Если вы хотите стать тестером безопасности, инженером по безопасности или кем-либо еще в мире безопасности, у нас есть отличные новости для вас в самом начале. Вы нацелены на профессию, которая не только динамично развивается и хорошо оплачивается, но и имеет довольно низкий порог входа. Это означает, что вам не нужно вкладывать много денег в собственное образование, чтобы открыть для себя множество дверей. Прямо сейчас вы можете поступить на Факультет информационной безопасности в онлайн-университет от GeekBrains и уже через год стать хорошо прокачанным и востребованным у работодателей специалистом. Пруфы? Вот интервью с нашим выпускником Андреем М., который сейчас работает пентестером и зарабатывает 150 000 в месяц. Поехали!
Добрый день, Андрей, как вам удалось за год освоить такую серьезную профессию? У вас были какие-то знания в сфере информационной безопасности перед поступлением?
Нет, никаких особенных знаний у меня не было. Мог накидать «на коленке» сайт в блокноте😊 Но я скорее исключение, так как со мной учились ребята, которые пришли в информационную безопасность из гуманитарных профессий или торговли. Все вместе мы учились программировать на Питоне, осваивали компоненты, из которых состоит веб: URL, HTTP, HTML, JavaScript, Same Origin Policy и другие. Потом изучали тестирование веб-приложений, разведку, типовые уязвимости серверной и клиентской части.
Все ли в учебе было легко?
Хорошо запомнилась тема бинарных уязвимостей, пришлось с ней повоевать😊 Но менторы – очень крутые ребята, помогают, поддерживают, направляют в нужную сторону, чтобы студент сам нашел верное решение. Криптография – отдельная тема – было не просто, но мега-интересно. На этой почве сблизились со многими ребятами в групповом чате – вместе грызли гранит криптографической науки. Общались, делились идеями.
Сейчас вы пентестер? Кто это? Объясните простыми словами?
Профессиональный пентестер – специалист, который находит уязвимость в системе безопасности клиента и доказывает, что можно что-то улучшить. Как хакер – только наоборот😊
То есть вы боретесь с хакерами? Находите их «логова» и обезоруживаете?
Когда общаюсь с людьми, часто натыкаюсь на превратное представление о хакерах. Кстати о пентестерах – тоже. Киберпреступники не сидят в подвалах по ночам, а работают полный рабочий день. И мы работаем 8, 10, а порой и 12 часов в день, чтобы найти их.
Каждый ли может стать пентестером?
Специфика работы в пентестинге требует не только знаний о сетевых протоколах и уязвимостях, но прежде всего – страсти. Этому нельзя научиться только потому, что это модно или потому, что это хорошо оплачивается. В то же время, это для людей, у которых мощные «моральные принципы», чтобы, приобретая новые навыки и выполняя эту работу, человек не перешел на темную сторону.
Как вы нашли свою работу?
После обучения в меня хорошо прокачали по карьерным вопросам, портфолио, резюме, дали доступ к базе вакансий, где работодатели заинтересованы в выпускниках GeekBrains, потому что знают, какой тут дают уровень знаний. Я довольно легко прошел техническую часть собеседования. Ожидал чего-то более страшного😊 Но потом еще неделю ждал результатов, потому что в компаниях, чья деятельность связана с информационной безопасностью, обязательно идет серьезная проверка тех самых морально-этических принципов.
Ого! А что это за проверка?
Я не могу говорить об этом подробно, но репутация кандидата в сообществе кибербезопасности имеет большое значение. Проверяется цифровой след, и если в «анамнезе» есть что-то неэтичное или глупое, сложно будет доказать, что вы ничего плохого не имели в виду, что это шутка или типа такого. Причем само сообщение о проверке часто является лакмусовой бумажкой: если соискатель сопротивляется, возможно, ему есть что скрывать и ему не место в InfoSec.
С чем вам приходится работать? Легко ли находить уязвимости?
Бывает всякое, потому что системы разные. Также все зависит от зрелости компании-заказчика, то есть от того, как организована защита, а также от сложности самой системы. Например, если входная дверь, вероятно, хорошо защищена, но есть боковые ворота, окна или дымоход где-то без охраны. Чем сложнее система, тем больше у нас возможностей. Простая математика - больше строк кода, больше вероятность ошибки.
Какие инструменты вы используете в работе?
Мы широко используем цифровые инструменты и механизмы социальной инженерии. Но есть и другие моменты. Например, когда мы получаем заказ от крупной компании, то бывают и полевые работы. Наши люди входили в помещения клиентов, например, по лестницам, в костюмах электриков или слесарей. Это сработает, если это не будет крошечная компания, где все знают друг друга и знают, что электрик должен прийти в четверг после обеда, а воду для кулера привозят по вторникам с 10-00 до 11-00. В крупных организациях какое-то обслуживание проводится постоянно, и никто не удивится, если увидит мужчину в комбинезоне электрика или в сантехника. Предположим, я переодеваюсь, беру лестницу и инструменты, захожу, стою пару минут – на меня никто не обращает внимания. В результате у меня неограниченный доступ. И в комнате есть розетка, к которой я могу что-то подключить или подключить физические кейлоггеры между клавиатурой и USB-портом компьютера. Никто этого не заметит. (Кейлоггеры - это устройство или программное обеспечение, которое отслеживает символы, вводимые на клавиатуре, в основном с целью кражи паролей). Повторюсь, профессия очень интересная, но главное в ней – правильный вход. В InfoSec нет полумеров. Ты либо профессионал, либо не работаешь в этой сфере.
Андрей, большое спасибо за полезную, а местами – захватывающую информацию. Надеемся, она поможет кому-то принять правильное решение о выборе профессии и учебного заведения. Желаем профессиональных побед и успешной борьбы с хакерами😊