Как перейти из программирования в кибербезопасность? 🤔

Один из треков развития в области кибербезопасности — безопасная разработка приложений (AppSec).

Что необходимо знать и уметь для работы в AppSec? 🤔

Типичная вакансия включает в себя следующие компетенции 👀

1️⃣ Разработка ПО или автоматизация (Java, Python).
2️⃣ Понимание принципов работы реляционных БД, опыт проектирования схем БД и исследования данных.
3️⃣ Знания основных векторов атак на современные приложения (web, mobile, desktop), методов обхода защиты на уровне приложений и наложенных средств защиты.
4️⃣ Знания основных приемов устранения распространенных уязвимостей на приложения.
5️⃣ Понимание SSDLC стандартов и методов разработки защищенного ПО.
6️⃣ Опыт работы с практиками анализа приложений (SAST, SCA, DAST).

На основе детального анализа вакансий командой Positive Education был разработан учебный курс "AppSec: разработка безопасного программного обеспечения".

По результатам обучения выпускник получит уникальные знания от экспертов Positive Technologies 🟥 и удостоверение повышения квалификации МФТИ 👩‍🎓👨‍🎓

🔥 Старт обучения 2 апреля. Количество мест ограничено!

#PositiveEducation

На международном киберфестивале Positive Hack Days 2 состоится финал Всероссийской студенческой кибербитвы! 🔥

Прямо сейчас среди студентов российских вузов открыт набор команд, которые будут проверять защищенность объектов инфраструктуры на базе виртуального киберполигона.

Прием заявок открыт до 22 марта!

Cтуденты могут выбрать, на чьей они стороне, — атакующих или защитников.

🏁 Финал пройдет с 23 по 25 мая.
🤑 Призовой фонд — 200 тысяч рублей!

Заявку могут подать:
1️⃣ студенты или аспиранты российских вузов;
2️⃣ те, кто уже участвовал в CTF-соревнованиях или решал задачи на киберполигоне Standoff 365;
3️⃣ те, кто собрал команду или состоит в ней.

⚡️ Таким образом, в мае во время PHDays 2 пройдут сразу две кибербитвы: традиционно вас ждет Standoff для профи, который впервые смогут увидеть бесплатно все гости киберфестиваля, а также Всероссийская студенческая кибербитва.

#PositiveEducation

NICE Framework Components v1.0.0

🔥 5 марта вышла официальная версия матрицы рабочих ролей по кибербезу NICE Framework (на основе NIST 800-181).

Этот документ во многом задает международные тренды в сфере подготовки кибербез кадров и влияет на систему сертификации в мире.

NICE Framework стремится обеспечить общий язык для описания специалистов по кибербезу, чтобы синхронизировать потребности рынка труда и образования 🤔

👉 Обновленная матрица находится по ссылке (формат XLSX).

Терминология NICE Framework осталась прежней, о ней я писал тут 👨‍🏫

Всего рабочих ролей 52, они объединены в категории.

В новой версии категории рабочих ролей следующие:
— надзор и управление;
— проектирование и разработка;
— реализация и эксплуатация;
— защита и реагирование;
— расследование;
— киберразведка;
— операции в киберпространстве.

Про смысл областей компетенций я писал тут 👨‍🏫

В новой версии области компетенций следующие:
— контроль доступа;
— безопасность ИИ;
— управление активами;
— облачная безопасность;
— безопасность сетей;
— криптография;
— киберустойчивость;
— DevSecOps;
— безопасность операционных систем;
— промышленная безопасность;
— безопасность цепочки поставок.

#nice_framework #модель_компетенций

Соответствие NICE Framework и профстандартов по ИБ

На рисунке показал, как соотносятся термины из профстандартов с NICE Framework 🧐

👉 Это может пригодиться при обновлении и разработке профстандартов по ИБ.

#nice_framework #модель_компетенций #профстандарты

Третий выпуск подкаста про кибербез образование 👨‍🏫

Макар Ляхнов — руководитель Центра киберучений ГУАП, аналитик по информационной безопасности Innostage.

00:00 - Макар о своем пути в кибербез.
07:28 - Про отличия в обучении специалистов ИТ и ИБ.
08:10 - Как продвинуться в изучении кибербеза.
09:38 - Про ИТ и ИБ образование.
11:43 - Знания кибербез специалиста включают знания ИТ.
13:57 - Об особом мышлении пентестера, мышление атакующего.
17:16 - Можно ли научить хакерскому мышлению?
19:34 - Про мышление защитников (синие команды), переходы из красных в синие команды.
24:58 - Про хакерское мышление защитников.
26:00 - Синие команды знают больше, чем красные.
28:03 - Тренды, которые повлияют на кибербез образование в ближайшие 3-5 лет.
31:16 - Чему учить ИБ студентов сегодня?
32:48 - Знания ИБ специалиста будущего.
34:00 - Про мышление исследователя в кибербезе.
35:55 - Про научную работу в ИБ.
38:01 - Как совместить занятие наукой и ежедневную работу в ИБ?
39:38 - Как вырастить преподавателей по кибербезу?
41:30 - Что сделать, чтобы аспиранты по ИБ оставались на кафедре преподавать?
47:17 - Советы современным студентам, с чего начать свой путь в ИБ?
52:13 - Что необходимо знать, чтобы войти в кибербез?

На Яндекс Музыке по ссылке 🎵

#подкаст

Внедрение генеративного ИИ сократит дефицит кадров в кибербезе

🔥 По прогнозам Gartner к 2028 году внедрение генеративного ИИ (GenAI) сократит дефицит кадров, устранив необходимость в специальном образовании для 50% должностей начального уровня в области кибербезопасности 🤔

GenAI изменит то, как организации 1️⃣ нанимают и 2️⃣ обучают специалистов по кибербезу. Основные платформы уже предлагают диалоговые дополнения, которые будут дальше развиваться.

Gartner рекомендует командам по кибербезопасности сосредоточиться 1️⃣ на внутренних сценариях использования, которые поддерживают пользователей в процессе их работы; 2️⃣ координировать свои действия с HR-партнерами; и 3️⃣ выявить смежные таланты для более важных ролей в области кибербеза.

PS. А тем временем Microsoft продвигает Copilot for Security (на основе OpenAI GPT-4) — "продукт кибербезопасности с ИИ, который позволяет специалистам по безопасности быстро реагировать на киберугрозы, обрабатывать сигналы со скоростью машины и оценивать степень риска за считанные минуты".

#прогноз

5 способов утолить кадровый голод в ИБ

В 2023 году индустрия ИБ нуждается в 50 тысячах специалистов, а вузы выпускают только 10 тысяч. Образовательные стандарты имеют долгий цикл планирования, по новым начнут обучать студентов только в 2025 году 👀

Несмотря на растущий кадровый голод в области ИБ, существуют эффективные способы его утоления 🤓

В новом выпуске AM Talk Олег Игнатов (Positive Education 🟥) рассказывает о 5️⃣ верных способов побороть назревший дефицит кадров в ИБ.

00:08 - Пролог о нехватке специалистов в сфере информационной безопасности
02:09 - Взаимодействие компаний и образования
04:35 - Киберполигоны и студенческая киберлига
06:37 - Школа преподавателей кибербезопасности
07:28 - Ежегодный киберфестиваль Positive Hack Days для популяризации кибербеза и демонстрации его многогранности.

#PositiveEducation

Бакалавриат и специалитет в ИБ 🤔

Россия выходит из Болонской системы. Что это означает для будущих студентов? В этом видео расскажем о том, как меняется система образования в области ИБ.

Дмитрий Правиков (Губкинский университет) о возможных схемах: специалитет + магистратура или бакалавриат + магистратура. Чем они отличаются друг от друга и какую выбрать в каждом конкретном случае.

00:08 - Пролог о выходе из Болонского процесса
01:06 - Актуальные формы обучения на 2024 год
01:50 - Стандарт ФГОС 4.0 и магистратура
02:33 - Бакалавриат
04:13 - Возможные схемы обучения
05:06 - Сколько лет учиться ИБ в вузах?

#карьера

Blue team: практика обучения и менторство 🥷

Посмотрел вебинар про обучение Blue team от команды экспертного обучения PT ESC 🟥

📎 Интересный взгляд на распределение ролей в Blue Team со стороны киберучений Standoff:
— аналитик (1-2 линия SOC) - занимается изучением журналов СЗИ;
— специалист по рискам (2-3 линия SOC) - составляет потенциальные векторы реализации недопустимых событий;
— специалист по анализу уязвимостей (2-3 линия SOC) - помогает в расследовании сложных инцидентов;
— инженер СЗИ - аналитик SOC, но дополнительно следит за нормальной работой СЗИ;
— координатор (капитан) - планирует и организует работу команды;
— технический писатель - занимается составлением отчета на основе аналитики, должен понимать все процессы.

📎 Что требуется от специалиста Blue Team:
— умение быстро разобраться в инфраструктуре, с которой работаешь;
— знать, какие СЗИ для чего предназначены и от каких атак защищают;
— иметь представление о различных моделях атак и типовых действиях злоумышленников;
— приоритезировать инциденты в зависимости от критичности атакуемых узлов.

📎 В чем проблема подготовки специалистов Blue Team:
— необходимость серьезной теоретической базы;
— постоянное соревнование с Red Team (образ хакера привлекает больше);
— более низкие оклады на старте карьеры по сравнению с другими профессиями в ИБ (нет понятного карьерного трека);
— большая ответственность за провал;
— сложность организации обучения с реальными СЗИ;
— сложность создания эмуляции хакерской атаки, даже в рамках киберполигона.

Рекомендуемые материалы для изучения направления ИБ от команды экспертного обучения PT ESC 🥷

#Blue_Team

Как стать директором департамента информационной безопасности? 🤔

Полезная и интересная статья от Дмитрия Гадаря про свой карьерный путь в ИБ.

Приведу несколько цитат 👀

▶️ "... базовыми предметами для изучения, на мой взгляд, являются математика (и производные в виде алгебры, криптографии и пр.) и программирование на низкоуровневых языках — они позволяют осваивать и структурировать бОльшие объемы полезной информации, эффективно ей оперировать, отделять главное от второстепенного".

▶️ "Сейчас ко мне на собеседования на позицию джуниора иногда приходят ребята, которые не знают базовых вещей: как устроена сеть, как работают операционные системы, что такое модель OSI. Все это — основные принципы, без знания которых сложно будет развиваться не только в информационной безопасности, но и в ИТ в целом".

▶️ "... информационная безопасность должна участвовать во всех стадиях и этапах реализации проектов, глубоко погружаться в каждый аспект. Например, в бизнес-требования к решению. Минимальные не критичные для самого бизнеса изменения в этих требованиях зачастую позволяют сделать продукт «secured by design» — повлияв на продукт в самом начале, что исключит необходимость применения дорогостоящих, и не всегда эффективных средств защиты для небезопасных продуктов".

▶️ "Безопасник — это призвание, определенный подход к работе с некоторой долей паранойи. И это правильно, потому что безопасность постоянно должна быть в голове: надо пересматривать свои же решения, опасаться, что ты предложил не самый лучший подход".

▶️ "Часто сильные технические профи становятся плохими руководителями или лидерами, теряя технические навыки и с большим трудом приобретая базовые навыки по управлению. Управление, на мой взгляд, перестало быть естественным шагом по развитию технических специалистов".

#карьера

Про карьерные треки в кибербезопасности

Впервые идея данной схемы появилась в 2010 году, когда я, будучи выпускником по ИБ (ex-ИБКС), выбирал место работы. За плечами уже был опыт исследований, программирования на С и Asm, реверс-инжиниринга, тестирования мобильных приложений и репетиторства по численным методам (спасибо профессору Устинову С.М. за практики на Фортране) 😎

На рынке вакансий тогда появились позиции для вирусных аналитиков 👨‍💻 , также всегда были открыты вакансии в "бумажной" безопасности 😔

В этот период мне предложили должность ассистента в вузе, где только открылось направление по ИБ. Таким образом, последующие 1️⃣2️⃣ лет мой карьерный путь был связан с построением учебных программ и преподаванием 👨‍🏫 Ежегодно я проводил занятия для студентов, где рассказывал о путях развития в кибербезе 🥷

В прошлом году я присоединился к команде Positive Education 🟥, где продолжаю преподавать и развивать ИБ-образование. В 🟥 мы системно подошли к построению схемы развития карьеры. Основой для ее создания послужили анализ более 2️⃣0️⃣0️⃣ вакансий и интервью с экспертами в области ИБ. В итоге на схеме появились 8️⃣ направлений развития специалиста по кибербезу.

Мы учли, что деятельность специалиста по кибербезу может подразумевать одновременно множество ролей (трудовых функций), поэтому вместо "профессии" используем термин "роль" (или "трудовая функция" по профстандартам) 🧐

В процессе движения по карьерному пути специалист по ИБ пробует себя в различных ролях (трудовых функциях) и, как следствие, может претендовать на новые должности в компании, подразумевающие более сложные задачи 💪

Пунктиром на схеме обозначены переходы из одной роли (трудовой функции) в другую. Рамкой объединены несколько похожих ролей (трудовых функций) 🫥

👉 Предлагаемая схема является динамичной, мы планируем обновлять ее в зависимости от потребностей отрасли и ИБ-образования. Приглашаем к дискуссии всех, кто заинтересован в развитии ИБ 🇷🇺

#карьера

Типы современных курсов по ИБ / разбираемся, чему учить и учиться в кибербезе? 👨‍🏫

Текущие курсы по ИБ, по моим наблюдениям, распадаются на три больших блока:
1️⃣ переподготовка 512+ часов по ИБ (обеспечение защиты информации ограниченного доступа, не содержащие гос. тайну);
2️⃣ повышение квалификации 72+ часов по кибербезу для инженеров;
3️⃣ войти в ИТ ИБ (кибербез) с нуля.

👉 Программы из п.1️⃣ ориентированы на выполнение квалификационных требований к работникам соискателей лицензии (лицензиатам) по технической защите конфиденциальной информации. Обучение можно пройти, например тут, тут или тут. Программы согласованы со всеми ИБ-регуляторами 🫡

👉 Программы из п. 2️⃣ рассчитаны, как на действующих ИБ, так и ИТ-специалистов, которые выполняют ИБ-задачи либо взаимодействуют с ИБ-службами. Например, это системные администраторы, которые участвуют в расследовании инцидентов ИБ или программисты, которые выстраивают процессы безопасной разработки 👨‍💻

✔️ Какие характеристики у программ из п. 2️⃣?
— существует порог входа по ИТ-навыкам;
— краткосрочный период обучения (без отрыва от производства);
— четкое описание практических знаний и навыков, которые получит специалист после окончания обучения;
— преподаватели-эксперты из индустрии (высокие требования к преподавателям).

✔️ Чему учить и учиться в программах из п. 2️⃣?
— Контроль доступа (Access Controls), как определять, управлять и отслеживать роли и привилегии доступа, а также понимать влияние различных типов контроля доступа.
— Безопасность ИИ (Artificial Intelligence Security), как защищать ИИ от кибератак.
— Управление активами (Asset Management), как проводить и поддерживать инвентаризацию цифровых активов, включая выявление, обслуживание, обновление и утилизацию.
— Облачная безопасность (Cloud Security), как защищать облачные данные, приложения и инфраструктуру от внутренних и внешних угроз.
— Безопасность сетей (Communications Security), как обеспечивать безопасность сетевых инфраструктур.
— Криптография (Cryptography), как преобразовывать данные с помощью криптографических процессов.
— Киберустойчивость (Cyber Resiliency), как проектировать, разрабатывать, внедрять и поддерживать надежность систем.
— DevSecOps, как интегрировать безопасность на протяжении всего жизненного цикла разработки и эксплуатации.
— Безопасность операционных систем (Operating Systems Security), как устанавливать, администрировать, устранять неполадки, выполнять резервное копирование и восстанавливать ОС.
— Промышленная безопасность (Operational Technology Security), как улучшать и поддерживать безопасность технологических систем.
— Безопасность цепочки поставок (Supply Chain Security), как анализировать и контролировать риски, связанные с технологическими продуктами или услугами, приобретенными за пределами организации.

Про программы из п. 3️⃣ напишу отдельно 🤓

#курсы_в_ИБ #аналитика

Подкаст про кибербез образование теперь в Яндекс Музыке 🎶

Друзья, подписывайтесь и ставьте лайки по ссылке 🔈

#подкаст

Как рассказывать студентам про результативную кибербезопасность? 🤔

Полезные материалы для проведения курсов по основам ИБ и оценке рисков ИБ.

Проблема 👨‍🏫 Руководство каждой организации испытывает страх перед определенными событиями, которые не должны произойти ни при каких обстоятельствах. Например, для здравоохранения это могут быть сбои оборудования, прямо угрожающие жизни и здоровью граждан, а для СМИ — подмена информации в эфире. Частные компании боятся кражи средств с расчетных счетов. Все эти события являются рисками, относительно которых осуществляется только один вид управления — не допустить их наступления 😱

Что такое недопустимое событие? Это событие, делающее невозможным достижение операционных и (или) стратегических целей или приводящее к значительному нарушению основной деятельности организации в результате кибератаки.

Процесс определения недопустимых событий состоит из следующих этапов:

1️⃣формирование перечня недопустимых событий;
2️⃣ моделирование сценариев реализации недопустимых событий;
3️⃣ наложение сценариев реализации на уровень IT-инфраструктуры;
4️⃣ определение целевых и ключевых систем, атака на которые может привести к реализации недопустимого события.

❗️В качестве практической работы студенты могут перечислить недопустимые события для учебного заведения.

Данный подход имеет общие черты с фреймворком NIST Risk Management Framework, поскольку в центре внимания находится не актив, ценность которого требует подтверждения, а угрозы и их последствия. К тому же в обоих подходах основной упор делается на технологическую составляющую 🏭

В отличие от подходов международных стандартов, основным драйверов в процессе определения недопустимых событий является именно руководство организации, а не специалисты по безопасности или управлению рисками. Смысл такого подхода заключается в том, что руководству организации, как никому больше, известно — какие инциденты способны поставить под вопрос достижение организацией операционных и стратегических целей 🫡

#результативная_кибербезопасность

Четвертый выпуск подкаста про кибербез образование 👨‍🏫

Михаил Серегин - руководитель центра информационной безопасности Университета Иннополис.

00:00 - Про текущее место работы и свой путь в ИБ.
04:56 - Ожидания от ИБ и реальная работа.
06:03 - Про журнал Хакер.
06:56 - Применение математики в жизни.
09:24 - Разница в мышлении ИТ и ИБ специалистов.
13:47 - Про обучение программистов.
14:45 - Про любопытство и умение ставить перед собой интересные задачи.
16:43 - ИТ-навыки для ИБ-специалиста.
19:53 - Тренды, которые повлияют на образование через 3-5 лет.
22:43 - Про влияние ИИ.
26:00 - Про угрозу приватности.
27:15 - Про систему образования будущего и роль вузов.
31:48 - Про очное обучение и потребность в живом общении.
35:17 - Вспоминаем статьи Криса Касперски.
37:11 - Про поколение современных студентов.
39:38 - Чему и как учить современных студентов в вузе?
44:31 - Про мягкие навыки.
46:12 - Пожелания самому себе в начале карьеры.

Видео по ссылке: https://youtu.be/5dt5owcGEqg?si=TrXkArUY2w1_SmyO

Все выпуски также можно послушать на платформе Яндекс Музыка 🔈

#подкаст

Пятый выпуск подкаста про кибербез образование 👨‍🏫

Атаманов Геннадий Альбертович, полковник в отставке, философ-алитейист, кандидат философских наук, автор более 70 научных работ по информационной безопасности.

00:00 - О пути в информационную безопасность.
08:33 - Определение информационной безопасности.
10:35 - АГАсофия информации.
11:52 - Про опыт преподавания ИБ в вузах.
14:01 - Кто сегодня читает научные статьи по ИБ?
15:34 - Кто такой философ?
17:18 - Про критерий истины. Является ли философия наукой?
21:11 - Философия - это образ мысли или образ жизни?
24:04 - Чем отличается научное от бытового мышления? Про роль логики.
26:21 - Про правила безопасности.
28:35 - Про чтение литературы.
30:07 - Про научное мышление.
31:20 - Учиться правильно мыслить.
34:37 - Про модель процесса познания.
37:00 - Про формулу счастья Атаманова Г. А.
46:03 - Стихотворение о счастье.
48:11 - Про первую научную статью в 2003 году.
50:31 - Про обратную связь и научные дискуссии.
52:04 - Проблема, как единое целое.
55:19 - Можно ли научиться мыслить?
58:28 - Пример задания для студентов по ИБ.
01:01:09 - Какие книги и авторы повлияли на взгляды?
01:07:54 - Какие возникли проблемы (противоречия) в ИБ, что понадобилась новая методология?
01:09:53 - Про закон Атаманова.
01:15:26 - В какой момент и почему произошло разделение между наукой и практикой в ИБ?
01:21:13 - Каким образом преодолеть разрыв между наукой и практикой?
01:33:45 - Про полемику с известным блогером.
01:37:09 - Про математику в ИБ.

Видео: https://youtu.be/Rfz0eloseM4

Все выпуски также можно послушать на платформе Яндекс Музыка 🎶

Блог АГАсофия: http://gatamanov.blogspot.com/

#подкаст #атаманов #философия #методология

Коллеги из ВТБ проводят очную оплачиваемую стажировку Школа по информационной безопасности 🔥

Приглашают студентов или выпускников 2021−2025 гг по специальности ИБ / техническому / математическому / ИТ-направлению 👨‍💻

Программа обучения включает 7️⃣ модулей: от основных понятий ИБ, защиты трафика и Web-приложений до обеспечение ИБ на всех этапах разработки и эксплуатации приложений 🥷

Регистрация — до 15 апреля.
Старт программы — 17 июня.

Детали и регистрация по ссылке.

#стажировка

Вебинары Школы преподавателей кибербезопасности Positive Technologies теперь в открытом доступе 🔥

— Открытие школы. Проблематика. Целеполагание
— Кибербез – про решение задач бизнеса
— Современные методы расследования инцидентов ИБ
— Почему важно делиться знаниями
— Управление уязвимостями
— Типовые современные атаки (детектирование атак по сети и матрица MITRE ATT&CK)
— Безопасность конечных устройств
— Сам себе редактор: как собирать и тестировать тексты
— Как написать свою книгу
— Введение в безопасность ядра Linux
— Как сделать выступление динамичнее
— Промышленная безопасность

PS. Новый запуск обновленной Школы преподавателей кибербеза состоится уже в сентябре 👨‍🏫

#PositiveEducation

Приглашаем студентов на Молодежный день в рамках международного киберфестиваля Positive Hack Days 2🔥

25 мая для студентов ИТ-направлений состоится Молодежный день, который объединит площадки сразу в четырех городах — Москве («Лужники»), Санкт-Петербурге (Университет ИТМО), Казани (Университет Иннополис) и Нижнем Новгороде (Академия Маяк), чтобы познакомить всех желающих с индустрией кибербезопасности 🥷

В этот день студентов будет ждать насыщенная программа 🥳

1️⃣ Лекции от экспертов: сможете погрузиться в мир кибербеза и узнать, чем занимается белый хакер, специалист по AppSec, директор по ИБ и другие специалисты, а также пообщаться со спикерами.
2️⃣ Воркшопы: команда Молодежного дня подготовила тематические воркшопы с заданиями по разным ИБ-профессиям – сможете попробовать себя в разных ролях.
3️⃣ Профориентационная диагностика: сможете пройти тест и узнать, какое направление в ИБ вам подходит больше всего.
4️⃣ HR-стенды: узнаете все про работу и стажировки в Positive Technologies 🟥 и в компаниях-партнерах.

Спешите зарегистрироваться по ссылке! 🤓

#PositiveEducation