Что такое результативное кибербез образование? 🤔

1️⃣ Практико-ориентированное обучение 👨‍💻

2️⃣ Полученные навыки проверяются на студенческой кибербитве 🥷

3️⃣ В основе обучения лежит результативный кибербез 🔐

#PositiveEducation

Обучение программированию в эпоху ChatGPT

Как преподаватели информатики планируют адаптироваться к ChatGPT, GitHub Copilot и другим помощникам на базе ИИ?

Подобное исследование провели Сэм Лау и Филип Го в 2023 году. Они опросили 20 преподавателей программирования из 9 стран (Австралия, Ботсвана, Канада, Чили, Китай, Руанда, Испания, Швейцария, США).

Мнения преподавателей разделились 👨‍🏫

👉 Краткосрочные планы: преподаватели хотят, чтобы ученики не списывали

Если учащиеся смогут легко получать ответы с помощью ИИ, им не нужно будет глубоко размышлять над материалом, и, следовательно, они не узнают столько, сколько должны по учебной программе. Но проблема списывания существовала и до ChatGPT. Вспомним ресурс Stack Overflow 😉

Учащиеся могут поверить в то, что инструменты ИИ способны правильно решить любую задачу программирования, что может привести к чрезмерной зависимости от ИИ.

👉 Долгосрочные планы: идеи противостояния инструментам ИИ

Чтобы практически противостоять инструментам ИИ, преподаватели предлагали идеи для разработки "защищенных от ИИ" домашних заданий, например, с использованием специально созданной библиотеки для своего курса 🔥

Одним из распространенных предложений было использование очных бумажных экзаменов или устных собеседований.

👉 Долгосрочные планы: идеи по использованию инструментов ИИ

Инструменты ИИ станут стандартом для программистов, поскольку "неизбежно" профессионалы будут использовать ИИ в своей работе.

Можно провести аналогию с компиляторами: "Нам больше не нужно смотреть на 1 и 0. Компиляторы уже похожи на ИИ в том смысле, что они превосходят людей в генерации кода" 🔥

ИИ сделает программирование более доступным, если позволить студентам начать программировать, используя естественный язык.

Инструменты ИИ, обученные на данных класса, потенциально могут оказать персональную помощь каждому ученику, например, объяснив, почему тот или иной фрагмент кода не работает. 

ИИ может помочь в создании небольших практических задач для учеников.

Преподаватели отметили, что они могут уделять больше времени на занятиях чтению и критике кода, а не написанию кода с нуля.

PS. оригинальное исследование по ссылке.

#программирование

Какие требования предъявляются к выпускникам ИБ-специальностей в вузах? 🤔

Результативное кибербез образование 🟥 определяет минимальные требования для участия в студенческой кибербитве 👨‍💻
Их как раз можно считать требованиями к студентам ИБ-специальностей 🥷

Перечислим, что требуется знать и уметь командам для успешного участия в кибербитве.

Красные (атакующие) команды
1️⃣ Понимание построения корпоративных сетей, принципов работы межсетевых экранов.
2️⃣ Умение работать с разными ОС.
3️⃣ Понимание принципов работы инфраструктур на базе Windows Active Directory, умение находить и эксплуатировать уязвимости и мисконфигурации.
4️⃣ Навыки web-атак, включая OWASP TOP10.
5️⃣ Понимание принципа проведения тестирования на проникновение: разведка-сканирование-эксплуатация-закрепление-повышение привилегий.
6️⃣ Публичные offensive исследования участников команды (выступления, статьи в блогах, CVE).
7️⃣ Разносторонность команды по ключевым навыкам web/infra/reverse/recon.

Синие (защитники) команды
1️⃣ Понимание построения корпоративных сетей, принципов работы межсетевых экранов.
2️⃣ Навыки работы с анализаторами сетевого трафика (wireshark, Microsoft Network Monitor и т.д.)
3️⃣ Умение работать с разными ОС.
4️⃣ Понимание основных векторов веб-атак (OWASP TOP10, SQL-инъекции, XSS, Path Traversal и др.)
5️⃣ Понимание основных векторов инфраструктурных атак (разведка, доступ к объекту атаки, исполнение вредоносного кода, методы закрепления, способы повышения привилегий, перемещение внутри периметра и т.д.)
6️⃣ Умение работать с матрицей тактик и техник, атакующих MITRE ATT&CK и моделью Cyber Kill-Chain.

#результативное_кибербез_образование #студенческая_кибербитва

Первый выпуск подкаста про кибербез образование 👨‍🏫

Лидия Виткова — доцент кафедры защищенные системы связи СПбГУТ, старший научный сотрудник лаборатории проблем компьютерной безопасности СПб ФИЦ РАН, начальник аналитического центра кибербезопасности Газинформсервис.

00:00 - Приветствие.
01:57 - Путь в профессию.
03:05 - Про профильное образование в ИБ.
03:56 - Выбор профессии, почему ИБ?
04:21 - Про будущее ИИ и магистратуру в МФТИ.
05:26 - Про осознанный выбор пути и изучение древнегреческого языка.
07:06 - О выборе современных студентов.
07:36 - Каким образом приходят студены в ИБ?
09:28 - Смежные профессии в ИБ.
10:39 - Про возможность выбора для студентов.
11:28 - Обучение студентов по требованиям жизни, а не только для работы в регуляторах.
12:44 - Мышление в области ИБ, оно отличается от других профессий?
14:04 - О цифровых следах.
15:12 - Любая профессия меняет мышление.
16:14 - Изменились ли студенты и магистры в ИБ за прошедшие 10 лет?
20:28 - Что такое бакалавриат и магистратура по ИБ? Чем они отличаются друг от друга?
24:53 - Чему должна учить магистратура по ИБ?
25:50 - Как изменилось ИБ образование за прошедшие 10 лет?
26:50 - Каких знаний не хватает выпускникам ИБ?
28:58 - Что понадобится выпускнику по ИБ через 4-6 лет?
29:36 - Преподаватель прогнозирует, исходя из знаний своей предметной области.
31:48 - Про учебники Таненбаума.
32:13 - История из жизни преподавателей.
34:14 - Про повышение квалификации преподавателей по ИБ.
37:12 - Про опыт устройства на работу в вуз.
38:20 - О мотивации преподавания в вузе.
41:40 - Про науку сегодня.
42:49 - Про обучение студентов управлению.
44:32 - Про работающих студентов.
47:52 - Прием студентов на работу.
49:51 - Как получить быстрый результат в ИБ? Как попробовать себя в ИБ? С чего начать?

На Яндекс Музыке по ссылке 🎵

#подкаст

Второй выпуск подкаста про кибербез образование 👨‍🏫

Андрей Иванов, заведующий кафедры Защиты информации НГТУ НЭТИ.

00:00 - Приветствие.
00:19 - О кафедре ИБ в НГТУ.
01:24 - Про выбор ИБ.
04:03 - Как совместить обучение в аспирантуре и работу в интеграторе?
07:15 - Аспиранты десять лет назад и сегодня.
08:59 - Как привлекать преподавателей на кафедры ИБ?
12:10 - Каким образом кафедра взаимодействует с партнерами?
19:22 - Участие студентов в проектной работе.
24:02 - Каким образом проектная деятельность влияет на учебный процесс?
26:34 - Договоренности со смежными кафедрами в вузе.
27:41 - Про треки обучения в вузе.
34:12 - Про выпускников и работу в ИТ.
41:42 - Вуз как заказчик проектов по ИБ.
44:33 - Про перечень научных тем от ИБ компаний, темы для аспирантов.
45:38 - Про будущее ИБ образования.
51:54 - Рекомендации студентам и как понять, что твое в ИБ.

На Яндекс Музыке по ссылке 🎵

#подкаст

Карьера в кибербезопасности, или Как расти в ИБ

Ежегодно тысячи выпускников программ по ИБ, начиная свой карьерный путь, задаются вопросами: как развиваться в кибербезопасности и к какой должности стремиться? какие задачи я смогу решать через несколько лет? смогу ли я изменить свой карьерный путь, если пойму, что мне становится скучно?

Меня зовут Дмитрий Федоров, я руковожу проектами по взаимодействию с вузами в команде Positive Education 🟥 Мы часто слышим эти вопросы, лично работая со студентами и молодыми специалистами, поэтому решили ответить на них, а в итоге у нас получились наглядные схемы развития карьеры в ИБ.

Продолжение на Хабре.

#PositiveEducation

Мартовское обновление большой схемы треков в ИБ (версия 1.7)

Обновленная интерактивная схема доступна по ссылке, ее PDF версия тут 😎

📎 Добавил 10+ новых вакансий по ИБ.
📎 У аналитиков кибербезопасности появились специализации (SOAR, Collaboration Security).
📎 Добавил новые подкасты про профессии в ИБ.

#Путь_в_ИБ

Как перейти из программирования в кибербезопасность? 🤔

Один из треков развития в области кибербезопасности — безопасная разработка приложений (AppSec).

Что необходимо знать и уметь для работы в AppSec? 🤔

Типичная вакансия включает в себя следующие компетенции 👀

1️⃣ Разработка ПО или автоматизация (Java, Python).
2️⃣ Понимание принципов работы реляционных БД, опыт проектирования схем БД и исследования данных.
3️⃣ Знания основных векторов атак на современные приложения (web, mobile, desktop), методов обхода защиты на уровне приложений и наложенных средств защиты.
4️⃣ Знания основных приемов устранения распространенных уязвимостей на приложения.
5️⃣ Понимание SSDLC стандартов и методов разработки защищенного ПО.
6️⃣ Опыт работы с практиками анализа приложений (SAST, SCA, DAST).

На основе детального анализа вакансий командой Positive Education был разработан учебный курс "AppSec: разработка безопасного программного обеспечения".

По результатам обучения выпускник получит уникальные знания от экспертов Positive Technologies 🟥 и удостоверение повышения квалификации МФТИ 👩‍🎓👨‍🎓

🔥 Старт обучения 2 апреля. Количество мест ограничено!

#PositiveEducation

На международном киберфестивале Positive Hack Days 2 состоится финал Всероссийской студенческой кибербитвы! 🔥

Прямо сейчас среди студентов российских вузов открыт набор команд, которые будут проверять защищенность объектов инфраструктуры на базе виртуального киберполигона.

Прием заявок открыт до 22 марта!

Cтуденты могут выбрать, на чьей они стороне, — атакующих или защитников.

🏁 Финал пройдет с 23 по 25 мая.
🤑 Призовой фонд — 200 тысяч рублей!

Заявку могут подать:
1️⃣ студенты или аспиранты российских вузов;
2️⃣ те, кто уже участвовал в CTF-соревнованиях или решал задачи на киберполигоне Standoff 365;
3️⃣ те, кто собрал команду или состоит в ней.

⚡️ Таким образом, в мае во время PHDays 2 пройдут сразу две кибербитвы: традиционно вас ждет Standoff для профи, который впервые смогут увидеть бесплатно все гости киберфестиваля, а также Всероссийская студенческая кибербитва.

#PositiveEducation

NICE Framework Components v1.0.0

🔥 5 марта вышла официальная версия матрицы рабочих ролей по кибербезу NICE Framework (на основе NIST 800-181).

Этот документ во многом задает международные тренды в сфере подготовки кибербез кадров и влияет на систему сертификации в мире.

NICE Framework стремится обеспечить общий язык для описания специалистов по кибербезу, чтобы синхронизировать потребности рынка труда и образования 🤔

👉 Обновленная матрица находится по ссылке (формат XLSX).

Терминология NICE Framework осталась прежней, о ней я писал тут 👨‍🏫

Всего рабочих ролей 52, они объединены в категории.

В новой версии категории рабочих ролей следующие:
— надзор и управление;
— проектирование и разработка;
— реализация и эксплуатация;
— защита и реагирование;
— расследование;
— киберразведка;
— операции в киберпространстве.

Про смысл областей компетенций я писал тут 👨‍🏫

В новой версии области компетенций следующие:
— контроль доступа;
— безопасность ИИ;
— управление активами;
— облачная безопасность;
— безопасность сетей;
— криптография;
— киберустойчивость;
— DevSecOps;
— безопасность операционных систем;
— промышленная безопасность;
— безопасность цепочки поставок.

#nice_framework #модель_компетенций

Соответствие NICE Framework и профстандартов по ИБ

На рисунке показал, как соотносятся термины из профстандартов с NICE Framework 🧐

👉 Это может пригодиться при обновлении и разработке профстандартов по ИБ.

#nice_framework #модель_компетенций #профстандарты

Третий выпуск подкаста про кибербез образование 👨‍🏫

Макар Ляхнов — руководитель Центра киберучений ГУАП, аналитик по информационной безопасности Innostage.

00:00 - Макар о своем пути в кибербез.
07:28 - Про отличия в обучении специалистов ИТ и ИБ.
08:10 - Как продвинуться в изучении кибербеза.
09:38 - Про ИТ и ИБ образование.
11:43 - Знания кибербез специалиста включают знания ИТ.
13:57 - Об особом мышлении пентестера, мышление атакующего.
17:16 - Можно ли научить хакерскому мышлению?
19:34 - Про мышление защитников (синие команды), переходы из красных в синие команды.
24:58 - Про хакерское мышление защитников.
26:00 - Синие команды знают больше, чем красные.
28:03 - Тренды, которые повлияют на кибербез образование в ближайшие 3-5 лет.
31:16 - Чему учить ИБ студентов сегодня?
32:48 - Знания ИБ специалиста будущего.
34:00 - Про мышление исследователя в кибербезе.
35:55 - Про научную работу в ИБ.
38:01 - Как совместить занятие наукой и ежедневную работу в ИБ?
39:38 - Как вырастить преподавателей по кибербезу?
41:30 - Что сделать, чтобы аспиранты по ИБ оставались на кафедре преподавать?
47:17 - Советы современным студентам, с чего начать свой путь в ИБ?
52:13 - Что необходимо знать, чтобы войти в кибербез?

На Яндекс Музыке по ссылке 🎵

#подкаст

Внедрение генеративного ИИ сократит дефицит кадров в кибербезе

🔥 По прогнозам Gartner к 2028 году внедрение генеративного ИИ (GenAI) сократит дефицит кадров, устранив необходимость в специальном образовании для 50% должностей начального уровня в области кибербезопасности 🤔

GenAI изменит то, как организации 1️⃣ нанимают и 2️⃣ обучают специалистов по кибербезу. Основные платформы уже предлагают диалоговые дополнения, которые будут дальше развиваться.

Gartner рекомендует командам по кибербезопасности сосредоточиться 1️⃣ на внутренних сценариях использования, которые поддерживают пользователей в процессе их работы; 2️⃣ координировать свои действия с HR-партнерами; и 3️⃣ выявить смежные таланты для более важных ролей в области кибербеза.

PS. А тем временем Microsoft продвигает Copilot for Security (на основе OpenAI GPT-4) — "продукт кибербезопасности с ИИ, который позволяет специалистам по безопасности быстро реагировать на киберугрозы, обрабатывать сигналы со скоростью машины и оценивать степень риска за считанные минуты".

#прогноз

5 способов утолить кадровый голод в ИБ

В 2023 году индустрия ИБ нуждается в 50 тысячах специалистов, а вузы выпускают только 10 тысяч. Образовательные стандарты имеют долгий цикл планирования, по новым начнут обучать студентов только в 2025 году 👀

Несмотря на растущий кадровый голод в области ИБ, существуют эффективные способы его утоления 🤓

В новом выпуске AM Talk Олег Игнатов (Positive Education 🟥) рассказывает о 5️⃣ верных способов побороть назревший дефицит кадров в ИБ.

00:08 - Пролог о нехватке специалистов в сфере информационной безопасности
02:09 - Взаимодействие компаний и образования
04:35 - Киберполигоны и студенческая киберлига
06:37 - Школа преподавателей кибербезопасности
07:28 - Ежегодный киберфестиваль Positive Hack Days для популяризации кибербеза и демонстрации его многогранности.

#PositiveEducation

Бакалавриат и специалитет в ИБ 🤔

Россия выходит из Болонской системы. Что это означает для будущих студентов? В этом видео расскажем о том, как меняется система образования в области ИБ.

Дмитрий Правиков (Губкинский университет) о возможных схемах: специалитет + магистратура или бакалавриат + магистратура. Чем они отличаются друг от друга и какую выбрать в каждом конкретном случае.

00:08 - Пролог о выходе из Болонского процесса
01:06 - Актуальные формы обучения на 2024 год
01:50 - Стандарт ФГОС 4.0 и магистратура
02:33 - Бакалавриат
04:13 - Возможные схемы обучения
05:06 - Сколько лет учиться ИБ в вузах?

#карьера

Blue team: практика обучения и менторство 🥷

Посмотрел вебинар про обучение Blue team от команды экспертного обучения PT ESC 🟥

📎 Интересный взгляд на распределение ролей в Blue Team со стороны киберучений Standoff:
— аналитик (1-2 линия SOC) - занимается изучением журналов СЗИ;
— специалист по рискам (2-3 линия SOC) - составляет потенциальные векторы реализации недопустимых событий;
— специалист по анализу уязвимостей (2-3 линия SOC) - помогает в расследовании сложных инцидентов;
— инженер СЗИ - аналитик SOC, но дополнительно следит за нормальной работой СЗИ;
— координатор (капитан) - планирует и организует работу команды;
— технический писатель - занимается составлением отчета на основе аналитики, должен понимать все процессы.

📎 Что требуется от специалиста Blue Team:
— умение быстро разобраться в инфраструктуре, с которой работаешь;
— знать, какие СЗИ для чего предназначены и от каких атак защищают;
— иметь представление о различных моделях атак и типовых действиях злоумышленников;
— приоритезировать инциденты в зависимости от критичности атакуемых узлов.

📎 В чем проблема подготовки специалистов Blue Team:
— необходимость серьезной теоретической базы;
— постоянное соревнование с Red Team (образ хакера привлекает больше);
— более низкие оклады на старте карьеры по сравнению с другими профессиями в ИБ (нет понятного карьерного трека);
— большая ответственность за провал;
— сложность организации обучения с реальными СЗИ;
— сложность создания эмуляции хакерской атаки, даже в рамках киберполигона.

Рекомендуемые материалы для изучения направления ИБ от команды экспертного обучения PT ESC 🥷

#Blue_Team

Как стать директором департамента информационной безопасности? 🤔

Полезная и интересная статья от Дмитрия Гадаря про свой карьерный путь в ИБ.

Приведу несколько цитат 👀

▶️ "... базовыми предметами для изучения, на мой взгляд, являются математика (и производные в виде алгебры, криптографии и пр.) и программирование на низкоуровневых языках — они позволяют осваивать и структурировать бОльшие объемы полезной информации, эффективно ей оперировать, отделять главное от второстепенного".

▶️ "Сейчас ко мне на собеседования на позицию джуниора иногда приходят ребята, которые не знают базовых вещей: как устроена сеть, как работают операционные системы, что такое модель OSI. Все это — основные принципы, без знания которых сложно будет развиваться не только в информационной безопасности, но и в ИТ в целом".

▶️ "... информационная безопасность должна участвовать во всех стадиях и этапах реализации проектов, глубоко погружаться в каждый аспект. Например, в бизнес-требования к решению. Минимальные не критичные для самого бизнеса изменения в этих требованиях зачастую позволяют сделать продукт «secured by design» — повлияв на продукт в самом начале, что исключит необходимость применения дорогостоящих, и не всегда эффективных средств защиты для небезопасных продуктов".

▶️ "Безопасник — это призвание, определенный подход к работе с некоторой долей паранойи. И это правильно, потому что безопасность постоянно должна быть в голове: надо пересматривать свои же решения, опасаться, что ты предложил не самый лучший подход".

▶️ "Часто сильные технические профи становятся плохими руководителями или лидерами, теряя технические навыки и с большим трудом приобретая базовые навыки по управлению. Управление, на мой взгляд, перестало быть естественным шагом по развитию технических специалистов".

#карьера

Про карьерные треки в кибербезопасности

Впервые идея данной схемы появилась в 2010 году, когда я, будучи выпускником по ИБ (ex-ИБКС), выбирал место работы. За плечами уже был опыт исследований, программирования на С и Asm, реверс-инжиниринга, тестирования мобильных приложений и репетиторства по численным методам (спасибо профессору Устинову С.М. за практики на Фортране) 😎

На рынке вакансий тогда появились позиции для вирусных аналитиков 👨‍💻 , также всегда были открыты вакансии в "бумажной" безопасности 😔

В этот период мне предложили должность ассистента в вузе, где только открылось направление по ИБ. Таким образом, последующие 1️⃣2️⃣ лет мой карьерный путь был связан с построением учебных программ и преподаванием 👨‍🏫 Ежегодно я проводил занятия для студентов, где рассказывал о путях развития в кибербезе 🥷

В прошлом году я присоединился к команде Positive Education 🟥, где продолжаю преподавать и развивать ИБ-образование. В 🟥 мы системно подошли к построению схемы развития карьеры. Основой для ее создания послужили анализ более 2️⃣0️⃣0️⃣ вакансий и интервью с экспертами в области ИБ. В итоге на схеме появились 8️⃣ направлений развития специалиста по кибербезу.

Мы учли, что деятельность специалиста по кибербезу может подразумевать одновременно множество ролей (трудовых функций), поэтому вместо "профессии" используем термин "роль" (или "трудовая функция" по профстандартам) 🧐

В процессе движения по карьерному пути специалист по ИБ пробует себя в различных ролях (трудовых функциях) и, как следствие, может претендовать на новые должности в компании, подразумевающие более сложные задачи 💪

Пунктиром на схеме обозначены переходы из одной роли (трудовой функции) в другую. Рамкой объединены несколько похожих ролей (трудовых функций) 🫥

👉 Предлагаемая схема является динамичной, мы планируем обновлять ее в зависимости от потребностей отрасли и ИБ-образования. Приглашаем к дискуссии всех, кто заинтересован в развитии ИБ 🇷🇺

#карьера

Типы современных курсов по ИБ / разбираемся, чему учить и учиться в кибербезе? 👨‍🏫

Текущие курсы по ИБ, по моим наблюдениям, распадаются на три больших блока:
1️⃣ переподготовка 512+ часов по ИБ (обеспечение защиты информации ограниченного доступа, не содержащие гос. тайну);
2️⃣ повышение квалификации 72+ часов по кибербезу для инженеров;
3️⃣ войти в ИТ ИБ (кибербез) с нуля.

👉 Программы из п.1️⃣ ориентированы на выполнение квалификационных требований к работникам соискателей лицензии (лицензиатам) по технической защите конфиденциальной информации. Обучение можно пройти, например тут, тут или тут. Программы согласованы со всеми ИБ-регуляторами 🫡

👉 Программы из п. 2️⃣ рассчитаны, как на действующих ИБ, так и ИТ-специалистов, которые выполняют ИБ-задачи либо взаимодействуют с ИБ-службами. Например, это системные администраторы, которые участвуют в расследовании инцидентов ИБ или программисты, которые выстраивают процессы безопасной разработки 👨‍💻

✔️ Какие характеристики у программ из п. 2️⃣?
— существует порог входа по ИТ-навыкам;
— краткосрочный период обучения (без отрыва от производства);
— четкое описание практических знаний и навыков, которые получит специалист после окончания обучения;
— преподаватели-эксперты из индустрии (высокие требования к преподавателям).

✔️ Чему учить и учиться в программах из п. 2️⃣?
— Контроль доступа (Access Controls), как определять, управлять и отслеживать роли и привилегии доступа, а также понимать влияние различных типов контроля доступа.
— Безопасность ИИ (Artificial Intelligence Security), как защищать ИИ от кибератак.
— Управление активами (Asset Management), как проводить и поддерживать инвентаризацию цифровых активов, включая выявление, обслуживание, обновление и утилизацию.
— Облачная безопасность (Cloud Security), как защищать облачные данные, приложения и инфраструктуру от внутренних и внешних угроз.
— Безопасность сетей (Communications Security), как обеспечивать безопасность сетевых инфраструктур.
— Криптография (Cryptography), как преобразовывать данные с помощью криптографических процессов.
— Киберустойчивость (Cyber Resiliency), как проектировать, разрабатывать, внедрять и поддерживать надежность систем.
— DevSecOps, как интегрировать безопасность на протяжении всего жизненного цикла разработки и эксплуатации.
— Безопасность операционных систем (Operating Systems Security), как устанавливать, администрировать, устранять неполадки, выполнять резервное копирование и восстанавливать ОС.
— Промышленная безопасность (Operational Technology Security), как улучшать и поддерживать безопасность технологических систем.
— Безопасность цепочки поставок (Supply Chain Security), как анализировать и контролировать риски, связанные с технологическими продуктами или услугами, приобретенными за пределами организации.

Про программы из п. 3️⃣ напишу отдельно 🤓

#курсы_в_ИБ #аналитика