Присоединение к сфере кибербезопасности в качестве стороннего специалиста без технического образования стало для меня преобразующим путешествием. Что меня сразу поразило в этой отрасли, так это ее неустанный темп и волнующие вызовы, которые она постоянно ставит. Общаясь с профессионалами в этой области, я был воодушевлен их огромной поддержкой новичков, которые искренне проявили желание учиться. Однако я быстро обнаружил преобладающее мнение: от новичков ожидается, что они будут независимыми самообучающимися. Это может быть пугающим ожиданием, особенно если учесть, что многие потенциальные новички в по своей сути не являются самообучителями. Хотя врожденное любопытство, несомненно, является ценной чертой, важно понимать, что многим людям, даже тем, у кого огромный потенциал, нужна структурированная структура, чтобы сделать свои первые шаги в этой обширной области. сфере кибербезопасности За последние несколько лет был достигнут значительный прогресс в заполнении дефицита кадров в отрасли. Однако по состоянию на 2023 год, согласно , в сфере кибербезопасности во всем мире было создано 440 000 новых рабочих мест (рост на 8,7% в годовом исчислении), но ошеломляющие 4 миллиона должностей остались незаполненными (рост на 12,6% в годовом исчислении). . Этот огромный разрыв является результатом несоответствия между потребностями работодателей в опытных специалистах и реальной нехваткой таких специалистов. исследованию ISC2 Cybersecurity Workforce Study Решение этой нехватки кадров заключается в сосредоточении внимания на ранних этапах карьеры потенциальных специалистов по кибербезопасности, особенно молодых студентов. Как сообществу, крайне важно, чтобы мы снабдили молодежь инструментами, необходимыми для изучения кибербезопасности как жизнеспособного варианта карьеры. Ключевым моментом является предложение структурированных, практичных и доступных путей обучения. Ниже приведены некоторые шаги и примеры того, как это сделать. Структуры обучения, такие как NIST-NICE Структура NIST-NICE делит работу в области кибербезопасности на семь категорий высокого уровня: анализ, сбор и эксплуатация, расследование, эксплуатация и обслуживание, надзор и управление, защита и защита и безопасное обеспечение. Каждая категория дополнительно разделена на области специализации и рабочие роли, что обеспечивает комплексную схему карьерного роста. Таблица 1. Категории рабочих ролей NICE Framework Категория Описание Количество рабочих ролей Безопасное предоставление (SP) Концептуализирует, проектирует, закупает и/или создает безопасные ИТ-системы. Отвечает за аспекты развития системы и/или сети. 11 Эксплуатация и обслуживание (OM) Обеспечивает поддержку, администрирование и обслуживание, необходимые для обеспечения эффективной и результативной работы и безопасности ИТ-систем. 7 Надзор и управление (OV) Обеспечивает лидерство, управление, руководство или развитие и пропаганду, чтобы организация могла эффективно проводить работу по кибербезопасности. 14 Защити и защити (PR) Выявляет, анализирует и устраняет угрозы внутренним ИТ-системам и/или сетям. 4 Расследование (IN) Расследует события или преступления в области кибербезопасности, связанные с ИТ-системами, сетями и цифровыми доказательствами. 3 Анализировать (АН) Выполняет узкоспециализированный анализ и оценку поступающей информации о кибербезопасности, чтобы определить ее полезность для разведки. 7 Собирайте и эксплуатируйте (CO) Обеспечивает специализированные операции по отрицанию и обману, а также сбор информации о кибербезопасности, которая может быть использована для сбора разведывательной информации. 6 Эта таблица демонстрирует широкий спектр ролей в сфере кибербезопасности. Понимая эти категории, новички могут лучше подготовиться к более индивидуальной и осознанной карьерной траектории. Чтобы получить полное представление о структуре NIST-NICE и получить доступ к множеству ресурсов, предназначенных для начинающих, можно посетить . Ресурсный центр NICE по началу работы Цель — изучить различные аспекты кибербезопасности и определить, где страсть пересекается с мастерством. Поскольку кибербезопасность — это динамичная область, у человека всегда есть возможность меняться, учиться и развиваться. Подружитесь с настоящими хакерами Сообщество кибербезопасности исключительно поддерживает новичков. Даже опытные профессионалы часто готовы поделиться советами и советами и невероятно доступны новичкам. Секрет знакомства с этими людьми заключается в посещении живых мероприятий. Взаимодействие в режиме реального времени на личных мероприятиях предлагает спонтанные вопросы, дискуссии и возможность более глубокого понимания. Речь идет не только о впитывании знаний; это также о сети. Эти площадки предоставляют прекрасную возможность для установления значимых связей, потенциально ведущих к наставничеству, трудоустройству или даже к совместным проектам. Кроме того, на многих таких собраниях проводятся живые соревнования или практические семинары, на которых участники могут применить теорию на практике, часто под руководством эксперта. Вот почему посещение очных мероприятий может быть настолько полезным для энтузиаста кибербезопасности: принимайте непосредственное участие в соревнованиях или семинарах, оттачивая навыки в реальном времени. Демонстрация навыков: Кибербезопасность постоянно развивается. Примите участие в свежих, передовых дискуссиях, которые, возможно, еще не дошли до широкого онлайн-сообщества. Будьте в курсе: делитесь опытом и проблемами со сверстниками. Приятно и мотивирую знать, что другие сталкиваются с похожими проблемами. Моральная поддержка: Когда дело доходит до площадок, выделяются некоторые платформы и организации: (Проект безопасности открытых веб-приложений): его глобальные отделения, известные своим пониманием веб-уязвимостей, регулярно проводят встречи и семинары. OWASP : Эти мероприятия, проводимые сообществом, предлагают более уютную и интимную обстановку для дискуссий и обучения. BSides : Один из хакерских съездов. Это отличное место для тех, кто хочет глубоко погрузиться в хакерство и кибербезопасность. DEF CON Планируя участие, вот несколько советов: не будьте просто пассивным участником. Присоединяйтесь, спрашивайте, обсуждайте! Принимайте активное участие: просмотрите расписание мероприятия, запишите интересующие его сессии и изучите спикеров. Подготовьтесь: Вы познакомились с кем-то интересным? Напишите им благодарственное письмо или простое сообщение после мероприятия. Это может стать началом ценных отношений. Продолжение: Итак, если вы стремитесь углубить свои знания и сеть в области кибербезопасности, посещение таких мероприятий может стать ступенькой к вашей следующей большой возможности. Участвуйте в конкурсах и хакатонах CTF. Задачи Capture The Flag (CTF) — это соревнования, в которых участники решают головоломки кибербезопасности, начиная от криптографии и заканчивая уязвимостями веб-приложений. Эти задачи предлагают новичкам практический опыт решения . Например, мероприятие DEF CON CTF ежегодно привлекает глобальную аудиторию и предлагает головоломки, подходящие для всех уровней навыков. реальных проблем кибербезопасности Участие в решении проблем CTF напрямую коррелирует с несколькими областями, изложенными в рамках NIST-NICE: Анализ (AN): расшифровка криптографических головоломок в CTF оттачивает навыки, относящиеся к категории «Анализ», где оценивается поступающая информация о кибербезопасности. Защита и защита (PR). Устранение уязвимостей во время CTF расширяет возможности участника в выявлении, анализе и смягчении угроз для ИТ-систем, что тесно связано с категорией «Защита и защита». Расследование (IN): некоторые CTF связаны с криминалистическими проблемами, что соответствует категории «Расследование», где исследуются события кибербезопасности или преступления, связанные с ИТ-системами. Безопасное обеспечение (SP): Решение задач, в которых участники должны защищать или укреплять системы, отражает категорию «Безопасное обеспечение», уделяя особое внимание проектированию и созданию безопасных ИТ-систем. Погружаясь в CTF, новички не только получают ценный практический опыт, но и лучше понимают различные роли и области, которые могут их заинтересовать в рамках NICE. Он предоставляет реальный и увлекательный способ изучения и углубления конкретных навыков в области кибербезопасности. Присоединяйтесь к кампаниям Bug Bounty В рамках кампании по вознаграждению за обнаружение ошибок компании стимулируют этических хакеров находить и сообщать об уязвимостях в их системах. Эта практика становится все более распространенной среди ведущих технологических компаний, осознающих ценность глобального пула независимых исследователей безопасности. Например, такие технологические гиганты, как Google, Facebook, Apple, Microsoft и Twitter, запустили свои собственные программы вознаграждения за обнаружение ошибок, поощряя этических хакеров выявлять и ответственно раскрывать потенциальные недостатки безопасности в своих платформах. Предлагая эти кампании, эти организации не только повышают безопасность своих систем, но и способствуют симбиотическим отношениям с сообществом кибербезопасности. Например: Программа вознаграждения за уязвимости Google (VRP) вознаграждает исследователей, которые обнаруживают уязвимости безопасности в продуктах и услугах Google. Сумма их вознаграждения может варьироваться от 100 до более 30 000 долларов США, в зависимости от серьезности ошибки и затронутого продукта. В некоторых исключительных случаях присуждались еще более высокие награды. VRP от Google сыграл важную роль в обеспечении безопасности таких продуктов, как Google Chrome, Android и Google Cloud Platform. Программа Apple Security Bounty приглашает исследователей безопасности находить уязвимости в iOS, macOS и другом программном обеспечении Apple. Выплаты могут быть весьма существенными: вознаграждения за наиболее важные проблемы достигают 1 миллиона долларов. Это отражает приверженность Apple обеспечению конфиденциальности и безопасности пользователей. Такие платформы, как Bugcrowd, Hackerone и Intigrity, также упростили этот процесс, выступая в качестве посредников, связывающих этических хакеров с организациями, в том числе с теми, которые могут не иметь независимых программ, таких как Google или Apple. Как только уязвимость обнаружена и о ней сообщается через эти платформы или непосредственно компаниям с установленными программами, она подвергается процессу проверки. В случае подтверждения исследователь может получить финансовое вознаграждение, признание или и то, и другое. Сосредоточьтесь на практическом обучении Для новичков существуют лабораторные занятия на базе веб-браузера. Эти лаборатории позволяют пользователям практиковаться в контролируемой среде прямо в своих браузерах. Хотя эти платформы удобны и просты в доступе, они могут не полностью воспроизводить сложности и тонкости реальных систем. Это хорошие вводные инструменты, но по мере того, как пользователи продвигаются в своем путешествии по кибербезопасности, они могут показаться им менее сложными. С другой стороны, существуют виртуализированные среды, требующие доступа VPN. Эти платформы предлагают среды, практически идентичные реальной инфраструктуре компании. Виртуализированные сценарии тщательно разработаны для имитации реальных сетей, серверов и рабочих станций. Когда пользователи подключаются через VPN, они чувствуют себя так, как будто они действительно находятся внутри действующей сети, обеспечивая уровень аутентичности, которого может не хватать в лабораториях с использованием веб-браузера. Среда такого типа позволяет более глубоко изучить инструменты, тактики и процедуры, эффективно обучая участников бороться с реальными угрозами кибербезопасности. Тщательное обучение в этих условиях гарантирует, что участники готовы к работе и полностью подготовлены к решению многогранных задач, с которыми они могут столкнуться в своей карьере в области кибербезопасности. Пройдя оба типа обучения, кандидаты смогут оценить степень сложности задач кибербезопасности и лучше отточить свои навыки, чтобы стать эффективными профессионалами. Вот список бесплатных или доступных практических учебных ресурсов по кибербезопасности для начинающих: : представляет собой серию военных игр, предназначенных для обучения принципам безопасности от основ до продвинутых концепций. Это отличная отправная точка для новичков, желающих изучить команды Linux и простые методы тестирования на проникновение. OverTheWire : Эта платформа предлагает более 300 задач в разных областях, чтобы помочь пользователям улучшить свои навыки взлома. Он обеспечивает практический подход к изучению сетевой безопасности, безопасности веб-приложений и многого другого. Укоренить меня : эта академия, разработанная создателями Burp Suite, предлагает бесплатное практическое обучение веб-безопасности. Он охватывает широкий спектр тем, от базовых до сложных веб-уязвимостей. Академия ПортСвиггера : предоставляет курсы для начинающих в сочетании с практическим опытом обучения на основе VPN, имитирующим реальные сценарии кибербезопасности. PWNX.io : Платформа, предназначенная в первую очередь для студентов, желающих узнать о кибербезопасности. Он предлагает образовательные модули, адаптированные для разных уровней навыков. PWN.колледж : онлайн-платформа, которая помогает изучать кибербезопасность посредством практических виртуальных лабораторий. Его геймифицированные задачи варьируются от самых базовых до более сложных и подходят для пользователей всех уровней навыков. ПопробуйтеHackMe Платформа, которая предоставляет различные лаборатории и задачи по кибербезопасности. Хотя он подходит для пользователей всех уровней квалификации, некоторые задачи могут быть очень сложными, что делает его идеальным для тех, кто хочет выйти за рамки основ. Взломайте коробку: TCM Security предлагает курсы по кибербезопасности для самостоятельного обучения, которые охватывают такие темы, как тестирование на проникновение, обучение безопасности и соблюдение требований. Кроме того, они предоставляют сертификаты, которые все больше завоевывают репутацию в отрасли. ТКМ Безопасность: Упомянутые выше ресурсы представляют собой лишь краткий обзор многих инструментов и платформ, которые завоевали внимание и признание в сообществе кибербезопасности. Область обучения кибербезопасности обширна, и список ценных ресурсов выходит далеко за рамки того, что представлено здесь. Кроме того, в Интернете доступно множество проектов с открытым исходным кодом и другой контент, который может способствовать улучшению процесса обучения. Специализированные форумы и веб-сайты, о которых я подробно расскажу в следующем абзаце, могут оказаться неоценимыми в поиске отзывов и отзывов других членов сообщества. Эта обратная связь дает представление о качестве новых ресурсов, которые постоянно выпускаются. Используйте социальные сети и форумы, чтобы найти наставника В обширной сфере кибербезопасности руководство опытного человека может иметь решающее значение. Такие платформы, как LinkedIn, могут быть особенно полезны не только для налаживания связей, но и для поиска потенциальных наставников. Внимательно просматривая профили, присоединяясь к соответствующим группам и активно участвуя в обсуждениях, вы можете продемонстрировать свое рвение и привлечь внимание опытных специалистов, готовых помочь новичкам. Discord, платформа, изначально созданная для геймеров, превратилась в центр различных профессиональных сообществ. Специализированные форумы и веб-сайты еще больше расширяют возможности: Сообщества Reddit по кибербезопасности: такие платформы, как и Сабреддиты переполнены профессионалами и энтузиастами, обсуждающими последние тенденции, проблемы и решения в области безопасности. Subreddit специально разработан для студентов и новичков, создавая благоприятное пространство для вопросов и рекомендаций. Кибербезопасность Reddit Нетсек Нетсекстуденты Форумы по безопасности Wilders: погрузитесь в дискуссии о конфиденциальности, безопасности и защите данных в Интернете на . Широкий спектр тем и сообщений означает преданное делу сообщество, что делает его бесценным ресурсом по всем темам, связанным с кибербезопасностью. Форумы по безопасности Вилдерса MalwareTips и Antionline Forums: такие сайты, как и — это динамичные сообщества, где можно участвовать в углубленных дискуссиях по различным аспектам безопасности, от угроз вредоносного ПО до сетевой безопасности. Советы по вредоносному ПО Антионлайн Сообщество Bleeping Computer и Spiceworks: такие форумы, как и посвящены всесторонним обсуждениям, связанным с безопасностью, от брандмауэров и VPN до менеджеров паролей и атак вредоносных программ. Пипящий компьютер Форум безопасности Spiceworks Хаклидо: уникальная платформа, здесь собираются самые талантливые хакеры, чтобы поделиться знаниями, опытом и рекомендациями. Это богатый источник практических идей и примеров из реальной жизни. Хаклидо Активно участвуя в этих форумах и сообществах, можно не только расширить свои знания, но и построить значимые связи. По мере того, как вы участвуете и вносите свой вклад, шансы встретить потенциальных наставников, которые признают вашу страсть и преданность делу, значительно возрастают. Помните, наставничество в области кибербезопасности – это не просто изучение основ; речь идет о руководстве, обратной связи и понимании нюансов быстро развивающегося мира цифровой защиты. Используйте бесплатные инструменты Отправляясь в путешествие по кибербезопасности, важно ознакомиться с множеством доступных бесплатных инструментов. Эти инструменты, широко признанные и используемые профессионалами в этой области, могут значительно улучшить ваш опыт обучения: Вайршарк: Анализатор пакетов с открытым исходным кодом Wireshark позволяет пользователям видеть, что происходит в их сети на микроскопическом уровне. Он широко используется для устранения неполадок в сети, анализа, разработки программного обеспечения и протоколов связи, а также обучения. Описание: Инструмент поставляется с рядом чтобы помочь новичкам понять его функциональные возможности. Ресурс: официальная документация и руководства OWASP ZAP (прокси-сервер Zed Attack): Разработанный OWASP (Open Web Application Security Project), ZAP — это бесплатный сканер безопасности веб-приложений с открытым исходным кодом. Это помогает находить уязвимости безопасности в веб-приложениях во время их разработки и тестирования. Описание: Новые пользователи могут извлечь выгоду из этого инструмента. и различные руководства, предоставленные сообществом. Ресурс: официальная документация Metasploit Community Edition: Эта версия является частью проекта Metasploit и представляет собой бесплатный инструмент для тестирования на проникновение, который помогает проверять уязвимости и управлять оценками безопасности. Это помогает в обнаружении, анализе и эксплуатации уязвимостей. Описание: Metasploit предоставляет множество для различных функций. Ресурс: учебные пособия и руководства пользователя Фыркнул: Являясь системой предотвращения вторжений в сеть (NIPS) и системой обнаружения вторжений (IDS) с открытым исходным кодом, Snort умеет выполнять анализ трафика в реальном времени и регистрацию пакетов. Описание: Новички могут найти обширную документацию и сообщество пользователей на . Ресурс: Официальный сайт Snort OpenVAS (Открытая система оценки уязвимостей): OpenVAS — это полнофункциональный сканер уязвимостей, который включает в себя множество тестов и предлагает обновления для последних уязвимостей. Он помогает выявлять проблемы в системах и приложениях. Описание: Сообщество OpenVAS предоставляет для поддержки новых пользователей в понимании и максимальном использовании возможностей инструмента. Ресурс: полный комплект документации Кали Линукс: Kali Linux — это дистрибутив Linux на базе Debian, предназначенный для расширенного тестирования на проникновение и аудита безопасности. Он поставляется с предустановленными сотнями интегрированных инструментов безопасности, что делает его основным продуктом в сообществе кибербезопасности. Описание: Для новичков в Кали: предлагает комплексное руководство, начиная от установки и заканчивая использованием огромного набора инструментов. Ресурс: официальная документация Использование возможностей этих инструментов не только дает новичкам практическое понимание различных областей кибербезопасности, но также обеспечивает практический подход к борьбе с потенциальными угрозами. Не забудьте изучить соответствующую документацию и учебные пособия для каждого инструмента, поскольку они часто содержат богатые знания и передовой опыт. Неиспользованный потенциал и необходимость руководства Хотя есть самообучающиеся, которым удается самостоятельно соединить точки, огромное количество подающих надежды талантов еще не являются частью , главным образом потому, что им не хватает начального руководства. Предоставляя целевые и практические рекомендации, мы можем помочь проложить путь новому поколению профессионалов в области кибербезопасности, готовых принять вызовы и возможности, которые может предложить эта быстро развивающаяся область. экосистемы кибербезопасности Структурированное обучение может быть достигнуто различными способами, и это руководство призвано предложить альтернативную точку зрения, исходящую от нетрадиционного профессионала в области кибербезопасности, который имел уникальную возможность учиться у настоящих хакеров.
