Последние год-полтора я медленно бродил по просторам интернета в поисках информации по становлению специалистом по ИБ и пентесту. В основном суть информации сводилась к "что нужно знать специалисту по ИБ", "что должен уметь специалист по ИБ". Это всё не давало никакого представления пути становления безопасника. Если вы так же, как и я долго ищете "то самое", то милости прошу ознакомиться с моими начинаниями, размышлениями и результатами
Если кратко, то в данной статье я собрал информацию о том, как и откуда получить базовые знания, чтобы стать специалистом по ИБ.
Немного о себе
Я студент 3 курса, 20 лет, учусь на ИБ автоматизированных систем. В безопасность я пошёл лишь потому, что люблю возиться с компьютерами. По пути я успел захватить квалификацию технического переводчика (курс на 2 года в институте). Не так давно я понял чем хочу заниматься. Путь был долгим. Первый курс блуждания на тёмной стороне (script-kiddie): взлом wi-fi через загрузочный образ kali, безуспешные попытки взломов сайтов (местами успешные, но бестолковые), изучение работы unix систем (поднимал умный дом на Raspberry Pi, быть может напишу об этом; поставил несколько WSL; ставил разные системы на второй комп ради экспериментов FreeBSD, AstraLinux), - затем участия в различных CTF (capture the flag) на втором курсе. Пентест - именно то, что меня всё это время затягивало.
Зачем идти в ИБ?
Как я сказал, это то, что меня действительно увлекает и только придаёт сил. По сравнению со спортивным программированием (ICPC, acmp, nlogn, codeforces, codeWars и т.д.) сфера пентеста, администрирования систем, ИБ и т.п. кажется практичнее. Почему мне интересно ИБ? Где-то в голове сидит мысль, что всё должно быть правильно защищено, и что это действительно важно. Надеюсь, что я смогу внести лепту в эту часть мира.
Результаты поисков
В конце концов я набрёл на форум CodeBy, а если быть точнее, на статью Welcome to the club, buddy! Или как начать свой путь в ИБ? В ней развёрнут длинный монолог о том, с чего же действительно надо начать и к чему стремиться. Я понял, что "вот оно, наконец-то". Я решил собрать всё в кучу: ту статью, некоторые полезные комментарии и материалы в ней, статью с необходимой литературой (местами обновил редакции, дневники других начинающих пентестеров, которые, видимо давно не появлялись на форуме, статьи относящиеся к методам конспектирования/изучения материала, а также мои собственные попытки создать индивидуальную программу обучения.
У вас есть план, Мистер Фикс?
Начнём по порядку:
- Необходимо изучить и осознать следующие статьи:
- Welcome to the club, buddy! Или как начать свой путь в ИБ? - ответьте на главный вопрос: зачем вам это? Если вы знаете ответ, у вас есть цель, то можно смело двигаться дальше.
- Roadmap для пентестера - сборник литературы по уровням.
- Roadmap одного из участников форума - небольшой roadmap по вхождению в мир пентеста.
- Полезные комментарии, замеченные мною под прочитанными статьями:
- Полезный комментарий с ссылкой на гит со списком литературы - спасибо этим добрым людям, думаю пригодится в будущем.
- Мини-статья v1gman'a - даёт небольшое пояснение по поводу шагов изучения.
- Сборник материалов по теме пентеста и ИБ:
- Материалы по конспектированию изученного:
- Ссылка скрыта от гостей(Ссылка скрыта от гостей, zettelkasten+obsidianMD,Ссылка скрыта от гостей) - специальная кросс-платформенная программа для заметок. Проект быстро растёт. Имеется много расширений для удобной работы, также можно и свои плагины писать.
- Ссылка скрыта от гостей("Картотека") Лумана (обзор с хабра,Ссылка скрыта от гостей- в конце концов надо будет хранить всю накопленную информацию. Обычное складирование приведёт только к потере времени из-за бесконечных поисков. В результате вы просто пойдёте и загуглите это, хотя могли поштурмовать свою картотеку и вынести оттуда что-то гениальное или что-то, что вы для себя когда-то отметили, хотя тогда оно было совсем ненужным. Луман предложил хранить всё в неструктурированном виде, основываясь только на связях между карточками (идеями). В нашем случае, конспекты немного не подходят под эту идею. Я посчитал, что необходимо прибегнуть к ещё одному инструменту, о котором далее.
- Многоуровневые конспекты (часть 1, часть 2, часть 3) - если последовать идеям zettelkasten, то можно потерять контекст карточки и впоследствии уже не найти. У нас немного другое течение жизни, и у каждого она вообще своя. И нам свойственно забывать. Автор предлагает создавать многоуровневые конспекты (1 - почти исходник, 2 - главные цитаты, 3 - основные заголовки, термины, 4 - итог 1 и 2 уровней, 5 - выражение своих собственных мыслей на основе всех предыдущих).
У меня есть план и я его придерживаюсь
Цель
Изучить основы компьютерных сетей и администрирования *nix систем в ближайшие полгода. Впоследствии планирую готовиться к сертификатам, чтобы закрепить и утвердить свои знания. Сертификаты могут пригодиться при приёме на работу, т.к. они дают уверенность в том, что человек точно это всё знает и умеет.
Время
На данный момент у меня в распоряжении два выходных (вторник и воскресенье) пара неполных дней (пятница и суббота). В уме я прикинул, что на изучение материалов я бы хотел тратить 2-3 полных часа в неделю, 1 час на английский и 1-2 часа на практику (т.к. CTF всегда со мной).
План
На данный момент я для себя определил следующий план.
- Основа:
- Книга: Николай Кузьменко: Компьютерные сети и сетевые технологии.
- Видеоуроки по сетям на YouTube канале: Andrey Sozykin.
- Книга: Linux от новичка к профессионалу 6 издание.
- Книга: Руссинович Марк, Соломон Дэвид "Внутреннее устройство Windows".
- ...
- Практика:
- Решение задач с сайтовСсылка скрыта от гостей,Ссылка скрыта от гостей. Начните с easy тасков в категории stego (стеганография). В общем, если что-то не получается ну вот прям совсем, и не у кого-то попросить хинт (подсказку), то советую смотреть write-up'ы. Не забывайте конспектировать проделанное и делать свои write-up'ы, это поможет глубже понимать проделанное.
- Освоение write-up'ов кубка России по CTF (т.к. он на носу). - Не забывайте конспектировать используемые приёмы. Быть может они вас выручат в будущем.
- ...
- Английский:
- Вспомнить азы грамматики английского языка English Grammar in Use, Raymond Murphy.
- Пройтись по упражнениям из Everyday English Дроздовой.
- ...
Прикинем время освоения книжки Николай Кузьменко: Компьютерные сети и сетевые технологии (~368 страниц). В среднем на прочтение 40 страниц художественной литературы у меня уходило около часа, это если я делаю гигантский перерыв и мне тяжело разогнаться. Насчёт технической литературы ничего сказать не могу. Учтём, что необходимо конспектировать изученное, дабы в будущем накопленной информацией пользоваться. Примем скорость равной 20 страницам в час. В книге их 368. Значит, на полное освоение книги уйдёт чуть больше 18 часов обучения. Уделяя книге по 2 часа в неделю, я её освою за 9 недель, то есть чуть больше 2 месяцев. Немного медленно, но быть может я буду ускоряться местами, когда буду видеть знакомые вещи, или когда у меня будет немного больше времени (например, зимние каникулы).
Это только начало
С этого момента я начинаю учиться и идти к своей цели.
Повторюсь, в ближайшем будущем я создам обновлённый сборник материалов, в котором объединю то, что выкладывали авторы статей, и найденное мной в сети. Сделаю несколько шпаргалок: на какие сайты стоит обращать внимание при поиске информации по компьютерам, ИБ и т.п. (ИМХО); приёмы/инструменты конспектирования (и сами конспекты); какие бывают сертификации и что мне приглянулось.
Повторюсь, в ближайшем будущем я создам обновлённый сборник материалов, в котором объединю то, что выкладывали авторы статей, и найденное мной в сети. Сделаю несколько шпаргалок: на какие сайты стоит обращать внимание при поиске информации по компьютерам, ИБ и т.п. (ИМХО); приёмы/инструменты конспектирования (и сами конспекты); какие бывают сертификации и что мне приглянулось.
Последнее редактирование модератором:
