Присоединение к сфере кибербезопасности в качестве стороннего специалиста без технического образования стало для меня преобразующим путешествием. Что меня сразу поразило в этой отрасли, так это ее неустанный темп и волнующие вызовы, которые она постоянно ставит. Общаясь с профессионалами в этой области, я был воодушевлен их огромной поддержкой новичков, которые искренне проявили желание учиться. Однако я быстро обнаружил преобладающее мнение: от новичков ожидается, что они будут независимыми самообучающимися. Это может быть пугающим ожиданием, особенно если учесть, что многие потенциальные новички в сфере кибербезопасности по своей сути не являются самообучителями. Хотя врожденное любопытство, несомненно, является ценной чертой, важно понимать, что многим людям, даже тем, у кого огромный потенциал, нужна структурированная структура, чтобы сделать свои первые шаги в этой обширной области.
За последние несколько лет был достигнут значительный прогресс в заполнении дефицита кадров в отрасли. Однако по состоянию на 2023 год, согласно исследованию ISC2 Cybersecurity Workforce Study , в сфере кибербезопасности во всем мире было создано 440 000 новых рабочих мест (рост на 8,7% в годовом исчислении), но ошеломляющие 4 миллиона должностей остались незаполненными (рост на 12,6% в годовом исчислении). . Этот огромный разрыв является результатом несоответствия между потребностями работодателей в опытных специалистах и реальной нехваткой таких специалистов.
Решение этой нехватки кадров заключается в сосредоточении внимания на ранних этапах карьеры потенциальных специалистов по кибербезопасности, особенно молодых студентов. Как сообществу, крайне важно, чтобы мы снабдили молодежь инструментами, необходимыми для изучения кибербезопасности как жизнеспособного варианта карьеры. Ключевым моментом является предложение структурированных, практичных и доступных путей обучения. Ниже приведены некоторые шаги и примеры того, как это сделать.
Структура NIST-NICE делит работу в области кибербезопасности на семь категорий высокого уровня: анализ, сбор и эксплуатация, расследование, эксплуатация и обслуживание, надзор и управление, защита и защита и безопасное обеспечение. Каждая категория дополнительно разделена на области специализации и рабочие роли, что обеспечивает комплексную схему карьерного роста.
Таблица 1. Категории рабочих ролей NICE Framework
Категория | Описание | Количество рабочих ролей |
---|---|---|
Безопасное предоставление (SP) | Концептуализирует, проектирует, закупает и/или создает безопасные ИТ-системы. Отвечает за аспекты развития системы и/или сети. | 11 |
Эксплуатация и обслуживание (OM) | Обеспечивает поддержку, администрирование и обслуживание, необходимые для обеспечения эффективной и результативной работы и безопасности ИТ-систем. | 7 |
Надзор и управление (OV) | Обеспечивает лидерство, управление, руководство или развитие и пропаганду, чтобы организация могла эффективно проводить работу по кибербезопасности. | 14 |
Защити и защити (PR) | Выявляет, анализирует и устраняет угрозы внутренним ИТ-системам и/или сетям. | 4 |
Расследование (IN) | Расследует события или преступления в области кибербезопасности, связанные с ИТ-системами, сетями и цифровыми доказательствами. | 3 |
Анализировать (АН) | Выполняет узкоспециализированный анализ и оценку поступающей информации о кибербезопасности, чтобы определить ее полезность для разведки. | 7 |
Собирайте и эксплуатируйте (CO) | Обеспечивает специализированные операции по отрицанию и обману, а также сбор информации о кибербезопасности, которая может быть использована для сбора разведывательной информации. | 6 |
Эта таблица демонстрирует широкий спектр ролей в сфере кибербезопасности. Понимая эти категории, новички могут лучше подготовиться к более индивидуальной и осознанной карьерной траектории.
Чтобы получить полное представление о структуре NIST-NICE и получить доступ к множеству ресурсов, предназначенных для начинающих, можно посетить
Цель — изучить различные аспекты кибербезопасности и определить, где страсть пересекается с мастерством. Поскольку кибербезопасность — это динамичная область, у человека всегда есть возможность меняться, учиться и развиваться.
Сообщество кибербезопасности исключительно поддерживает новичков. Даже опытные профессионалы часто готовы поделиться советами и советами и невероятно доступны новичкам. Секрет знакомства с этими людьми заключается в посещении живых мероприятий.
Взаимодействие в режиме реального времени на личных мероприятиях предлагает спонтанные вопросы, дискуссии и возможность более глубокого понимания. Речь идет не только о впитывании знаний; это также о сети. Эти площадки предоставляют прекрасную возможность для установления значимых связей, потенциально ведущих к наставничеству, трудоустройству или даже к совместным проектам. Кроме того, на многих таких собраниях проводятся живые соревнования или практические семинары, на которых участники могут применить теорию на практике, часто под руководством эксперта.
Вот почему посещение очных мероприятий может быть настолько полезным для энтузиаста кибербезопасности:
Когда дело доходит до площадок, выделяются некоторые платформы и организации:
Планируя участие, вот несколько советов:
Итак, если вы стремитесь углубить свои знания и сеть в области кибербезопасности, посещение таких мероприятий может стать ступенькой к вашей следующей большой возможности.
Задачи Capture The Flag (CTF) — это соревнования, в которых участники решают головоломки кибербезопасности, начиная от криптографии и заканчивая уязвимостями веб-приложений. Эти задачи предлагают новичкам практический опыт решения реальных проблем кибербезопасности . Например, мероприятие DEF CON CTF ежегодно привлекает глобальную аудиторию и предлагает головоломки, подходящие для всех уровней навыков.
Участие в решении проблем CTF напрямую коррелирует с несколькими областями, изложенными в рамках NIST-NICE:
Анализ (AN): расшифровка криптографических головоломок в CTF оттачивает навыки, относящиеся к категории «Анализ», где оценивается поступающая информация о кибербезопасности.
Защита и защита (PR). Устранение уязвимостей во время CTF расширяет возможности участника в выявлении, анализе и смягчении угроз для ИТ-систем, что тесно связано с категорией «Защита и защита».
Расследование (IN): некоторые CTF связаны с криминалистическими проблемами, что соответствует категории «Расследование», где исследуются события кибербезопасности или преступления, связанные с ИТ-системами.
Безопасное обеспечение (SP): Решение задач, в которых участники должны защищать или укреплять системы, отражает категорию «Безопасное обеспечение», уделяя особое внимание проектированию и созданию безопасных ИТ-систем.
Погружаясь в CTF, новички не только получают ценный практический опыт, но и лучше понимают различные роли и области, которые могут их заинтересовать в рамках NICE. Он предоставляет реальный и увлекательный способ изучения и углубления конкретных навыков в области кибербезопасности.
В рамках кампании по вознаграждению за обнаружение ошибок компании стимулируют этических хакеров находить и сообщать об уязвимостях в их системах. Эта практика становится все более распространенной среди ведущих технологических компаний, осознающих ценность глобального пула независимых исследователей безопасности. Например, такие технологические гиганты, как Google, Facebook, Apple, Microsoft и Twitter, запустили свои собственные программы вознаграждения за обнаружение ошибок, поощряя этических хакеров выявлять и ответственно раскрывать потенциальные недостатки безопасности в своих платформах. Предлагая эти кампании, эти организации не только повышают безопасность своих систем, но и способствуют симбиотическим отношениям с сообществом кибербезопасности. Например:
Такие платформы, как Bugcrowd, Hackerone и Intigrity, также упростили этот процесс, выступая в качестве посредников, связывающих этических хакеров с организациями, в том числе с теми, которые могут не иметь независимых программ, таких как Google или Apple. Как только уязвимость обнаружена и о ней сообщается через эти платформы или непосредственно компаниям с установленными программами, она подвергается процессу проверки. В случае подтверждения исследователь может получить финансовое вознаграждение, признание или и то, и другое.
Для новичков существуют лабораторные занятия на базе веб-браузера. Эти лаборатории позволяют пользователям практиковаться в контролируемой среде прямо в своих браузерах. Хотя эти платформы удобны и просты в доступе, они могут не полностью воспроизводить сложности и тонкости реальных систем. Это хорошие вводные инструменты, но по мере того, как пользователи продвигаются в своем путешествии по кибербезопасности, они могут показаться им менее сложными.
С другой стороны, существуют виртуализированные среды, требующие доступа VPN. Эти платформы предлагают среды, практически идентичные реальной инфраструктуре компании. Виртуализированные сценарии тщательно разработаны для имитации реальных сетей, серверов и рабочих станций. Когда пользователи подключаются через VPN, они чувствуют себя так, как будто они действительно находятся внутри действующей сети, обеспечивая уровень аутентичности, которого может не хватать в лабораториях с использованием веб-браузера. Среда такого типа позволяет более глубоко изучить инструменты, тактики и процедуры, эффективно обучая участников бороться с реальными угрозами кибербезопасности. Тщательное обучение в этих условиях гарантирует, что участники готовы к работе и полностью подготовлены к решению многогранных задач, с которыми они могут столкнуться в своей карьере в области кибербезопасности.
Пройдя оба типа обучения, кандидаты смогут оценить степень сложности задач кибербезопасности и лучше отточить свои навыки, чтобы стать эффективными профессионалами.
Вот список бесплатных или доступных практических учебных ресурсов по кибербезопасности для начинающих:
Упомянутые выше ресурсы представляют собой лишь краткий обзор многих инструментов и платформ, которые завоевали внимание и признание в сообществе кибербезопасности. Область обучения кибербезопасности обширна, и список ценных ресурсов выходит далеко за рамки того, что представлено здесь. Кроме того, в Интернете доступно множество проектов с открытым исходным кодом и другой контент, который может способствовать улучшению процесса обучения.
Специализированные форумы и веб-сайты, о которых я подробно расскажу в следующем абзаце, могут оказаться неоценимыми в поиске отзывов и отзывов других членов сообщества. Эта обратная связь дает представление о качестве новых ресурсов, которые постоянно выпускаются.
В обширной сфере кибербезопасности руководство опытного человека может иметь решающее значение. Такие платформы, как LinkedIn, могут быть особенно полезны не только для налаживания связей, но и для поиска потенциальных наставников. Внимательно просматривая профили, присоединяясь к соответствующим группам и активно участвуя в обсуждениях, вы можете продемонстрировать свое рвение и привлечь внимание опытных специалистов, готовых помочь новичкам.
Discord, платформа, изначально созданная для геймеров, превратилась в центр различных профессиональных сообществ.
Специализированные форумы и веб-сайты еще больше расширяют возможности:
Сообщества Reddit по кибербезопасности: такие платформы, как
Форумы по безопасности Wilders: погрузитесь в дискуссии о конфиденциальности, безопасности и защите данных в Интернете на
MalwareTips и Antionline Forums: такие сайты, как
Сообщество Bleeping Computer и Spiceworks: такие форумы, как
Хаклидо: уникальная платформа,
Активно участвуя в этих форумах и сообществах, можно не только расширить свои знания, но и построить значимые связи. По мере того, как вы участвуете и вносите свой вклад, шансы встретить потенциальных наставников, которые признают вашу страсть и преданность делу, значительно возрастают. Помните, наставничество в области кибербезопасности – это не просто изучение основ; речь идет о руководстве, обратной связи и понимании нюансов быстро развивающегося мира цифровой защиты.
Отправляясь в путешествие по кибербезопасности, важно ознакомиться с множеством доступных бесплатных инструментов. Эти инструменты, широко признанные и используемые профессионалами в этой области, могут значительно улучшить ваш опыт обучения:
Вайршарк:
OWASP ZAP (прокси-сервер Zed Attack):
Metasploit Community Edition:
Фыркнул:
OpenVAS (Открытая система оценки уязвимостей):
Кали Линукс:
Использование возможностей этих инструментов не только дает новичкам практическое понимание различных областей кибербезопасности, но также обеспечивает практический подход к борьбе с потенциальными угрозами. Не забудьте изучить соответствующую документацию и учебные пособия для каждого инструмента, поскольку они часто содержат богатые знания и передовой опыт.
Хотя есть самообучающиеся, которым удается самостоятельно соединить точки, огромное количество подающих надежды талантов еще не являются частью экосистемы кибербезопасности , главным образом потому, что им не хватает начального руководства. Предоставляя целевые и практические рекомендации, мы можем помочь проложить путь новому поколению профессионалов в области кибербезопасности, готовых принять вызовы и возможности, которые может предложить эта быстро развивающаяся область.
Структурированное обучение может быть достигнуто различными способами, и это руководство призвано предложить альтернативную точку зрения, исходящую от нетрадиционного профессионала в области кибербезопасности, который имел уникальную возможность учиться у настоящих хакеров.