Найти тему
GeekBrains

Подходит ли вам карьера в сфере кибербезопасности – читайте откровенное интервью пентестера

Если вы хотите стать тестером безопасности, инженером по безопасности или кем-либо еще в мире безопасности, тогда у нас есть отличные новости для вас. Вы нацелены на профессию, которая не только динамично развивается и хорошо оплачивается, но и имеет довольно низкий порог входа. Это означает, что вам не нужно вкладывать много денег в собственное образование, чтобы открыть для себя множество дверей. Прямо сейчас вы можете поступить на Факультет информационной безопасности в онлайн-университет от GeekBrains и уже через 12 месяцев стать хорошо прокачанным и востребованным специалистом. А пока можете посмотреть интервью с нашим выпускником Андреем М., который сейчас работает пентестером и зарабатывает 150 000 в месяц. Поехали!

Добрый день, Андрей, как вам удалось за год освоить такую серьезную профессию? У вас были какие-то знания в сфере информационной безопасности перед поступлением?

Нет, никаких особенных знаний у меня не было. Мог накидать «на коленке» сайт в блокноте. Но я скорее исключение, так как со мной учились ребята, которые пришли в информационную безопасность из гуманитарных профессий или торговли. Все вместе мы учились программировать на Python, осваивали компоненты, из которых состоит веб: URL, HTTP, HTML, JavaScript, Same Origin Policy и другие. Потом изучали тестирование веб-приложений, разведку, типовые уязвимости серверной и клиентской части.
-2

Все ли в учебе было легко?

Хорошо запомнилась тема бинарных уязвимостей, пришлось с ней повоевать. Но менторы – очень крутые ребята, помогают, поддерживают, направляют в нужную сторону, чтобы студент сам нашел верное решение. Криптография – отдельная тема – было не просто, но мега-интересно. На этой почве сблизились со многими ребятами в групповом чате – вместе грызли гранит криптографической науки. Общались, делились идеями.

Сейчас вы пентестер? Кто это? Объясните простыми словами?

Профессиональный пентестер – специалист, который находит уязвимость в системе безопасности клиента и доказывает, что можно что-то улучшить. Как хакер – только наоборот😊

То есть вы боретесь с хакерами? Находите их «логова» и обезоруживаете?

Когда общаюсь с людьми, часто натыкаюсь на превратное представление о хакерах. Кстати о пентестерах – тоже. Киберпреступники не сидят в подвалах по ночам, а работают полный рабочий день. И мы работаем 8, 10, а порой и 12 часов в день, чтобы найти их.
-3

Каждый ли может стать пентестером?

Специфика работы в пентестинге требует не только знаний о сетевых протоколах и уязвимостях, но прежде всего – страсти и желания. Этому нельзя научиться только потому, что это модно или потому, что это хорошо оплачивается. В то же время, это для людей, у которых мощные «моральные принципы», чтобы, приобретая новые навыки и выполняя эту работу, человек не перешел на темную сторону.

Как вы нашли свою работу?

После обучения меня хорошо прокачали по карьерным вопросам, портфолио, резюме, дали доступ к базе вакансий, где работодатели заинтересованы в выпускниках GeekBrains, потому что знают, какой тут дают уровень знаний. Я довольно легко прошел техническую часть собеседования. Ожидал чего-то более страшного. Но потом еще неделю ждал результатов, потому что в компаниях, чья деятельность связана с информационной безопасностью, обязательно идет серьезная проверка тех самых морально-этических принципов.

А что это за проверка?

Я не могу говорить об этом подробно, но репутация кандидата в сообществе кибербезопасности имеет большое значение. Проверяется цифровой след, и если в «анамнезе» есть что-то неэтичное или глупое, сложно будет доказать, что вы ничего плохого не имели в виду, что это шутка или типа такого. Причем само сообщение о проверке часто является лакмусовой бумажкой: если соискатель сопротивляется, возможно, ему есть что скрывать и ему не место в InfoSec.

С чем вам приходится работать? Легко ли находить уязвимости?

Бывает всякое, потому что системы разные. Также все зависит от зрелости компании-заказчика, то есть от того, как организована защита, а также от сложности самой системы. Например, если входная дверь хорошо защищена, но есть боковые ворота, окна или дымоход где-то без охраны. Чем сложнее система, тем больше у нас возможностей. Простая математика - больше строк кода, больше вероятность ошибки.
-4

Какие инструменты вы используете в работе?

Мы широко используем цифровые инструменты и механизмы социальной инженерии. Но есть и другие моменты. Например, когда мы получаем заказ от крупной компании, то бывают и полевые работы. Наши люди входили в помещения клиентов, например, по лестницам, в костюмах электриков или слесарей. Предположим, я переодеваюсь, беру лестницу и инструменты, захожу, стою пару минут – на меня никто не обращает внимания. В результате у меня неограниченный доступ. И в комнате есть розетка, к которой я могу подключить физические кейлоггеры между клавиатурой и USB-портом компьютера. Никто этого не заметит. (Кейлоггеры - это устройство или программное обеспечение, которое отслеживает символы, вводимые на клавиатуре, в основном с целью кражи паролей). Повторюсь, профессия очень интересная, но главное в ней – правильный вход и желание обучаться.

Если вас заинтересовала история Андрея, тогда ждем вас на «факультете Информационной безопасности». От вас требуется только желание обучаться!