現在、ハッキングトーナメントの第2部の準備を進めています。 ジャーナリストやISから遠く離れた人々からの可能性のある質問を予想して、出力がハッカーにならない理由と、セキュリティスペシャリストのキャリアがどのようなものかを事前にお知らせしたいと思います。
大まかに言うと、今日の警備員は、紙片を移動し、無線機器で周辺を歩き回り、災害復旧の計画を立て、ソフトウェアの穴を直接修正することができます 。 多くの専門分野があります。 それはすべて、特定の組織に依存します。サイズ、保護する情報の種類、使用するテクノロジーなどです。 最も興味深い作業は、実際のセキュリティが必要な場所であり、架空の(紙)ではなく、高度な自動化が行われることです。
これらのスペシャリストの出身地とその方法を見てみましょう。
教育
もちろん、情報セキュリティの専門家になるためには、技術教育を受ける必要があります。 すべてのベスト-「自動化」、「セキュリティ」、「プログラミング」または「数学」という言葉がある専門。 数年前、MEPhI、MVTU、MSU、MIPTなどの大学の卒業生のみなさんに大歓迎でした。 近年、ほぼ同じトレーニングプログラムを備えたかなりの数の地方大学が彼らに追加されました。
英語は非常に重要で、特に技術的なものです。 あなたが彼に教え始めるのが早ければ早いほど良い。 大学を卒業しても、まだ流Englishに英語を話せない場合は、良いコースに申し込む価値があります。
さまざまな専門分野の教育においても、暗号化(Kurserには非常に優れた基本コースがあります)および数学全般を「ダウンロード」することが重要です。会社で使用されるハードウェア(ほとんどの場合、電話、カメラなどについて話します)を理解することは、理論と実際のすべてのハードウェアの機能を知っており、MSと* nixの両方のシステム管理の経験があり、さらにHPとIBMで少なくともサーバーの経験があります。 これはすべて、大企業の学生向けのコース、セミナーで学ぶことができ、ほとんどの場合無料です。たとえば、CROCはさまざまな分野の学生向けのトレーニングを定期的に実施しています 。詳細はこちらをご覧ください 。 はんだごてで作業する能力のような多くのことは、純粋に家庭の練習です。 ところで、はんだごて自体は必要ありませんが、低レベルでの鉄の理解は非常に良いです。
警備員の仕事のもう1つの重要な部分は、社会性です。 実際のところ、セキュリティ対策はほとんど常に会社のプロセスを何らかの形で遅くし、人々はなぜこれが必要なのかを説明しなければならないということです。 すべての決定を擁護し、トレーニングを実施し、経営陣に対してその正当性を証明します。 もう1つの側面は、すでに述べたソーシャルエンジニアリングの研究です 。これには、少なくとも心理学の基本的な知識が必要です。
最初の仕事
大学の出口では、将来のセキュリティヒーローは誰にも(全体として)必要ないか、大企業の優秀なインターンとして認識されています。 その理由は、作業のすべてが特定の環境と特定の脅威に依存しているためです。 つまり、成長が期待される会社でしか実際に学ぶことができません。
3つの結論があります。
- 1つの場所で長いキャリアを期待するのは良いことです。
- 将来の会社と知り合いになるのは早ければ早いほど良いです。 最適-その中で直接練習する。
- 一般に、体系的な思考や責任などの個人的な資質を開発することは重要です。これらはどんな条件でも役立ちます。
メンターメンターは非常に重要です。ほとんどの場合、すべてを紹介し、実用的な機能について話し、そこにあるレーキの種類を説明する上級スペシャリストまたはリーダーです。 それがなければ、あなたは彼らの上を再び歩く運命にあります。
さらに全体として、2つの頻繁なオプションがあります。1つ目-1つの会社でゆっくりと成長しています。 第二-仕事の最初の場所にたくさんのコーンを詰め込み、すでにbeatられていますが、経験豊富で、冷笑的で慎重です。あなたは別の場所でより大きな給料のために働き始めます。
ライフスタイルと展望
学生からのよくある質問は、「誰がダウンロードする必要がありますか:システム管理者またはセキュリティガード」ですか? 経験豊富な人々にとって、この並置は笑顔を引き起こします。それは、温かいものと柔らかいものを比較するようなものです。 最初は、収益はほぼ同じでした。 セキュリティ担当者は、リーダーとしてのキャリアを成功させる可能性が高くなりますが、責任も増えます。初期の白髪、心血管疾患、その他の一定のストレスの結果-これらは職業上のリスクです。 もちろん、システム管理者も心配していますが、障害が発生した場合、問題は洗脳とバックアップからの回復に限定されます。
「ポンプアップ」されたセキュリティガードは、企業の意思決定(およびリスク)に近いため、より多くなります。 大企業では、この分野のルールは単純です。リスクが大きいほど、収入も増えます。
情報セキュリティの専門家の仕事は、しばしばライフスタイルに影響を与えます。 第一に、職業は宣伝することを認められていません。 友人のWebデザイナー、システム管理者、セールスマネージャーなど、会社の階層の上位にいる人が数人います。実際に安全に働いています。 実際、私はHabréのプロフィールで、実際とはまったく異なる立場で書かれた人を何人か知っています。
第二に、時々旅行制限があります。 ここでは詳しく説明しませんが、簡単に言えば、多くの国営企業でのキャリアの観点から言えば、自宅で英語を学び、他の国で定期的に練習することは避けた方が良いでしょう。 特殊な状態構造およびサービスの経験は非常に高く評価されているため、事前に考えておくとよいでしょう。
原則として、企業環境(長い歴史を持つ企業)の情報セキュリティサービスにおける重要な地位は、制服を着た人々または類似の過去の人々に支配されています。 これがあなたの世界、あなたの価値観、幸福と真実の基準です。
国境の名物
(若い構造で)ビジネスを開発するとき、セキュリティガードは、システム管理者または開発者(プロジェクトマネージャーなど)から非常に頻繁に成長します。 ある時点で、多くの責任を負う人が必要であることが明らかになり、誰かがそれをより簡単かつ簡単にできるようになります。 それほど頻繁ではありませんが、警備員は金融アナリスト(または同様のもの)または弁護士から取得されます(ちなみに、これはあなたが情報セキュリティにアクセスできる数少ない人道的職業の1つです)。
リスク管理のスペシャリスト(既に資金を提供しています)は、実際には確立された情報セキュリティのスペシャリストから成長することができます-偏執病で、どこで何を予約する必要があるかを示し、さらにどのような状況で回復するかを示します。 これは大企業で起こり、ロシアでは現在、災害復旧のテーマが人気を集め始めています。 最初に技術インフラストラクチャのリスクをクローズする必要がある場合、逆のプロセスも可能です。その場合にのみ、このプロセスはより広い意味でのセキュリティの確保になります。
健康を保つ
毎日約1時間教育に専念する必要があります。これは、テクノロジーで何が起こっているかについて一般的に準備を保つ唯一の機会です。 既知のハッキング状況の詳細を常に読み、新しいシステムを習得すると同時に、常に外部者であると考える必要があります。 このようなトレーニングのために、Cyber Readiness Challengeシミュレーターが作成されました。豊富な経験を持つシマンテックの情報セキュリティの専門家によって作成され、企業のシミュレートされたネットワークには多くの大規模ネットワークの特徴的な詳細が含まれています。
困難なのは、何も準備ができていないことです。 15年前に技術環境のすべての機能を実際に知ることができた場合、例外なく、攻撃グループのハッカー(たとえば、競合他社、または多くの場合、詐欺師)は、デフォルトで特定の技術により備えられます。 これは、スタッフに専門性の低い専門家がいるか、問題が発生した場合にすぐに相談したり、問題を解決するために引き付けることができるようにそれらを知っている必要があることを意味します。
もちろん、この形式では、自分自身だけでなく、あなたの部署だけでなく、一般的に社内のすべての人々もサポートする必要があります。 ここには、監査チェックとトレーニングアラームの2つの単純な原則があります。
最後に
もちろん、上記はあなたの会社が持っているものと根本的に異なることができる集合的なイメージを説明しています。 誰もが独自のニーズと独自の歴史的原則を持っているため、セキュリティへのアプローチは非常に異なる場合があります。
現場での経験のある人は深刻に不足しているため、さまざまなトレーニングイベントを定期的に実施しています。 先ほど言ったように、次の主要なイベントはCRCトーナメントです(主催者はシマンテックであり、CROCです)。 知識を最大限に活用したい場合は参加してください。
このトーナメントは、参加者に知識を提供するだけでなく、メディアで伝統的な宣伝を受けるのにも役立ちます(過去のレポートなど)。 球に非常に役立つ効果が期待されます。