«В сфере информационной безопасности не существует "серебряных пуль"»

Когда и как необходимо изучать информационную безопасность

Piqsels/ISO Repiublic/Indicator.Ru

Почему в обучении специалистов по информационной безопасности теория должна преобладать над практикой, каким должен быть идеальный курс по специальности, а каким — специалист? Об этом и не только Indicator.Ru побеседовал с выпускником магистратуры кафедры информационной безопасности ВМК МГУ, преподавателем «Кибершколы МГУ» Антоном Жаболенко.

— Кому сегодня требуются знания в области информационной безопасности?

— Иметь базовый набор знаний в области информационной безопасности нужно всем пользователям интернета и IT-технологий, чья работа связана с компьютером. Особое место кибербезопасность занимает сегодня, когда все мы вынужденно перевели свою деятельность в онлайн-формат. Конечно, далеко не всегда речь идет про углубленные знания в таких областях, как реверс-инжиниринг или криптография. Просто ради собственного спокойствия люди должны понимать хотя бы основы защиты данных.

Чуть больше об информационной безопасности следует знать тем, кто работает в отраслях, наиболее подверженных хакерским атакам. Это, например, банковский сектор, финансовая сфера, телеком. Таким сотрудникам необходимо понимать, например, что такое социальная инженерия, двухфакторная аутентификация, аппаратные токены и т. п.

Более глубокие знания пригодятся всем, кто так или иначе связан с IT: разработчикам, DevOps-специалистам, системным администраторам. Для многих из них, особенно для ведущих специалистов, наличие знаний в области информационной безопасности является критичным. Так, во многих крупных компаниях ведущие разработчики должны хорошо понимать, как устроен SDL (Security Development Lifecycle), какие существуют типичные уязвимости и как правильно спроектировать систему аутентификации.

— В каком возрасте еще не поздно освоить азы информационной безопасности? С чего стоит начать?

— Я не считаю возраст помехой для освоения новых знаний. Главное, чтобы было желание и свободное время.

Есть разные способы погружения в мир информационной безопасности. Например, можно сначала заняться изучением различных IT-технологий и математики, а потом уже дополнять полученные знания различными навыками в области информационной безопасности. А можно выбрать другой путь и начать с разбора различных атак и уязвимостей, попутно изучая сами технологии.

Первый вариант более трудоемкий, зато позволяет получить более глубокие знания и существенно расширить профессиональный кругозор. В основном он применяется в университетах, например на факультете вычислительной математики и кибернетики МГУ имени М. В. Ломоносова, на базе которого, в частности, при поддержке негосударственного института развития «Иннопрактика» реализуется проект «Кибершкола МГУ». Второй вариант чаще всего используется на различных профильных курсах, формат которых не позволяет подробно освещать все необходимые разделы информационной безопасности, но дает достаточное представление о ней для погружения в эту сферу.

— Какими знаниями и навыками должны обладать люди, желающие сделать информационную безопасность своей профессией?

Все зависит от конкретного направления. Информационная безопасность — неоднородная сфера деятельности, она состоит из большого количества различных направлений. Это безопасность приложений, сетей и инфраструктуры, вирусная аналитика, форензика, пентестинг, криптография, «бумажная» безопасность и т. д. Спектр навыков для каждого из этих направлений может частично пересекаться, но в то же время будет и значительно отличаться. Так, для того чтобы заниматься вирусной аналитикой, нужно хорошо знать языки программирования С и С++, знать ассемблер, обладать пониманием того, как устроены современные процессоры и операционные системы, а также владеть скриптовыми языками программирования, к примеру Python. Криптографам пригодятся знания в области математики, а специалисту по безопасности приложений пригодятся знания об устройстве веба и мобильных платформ.

Для примера, в «Кибершколе МГУ» студенты и школьники получают актуальные практические знания в области веб-безопасности, реверс-инжиниринга, бинарной эксплуатации и криптографии. Все это крайне востребовано на рынке труда, но при этом отсутствует в большинстве обязательных университетских программ, что существенно затрудняет поиск специалистов для многих компаний. Такие проекты, как «Кибершкола МГУ», позволяют заинтересованным школьникам и студентам получить уникальные знания и навыки, которые помогут им стать специалистами по информационной безопасности. Организаторы проекта из ВМК МГУ и «Иннопрактики» уверены, что подобные проекты позволяют расширить базы специалистов по кибербезопасности в России, а в процессе обучения сложатся устойчивые команды из участников школы, которые смогут решать, в частности, прикладные задачи крупного бизнеса.

— Насколько востребованы специалисты в области кибербезопасности во всем мире и, в частности, в России?

— В мире потребность в таких специалистах растет с каждым годом. По моему личному ощущению, IT-рынок испытывает существенный недостаток в сильных технических кадрах. В крупных компаниях на некоторые вакансии специалистов ищут месяцами.

— Насколько часто в этой профессии появляются новшества и с чем это связано? Как часто нужно повышать переквалификацию? Какие курсы наиболее эффективны, на ваш взгляд?

— Новшества появляются постоянно. Технологии обновляются ежедневно. Соответственно, на них совершаются атаки, возникают новые уязвимости. Все это требует от специалистов постоянного погружения в профессию и расширения профессионального кругозора. Как и в любой профессии, связанной с IT, хороший специалист должен учиться постоянно. Информационная безопасность относится к динамично меняющимся отраслям, поэтому повышать квалификацию и заниматься самообразованием в этой сфере нужно регулярно. Даже в течение одного года происходят существенные изменения, не говоря уже о постоянном появлении новых видов угроз и атак, которые требуют постоянно адаптироваться под меняющиеся условия.

На мой взгляд, в сфере информационной безопасности достаточно эффективны курсы, в рамках которых практические задания даются в формате CTF (Capture The Flag) — профильных командных соревнований в сфере информационной безопасности. Их цель — решение наибольшего количества задач. Решением каждой задачи является обнаружение «флага» — определенной комбинации символов, которая становится доступна при выполнении правильных действий по взлому приложения. Такой формат обеспечивает получение действительно востребованных и ценных навыков гораздо в большей степени, нежели теоретические курсы. В «Кибершколе МГУ» мы давали все задания именно в таком формате.

— Каковы критерии эффективности работы специалиста в области кибербезопасности: предупредить, не допустить, восстановить?

Для полноценного обеспечения безопасности необходимо комбинировать различные подходы, позволяющие предупредить атаку. Если же атака все-таки произошла, нужно уметь быстро восстановить работоспособность предприятия. В сфере информационной безопасности не существует эффективных коробочных (применимых для множества задач — Indicator.Ru) решений или «серебряных пуль». Для обеспечения безопасности чего-то крупного и сложного всегда приходится применять концепцию глубокой защиты (Defence in Depth), предполагающую организацию независимой защиты каждого уровня информационной системы.

Понравился материал? Добавьте Indicator.Ru в «Мои источники» Яндекс.Новостей и читайте нас чаще.

Подписывайтесь на Indicator.Ru в соцсетях: Facebook, ВКонтакте, Twitter, Telegram, Одноклассники.