Статья Как я попал в кибербез

[Disconnect]

Привет всем, кто читает эту статью! Я хочу поделиться своей историей попадания в сферу пентеста. Это не гайд и не инструкция, а просто рассказ о моем пути в кибербезопасности. Возможно, вы не найдете здесь точного ответа, как именно вам попасть в ИБ, но, надеюсь, подчеркнете что-то полезное и вдохновляющее.

Статья в первую очередь для тех, кто только задумывается о переходе в ИБ, ищет, с чего начать, что читать и какие курсы пройти. Также она может быть полезной тем, кто, как и я когда-то, хочет сменить профессию.

Мне 27, живу в провинциальном миллионнике, по образованию я медик. Два года находился в декрете и до этого момента ни дня не работал в IT. К ИБ пришел с нуля.

О времени и ресурсах​

Когда времени мало, важно выжимать максимум. Я планировал день с учетом возможных отклонений — читал на обеде, в очереди, ночью. Доступа к ПК не было постоянно, поэтому выручил Termux. Конечно, без рута его возможности ограничены, но это всё равно лучше, чем ничего. Идеи по настройке мобильного окружения можно найти в этом разделе форума.

Первый контакт с пентестом​

Сначала был Python — буквально за месяц освоил основы, чтобы писать парсеры, работать с Excel, автоматизировать задачи. Потом начал интересоваться разработкой, Линуксом, MySQL. Читал:

• «Изучаем Python» — Марк Лутц
• «Linux на примерах» — Колесниченко
• «Как работает компьютер» — М. Джастис
• «SQL Pocket Guide» — Жао

Через полгода стало скучно. Я захотел чего-то “трушного” — начал изучать C и C++:

• «Язык программирования C» — Ритчи, Керниган
• «Программирование: принципы и практика» — Страуструп

Параллельно — bash, CLI, терминал. Настольные книги:

• «Bash. Карманный справочник» — Роббинс
• Advanced Bash-Scripting Guide — маст-хев, особенно в долгосрочной перспективе

И тут однажды я открыл электронную библиотеку и наткнулся на книгу, которая все изменила — «Kali Linux. Библия пентестера». Прочитал на одном дыхании. Началось безумие: скачивал всё, что находил про пентест, регистрировался на форумах, так впервые попал на Codeby.net.

Общение с комьюнити​

Общение — это сила. Но оно же может деморализовать. Кто-то говорил:

27? Поздновато, брат. Без IT-опыта? Иди в CTF для развлечения…

А потом эти же люди давали отличные советы. Главное — фильтровать, что брать в работу, а что пропускать. Раздел Истории участников может быть отличной поддержкой.

Первые шаги и сомнения​

Сначала думал: пентест — только для тех, кто учился на ИБ или имеет бэкграунд в администрировании. Начал строить «гибридный» план: изучать то, что пригодится и там, и там. В итоге понял: гибридность тормозит. К счастью, вскоре всё поменялось.

CTF и осознание​

После изучения теории я попробовал CTF. Первый таск — Mr. Dino. Решил быстро. Второй — собрать флаг из 4 частей — занял 3 дня. Тогда я понял: моя база знаний — дырявая. Решил сначала подтянуть теорию.

Кстати, подборку CTF-ресурсов и гайдов можно найти в этой статье.

Исследование рынка​

Главный вопрос: а что по вакансиям?
Я стал анализировать вакансии: hh.ru, Habr Карьера, Telegram-каналы. Создал таблицу:

• Город
• Требования
• Обязанности
• Преимущества

На основе этого родился мой первый роудмап.

Мой Roadmap (базовый)​

1. Сети
   • «Компьютерные сети» — Таненбаум
   • «Нисходящий подход» — Куроуз, Росс
   • Курс Андрея Созыкина — маст-хев
2. Linux
   • «Unix и Linux. Руководство системного администратора» — Немет
   • «Linux глазами хакера» — Фленов
   • Плюс обязательно Windows: «Внутреннее устройство Windows» — Руссинович
   • Создавайте виртуалки! Это не шутка. Прям совет из практики
3. ЯП
   • Python, C/C++, Bash, PowerShell, JS, PHP, SQL, HTML
   • Желательно: Java, C#, даже немного Go или Rust (только осторожно — законы РФ)
4. Основы пентеста
   • «Kali Linux. Библия пентестера»
   • «Этичный хакинг» — Грэм
   • «Дневник охотника за ошибками» — Клейн
   • «Ловушка для багов» — Яворски
   • «Занимайся хакингом с...» — серия SparkFlow
   • В ресурсах форума очень много книг по пентесту (нужен уровень Green Team)

Практика и CTF​

С февраля 2024 начал регулярно решать таски. К июню закрыл весь веб-сегмент. Из-за ограниченного доступа к ПК некоторые таски решал неделями. Например, квест Ламер — 1 неделя вместо 2 часов

Моя оценка CTF-категорий:​

• OSINT — да, но сильно отличается от реального
• Web — безусловно
• Стега — только для CTF
• Крипта — да, но зависит от задач
• Форензика, Инфра (AD, квесты) — маст-хев
• Реверс, бинарщина — желательно, хотя бы на базовом уровне
• Разное — всё, что расширяет кругозор: сокеты, трафик, парсеры, автоматизация

Финал​

Как-то летом я снова зашел на hh. И... вакансия. В моем городе. Для джуна.
Отклик — собеседование — оффер. Без диплома, без опыта, без связей. Просто в нужное время — в нужном месте.
Конечно, пришлось резко решать бытовые вопросы — садик, распорядок дня, ресурсы. Было трудно, но всё получилось. Сейчас я на своей первой работе в пентесте — и счастлив.

Заключение
Если вы только начинаете — не бойтесь. Возможно, вы попадете в ИБ не по классическому сценарию, а по своему. И это тоже нормально. Читайте форум Codeby.net, черпайте практику на Codeby School, обсуждайте опыт в блоге Codeby.One.

Удачи вам на пути в кибербезопасность!
Привет всем, кто читает эту статью! Я хочу поделиться своей историей попадания в сферу пентеста. Это не гайд и не инструкция, а просто рассказ о моем пути в кибербезопасности. Возможно, вы не найдете здесь точного ответа, как именно вам попасть в ИБ, но, надеюсь, подчеркнете что-то полезное и вдохновляющее.
Статья в первую очередь для тех, кто только задумывается о переходе в ИБ, ищет, с чего начать, что читать и какие курсы пройти. Также она может быть полезной тем, кто, как и я когда-то, хочет сменить профессию.