопасности часто входят разработка и внедрение мероприятий по предотвращению информационных рисков. Он должен знать о возможных уязвимостях, следить за процессом написания и отладки кода, постоянно анализировать риски и при необходимости уметь устранять угрозы.
К задачам безопасников нередко относится обучение команды, разъяснение, какие меры необходимо предпринимать в случае попытки взлома, и формирование прочих основных навыков по обеспечению безопасности. Такой специалист сам устанавливает и настраивает технические средства по защите данных, а также разрабатывает нормативно-техническую документацию.
Востребованность и зарплаты
Специалистов по информационной безопасности сейчас особенно не хватает. По данным РБК, в условиях массового перехода на удалённый режим работы компании по всему миру расширяют штат специалистов в области кибербезопасности. В этом году уже наблюдается серьёзный дефицит профессионалов в этой области.
Обратимся к статистике. Вот количество вакансий профессии «Специалист по информационной безопасности» с диапазонами зарплат в России по версии портала Trud.com:
Только на HeadHunter сейчас 2 014 вакансий по запросу «специалист по информационной безопасности»:
Если изменить запрос и поискать, например, объявления, в которых требуются пентестеры, администраторы защиты или компьютерные безопасники, вакансий выйдет в разы больше. Среднее предложение в крупных городах — от 150 тысяч рублей.
Как видим из статистики, профессия востребована и высокооплачиваема.
Как стать специалистом по информационной безопасности
Здесь можно выбрать самообучение, самостоятельно составляя план, подбирая книги и видеоуроки, а можно записаться на курсы по кибербезопасности со стажировкой и гарантированным трудоустройством.
Стоит отметить, что навыки информационной безопасности у обучающихся самостоятельно будут формироваться исходя из тех задач, которые можно найти в открытом доступе. На курсе по компьютерной безопасности GeekBrains программа уже составлена таким образом, что после неё вы выйдете квалифицированным специалистом с опытом реальной работы.
Но какой бы путь вы ни выбрали, помните, что специальность востребована и в ближайшем будущем ситуация точно не изменится.