Post

Бакалавр по информационной безопасности

Мои мысли о получении степени бакалавра и планы на будущее.

🇬🇧 English · 🇷🇺 Русский
Posted
Preview Image
By vflame6
31 min read

В начале этого лета я закончил свое обучение в ВУЗе по направлению 10.03.01 «Информационная безопасность» и получил диплом бакалавра.

В этом посте я хочу поделиться своим опытом прохождения этого жизненного этапа, размышлениями о необходимости получать вышку в 2025 году и доступными альтернативами. В середине поста будет небольшой гайд для эффективного обучения на IT-специальности, как одна из альтернатив получения высшего образования. В конце поста я поделюсь мыслями о том, что я буду делать дальше.

Дисклеймер. Здесь я хочу поделиться личным опытом и видением по этому вопросу, не претендую на полную истинность и применимость.

Я поступил в 2021 году, пройдя отбор по баллам ЕГЭ, после окончания школы. Направление выбрал не случайно — всю жизнь проводил за компьютером и хотел разбираться в том, как работают технологии и что я могу с ними делать.

Учеба

Если кратко — полная хрень. Эта система построена для того, чтобы растить ученых, которые делают исследования, а не специалистов, которые делают работу. Далее подробно.

Программа обучения

Первый курс — ознакомительный. Задача — научиться учиться. Предметы: английский язык, математика, физика и информатика. Никаких знаний по специальности — повторение школьного материала и введение в фундаментальные дисциплины, например высшую математику.

Под «научиться учиться» я имею в виду привить систему потребления знаний через лекции, осознание через учебники и закрепление через практические задания. Есть формальное разделение на практические занятия и лабораторные работы, но в реальности это одни и те же занятия. С реальным разделением на практики/лабораторные я столкнулся только на предмете физики, где на практиках было решение задач, а на лабораторных — опыты.

Второй курс — фундаментальные дисциплины. Задача — узнать, из чего состоит мир на самом низком уровне. Предметы: высшая математика, электротехника, аппаратная вычислительная техника, компьютерные сети и программирование. На этом курсе тебя погружают в фундаментальные знания, на основе которых строятся практические дисциплины.

На этом курсе необходимо осознать, как работают вещи, на которых строится все остальное. Полезная база для перехода в практические дисциплины, например алгебра логики. К сожалению, включает в себя много физики и теории информации, практического применения которым я так и не нашел в работе по информационной безопасности.

Третий курс — введение в профессию. Задача — узнать основы направлений деятельности по своей специальности. Предметы: криптография, защита сетей, операционные системы, правовое обеспечение ИБ, ассемблер и техническая защита информации.

Здесь студента нужно погрузить в как можно большее количество направлений деятельности ИБ. По каждой из дисциплин важно узнать, что это за дисциплина и зачем она нужна, а также погрузиться в ее основы. Это помогает определиться с интересующими направлениями и получить понимание, из каких компонентов состоит ИБ.

К сожалению, в моем случае был слишком большой упор на compliance-часть ИБ. Здесь и изучение федеральных законов (ФЗ), ГОСТ-ов и тому подобного. Не советую идти в ВУЗы, связанные с регулирующими организациями, если нет интереса к compliance.

Четвертый курс — профессиональный. Задача — начать решать актуальные проблемы по своей специальности. Предметы: управление ИБ, архитектура защищенных сетей, вредоносное ПО, эксплуатация уязвимостей и администрирование СЗИ.

По сути — самый интересный курс. То, зачем я собственно пришел. На занятиях дают реальные практические задания, из которых можно получить полезный для работы опыт. Но есть одно но. На этих занятиях никого нет. Как же так?

Проблема в том, что к четвертому курсу университета студенты перестают посещать занятия, так как практически все уже вышли на работу. Кто-то по специальности, кто-то нет. В итоге посещаемость самых полезных занятий за все время обучения — минимальна. И, как следствие, также минимально изучение самых полезных для практической работы дисциплин.

Также во время обучения доступны факультативы по разным направлениям. Каждый факультатив добавляет примерно 15 занятий на семестр и позволяет углубиться в какие-то темы или изучить что-то новое.

Для себя я сделал вывод, что такая программа обучения может использоваться в двух целях: либо пойти в науку, либо расширить кругозор. Но ее не получится использовать в целях практического (коммерческого) применения — знания по большей части теоретические.

Отдельное спасибо хочу сказать ребятам старших курсов, которые взяли на себя дисциплину «Введение в профессию» на первом курсе обучения. Ребята решили научить студентов участвовать в CTF, причем участвовать успешно. На лекциях было введение в каждую категорию заданий (Web, OSINT, Reverse, …), а на практиках решение этих самых заданий на развернутой платформе CTFd. То, что вы сделали — громадский вклад в развитие большого количества будущих специалистов по практической кибербезопасности.

Люди

Одно из главных преимуществ любого высшего учебного заведения — это возможность найти группу по интересам. Мне этого очень хотелось, так как я из маленького города, где про компьютеры то не все слышали. А уж про то, что с ними можно что-то делать — тем более. Постоянно где-то кружила мысль, что в обществе заинтересованных ребят моя работа была бы намного интереснее.

В этом я не ошибся, после переезда и поступления эффективность моей учебы и работы сильно изменилась в лучшую сторону. Практически сразу появилось много идей, и я впервые начал видеть возможности для их реализации. Причем это стало заметно даже без собственной компании друзей. Просто само общество вокруг, которое постоянно что-то делает в одном направлении с тобой, очень мотивирует двигаться дальше, узнавать новое и становиться лучше.

Но наличие общества мало что значит, когда ты от него отстранен.

К чему это я — учеба в университете — это лучшая возможность найти компанию людей со схожими интересами, а самое главное, целями. Компания со схожими интересами даст вам возможность весело проводить время. В принципе не сильно важно, учеба это или отдых, в компании точно будет круче.

Но. Компания со схожими целями позволит вам с большей вероятностью этих целей добиться. Самый простой пример здесь — восполнение недостающих компетенций, когда один разрабатывает (сильные харды), а другой продает (сильные софты). Мир уже не раз видел примеры таких союзов. Более сложный пример: у одного есть крутая идея, но нет ресурса ее реализовать, и компания этот ресурс восполняет.

В университете примерно через 2-3 месяца с начала обучения начнут формироваться группы людей по интересам. За время наблюдения я выделил несколько типов компаний:

  • Тусовщики. Эти ребята про развлечения. 0% внимания к учебе, никакого плана на ближайшее будущее, живут «здесь и сейчас». Короче, пьянки-гулянки. Часто связаны с участием в ВУЗовских социальных мероприятиях;
  • Пассивные. Или «плывущие по течению». Это люди, которые еще не определились с целями в своей жизни. Занимаются учебой, но не понимают зачем, просто так надо. Сказали вот садик-школа-университет-работа, так и делаем. Начинают раскрываться где-то на 3-4 курсе, когда появляется хоть какое-то осознание, что надо бы что-то начать делать;
  • Активные. Это люди, которые понимают, зачем пришли. Есть сфокусированность на учебе и результатах. Но самое главное — есть интерес к какому-то направлению, специальности. Такие ребята постоянно чем-то заняты и добиваются успехов в различных областях;
  • Деструктивные. Это люди, которые намеренно занимаются плохими вещами. Наркотики, банды, преступники. Таких я рекомендую избегать любыми способами и в случае чего сообщать во все возможные инстанции. К моему сожалению, это действительно есть, даже в крупных столичных ВУЗах.

Здесь я советую выбирать компанию, которая соответствует вашим целям. Не хочу говорить о важности движения по направлению «успешного успеха». К нужному пути двигается тот, кому этот путь необходим для достижения своей цели. Если цель — отдыхать и веселиться, компания серьезно настроенных на результат ребят вам не поможет, а лишь принесет дискомфорт и демотивацию к жизни.

Для себя я выбрал компанию активных. А именно мы собрали команду для участия в соревнованиях — HisWoo. На фотографии ниже — мы, еще совсем зеленые. Начали с ничего не знающих Scr1pt K1dd13s и выросли до специалистов различных областях (Blue Team/Red Team). Огромное спасибо ребятам из команды. С вами мы прошли долгий путь и многому научились. Надеюсь, что дальше в жизни еще получится поработать вместе.

Молодая команда HisWoo

Соревнования

За время учебы удалось поучаствовать в большом количестве соревнований по ИБ. Были и первые, и последние места (в основном первые 😎) по разным тематикам из сферы. Участвовал и с командой, и в соло. На фотографии ниже — победа в олимпиаде, в номинации «Этичный хакинг».

Победа в олимпиаде по этичному хакингу

К моему сожалению, именно по направлению пентеста мероприятий было маловато. В основном это отстойные CTF-ы с задачами в форме угадайки, которые никак не связаны с реальностью. С недавнего времени начали появляться сценарии attack-defense и red teaming инфраструктур от вендоров, на которых действительно можно было опробовать различные тактики, техники и процедуры.

Но в противовес скудному набору соревнований по CTF/пентесту в момент моего обучения появилось большое количество мероприятий по защите. В том числе мой ВУЗ начал проводить «КиберУчения», где нужно было расследовать инциденты в инфраструктуре и писать по ним отчеты. За них давали баллы и распределяли команды по местам в соответствии с баллами. Инфраструктуры небольшие, 3-5 хостов, но этого хватало, чтобы с головой занять команду из 5 ребят на 8+ часов. В первое время было тяжело, особенно на хостах с Windows, но мы освоились и начали приносить результаты.

К сожалению на некоторых соревнованиях присутствовали странные критерии отбора. Несколько раз я и команда получали отказ без объяснения причин поучаствовать в соревновании, где нужно что-то похакать.

С уверенностью могу сказать, что competition-направление круто развивается в масштабах страны: появляются интересные CTF и киберучения, приходят спонсоры в лице ведущих ИБ-вендоров и задачи становятся все ближе к реальной работе.

Диплом

Перед выпуском в конце четвертого курса нужно пройти финального босса — написать и защитить диплом перед комиссией. Для уровня бакалавра это полу-научная работа — нужно решить какую-то инженерную задачу, описать процесс решения и дать оценку полученным результатам. Это сильно облегчает работу, так как нет требований к «научной научности», сложности исследования и рецензии от других ученых, как в магистерской диссертации.

Тему я выбрал такую: «Разработка программного решения для обнаружения аномального поведения пользователя на основе анализа снимков экрана». В реальности это веб-сервис по обработке скриншотов рабочего стола с помощью предобученной ИИ-модели. Агент на хосте собирает скриншоты, сервер принимает и отправляет на обработку модели. В панели администратора отображаются результаты (есть сработка/нет сработок).

Изначально думал сделать что-то связанное с пентестами, но бурное развитие ИИ-технологий привело к мысли, что можно использовать эту работу, чтобы лучше разобраться в работе с нейросетями. Интересно было попробовать самому натренировать модель и запустить ее в работу.

Диплом состоит из нескольких компонентов:

  1. Диплом. Это сама наша работа в текстовом виде. Титульник, содержание, тело диплома и список используемых источников;
  2. Приложение к диплому. Это «описание» диплома. Реферат, календарный план, задание на выполнение диплома, отзыв руководителя и подписи;
  3. Презентация. На основе диплома составляется презентация. В ней нужно дать поэтапное описание выполненной работы;
  4. Речь. К презентации должна быть заготовлена речь. Собственно, презентацию надо презентовать.

Работа над всеми компонентами диплома сильно формализована. Есть большой список требований по каждому из них. Копировать сюда детальный список не буду, лишь пройдусь по основным моментам:

  • Требование к объему материала. Не меньше N страниц текста без учета приложения. Результат — 10 страниц работы и 50 страниц воды.
  • Требование к форматированию. Каждый элемент текста должен быть отформатирован в соответствии с требованиями. Хороший пинок, что нужно научиться использовать стили в Word.
  • Требование к физической копии диплома. Нужно правильно распечатать, правильно подписать и правильно упаковать.
  • Требование к длительности презентации. Нужно уложиться строго в 7 минут. Поэтому запинаться нельзя, нужно ориентироваться в своей работе и теории вокруг нее.
  • Требование к ответам на вопросы. Уважаемые коллеги из государственной экзаменационной комиссии (ГЭК) по сути обязаны задать хоть какие-то вопросы по твоей работе. А ты обязан хоть что-нибудь ответить.

На самом деле, требования адекватные (кроме объема материала). Достаточно один раз их прочитать полностью и затем не вылезать за эти рамки. Ничего страшного нет.

Защита прошла на удивление спокойно. Вышел, раздал физическую копию презентации, рассказал речь, ответил на вопросы, сел обратно. Пролетело незаметно.

Защищаю диплом

Был страх, что начнут раскладывать мое решение по полочкам. Вопросы по типу расскажи, что делает именно вот эта часть кода или просьба запустить и показать работу в реальном времени. Я конечно был уверен в своей работе, но к такому был явно не готов. По итогу это оказалось совсем неверно. В рамках защиты диплома представители комиссии могут смотреть только на твой диплом текстом, твою презентацию и речь. Ни о какой технической презентации в реальном времени речи не идет.

Хочу сказать спасибо Саше, моему научному руководителю, за то, что взял меня в свои дипломники и помог реализовать проект, написать диплом и подготовиться к защите. Также большое спасибо Анне, секретарю ГЭК, которая по сути сделала гайд на прохождение диплома, который помог избежать много скрытых проблем.

Результат — красный диплом. Средний балл за все время обучения — 5.0. Получилось красиво. Пользы в этом нет абсолютно никакой. Но я порадовал родителей, а это уже хорошо.

На выходе ты получаешь сам диплом (на первой фотографии поста) и приложение к диплому с учебным планом и оценками по каждой дисциплине. Каких-то цифровых копий и сертификатов, подписанных ЭЦП — нет.

Дополнительно за небольшую плату можно запросить сделать общеевропейское приложение к диплому (Diploma Supplement). Это тоже физический документ, дает возможность использовать свой диплом в общении с иностранными работодателями. Скажем так, твой российский диплом становится признанным в остальном мире. В реальности выглядит, как перевод твоего приложения к диплому на английский + пару страниц с объяснением, что твой ВУЗ действительно дает высшее образование.

Работа

Для себя я решил — после первого курса устроиться на работу/стажировку пентестером, любой ценой. Как? — Хрен знает. Надо что-то делать.

Скажу сразу — ВУЗ не помог. За первый курс я не получил абсолютно никаких знаний, которые помогли бы мне устроиться на работу. Из-за этого я плотно ударился в исследование, как достичь желаемой работы.

Решил двигаться по пути поглощения огромного количества информации из бесплатных курсов и лабораторных работ. На тот момент это были TryHackMe, как источник теории и HackTheBox, как источник практики. Нарешал 150 комнат на THM, много машинок на HTB, почитал книжек и сформировал базовые стажерские знания:

  • Работа с Kali Linux, терминал, актуальные инструменты;
  • Автоматизация работы с Bash, Python;
  • Веб-уязвимости;
  • Повышение привилегий Windows/Linux;
  • Базовые сетевые атаки, arp spoofing, MitM;
  • Взлом соседского Wi-Fi на WPA/WPA2 и WPS.

В какой-то момент понял — чего-то не хватает. Какой-то самопрезентации. Так как работа пентестером — это тоже IT, решил посмотреть, а как устраиваются на работу джуны разработчики? Спойлер: теория сходства с разработчиками оказалась абсолютно верной. Собственно в тех видео все говорили: нужны пет-проекты, работодателю надо показать, что ты умеешь.

А что я умею? Запускать linpeas.sh? Как это показать?

Здесь родилась идея завести свой блог. Он должен был стать этой самой самопрезентацией. Решил начать писать в него решения для задач CTF и машин на HackTheBox, которые тогда активно проходил. Все на английском, я же крутой специалист — должен показать, что английский знаю хорошо. Так и родился блог — https://maksimradaev.com (на тот момент https://vflame6.github.io). До сих пор стараюсь выкладывать в него что-то интересное для меня.

Также сделал подробное резюме, где я написал, что реально я еще не работал, но я о-го-го, что умею. Смотрите! — и ссылки на блог и профили на разных платформах.

По итогу — сработало. После первого курса открыл резюме на HH и пошел откликаться на все вакансии, что были открыты. Из 20 откликов — 18 отказов и 2 готовы были пообщаться. Из них — 1 оффер на стажировку с возможностью продолжить работу, если пройду. Конечно же я согласился.

Первый оффер

Дальше — работа/учеба/дом и карьерный снежный ком (я только что придумал этот термин).

Про саму работу говорить не буду — не тема поста. Здесь я хочу перескочить на текущее время и мою текущую позицию. Сейчас уже я собеседую людей на разные позиции в наступательном ИБ (в основном веб/инфраструктура) + успел поработать с разными коллегами по цеху. И вот что я могу сказать про вышку:

Диплом ВУЗа действительно ничего не говорит о кандидате, в текущих реалиях рынка труда по ИБ. Обычно оказывается, что кандидат с парой-тройкой профильных курсов без вышки оказывается намного сильнее кандидата с вышкой. Почему так?

  • У первых есть понимание, что они хотят делать, у вторых нет, лишь бы что-нибудь;
  • У первых много практики, у вторых много теории;

Эти два фактора — основные. Можно привести еще какие-нибудь, но все сводится именно к этим двум.

Тогда зачем ВУЗ?

В этом посте я много говорю о том, что в 2025 году учеба в ВУЗе будто бы не имеет смысла для инженера по ИБ. Это отчасти верно со стороны технических знаний и практических умений (hard skills), но совсем неверно в вопросах личной осознанности и коммуникаций (soft skills). Об этом дальше.

Учеба в ВУЗе точно необходима, чтобы:

  1. Найти себя. Необходимо понять, в чем ты хорош, что у тебя получается делать и чем ты действительно хочешь заниматься по жизни. Определенность в этих вопросах даст фундамент для дальнейшего развития карьеры и личной жизни;
  2. Найти людей. А именно компанию людей, разделяющих твои интересы. По сути это люди, которые скорее всего пойдут с тобой через всю жизнь. Количество не важно, важно качество этого окружения, чем оно лучше — тем выше шансы сделать что-то реально чего-то стоящее за свою жизнь;
  3. Научиться договариваться. Или правильнее сказать — коммуницировать. Учеба в ВУЗе создаст большое количество проблемных ситуаций, технических и человеческих. Технические вопросы закрываются личными знаниями, человеческие — коммуникацией. Если конкретнее, нужно научиться договариваться о целях, условиях и ожиданиях. А также поддерживать постоянное информирование и обратную связь.

Если у вас уже все это есть — не тратьте время. Если нет — обязательно идите. По моему мнению первых двух курсов достаточно, чтобы закрыть эти три вопроса. После этого можно смело выходить на рынок труда, все меньше времени уделяя ВУЗу.

А если немного помечтать, как было бы хорошо?

Как я уже говорил выше — двух лет достаточно для решения основных стратегических вопросов: найти себя, найти людей и научиться договариваться.

Остается проблема — первые два года в ВУЗе технически бесполезны. Здесь я имею в виду, что первый год — повторение школьной программы, а второй год — фундаментальные знания. Практических задач либо нет, либо их очень мало. Что происходит на реальной работе тем более не расскажут. В этом и кроется проблема обучения в ВУЗе.

Если я правильно понимаю, это должно было решиться системой ВУЗов для науки и колледжей для практики. Но, к сожалению, колледжи просто повторяют ВУЗовскую программу в укороченном виде.

Решение — двухлетнее обучение по конкретной специальности, эдакий правильный специалитет. Цель — формирование специалиста Junior-уровня, который способен решать боевые задачи. В конце — экзамен в виде проекта, взятого из кейсов реальной работы. Этот проект должен стать доказательством компетентности специалиста.

Программа должна быть составлена в соответствии со специальностью и будущей должностью. Условно для IT нужно исключить или минимизировать изучение фундаментальных знаний по, например, физике, и сделать максимально большую программу по написанию frontend/backend-приложений, архитектуре ПО, сетям и продуктовой инфраструктуре.

Подобные наработки уже можно подглядеть у ВУЗов, которые делают коллаборации с ведущими вендорами по IT. Но, к сожалению, в основном эти программы — магистратура. Чтобы до нее дойти — надо 4 года поучить фундаменталку. Зачем? — вопрос открытый.

Альтернативы обучению в ВУЗе

Теперь вопрос — а что делать текущим студентам, которые не учатся в ВУЗах с крутыми программами по ИБ, коих всего 2-3 на страну? Ответ — искать альтернативы и начинать учиться на них.

В первую очередь учим английский язык, все что локализировано — bullshit. Вся качественная, никем не переработанная информация накоплена человечеством именно на английском языке. Его в текущей ситуации знать обязательно, хотя бы уметь читать литературу и понимать ее смысл. С пониманием этого отметаем платформы по типу Skillbox, Geekbrains и другие.

Следующий вопрос — деньги. Если денег нет — берем бесплатные курсы по теме специальности, их сейчас очень и очень много, базовые знания собрать легко по первым ссылкам в Google (а теперь можно попробовать и с ChatGPT). Если деньги есть — можно взять недорогой профильный курс, например оплатить студенческую подписку на HTB Academy, ее описание на скриншоте ниже:

Студенческая подписка на HTB Academy

Брать крутые курсы с сертификациями не советую, большая проблема такого подхода с деньгами — узколобость по итогу обучения. Когда знания уже готовы и представлены вам на блюдечке, пропадает необходимость в исследовании. А «сила» именно в способности исследовать и находить решения для поставленных задач.

Но это все на словах. Попробую дать конкретику. Что читать и делать студенту, например по направлению пентеста, в котором я варюсь:

  1. Бесплатные курсы. TryHackMe. С него начинаем, там есть Learning Paths с достаточно хорошей кривой сложности + есть публичные решения, если что-то не получается. Начинаем с самых базовых модулей о фундаментальных технологиях;
  2. Источник актуальной информации. Необходимо «вариться» в теме. Здесь кому что по душе: X (Twitter), телеграмм каналы, журнал Хакер и еще большое количество разных тематических блогов;
  3. Книги. По теме пентеста написано уже очень много. Для начала берем какой-нибудь общий Kali Linux. Тестирование на проникновение и безопасность, затем углубляемся в конкретные домены по личному интересу, например, Pentesting Active Directory and Windows-based Infrastructure;
  4. Платные курсы. HackTheBox. Когда освоили Jr Penetration Tester на TryHackMe (самостоятельно), можно приступать к задачкам посложнее. Первая цель — решить все доступные (актуальные) easy и medium машины на HackTheBox;
  5. Думаем (делаем) дальше. Пока не станем уверены в своих силах для реальной работы.

Важно отметить, что здесь необязательно делать фокус на «пентест». Такая система пойдет для становления специалиста в любом IT-направлении.

Еще могу посоветовать ознакомиться с моим постом в блоге — My OSCP Journey, в котором я описал несколько важных моментов для подготовки к сдаче экзамена OSCP. На самом деле — это работает и будет полезно на любом процессе обучения, независимо от курса/экзамена.

По своему опыту скажу, что «стажерские» знания можно легко освоить с использованием только бесплатных источников информации. Платные курсы и сертификации я начал получать только через год после трудоустройства.

Ноутбук, Интернет и Тишина — все, что вам нужно.

Что дальше?

Я закончил один большой этап своей жизни. Наконец-то стал «полноценным человеком» по меркам общества, в котором я родился. Что же я буду делать дальше? Вроде бы ответ простой — работай, да живи. Но я хочу дать себе более конкретные ответы.

Смотрю в свое светлое будущее

Высшее образование

Во-первых, больше никакого высшего образования. Я на практике прошел это и осознал, что для моих целей есть более эффективные и качественные методы обучения. Поэтому в магистратуру я не иду — нет смысла тратить время.

Нейросети

ChatGPT появился в момент, когда я был на втором курсе, параллельно занимался работой и учебой. Было «не до новшеств» в своих привычках, поэтому первоначальный хайп по теме я пропустил и сел разбираться с чат-ботом через несколько месяцев после запуска.

Как разобрался, сразу стало понятно — эта штука изменит все. Учеба, работа, да и вообще жизнь поделится на до и после. Изменился подход к написанию статей и писем, исследованию неизвестных тем и поиска быстрых решений для рабочих задач. По сути теперь мне требуется меньше компетенций и времени для решения большого количества вопросов.

Нейросети — слишком новое направление, которое все больше и больше захватывает наш мир. Все системы образования не готовы к их влиянию на процесс обучения, решения задач и достижения результатов в работе.

По сути нейросеть — новый калькулятор. Выиграет тот, кто примет и освоит эту новую реальность. Если пройтись по истории, то про востребованность компетенций мы знаем:

  1. Сначала были востребованы люди, которые много помнят. Их ценность — хранение данных;
  2. Затем были востребованы люди, которые хорошо считают записанное. Их ценность — обработка данных;
  3. Затем были востребованы люди, которые хорошо систематизируют посчитанное. Их ценность — систематизация данных;
  4. Сейчас востребованы люди, которые хорошо анализируют систематизированное. Их ценность — выводы на основе данных.

Мое мнение — дальше будут востребованы люди, которые управляют нейросетями. Их ценность — принятие решений на основе выводов, сделанных нейросетями. Снизятся требования к компетенциям в конкретных областях и вырастут требования к скорости работы. Это заметно уже сейчас — работу людей массово переводят на автоматизацию через нейронки. Аргумент простой — метрики по бизнесу растут, значит работает. Здесь выживет только тот, кто сумеет применить нейросети в своей работе.

Рост по должности

Завершение учебы даст мне возможность сосредоточить больше времени и внимания на полезных и интересных для меня вещах. Работа уже есть, следующий вопрос — как мне расти? Есть 2 основных направления: работа и смежное с работой.

Крутые проекты, исследования и сертификации развивают специалиста «вглубь». Но с ростом своей должности я начинаю видеть потребность в расширении компетенций «вширь».

Эта идея — рост от I-Shaped специалиста до T-Shaped специалиста по модели Shaped-компетенций. Если кратко, есть знания «вглубь» — это наша техническая специализация, 80% наших компетенций. А есть знания «вширь» — это смежные направления, тоже необходимые нам в работе, 20% наших компетенций. Например, для разработчика навыки разработки — это «вглубь», а навыки аналитики и тестирования — это «вширь». Подробнее об этом можно почитать в блоге Д. Блинова.

Система Shaped-компетенций

Проекты, исследования и сертификации

Собственно, про работу, или рост компетенций «вглубь». Для этого есть несколько вариантов: работу работать (проекты), что-то изучать (исследования) и проходить курсы (сертификации).

В плане работы, кажется, что пентестам я научился. Я способен проводить комплексные проекты по пентесту (внешка, внутрянка, социалка, …), обеспечивая покрытие проекта от пресейла и технической реализации, до отчета и презентации результатов проекта.

Следующий для меня этап — Red Teaming. Я должен научиться реализовывать первоначальный доступ, закрепление и боковое перемещение в инфраструктуре Заказчика, с учетом работающих средств защиты и мониторинга со стороны ИБ Заказчика. Это и разработка собственных инструментов и полезных нагрузок, и «боевая» социальная инженерия, и физическое проникновение.

Я умею делать каждый из компонентов по отдельности. Теперь нужно собрать все в единый пазл и реализовать на практике. Далее — изучение различных тактик, техник и процедур (TTPs). Нужна способность их реализовать для проверки их покрытия со стороны Заказчика (Purple Teaming). Сложно, но интересно.

Работа пентестером сильно сопряжена с постоянными исследованиями. Здесь имеется в виду, что обязательно нужно следить за новостями, актуальными ресерчами и проводить исследования самому. Цель — оставаться актуальным и улучшать количество и качество проверок в рамках пентеста. Основные темы на ресерч:

  • Актуальные атаки и уязвимости;
  • Новые технологии (например, облако и AI);
  • Фундаментальные технологии (low-level программирование и hardware).

Здесь я обычно смотрю от актуальной потребности. Попалось на проекте что-то интересное — самое время заресерчить. Если таких нет, то открываю беклог и беру что-то в работу.

Про сертификации, я перестал «проходить все подряд». После сдачи OSCP я осознал, что база для junior-middle пентестера уже есть. Дальше нужно углубляться, и широкие курсы про все подряд мне уже не подходят. Если и брать какие-то новые курсы, то именно со специализацией в конкретном домене, например, разработка вредоносов (MalDev) или облачные инфраструктуры (Cloud Security). В общем, теперь я ищу полезные знания для лучшего решения текущих задач и освоения новых.

Смежные компетенции и менеджмент

Мои знания «вглубь» — тестирование на проникновение. Теперь нужно определить смежные направления для развития. Для себя на ближайшее время я определил следующие домены для развития «вширь»:

  1. Копирайтинг. Для лучшего качества моих отчетов, основного продукта для Заказчика;
  2. AI. Умение пользоваться различными ИИ-инструментами позволяет мне эффективнее решать задачи, в том числе те, которые я сам решать не умею;
  3. DevSecOps. Знания по безопасной разработке и DevOps помогают автоматизировать мои задачи (см. DevOps for Red Team Initial Access Operations);
  4. Безопасность архитектуры. Понимание «целевой безопасной архитектуры» помогает давать лучшие рекомендации для улучшения ИБ-процессов и инфраструктуры Заказчиков (см. Архитектура защищенных сетей);
  5. Менеджмент. Управление командой для масштабирования своей деятельности и покрытия доменов, в которых у меня нет должных компетенций. О нем чуть подробнее ниже.

Также в какой-то момент хочу попробовать себя в менеджменте. Для меня менеджмент — это построение систем, выполняющих какую-то функцию. Эти системы состоят из людей, процессов и технологий, сочетание которых дает результат.

Сейчас, мой максимум — команда из 5 человек, сфокусированная на одном направлении работы. Дальше я хочу выйти на следующий уровень абстракции — управление командами, начать отвечать за целый департамент, состоящий из отделов. В общем, подняться из уровня тактики в уровень стратегии. Для этого я прорабатываю детальные mindmap-ы по организационной структуре и процессам.

Основная проблема — контроль исполнения без создания бесполезной детальной отчетности. Тяжело найти баланс между количеством и качеством запроса «дай мне статус». Потихоньку ищу решения.

Выход на международный уровень

Мне всегда было интересно — а что там, за бугром? По сути, большая часть нашей жизни состоит из перенятия идей, инструментов и трендов, которые появляются на западе. И это не только повседневная жизнь — в работе то же самое. Конкретный пример, пентесты: проходит Black Hat USA 20XX и DEFCON XX, все с горящими головами обрабатывают, перенимают и работают дальше. И так до следующего года.

Конечно, конкретно с пентестами тут можно поспорить — в СНГ есть крутые ресерчеры и некоторые вещи появляются первыми именно у нас. Но цифры все равно скажут: 90% оттуда и 10% отсюда.

Из-за этого мне всегда было интересно, какого это, быть первым? Какого это, находиться в среде тех, кто создает будущее? В среде высокой конкуренции не за повторение чего-то известного, а за создание нового?

Этот интерес во мне так и не гаснет, я хочу это узнать. Хочу быть наравне с лучшими. И поэтому я думаю, что скоро я начну свое путешествие на запад.

Продукты vs Услуги

Проработав несколько лет в консалтинге, я стараюсь каждый год повышать свои знания, сложность решаемых мной задач и свою должность. Из-за этого я все становлюсь все ближе и ближе к «бизнесу». В данном случае я имею в виду, что я начинаю видеть и осознавать ценность разного типа работ «в деньгах» и их доходность для исполнителя, соответственно.

Оказание услуг — 20-30 процентов маржи на освоенных рынках. В СНГ есть неосвоенные рынки, где можно заряжать 100% и более, но это лишь дело времени, когда к ним придет «наполнение» среднячковыми Исполнителями, которые будут демпинговать цены за счет низкого качества услуг. Это создаст конкуренцию и снизит доходы. Но основная проблема здесь — бизнес модель. Нельзя оказывать услуги постоянно, по подписке. Нельзя «подсадить» клиента на свои услуги. Каждый консалтинг — это разовая работа, один проект. У вас могут быть постоянные клиенты, но это ровно до момента, пока клиент не захочет «закрыть вопрос самостоятельно».

Разработка и продажа продуктов — от 100% маржи на любом рынке. Оценить ценность «интеллектуальной собственности» по сути невозможно, поэтому и ценник может быть любым. Вдобавок к этому бизнес-модели всех вендоров перешли в «лицензию на год» или более утонченную формулировку. Продукты больше не продаются разово, всех подсаживают на подписку, чтобы сформировать регулярный и предсказуемый денежный поток.

Причем, сейчас можно найти ниши, где твой продукт должен «ну хоть что-то делать» по теме — и ты уже молодец. На личном опыте уже много раз видел, как очередной вендор берет semgrep, крутит к нему логин форму и дашборд — нате вам SAST, с вас 50-100 тысяч долларов. Маржинальность огромна. И с этим пока что ничего не поделать — со стороны Заказчиков очень мало реально что-то понимающих специалистов, которые смогут определить, что продукт фуфло и не принесет заявленной пользы.

В общем, если думать в долгосрок, то на услугах далеко не уехать. Из-за этого я думаю, что «всю жизнь быть пентестером» (или вставьте сюда любую работу по консалтингу) — плохая идея. Твоя активная работа когда-то закончится и невозможна без тебя. Твой продукт будет работать всегда и без тебя.

Свое дело

Предыдущий раздел — плавный переход к идее начать свое дело, работать на себя. Поработав и в стартапах, и в корпорациях, я начал понимать, кто, как и на ком зарабатывает. Я все больше задаюсь вопросами: зачем я работаю?

Ответ простой — нужны деньги.

Если бы не острая потребность в деньгах, я бы в найме не работал. Из года в год я прихожу к этой мысли все чаще. Объясню почему.

Начну с того, что мне действительно нравится, чем я занимаюсь. Я хочу продолжать, хочу становиться лучше и приносить пользу. Но с ростом моих компетенций минусы работы «на кого-то» начинают перевешивать плюсы.

Какие плюсы у работы в найме? — стабильность и сфокусированность. Под стабильностью я понимаю предсказуемый доход, шанс потери которого стремится к нулю. Сфокусированность для меня — возможность заниматься только своей специализацией и отказываться от «не своей работы», перекидывая ответственность на коллег или кого-нибудь.

Теперь про минусы. Глобально минус всего один — мне мешают работать. Если конкретнее, то есть три основных недостатка: устоявшиеся процессы, согласования и отсутствие платы за риск.

Под устоявшимися процессами я имею в виду необходимость подстраиваться под чужие процессы, которые были разработаны 5-10 лет назад и совершенно неэффективны в текущих реалиях. В качестве примера здесь можно привести процессы закупки оборудования, согласования договоров и неоцифрованную работу с документами. Вы когда-нибудь покупали 4 ноутбука на протяжении полугода? Я — да.

Вот так выглядит процесс обеспечения рабочих мест сотрудников

Согласования можно тоже отнести к плохим устоявшимся процессам, но я хочу выделить их отдельно, так как из-за них очень большое количество работы застревает на очень большое количество времени. С согласованиями несколько проблем, о них ниже.

Первая — я должен согласовывать что-либо с людьми, которые не понимают, что я делаю. Объяснить, что зачем и почему нужно — очень сложно. В этом случае, либо у тебя есть хорошие отношения с коллегой, имеющего влияние на согласованта, либо будь готов к большому количеству встреч по обсуждению необходимости обсуждения твоего проекта.

Вторая — если твоя цепочка согласований состоит из больше чем двух людей — твой проект мертв. Если ты проявляешь инициативу «снизу», будь готов к большому количеству палок в колеса. Согласованты будут перекидывать тебя от одного к другому, так как раз уж инициатива пришла не от начальства — зачем ввязываться. Никто даже не будет разбираться, что ты хочешь сделать. Решением для такой ситуации может стать выход на высшее руководство организации с объяснением ситуации и просьбой помочь протолкнуть инициативу.

Третья — следствие из первых двух. Я не хочу это согласовывать. Я хочу делать. Я знаю, что как и когда должно быть сделано. Зачем мне ждать что-то или кого-то бесполезного в моем деле? Понятно, что оставаясь на текущем месте работы ты будто бы соглашаешься с этими правилами, но надолго ли?

Последняя проблема — плата за риск. Я не получаю, сколько мог бы получать, если бы полностью забрал все вопросы на себя. По сути это следствие работы в найме — ты выполняешь какую-то функцию и твой возможный заработок ограничен сверху, часто без возможности сдвигать эти рамки. И тут сразу встает вопрос: зачем мне делать больше, лучше, качественнее? Зачем мне проявлять инициативу? Зачем стараться брать на себя смежные функции? Ведь я не получу ничего за риск провалиться, не получу больше ни за количество, ни за качество моей работы.

Некоторые компании умеют решать эту проблему через KPI и премирование. Но проблема любого KPI — сотрудник набивает цифру по конкретной метрике, а не приносит пользу. KPI хорошо работает в конвейерной работе, но совсем не работает в интеллектуальной. Для решения этого вопроса есть концепция целей и ключевых результатов (OKR), которая предлагает итеративно пересматривать KPI каждый квартал. Идея классная, но внедрить ее на практике смогло очень малое количество компаний, в основном гиганты по типу Google.

Сильнее всего эти проблемы я начал ощущать в компании типа корпорации, где много людей, устоявшиеся процессы и есть руководители руководителей. В таких сложных системах решение даже маленькой задачи на полдня легко превращается в недели обсуждений, а затем месяцы согласований. В маленьких компаниях с этим намного проще и у тебя действительно есть возможность сделать что-то хорошее быстро и без участия бесполезных людей и процессов.

Все эти проблемы с каждым годом все больше и больше ведут меня к мысли, что я должен начать работать сам на себя. Я хочу делать интересные для меня вещи, которые приносят пользу людям и миру вокруг меня. И я хочу на этом зарабатывать, в случае успеха, и терять, в случае провала. Без менеджеров, согласовантов и посредников, мешающих мне достигать своих целей.

Я хочу победить.

Заключение

На этом на сегодня у меня все. Спасибо, что уделили время моему опыту и размышлениям. Надеюсь, этот опыт поможет кому-то понять, что необходимо именно ему, и поможет пойти в нужном направлении.

Спасибо за прочтение, надеюсь это было полезно ❤️

Blog, Education
This post is licensed under CC BY 4.0 by the author.