Карьера в кибербезопасности, или Как расти в ИБ
Ежегодно тысячи выпускников программ по ИБ, начиная свой карьерный путь, задаются вопросами: как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно? Меня зовут Дмитрий Федоров, я руковожу проектами по взаимодействию с вузами в команде Positive Education. Мы часто слышим эти вопросы, лично работая со студентами и молодыми специалистами, поэтому решили ответить на них, а в итоге у нас получились наглядные схемы развития карьеры в ИБ. Детально рассмотреть их можно по ссылке.
Впервые идея схемы появилась в 2010 году, когда я, будучи выпускником по специальности «Защита информации», выбирал будущее место работы. За плечами уже был опыт научных исследований, программирования на языке С, реверс-инжиниринга, тестирования мобильных приложений и репетиторства по численным методам.
На рынке вакансий тогда появились стажерские позиции для вирусных аналитиков, других подходящих направлений я не встретил, а заниматься написанием документов не хотелось.
В этот период мне предложили должность преподавателя в вузе, где только открылось новое направление по информационной безопасности. Таким образом, последующие 12 лет мой карьерный путь был связан с построением учебных программ, преподаванием и административной работой.
Ежегодно я проводил занятия для студентов по введению в специальность, где рассказывал о путях развития в области кибербезопасности. (Пользуясь случаем, передаю привет своим бывшим студентам!)
В прошлом году я присоединился к команде Positive Technologies, где продолжаю преподавать и развивать ИБ-образование в вузах.
В Positive Education мы системно подошли к построению схемы развития карьеры в ИБ. Основой для создания схемы послужили анализ более 200 вакансий на рынке труда за последние три месяца, интервью с экспертами в области ИБ, представляющими крупные предприятия.
У каждого опрошенного эксперта оказался свой уникальный путь в профессию, который мы визуально обобщили по аналогии с картами пути клиента (customer journey maps).
В итоге на схеме появились восемь направлений развития специалиста по ИБ:
защита информации КИИ,
комплаенс-менеджмент,
исследование безопасности (R&D),
администрирование средств защиты информации,
security operations center (SOC),
управление уязвимостями,
безопасная разработка приложений (об этом направлении в нашем блоге недавно была статья),
преподавание кибербезопасности.
Особенности рынка труда в области кибербезопасности
Задачи специалиста зависят от зрелости процессов ИБ в компании. На средних предприятиях за кибербезопасность может отвечать системный администратор, который настраивает принтеры и системы защиты информации, то есть совмещает одновременно несколько ролей. На крупных предприятиях за ИБ отвечают целые подразделения и функционируют собственные SOC с внутренним распределением ролей.
Таким образом, деятельность специалиста по кибербезопасности может подразумевать одновременно множество ролей, поэтому вместо «профессии» на схеме используется термин «роль».
В процессе движения по карьерному пути специалист по ИБ пробует себя в различных ролях и, как следствие, может претендовать на новые должности в компании —подразумевающие более сложные и интересные задачи.
Специалист также может расти как эксперт в одной роли, например накапливать знания и навыки в области анализа защищенности или реверс-инжиниринга различных систем.
Вдохновением для нас послужила схема метро, которая не соответствует строго рельефу местности, но при этом понятна пассажирам. Отсюда же возникла идея отмечать пунктирной линией переходы между станциями ролями.
По нашим наблюдениям, переходы из одного направления в другое — обычное дело для безопасника. Специалист может перейти из пентестера в аналитики SOC (или наоборот) — и тем самым привнести в свою деятельность новый взгляд, приобрести компетенции, свойственные другой роли.
В процессе анализа вакансий мы столкнулись с различными наименованиями должностей. Например, деятельность пентестера полностью совпадала с задачами, которые выполняют эксперт red team и специалист по анализу защищенности. Такие случаи на схеме объединены рамкой.
Траектория карьеры в ИБ
Анализ рынка вакансий показывает, что войти в кибербезопасность лучше всего (это не означает, что проще) в роли администратора средств защиты информации с начальными компетенциями в системном администрировании.
Рассмотрим, какие задачи решает такой специалист. Администратор СЗИ занимается внедрением, настройкой и обслуживанием систем сбора и анализа событий безопасности, систем контроля защищенности; обеспечивает непрерывность функционирования систем SIEM, SOAR, VM, WAF; контролирует выполнение процедур резервного копирования; тестирует новые версии ПО; участвует (при необходимости) в расследовании инцидентов ИБ; анализирует проектную документацию по внедрению или модернизации информационных систем.
Пример требований для роли администратора СЗИ:
знание принципов работы инфраструктурных служб и сетевых протоколов, Linux на уровне администратора (структура файловой системы, управление правами, службами, анализ журнальных файлов ОС и ПО);
знание основ СУБД;
знание СУБД PostgreSQL на уровне администратора (базовые знания архитектуры, навыки установки, базовой настройки, диагностики и устранения сбоев в работе СУБД, управления доступом);
опыт работы с продуктами Positive Technologies конкретного вендора.
Куда пойти учиться
В связи с высоким спросом на администраторов, владеющих навыками работы с отечественными средствами защиты информации, мы совместно с ФПМИ МФТИ разработали практико-ориентированную программу переподготовки для администраторов информационных систем и систем защиты информации. В процессе проектирования учебной программы мы опирались на требования, указанные в вакансиях, и опыт экспертов Positive Technologies. Программа «Администратор информационных систем и систем защиты информации» длится порядка 7 месяцев, а стартует уже 27 марта 2024 года. Я являюсь одним из преподавателей на этом курсе, буду рад встретить вас среди своих студентов.
Наличие навыков администрирования СЗИ открывает возможности для перехода в новые роли. К примеру, далее можно развиваться в роли инженера по ИБ и приобретать глубокие компетенции по работе с СЗИ либо перейти на роль аналитика SOC или в область управления уязвимостями.
Пример требований для роли инженера по ИБ (SIEM-специализация):
навыки администрирования Linux;
понимание работы инфраструктурных сервисов (AD, DNS, DHCP, NTP, GPO);
готовность развиваться сразу в нескольких технических направлениях (SIEM-системы, сканеры уязвимостей, сети, Linux, Windows, базы данных);
опыт работы с MaxPatrol SIEM;
опыт работы c системами виртуализации;
опыт работы с серверным оборудованием;
навыки работы с базами данных (SQL-запросами);
навыки работы с регулярными выражениями;
навыки написания скриптов (PowerShell, Bash, Python);
наличие сертификатов вендоров.
Следующим шагом развития карьеры для администратора СЗИ (или инженера ИБ) может стать переход в роль аналитика, эксперта и далее архитектора по ИБ. Это комплексные роли, которые могут включать компетенции из других направлений кибербезопасности (SOC, DevSecOps).
Пример требований для роли аналитика кибербезопасности:
знание актуальных рисков и угроз ИБ (для различных ИТ);
знание основных методов и средств обеспечения ИБ, принципов построения комплексных систем управления ИБ и ИТ в крупных корпоративных системах;
опыт проведения или участия в пентестах;
опыт использования встроенных средств защиты информации на уровне ОС, СУБД, серверов приложений;
опыт настройки механизмов защиты ОС, СУБД и прикладного ПО;
опыт самостоятельных работ по выявлению, оценке и обработке рисков ИБ, по формированию отчетов;
опыт разработки внутренних нормативных документов по обеспечению ИБ, согласованию проектной документации.
Пример требований для роли эксперта по ИБ:
экспертные знания администратора по одному или нескольким направлениям: пользовательские и серверные операционные системы, интеграционные решения и базы данных, сетевые технологии, системы ИБ, протоколы, их уязвимости и методы атаки;
опыт настройки конфигураций безопасности;
знание основных отраслевых стандартов и лучших практик в области управления ИБ и защиты информации;
опыт самостоятельной разработки оптимальных технических стандартов конфигурации безопасности в соответствии с требованиями ИБ, законодательства и регуляторов;
опыт рассмотрения архитектурных схем ИТ-систем различной направленности и формирования оптимальных для них требований по ИБ;
опыт использования, настройки и сопровождения инструментов защиты и контроля защищенности;
понимание принципов расследования инцидентов ИБ;
знание принципов управления ИБ и оценки рисков;
понимание принципов работы основных инструментов ИБ и умение их применять на практике;
понимание принципов работы ПО и разных подходов для диагностики, администрирования и сбора аналитической информации.
Пример требований для роли архитектора по ИБ:
опыт проведения технического аудита информационных систем на соответствие требованиям ИБ;
опыт оценки рисков и формирования требований по ИБ к разрабатываемым системам;
опыт разработки нормативно-методической и организационно-распорядительной документации;
понимание основ управления ИТ-проектами;
понимание принципов разработки ПО;
понимание основ использования DevOps при организации процесса разработки и внедрения ПО;
умение работать с основными нормативными документами по ИБ;
знания о типах СЗИ.
При анализе вакансий мы обратили внимание, что на рынке труда с появлением новых технологий и средств защиты информации наблюдается формирование узких специализаций, таких как аналитик защищенности Web 3.0 или инженер NGFW (восьмая цифра на схеме).
В отдельный трек мы поместили преподавателей кибербезопасности. У нас более 120 учебных заведений, которые выпускают специалистов по ИБ, и при этом число практических программ повышения квалификации по ИБ только увеличивается. В обоих случаях требуются специалисты по ИБ, которые хотят делиться своей экспертизой в роли преподавателя.
Кибербезопасность активно трансформируется в процессе своего развития, специализации превращаются в отдельные карьерные треки (например, так произошло с управлением уязвимостями). На стыке нескольких направлений возникают новые профессии, к примеру появляется потребность в аналитиках SOC со знанием ML.
Карьерная траектория в области ИБ требует дальнейшего кропотливого изучения. В последующих статьях мы вернемся к теме профессий и рассмотрим другие треки.
Предлагаемая схема является динамичной версией схемы карьеры в ИБ, которую планируем менять в зависимости от потребностей отрасли и планируем представить для широкого обсуждения с другими представителями рынка кибербезопасности и с образовательным сообществом. Приглашаем к дискуссии всех, кто заинтересован в развитии ИБ.