Маргарита Трещилова, CyberEd: Безопасная разработка становится все более востребованным направлением обучения

Можно ли стать хакером после сорока? Или выйти из декрета ведущим специалистом по кибербезопасности, если до этого никогда не работала в ИБ? А «перекатиться» в пентест из профессионального спорта?

Маргарита Трещилова, руководитель департамента организации образовательных программ в CyberEd, рассказала порталу Cyber Media о специфике обучения будущих специалистов по анализу кибербезопасности и анализу защищенности, преимуществах и недостатках разных образовательных программ для этичных хакеров, а также поделилась интересными историями успеха студентов.

Cyber Media: Специалисты по анализу защищенности как ученики, на ваш взгляд, есть ли у них какая-то специфика, отличия от слушателей ИТ-курсов, например?

Маргарита Трещилова: Конечно, ребята, которые занимаются анализом защищенности, немного отличаются от тех, кто изучает другие области ИТ. Они думают, как хакеры, чтобы предвидеть атаки, но при этом при им важно соблюдать этику, чтобы не переступить черту и не нарушить закон.

Также у специалистов по анализу защищенности должен быть фокус на безопасности, они должны научиться выявлять и устранять уязвимости. Это область исследования достаточно многогранна и объединяет в себе множество ИТ-направлений с уклоном в безопасность.

Ну и одно из главных отличий — специфические навыки. Студенты осваивают конкретные технические знания: как работают сети, как шифруются данные, насколько опасны ошибки в конфигурациях, какие методики используют злоумышленники в своих атаках, а также много всего полезного и интересного. В том числе мы обучаем поиску и исправлению уязвимостей с помощью автоматизированных инструментов и вручную.

А еще у будущих специалистов по анализу защищенности сильная практическая ориентация. Обычно учебный процесс распределяется так — 30-40% теории и 60-70% практических занятий. Ребята участвуют в лабораторных работах, симуляциях, реально ищут и устраняют уязвимости прямо на занятиях. Плюс стажировки в компаниях-партнерах.

В общем, наши студенты — это не просто ИТ-шники. Это будущие профессионалы в области кибербезопасности. Они учатся защищать системы и данные, а не только их разрабатывать или администрировать. Это требует специальных знаний и непрерывного обучения.

Cyber Media: В комьюнити отношение к крупным edtech-проектам, которые предлагают курсы по ИБ и еще десятком разных направлений IT неоднозначное, а часто — негативное. На ваш взгляд, чем вызвано такое отношение и в чем заключаются слабости крупных образовательных проектов, которые создают курсы по кибербезопасности?

Маргарита Трещилова: Хороший вопрос. На самом деле, крупные образовательные проекты имеют свои плюсы, такие как доступность и разнообразие курсов. Но у них есть и слабости.

Медленная адаптация и некомпетентность. Информационная безопасность — это область, которая быстро меняется. Новые угрозы и технологии появляются постоянно. Крупным проектам трудно оперативно обновлять курсы, поскольку система обучения в подавляющем большинстве полностью асинхронный формат. В таком формате невозможно актуализировать информацию руками маленькой команды методологов и специалистов. Также есть много примеров, когда обучающие курсы составлялись путем преобразования публичных статей специалистами, не имеющими отношения к области, для которой они составляли учебные материалы.

Стандартный подход. Курсы для массовой аудитории часто оказываются слишком общими. Они стараются охватить как можно больше студентов, поэтому не всегда углубляются в сложные темы, которые нужны продвинутым специалистам. А еще индивидуальные потребности студентов могут оставаться без внимания.

Качество преподавания и практика. Крупные проекты могут нанимать преподавателей с разным уровнем опыта. В итоге качество преподавания может быть неравномерным. Иногда упор делается больше на теорию, чем на практику, а это, на мой взгляд, не всегда хорошо для подготовки специалистов. Практика — важная часть обучения. Виртуальные лаборатории и задания иногда бывают недостаточно реалистичными и интерактивными, а порой и вообще отсутствовать.

Поддержка и взаимодействие. В крупных проектах студентам сложно получить быструю и персонализированную поддержку от преподавателей и менторов. Также трудно создать тесное сообщество студентов, что ограничивает возможности для обмена опытом и помощи друг другу.

Стоимость. Ну и, конечно, финансовый аспект. Курсы довольно дорогие, и не всегда цена соответствует качеству. Это может быть барьером для многих студентов.

Cyber Media: В чем специфика разработки курсов для специалистов по анализу защищенности? Есть ли какие-то отличия от разработки других технических курсов?

Маргарита Трещилова: Разработка курсов для специалистов по анализу защищенности требует учета множества специфических факторов. Например, практической направленности, постоянного обновления материала, акцента на этических и правовых аспектах, использования специализированных инструментов и техник, а также глубоких технических знаний. Эти отличия делают курсы комплексными и ориентированными на реальные задачи и вызовы, с которыми сталкиваются специалисты в области кибербезопасности.

Cyber Media: По вашему опыту, какие направления в сфере ИБ пользуются наибольшим интересом у учеников и почему?

Маргарита Трещилова: Наибольшим спросом пользуются направления наступательной безопасности, ввиду сложного и интересного материала, который преподают действующие практики, работающие в передовых компаниях. Также данное направление выбирают специалисты, которые хотят принести пользу через разрушение, вопреки специалистам, базирующимся на создании каких-либо продуктов.

Но стоит отметить, что направления по безопасной разработке сейчас набирает высокую популярность. В этом направлении много нового и интересного, что можно применить в повседневной профессиональной деятельности, и зарплаты специалистов достаточно высокие. Возможно, это связано с тем, что некоторые специалисты переросли стандартные тесты в контексте тестирования методами черного или серого ящика, и теперь им хочется заглянуть «под капот» приложений и посмотреть, какие уязвимые паттерны могут привести к серьезным последствиям.

В итоге специалисты этих двух позиций привносят большую пользу ИТ-индустрии.

Cyber Media: Люди с каким бэкграундом чаще всего приходят на курсы по анализу защищенности? Условно, чаще всего встречаются системные администраторы, frontend-разработчики, люди с нулевым знанием в ИТ/ИБ и т. д.

Маргарита Трещилова: Всех, кто приходит к нам на обучение условно можно разделить на три группы. Первая и самая большая — студенты, уже связанные с информационной безопасностью. Это сетевые инженеры, системные администраторы, разработчики, специалисты по DevOps, специалисты по поддержке, аналитики SOC 1-2 линии. Они уже знают основы работы с компьютером и сетями, поэтому им проще понять, как искать и исправлять уязвимость.

Вторая группа — ИТ-менеджеры и руководители проектов, которые занимаются координацией команд. Им тоже необходимы знания ИБ, чтобы лучше выстраивать процессы и внедрять оптимальные практики безопасности.

И третья группа, мои любимчики и главные герои, — новички. Люди с нулевым знанием в ИТ/ИБ, которые проявляют интерес к новой области и хотят сменить профессию. Например, студенты и выпускники технических вузов, которые хотят погрузиться в практику. Иногда встречаются и те, кто просто увлекается кибербезопасностью и хочет перевести хобби в профессию.

В целом, хочу отметить, что ИБ — перспективная и быстроразвивающаяся область, привлекающая людей, желающих начать карьеру в ИТ.

Cyber Media: Поделитесь наиболее необычными историями ваших учеников, которые решили построить свою карьеру в сфере информационной безопасности.

Маргарита Трещилова: На самом деле, у нас накопилось много необычных историй наших учеников, но есть несколько, о которых хотелось рассказать подробнее.

В сфере кибербезопасности обучаются и работают преимущественно мужчины: примерно 80% мужчин и 20% женщин. Когда эти 20% женщин приходят к нам на курсы, успешно их заканчивают и устраиваются на работу, я очень горжусь ими.

В 2022 году у нас училась девушка Елена, которую я часто привожу в пример. Она пришла на курс, будучи мамой в декрете. Несмотря на свои домашние обязанности — уход за ребенком, приготовление ужина и многое другое — ее успеваемость и посещаемость были отличными. Через два месяца обучения Елена решила составить резюме и начать ходить на собеседования, чтобы попробовать свои силы и понять, где у нее есть пробелы. Это было верным решением: за 10 дней Елена получила четыре оффера с минимальной зарплатой в 150 тысяч рублей. Сейчас Елена — ведущий инженер по системам информационной безопасности в крупной компании и работает удалённо.

Однажды к нам поступил студент с минимальными знаниями в сфере информационной безопасности, но с огромным желанием полностью изменить свою жизнь и переквалифицироваться. В тот момент он был российским профессиональным баскетболистом, игравшим на позиции атакующего защитника. Парень начал обучение по курсу «Специалист по тестированию на проникновение». В течение года он усердно учился, и уже во время обучения нашел работу. Сейчас он занимает должность старшего специалиста по информационной безопасности.

Еще есть устойчивый стереотип, что после 40 лет поздно менять профессию, но я с этим не соглашусь. У нас есть пример одного из студентов, который в 40 лет решил уйти с руководящей должности в сфере финансов и переквалифицироваться в пентестера. В итоге он устроился в компанию и по совместительству проводил занятия в нашем образовательном центре, разрабатывал курсы и другое. Сейчас он занимает руководящую должность в сфере информационной безопасности в одной из крупных компаний.