Путеводитель по карьере в кибербезопасности

Существует множество различных типов конференций. Понимание целевой аудитории и тематики поможет вам выбрать ту, что наиболее интересна и ценна именно для вас. Отличные возможности для обучения предоставляют не только практические и специализированные конференции конкретно для ИБ-специалистов, но и конференции, напрямую не связанные с информационной безопасностью.
Практические конференции, как правило, ориентированы на тех, кто уже работает или хочет работать в организации, помогая создавать и поддерживать средства защиты. Их темы могут быть самыми разнообразными. Обычно основное внимание на них уделяется действиям, связанным с управлением безопасностью внутри организации. На ИБ-специалистов ориентированы, например, RSA, Black Hat и InfoSec World. Благодаря тому, что на них рассматривается широкий спектр тем, участники могут выбрать тренинги и выступления себе по интересам.
  
Кроме того, ежегодно проводится ряд специализированных конференций, посвященных обычно конкретному направлению сферы кибербезопасности. Одна из самых популярных и старейших — конференция хакеров DEF CON, учрежденная в 1993 году в Лас-Вегасе. За время своего существования она превратилась из неформальной встречи хакеров в одну из крупнейших конференций по кибербезопасности в мире. Изначально основное внимание здесь уделяли хакерскому сообществу и соответствующим темам. Однако со временем стали организовывать все больше различных «деревень», благодаря чему спектр рассматриваемых тем расширился. Другие известные хакерские конференции, такие как BSides, SchmooCon и THOTCON, посвящены наступательной безопасности.
Помимо хакерских, существует еще одна известная специализированная конференция — Layer 8. Понятие Layer 8 («Восьмой уровень») относится к человеку как к элементу системы безопасности, поэтому конференция посвящена темам, связанным с социальной инженерией и сбором разведданных. Несмотря на то что организованные в ее рамках «деревни» и мастерские охватывают более широкий круг тем, фокус внимания самой конференции сосредоточен на человеческом факторе и соответствующих тактиках нападения и защиты.
Еще одна специализированная конференция — OWASP Global AppSec. OWASP — это отраслевая организация, занимающаяся безопасностью приложений, защитой программного обеспечения и процессов его разработки. Опять же, хотя конференция в целом фокусируется на этой тематике, некоторые мероприятия и даже выступления спикеров касаются других аспектов или направлений сферы кибербезопасности.
О различных формах конференций и каждом отдельном мероприятии можно было бы написать целую книгу. Вам необязательно знакомиться со всеми темами и всеми существующими конференциями. Гораздо важнее понимать, как эти мероприятия способны помочь вам обогатить свои знания и развить навыки, которые пригодятся в карьере.
Во-первых, само по себе посещение одной из таких конференций предоставляет возможность обучения, и это можно указать в резюме, чтобы продемонстрировать наличие знаний в определенной области или областях. То, что вы присутствовали на подобном мероприятии, свидетельствует не только о ваших знаниях, но и о вашем желании учиться и расти профессионально. Для некоторых менеджеров по найму это важный фактор.
Во-вторых, на мастерских и тренингах, проводимых в рамках конференций, вы можете развить дополнительные практические навыки, а потом указать их в своем резюме. Демонстрация того, что вы потратили время не только на получение знаний, но и на их практическое применение, способно помочь при недостатке более формального опыта работы.
В-третьих, у большинства конференций есть важная особенность: возможность выступить с докладом и поделиться с другими участниками своими идеями, новыми данными и результатами исследований. Даже доклад на распространенную тему, преподнесенный нестандартным образом, может оказаться полезным, особенно на небольших конференциях для участников ИБ-сообщества.
Так или иначе, сведения о выступлении на одной или нескольких конференциях, включенные в резюме, способны привлечь внимание потенциального работодателя. Справедливости ради следует отметить, что для большинства начинающих профессионалов это довольно высокая планка. Однако если вы комфортно чувствуете себя на публике и у вас есть материал, которым вы готовы поделиться, будь то результат собственного или группового исследования, то эта задача вполне выполнима.
Одна из проблем с этими конференциями заключается в том, что за участие в них необходимо платить (если вы не докладчик или не владелец билета, полученного по стипендиальной программе). Кроме того, они проводятся в разных частях страны, поэтому если такое мероприятие организовано не поблизости от вас, то придется совершить поездку, а это дополнительные расходы.
Один из способов решить эту проблему — участвовать в конференциях BSides. Эти независимые конференции, проводимые под эгидой организации BSides, несколько отличаются друг от друга, но большинство из них охватывает довольно широкий спектр тем. Кроме того, большая часть таких конференций проводится в крупных городах по всему миру, что повышает шансы на то, что вам не придется далеко ехать. Многие ориентированы на небольшое количество участников, а значит, проще оказаться в числе докладчиков. В общем, участие в конференциях — это отличный способ получить знания и, вероятно, некоторые навыки, однако необходимо учитывать и связанные с этим затраты.
5.3.2. CTF-соревнования, площадки для хакеров и персональные лаборатории
Дополнительные знания и навыки в области кибербезопасности можно получить и более неформальными способами. Например, соревнования по захвату флага (CTF) проводятся в рамках как конференций, так и специальных мероприятий, спонсируемых отраслевыми организациями. В этих соревнованиях участники или команды выполняют различные задания, чтобы получить так называемые флаги. В таких заданиях может потребоваться применить методы наступательной безопасности, социальной инженерии, разведки по открытым источникам, а иногда и защиты. CTF-соревнования различаются по уровню детализации задач: самые экстремальные предоставляют только целевую среду, которую пользователь должен исследовать, и больше никаких инструкций.
Также мероприятия различаются по уровню подготовки участников. Ориентированные на новичков, как правило, фокусируются на обучении и руководстве, а значение соревновательного аспекта в них меньше. Обычно участники здесь получают подробные описания заданий и советы по их выполнению. Во многих случаях администраторы этих соревнований при необходимости готовы участникам помочь.
Другие же CTF-соревнования, в том числе проводимые в рамках крупных конференций вроде DEF CON, делают акцент именно на соревновательности. Однако не стоит сбрасывать эти состязания со счетов, особенно если они командные. Если вам удастся найти команду, готовую принять нового человека, желающего учиться, они могут принести вам огромную пользу. В любом случае участие в CTF-соревнованиях — то, что определенно стоит включить в свое резюме. Подробнее об этом мы поговорим в главе 6.
Еще один отличный способ приобрести опыт в области кибербезопасности — использовать специализированные площадки вроде Hack Die Box (НТВ), где можно выполнять задания, связанные со взломом различных серверов, или смотреть, как их выполняют другие. Задания и серверы регулярно обновляются, как и рейтинг пользователей, основанный на количестве набранных ими очков. У площадки НТВ есть важная особенность: работодатели размещают на сайте объявления о вакансиях, которые сопоставляются с пользователями на основе их места в рейтинге. Эта площадка все еще развивается, но если вас интересует тестирование на проникновение и исследование уязвимостей, то, используя ее, вы получите отличный шанс продемонстрировать свои навыки потенциальным работодателям.
  
Существуют и другие площадки, например намеренно уязвимое приложение от О WASP под названием Web Go at. Вы можете установить его на свой компьютер и практиковать различные типы атак, понимать которые полезно не только пентестерам, но и специалистам, занимающимся защитой ПО. Помимо этой есть и другие доступные намеренно уязвимые среды. С некоторыми можно работать через интернет, но многие требуют настраивать среду на своем компьютере.