Егор Богомолов, CyberEd: Наступательная кибербезопасность – скорее творческая, а не детерминированная область

В России активно запускаются программы обучения белых хакеров. Можно ли освоить такую специальность на курсах? Мнением с Cyber Media поделился Егор Богомолов, генеральный директор Singleton Security и управляющий директор CyberEd. 

Cyber Media: В какой момент обучение хакингу в России перестало быть сугубо самостоятельным? Когда появились полноценные учебные программы?

Егор Богомолов: Наступательная кибербезопасность – скорее творческая, а не детерминированная область. Чтобы получить результат, недостаточно просто выполнить какой-то алгоритм. У специалиста есть огромный набор решений, которые он может принять. Найти самое оптимальное – вот главная сложность. 

При этом хакингу поддается множество объектов. Чтобы использовать их, нужны знания языков программирования, технологий, протоколов и еще много чего. Изучить все на практике нереально, вот почему для пентестеров так важно общение и возможность постоянно общаться друг с другом. 

Делиться знаниями – часть хакерской культуры. Раньше обмен информацией проходил на форумах. Затем стали проводить конференции, митапы. Со временем появились специалисты, у которых многие хотели что-то спрашивать. Так появилось обучение белых хакеров. 

Причем в мире школы открылись лет 30 назад. Все это время они обучают людей специальностям в сфере хакинга. В России же профессия хакера появилась как в тренд только в 2009-2010 годах – крупные компании начали открывать отделы пентестеров. До этого они обращались за помощью к конкретным специалистам. Параллельно появились образовательные центры, которые проводили мастер-классы по безопасности с демонстрацией возможных киберугроз. Потом все это переросло в то, что мы видим сейчас – профессия этичного хакера утвердилась, а вместе с ней началась системная подготовка специалистов. Пусть и с отставанием на 10-15 лет от передовых стран мира. 

Cyber Media: Отличаются ли курсы хакинга от обучения других специалистов в IT и ИБ? Если да, то чем? 

Егор Богомолов: Специфика, конечно, есть. И она связана прежде всего с тем, что это творческая профессия, в которой невозможно  гарантировать повторяемость результата. Настоящий профессионал  не скажет, что может взломать  любую систему. 

Как и в любой другой творческой области, специалист постоянно находится в поиске гипотез и возможных решений. Они будто вдохновение для художника – приходят или не приходят в голову. Часто это зависит от опыта, гибкости мышления, технической эрудиции. 

Вот почему обучать хакингу – крайне сложная задача. Ни одна школа не говорит, что все ее выпускники становятся хорошими хакерами. Успех в этой профессии в основном достигается задатками самого специалиста: настойчивостью, гибкостью ума, талантом. 

Cyber Media: Тем не менее школы на рынке есть, а значит чему-то все равно обучают?

Егор Богомолов: Есть набор проблем, с которыми сталкиваются специалисты и их приходится решать. В нашем случае это наборы практик, которые эксперты постоянно переприменяют. 

Школы могут гарантировать, что смогут научить специалиста различным тактикам: первичных атак на инфраструктуру, повышения привилегий, проброса трафика через определенные наборы узлов и др.  Тем не менее, самые интересные и незаурядные задачи человеку придется решать благодаря информации, которую он получит в ходе дальнейшего саморазвития. 

Образовательные центры вовлекают студентов в живое профессиональное сообщество, благодаря которому можно легко заполнить пробелы в знаниях. Также в школах можно получить иммерсивный опыт, когда специалиста бросают в ситуацию, максимально приближенную к реальной. Прелесть отрасли в том, что мы можем разработать любую систему так, чтобы она была уязвимой и предложить ученику найти в ней уязвимости. И это самый действенный способ обучения из всех, что возможны в такой профессии. 

Cyber Media: Какой минимальный набор знаний должен быть у специалиста, который только выходит на рынок труда?

Егор Богомолов: Если мы говорим про хакинг, то это всегда истории людей с бэкграундом. Именно поэтому такой специалист обладает набором фундаментальных областей, где он может применять свои знания. По большей части это понимание языков программирования, операционных систем, сетевых устройств, криптографии и, конечно, проблематики ИБ. 

Cyber Media: Нужно ли разбираться в продуктах ИБ?

Егор Богомолов: Чтобы начать путь в профессии, этого обычно не нужно. Знание средств защиты и продуктов, которые противостоят действиям хакера, – следующий уровень. Он начинается, когда специалист приступает к решению более сложных задач, а точнее – если на базе старых задач появляются ограничения в виде СЗИ. 

Cyber Media: У какого этичного хакера больше шансов занять хорошую вакансию?

Егор Богомолов: Проще найти работу специалисту с узкой специализацией. Например, если вы занимаетесь оценкой защищенности мобильных приложений, инфраструктуры, корпоративных сетей и т.д. Добиться максимальной глубины знаний в какой-либо области можно. Главное – решать задачи в этой сфере, в том числе в тестовой среде и на турнирах. Также заказчики часто требуют понимания стандартов защищенности приложений в их области.

Но самое важное – понимать, что ты гарантируешь заказчику как специалист. Это может быть набор проверок, процент покрытия или что-то еще. Гарантии – ключ к успеху в общении с заказчиком. 

И наконец, идеально, если хакер может не только взломать систему, но и знает, как решить проблему. В этом случае он становится на голову выше остальных. 

Cyber Media: Многие специалисты отмечают высокую роль самообразования в offsec. Что посоветуете начинающим специалистам, которые хотят развиваться сверх стандартных программ обучения?

Егор Богомолов: Самообразование в этой профессии играет самую важную роль. Настолько важную, что если им пренебрегать, то есть риск никогда не стать специалистом. Даже если пройти все существующие курсы по белому хакингу, можно лишь получить набор знаний и навыков. Но научиться связывать их можно только с помощью самостоятельной работы. 

Вот почему все обучение должно строиться по принципу 30 на 70, где 30% – это всевозможные курсы и программы, а 70% – самостоятельная практика. К счастью, теперь это не проблема. За последние десять лет сильно развилась система тренажеров, полигонов и других решений, которые помогают наработать опыт в практическом поиске ошибок. А еще с этой же целью стоит посещать турниры и прочие подобные мероприятия.

Только с практикой нарабатываются техническая эрудиция, насмотренность, навыки поиска уязвимостей и построения гипотез. И никакие книги не смогут ее заменить. 

Cyber Media: Сколько в среднем занимает обучение хакера с нуля до конкурентного уровня?

Егор Богомолов: Обычно с нуля такой специальности не обучают. Например, у нас 75-80% учеников составляют люди старше 25 лет, у которых уже есть опыт в IT. А именно – в разработке, тестировании, администрировании ИБ и т.д. Они понимают проблематику и ориентируются в базовых фундаментальных областях знаний. 

Раньше мы проводили годовые курсы. Оказалось, что для студентов это очень сложно. Мало кто может на протяжении целого года заниматься обучением по два-три раза в неделю, отрываясь при этом от текущей работы и прочих ежедневных дел. 

Теперь курсы длятся четыре месяца. Выпускники получают базовые знания в части терминологии и инструментов, а также план дальнейшего развития. В нем есть все о том, что необходимо делать и не делать, чтобы вырасти из джуна в мидла. 

Cyber Media: Как быстро новичок может стать мидл-специалистом? 

Егор Богомолов: Если заниматься самообучением и четко следовать плану развития, то это произойдет через 1,5-2 года. Сеньором можно стать уже спустя 4-5 лет. Все дело в том, что оценка защищенности – быстро растущая сфера, здесь многое происходит стремительно. 

Cyber Media: В контексте кибербезопасности в целом и offsec-направления в частности регулярно всплывает проблема сертификатов. На рынке ценятся западные, а российских нет. Нужны ли российские сертификационные центры?

Егор Богомолов: Определенно нужны. Западные сертификационные центры работают десятки лет. Они прошли огромный путь, чтобы заслужить доверие специалистов и заказчиков на рынке. Но России тоже придется его пройти. 

Если раньше мы могли приобретать, проходить, поддерживать сертификаты за рубежом, то сейчас такой возможности нет. Все официальные способы запрещены. Даже более того, есть случаи, что западные сертификационные центры отказывают в услугах тем, у кого русские имена и фамилии. 

Однако российские заказчики нуждаются в оценке специалистов со стороны. Они хотят понимать, какими компетенциями обладают потенциальные подрядчики. Наличие сертификатов им в этом помогает. 

Именно поэтому такое требование часто включается в тендеры заказчиков. Чтобы удовлетворить его, интеграторы и вендоры вынуждены подключать подрядчиков – тех, у кого западные сертификаты еще действуют. Но и их сроки подходят к концу. 

В итоге решение пока видится одно – перестроить систему закупок в ИБ, заменить зарубежную сертификацию на российскую. Хотя пока сделать это непросто. В стране нет своих сертификационных центров. И более того, непонятно, нужны ли они заказчикам. 

Закупочные подразделения компаний могут оценивать исполнителей по другим параметрам. В теории они вправе заменить требование сертификации на опыт работы, участия в турнирах или что-то еще, что может подтверждать уровень квалификации пентестеров. 

Многие компании, которых можно отнести к зрелым по уровню ИБ, уже давно проводят интервью и тестирования для потенциальных исполнителей. Это помогает бизнесу оценить их до того, как они заявятся на тендер. 

При этом я считаю, что центры сертификации все равно нужны. Возможно, они приживутся у нас не быстро – в течение нескольких лет. Но сертификация поможет гарантировать что-то заказчику. 

Либо мы пойдем другим путем – появится какой-то аналог от ФСТЭК. Обычно такие истории идут сверху вниз. И ситуация с сертификатами вряд ли станет исключением. 

Cyber Media: Обучение белому хакингу все чаще обсуждают в органах власти. В этом году Минцифры активно поддержало курсы для белых хакеров, выпущенные сообществом экспертов. Каким на этом фоне вы видите будущее рынка услуг по оценке защищенности от киберугроз через 5-10 лет?

Егор Богомолов: В последние годы рынок растет кратно. Если в 2021 году доля оценки защищенности от киберугроз в объеме всех ИТ-услуг составляла 3%, то в 2022-ом она увеличилась до 10% и достигла 5 млрд рублей. 

Россия уже входит в топ-3 стран по наступательной кибербезопасности (после Китая и Америки). Услуга действительно пользуется большим спросом среди компаний. 

Но что будет через 5-10 лет – вопрос сложный. Возможно, на рынке появится больше продуктовых решений, которые будут применяться для поиска угроз или других схожих задач. И тогда спрос на белых хакеров на рынке может сократиться. Но при этом потребуются люди, которые будут разрабатывать такие решения, их поддерживать и администрировать. 

При этом спрос на специалистов, которые выбирают профессии в сфере наступательной кибербезопасности, будет точно расти. Скорее всего они переквалифицируются application security инженеров. О них еще пять лет назад никто не слышал, а сегодня в них нуждаются все крупные компании. В большинстве случаев такие должности занимают бывшие пентестеры. И думаю, что application security инженер – не единственная высокооплачиваемая специальность, которую они скоро на себя примерят.