Пентест – это профессия, тр ... Сергей Зыбнев, Awillix: Устойчивость к длительным периодам фрустрации – секрет успеха в пентесте
Сергей Зыбнев, Awillix: Устойчивость к длительным периодам фрустрации – секрет успеха в пентесте...
Пентест – это профессия, требующая творческих подходов. И как в любой творческой работе, в ней много молодых и талантливых специалистов, которым сложно начать зарабатывать в этой сфере. Сергей Зыбнев, специалист по анализу защищенности компании Awillix, поделился с порталом Cyber Media своим опытом старта и развития в белом хакинге.
Cyber Media: Тема белого хакерства с каждым годом становится все более слышимой, в том числе и среди молодых людей, которые только выбирают свою будущую профессию. Какие стереотипные представления о хакинге развенчались в ходе обучения и первых рабочих задач?
Сергей Зыбнев: Когда я учился в колледже был сильно удивлен студентам, которые пришли учиться на специалистов по безопасности, но имеют проблемы с базовым использованием компьютера. К скромным базовым навыкам студентов добавляется еще проблема образования в сфере кибербезопасности — оно часто не актуально для практики сегодняшних специалистов, хотя некоторые преподаватели действительно стараются дать актуальные и реальные знания. Главное в обучении и становлении карьеры — это внутренняя мотивация и желание стать профессионалом в области. Чтобы стать успешным за дверями учебного заведения нужно заниматься самообразованием и изучать реальную картину рынка кибербезопасности.
Я наблюдаю, что многие желающие начать карьеру в нашей сфере, сталкиваются с обманутыми ожиданиями. Начинающим сложно из-за высокого порога вхождения, даже для начальной позиции требуется широкий набор знаний. Ожидания легких и больших заработков тоже разрушаются вместе с первыми попытками найти работу. И все же сегодня есть острая нехватка квалифицированных ИБ-специалистов. Нас всегда было мало, а сейчас еще многие выбирают карьеру за границей. Инвестиции вложенные в развитие своих компетенции через пару лет неизбежно начинают окупаться и доходами, и интересными проектами, и профессиональными достижениями.
Cyber Media: Где начинающему пентестеру брать опыт? «На заре» хакерства такие легенды, как Кевин Митник, «набивали руку на всем, что было интересно взломать». Такой подход чреват проблемами с законом и не отвечает концепции белого хакерства. Где начинающему пентестеру брать «этичный» опыт?
Сергей Зыбнев: Кевин Митник — один из выдающихся основателей хакерского движения. Так же как Джулиан Ассанж и Крис Касперски, которые еще на ранних этапах развития интернета указали на его потенциальные угрозы безопасности. Несмотря на то, что многие из них нарушили законодательство, их деятельность привлекла внимание к проблемам безопасности интернета. В частности, после отбытия наказания, Кевин Митник посвятил свою жизнь укреплению кибербезопасности.
Сейчас существует множество легальных путей для обучения в области кибербезопасности. Например, доступно множество бесплатных и платных лабораторий для обучения. Если у вас есть желание учиться ломать веб-приложения, то лучшей платформой будет — PortSwigger Academy. Когда вы покажите 100% пройденный PortSwigger Academy на собеседовании, то к вам будет сразу больше уважения и понимания вашего уровня. В случае если вы хотите заниматься инфраструктурой, то советую TryHackMe, HackTheBox. Когда вы дорастете до пентеста Active Directory, то лучшим вариантом будет Hack The Box Pro Labs, это платный раздел, но он себя точно окупит. Бесплатным, но не уступающим по качеству вариантом будет локальная лаборатория GoAD. Возможно ваше увлечение — это реверс, тогда для вас есть шикарный ресурс crackme, сам там брал таски по реверсу, советую.
Для профессионалов с опытом открылась возможность участия в программах багбаунти, платформах, которые позволяют проводить анализ защищенности в рамках закона, а вы будете получать вознаграждение за нахождение уязвимостей. Также вы можете начать строить карьеру в компаниях, где требуются специалисты по тестированию на проникновение. Это могут быть, как продуктовые компании, которым требуется постоянный цикл анализа защищенности новых и старых продуктов, так и компании, специализирующиеся на услугах в сфере анализа защищенности.
Я, например, начинал работать еще со второго курса колледжа. Тогда у нас с одногруппниками появился социальный проект «Добрая Карта». Его цель была рассказывать обычным людям про информационную безопасность банковских систем. В ходе наших исследований я узнавал, как защищаться даже в случае утечек, изучал различные утечки данные, сервисы которые занимаются анализом этих утечек. Я проводил лекции про банковскую ИБ от лица проекта. Меня звали на различные закрытые мероприятия модератором и техническим специалистом. Во время работы с еще одной организацией и «Доброй Картой» создавал CTF и проводил прямые эфиры в 17 лет для Молодёжи Москвы.
Cyber Media: Еще одна проблема начинающих offensive-специалистов – это выгорание. Причины могут быть разные – от рутинизации задач до «завала» с «бюрократической» частью работы, такой как заполнение отчетов. Как пентестеру находить баланс и не выгорать?
Сергей Зыбнев: Про выгорание в IT только ленивый не говорит, а ИБ и выгорание стало уже чуть ли не синонимом. Помню было время, когда я приходил на собеседования и спрашивал: «Приходится ли работать по выходным? Если да, то за это доплачивают или какие бонусы полагаются». Сейчас же я таких глупых вопросов не задаю, потому что в какие сроки ты успеваешь выполнить объем работ зависит только от тебя. Выгорание в ИБ может наступить даже до фактического вхождения в профессию из-за интенсивного обучения и глубокой специализации. Специалисты с многолетним опытом, тоже страдают, так как могут исчерпать свои ресурсы за время работы. Все это чаще всего связано с систематическими переработками, длительными и сложными проектами или специфическими условиями работы с заказчиками.
ИБ-специалистам нужно постоянно быть в курсе последних уязвимостей и методов атак, и это может стать причиной переутомления. Рекомендации по борьбе могут быть только классическими – стематизация времени и баланс между работой и отдыхом. От руководителей команд, конечно, многое зависит, они должны внимательно относиться к состоянию своих сотрудников, потому что их выгорание может негативно повлиять на весь проект. Но и сами специалисты должны быть осознанными и внимательными к себе, если задачи не требует срочного выполнения, не надо упарываться в ущерб себе, надо помнить про эффективность на дистанции, а не в моменте.
Я, например, совмещаю приятное с полезным, чтобы не выгорать – участвую в тематических конференциях, мероприятиях и митапах. С одной стороны, это польза нетворкинга и знакомство с потенциальными работодателями. С другой – приятное общение с коллегами в непринужденной обстановке, которое может значительно снизить уровень стресса. В целом советую следить за своим здоровьем, ведь сколько вы денег не заработали переработками, здоровье лечить всегда тяжело.
Cyber Media: Поделитесь опытом, что важно учесть начинающему специалисту при собеседовании на позицию пентестера в компании?
Сергей Зыбнев: Эмоциональное состояние может повлиять на вашу подготовку и само собеседование, поэтому в первую очередь нужно научиться владеть собой. Ориентируйтесь на информацию, которую знаете о будущем интервью. Если вы претендуете на позицию веб-пентестера, уделите внимание знаниям по веб-технологиям, операционным системам и сетям. Если интервью будет сфокусировано на мобильном пентесте и appsec, концентрируйтесь на этих темах при подготовке. В некоторых случаях интервьюеры проверяют знания по широкому спектру вопросов, чтобы определить ваши ключевые компетенции и потенциал для развитие, поэтому будьте экспертами в области всего, это же не сложно :)
Пробелы в технической знаниях можно компенсировать софт-скиллами, все работодатели высоко ценят их сегодня. Способность экологично и эффективно общаться, договариваться, работать в команде, сегодня может быть важнее узкопрофильных хардов, которые можно приобрести с опытом. А если показать неподдельную страсть к профессии и стремление к развитию, то можно очень быстро получить ключик к сердцу HR-а.
Иногда у тех, кто только хочет попасть в сферу могут быть проблемы с тем, чтобы вообще получить приглашение на собеседования. Чтобы переломить этот рубеж, составьте грамотное резюме. А это значит – используйте ключевые слова, которые легко «улавливаются» HR-ами и системами автоматического поиска кандидатов, сравните свое резюме с более продвинутыми спецами, уберите лишнее, посмотрите пару видео на ютубе о том, как это правильно делать. Не забывайте о нетворкинге: посещайте профессиональные конференции и митапы. Вы можете использовать свои знакомства и связи для приглашение на интервью.
Зачастую собеседования делятся на два этапа: первый – это предварительное общение с HR для понимания вашей мотивации и опыты. Следующий этап – это техническое интервью, которое может длиться от получаса до нескольких часов и требует более глубокой подготовки со стороны кандидата.
Cyber Media: Какие навыки, на ваш взгляд, наиболее важны для пентестера, помимо технических знаний?
Сергей Зыбнев: В сфере ИБ отличительной особенностью высококвалифицированного специалиста является его устойчивость к длительным периодам фрустрации. Этот аспект становится особенно актуален при обсуждении деталей проекта с заказчиком или во время поиска сложных уязвимостей. Умение чётко и кратко излагать свои мысли особенно ценится при коммуникации с коллегами и при подготовке отчетов. Быстрое развитие сферы кибербезопасности требует от профессионалов непрерывного обучения, ведь почти каждый день обнаруживаются новые уязвимости, которые могут быть использованы в пентест-проектах или на платформах багбаунти до их устранения.
Cyber Media: Какова роль менторства в процессе становления профессионалом в сфере ИБ, и почему важно заниматься менторством, когда вы сами достигли высокого профессионального уровня?
Сергей Зыбнев: На начальных этапах моего обучения концепция менторства отсутствовала, и приходилось самостоятельно отбирать и анализировать информацию. Сегодня, существуют тематические платформы, где вы можете подобрать себе ментора. Качество менторства не всегда коррелирует с его стоимостью, не факт, что бесплатный ментор будет плохим. Ментор поможет вам в определении профессиональных интересов, предоставит ресурсы для обучения и направит на правильный путь развития. Начинающим специалистам целесообразно рассмотреть несколько направлений, а затем сосредоточить усилия на 1-2 ключевых. Сегодня роль моих менторов играет моя команда коллег.
Я тоже исполняю роль ментора для выбранного круга ребят, которые только вкатываются в сферу. Опытным коллегам советую попробовать быть ментором для ваших стажеров, да и просто знакомых, которые могут в будущем стать вашими коллегами. Это не только прокачает ваши софт скилы, но и будет держать в тонусе ваши хард скилы. Особенно эффективно менторство тренирует способность ясно и доступно объяснять сложные концепции и техники. Прав был Эйнштейн: «Если вы что-то не можете объяснить 5-летнему ребёнку, вы сами этого не понимаете».