Путеводитель по карьере в кибербезопасности

В этом разделе описываются основные навыки, которые работодатели перечисляют в объявлениях о вакансиях. Этот список не исчерпывающий, но вы хотя бы получите представление о том, какие навыки вам следует развить, чтобы быть готовыми работать в интересующей вас должности.
3.3.1. Основные технические навыки
В некоторых случаях сложно понять, что подразумевается под «техническими навыками». Здесь имеются в виду знания и умения, связанные с конкретной технологией, будь то аппаратное обеспечение, программное обеспечение или что-то другое. Уровень таких навыков легко измерить, что потенциальные работодатели иногда и делают. Подробнее об этом мы поговорим в главе 5.
  
Учитывая, что в сфере кибербезопасности востребован широкий спектр навыков, ожидать от соискателя совершенного владения всеми было бы нереалистично. Кроме того, набора навыков, универсального для каждого специалиста в этой области, нет. Важно понять, какие из них наиболее важны для интересующей вас должности, а затем разработать план их развития.
Разработка программного обеспечения / программирование
Многие должности в области кибербезопасности требуют определенного опыта в разработке программного обеспечения или знания конкретного языка программирования. Некоторые участники сообщества считают, что владеть такими навыками обязательно. На мой взгляд, это чересчур (в разговоре о необходимых навыках таких обобщений следует избегать), однако нельзя не согласиться с тем, что знание языка программирования — или, что еще лучше, опыт в разработке программного обеспечения — будут очень полезны специалисту по кибербезопасности.
Владение одним или несколькими языками программирования — актуальный навык, поскольку специалистам по безопасности часто приходится писать сценарии или небольшие программы для автоматизации выполнения задач. Чрезвычайно полезным будет хорошо овладеть такими языками сценариев, как Perl, PowerShell, Bash или Python. К последним трем специалисты по безопасности прибегают особенно часто.
Операции по обеспечению безопасности обычно предполагают использование сценариев для автоматизации задач, поиска в журналах или интеграции нескольких систем мониторинга. Сценарии пригодятся специалистам по цифровой криминалистике и реагированию на инциденты, отвечающим за выявление брешей в системе безопасности организации, а также за поиск и хранение улик, которые позже могут быть использованы для судебного преследования нарушителей. Сценарии позволяют проводить поиск по большим объемам данных, давать скоординированный ответ на инциденты и анализировать собранные улики. Сценарии могут пригодиться даже при тестировании на проникновение для выполнения повторяющихся задач и быстрого сканирования больших наборов данных.
Еще один важный навык — понимание других экосистем разработки. Группы по безопасности часто привлекают к поиску и устранению уязвимостей в программном обеспечении. Понимание того, как работает код, лежащий в основе программы, может помочь при моделировании атак на ПО, призванном обнаружить его слабые места. Такая практика называется наступательной безопасностью, или атакой «красной команды» (red teaming). Также этот навык оказывается полезен в статическом анализе кода и анализе состава программного обеспечения. А еще он помогает понимать уязвимости, опирающиеся на особенности использования экосистем разработки. Например, многие экосистемы используют сторонние зависимости с открытым исходным кодом. Способность понимать, когда и как применяются эти зависимости, и выявлять связанные с ними уязвимости может оказаться чрезвычайно полезной.
Наконец, опыт программирования пригодится специалистам, отвечающим за безопасность приложений. Понимая жизненный цикл разработки ПО и функционирование конвейера поставки, эти специалисты могут действовать превентивно. Решение вопросов безопасности на более ранних этапах разработки обычно называется сдвигом влево. Понимание таких терминов, как пользовательская история (описание желаемых функций ПО), бэклог (список пользовательских историй, подлежащих реализации) и спринты (повторяющиеся циклы разработки программного обеспечения), а также контекста, в котором они используются, помогает более эффективно взаимодействовать с командами разработчиков. Таким образом, специалист по безопасности, обладая знаниями в области программирования и разработки, может получить существенное преимущество.
Использование и администрирование сетей
Это может показаться очевидным, но понимать, как взаимодействуют системы, соединенные в сеть, чрезвычайно полезно для специалистов по безопасности. Многие аналитики SOC, цифровые криминалисты и сотрудники, отвечающие за реагирование на инциденты, начинают карьеру в качестве сетевых администраторов. Знакомство с такими концепциями, как модель TCP/IP, коммутация пакетов, маршрутизация и система доменных имен (DNS), оказывается весьма кстати, если вы отвечаете за мониторинг сети с целью выявления атак. Администрирование брандмауэров и других сетевых устройств безопасности тоже требует хорошо понимать принципы функционирования сетей. А если вы занимаетесь цифровой криминалистикой, отвечаете за реагирование на инциденты, изучаете данные SIEM-систем или расследуете недавний взлом, то эти знания вам просто необходимы.
Работа «красной команды» и тестирование на проникновение также немыслимы без понимания особенностей сетевых коммуникаций. В конце концов, эти практики предполагают манипулирование трафиком, обнаружение и обход средств защиты и не только. А потому необходимо уметь анализировать низкоуровневый сетевой трафик и управлять им, чтобы получать желаемые ответы или выявлять аномальное поведение системы.
Разумеется, специалист по безопасности может сосредоточиться на различных формах сетевых коммуникаций. Если вы знакомы с моделью взаимодействия открытых систем (OSI), то знаете о семи уровнях взаимодействия. В зависимости от должности, на которую вы претендуете, вам потребуются знания о том или ином уровне этой модели. Было бы трудно найти специалиста по безопасности, который разбирается в сетевых коммуникациях и говорит, что это не пригодилось ему в работе. Таким образом, знания в этой области могут открыть для вас множество дверей в мире безопасности.
Облачные технологии
Все больше организаций обращаются к облачным средам вроде Amazon Web Services (AWS), Microsoft Azure и Google Cloud: они избавляют от необходимости покупать собственные серверы и сети и позволяют пользоваться оборудованием поставщиков услуг. Эти среды предъявляют особые требования к безопасности и администрированию.
Такие новые облачные технологии, как контейнеры (виртуали-зированные и, как правило, компактные программно-определяемые серверные модули), бессерверные среды и оркестрация, набирают популярность по мере того, как культура разработки DevOps привлекает к себе все больше внимания. По этой причине растет спрос на специалистов по безопасности, которые понимают связанные с ними уникальные угрозы и владеют инструментами для администрирования этих технологий и сред.
Иметь представление о том, что такое облачные среды и технологии, может быть полезно в работе на многих должностях. Умение ориентироваться в этих средах, понимание их конфигурации, а также знакомство с их средствами защиты и способами их обхода пригодится специалистам, занимающимся операциями по обеспечению безопасности, а также членам «красной команды».
  
Тем, кто отвечает за защиту, это знание поможет обеспечить более высокий уровень безопасности среды, а тем, кто отвечает за наступление, — более эффективно ее атаковать. Понимать, какую пользу способны принести данные, журналы и инструменты, важно даже специалистам по цифровой криминалистике и реагированию на инциденты. Они могут использовать облачные инновации, чтобы повысить эффективность мониторинга, ведения журналов и расследования инцидентов. По мере роста популярности облачных сред будет расти и спрос на профессионалов, обладающих этими навыками.