Статья Ваш путь в ИБ: как начать карьеру в кибербезопасности и избежать ошибок новичков

Готовы погрузиться в мир, где каждый день – это вызов, а ваши знания и навыки защищают цифровой мир? Информационная Безопасность (ИБ) манит всё больше умов, и вопросы "Как начать?", "С чего стартовать?" и "Что делать дальше?" заполонили все чаты и форумы. Хватит повторять, что нужно "сначала разобраться"! Я здесь, чтобы сбросить маски и выдать всю правду – этот откровенный монолог изменит ваш подход к обучению в ИБ.

Проанализировав около сотни вопросов, примерно сорок из которых были заданы мне в личных сообщениях в разное время, я задумался: а делал ли кто-то подобный анализ до меня? Поискал, но не нашёл ничего, с чем бы согласился на все 100%. В основном это просто списки того, что нужно знать или уметь. Однако я убеждён, что главная проблема большинства новичков кроется в их мышлении. Многие "ломятся" в ИБ, совершенно не понимая своих истинных целей! Увидев что-то интересное, они сразу бегут на форумы и в чаты с вопросом: "Как мне стать специалистом по кибербезопасности?". С таким подходом ответ один – никак!

Ещё один важный аспект – трудности с обучением и пониманием. Частые вопросы: "Как начать?", "Где искать?", "Что читать/изучать?". Здесь, по моему мнению, есть две ключевые проблемы: неумение искать информацию и неумение работать с ней. Именно эти моменты мы сегодня и разберём.

Хочу сразу сказать: я ни в коем случае не осуждаю новичков. Сам когда-то искал, пробовал и задавал вопросы. Я только "за", если все будут развиваться, помогать друг другу и поднимать технологии на новые высоты! Но, к сожалению, большинство новоприбывших часто проявляют несамостоятельность и, порой, неадекватность. Многие хотят всего и сразу, требуют готовые ссылки на материалы, ждут, что за них всё найдут. Чаще всего они получают логичный ответ: "Гугли!". После этого следует волна либо гнева, либо типичная фраза вроде: "Ну понятно, никакие вы не эксперты, раз ответить не можете, ничего вы не знаете!". За этим, как правило, следует мгновенный бан, и на этом всё заканчивается.

Мне совершенно непонятно, почему некоторые считают, что им кто-то что-то обязан: отвечать, делиться, помогать. Стоит запомнить раз и навсегда: никто тебе ничего не должен. Если человек захочет – поможет, не захочет – справляйся сам. Не стоит создавать пустых ожиданий. Если ты действительно хочешь чего-то добиться, это сугубо твоя ответственность. И если ты задаёшь вопрос, а тебе пытаются объяснить, но даже это понять трудно… Ну, тут уже начинается цирк Шапито! Хочу предупредить: нужно адекватно оценивать свои силы. Помни: "Не зная броду, не суйся в воду". А если сунулся, то кто виноват? Именно поэтому мы разберём причины, следствия, а также решения этих проблем.

Путь в кибербезопасность: откуда начинаются ошибки новичков?​

Для того, чтобы найти первоисточник, определим с какого этапа люди начинают хотеть стать теми самими "специалистами по кибербезопасности". А все идет с контента, который поглощает большинство. Понятие "хакер" больше выдумано журналистами для обобщения, у которых уровень знания ИБ на уровне табуретки. Как таковых "хакеров" нету! Люди разбирающиеся, стараются максимально не использовать это понятие, так как это неуважение ко всему направлению! Это как "тыжпрограммист". Зачастую все именно хотят быть Белой Шляпой (Они же ПЕНТЕСТЕРЫ).

На самом деле, есть куча разновидностей: крекеры, мошенники, кибер-мошенники, аналитики информационной безопасности, кардеры, пентестеры, скрипткиди, администраторы, программисты, инженеры информационной безопасности, специалисты защиты информации, ботоводы, кардеры т.д. Но с низкой развитостью , всех эти подгруппы сгребают под одно название "хакеры". И добавляют сюда еще "темы наркотиков, оружия, мошенничества, аниме, и вообще это все грешно". В лучшем случаи "Кибер преступники". Теперь разберемся с источником, всех влажных фантазий новичков. Видео на ютубчике "Эксперт обнаружил уязвимость!!! ОМГ!"(просто без комментариев ), также источником являются фильмы и сериалы (Есть и такие где постарались максимально, правдоподобно показать, тот же Mr.Robot). Практически везде, все попытки проникновения в инфраструкту показаны оч легко и просто. Запустил что-то, пару ударов по клавишам и вуаля, всё работает. И хоть кто-то задумался, а реально ли все так? Если так все просто, почему тогда каждый второй так не делает? Не нужно воспринимать экранизацию за истинну, далеко не везде показанна, хотя бы частичка реальной стороны пентеста. Но можно привести аргумент: "Они же не будут показывать реальные способы обнаружения уязвимостей. Вдруг кто-то захочет повторить?". Можно показать реальный процесс и без подробной инструкции, только никто не хочет заморачиватся.

Как стать пентестером: реалистичный подход к карьере в ИБ​

Сначала, перед тем, как у тебя возникла идея начать изучать ИБ, задай себе вопрос ЗАЧЕМ МНЕ ЭТО НАДО? Многие думают: "Вот сейчас стану специалистом по безопасности, найду уязвимости в банках, и буду жить на мальдивах...". Ага, а теперь вытащи руку из штанов и вернемся в реальность. Частые ответы: "хочу кучу денег/ ну эмм это круто/ сейчас это модно/ хочу изучать системы". То могу лишь пожелать вам успехов в чем-то другом. Если вами движут только мотивы заработка, то это изначально проигрышный путь. Мотивация денег угаснет также БЫСТРО, как ты с толкнешь с первыми проблемами, то есть почти моментально, и что в итоге? Потраченное время, средства и силы. А некоторые еще и на криминал пойдут, и так как знаний и опыта нету, то скорей всего попадут на бутылку правосудия. Ну а те кто РЕАЛЬНО заинтересован, сам пришел к этому, и занимается с интересом, как хобби. Если тебе не в тягость заниматься, ты с жадностью и азартом поглощает информацию, то ты зашел по адресу. Добро пожаловать! Но есть также те, кто пришел к этому сам, но не может самоорганизоваться. Информации очень много, но это уже другая сторона вопроса. По этому давайте по порядку.

Основы ИБ: что такое информационная безопасность и как начать обучение?​

1. Что такое ИБ? И что такое исследование безопасности?​

Многие думают, что ИБ- это только выстраивание защиты каких-то объектов, или только аудиты на проникновение. Но на самом деле это далеко не так. Информационная безопасность- это в первую очередь правовая сфера. Сейчас очень активно вносятся поправки, дополнения, определения. Это и №187ФЗ, №152, №149 и т.д (Полный список всех правовых связанных с ИБ). Скажу на реальном личном опыте работы в данной отрасли. Нужно знать регламенты, ГОСТЫ и необходимые стандарты, по котором происходит весь процесс организации защиты информации. Следовательно, специалист защиты информации, должен знать не только технические аспекты, а также правовые. И специалисты защиты информации, также могут проводить аудиты защищенности. Понятие 'исследование безопасности' для каждого разный. Лично мое субъективное определение. Исследование безопасности - это искусство досконального изучения принципов работы всевозможных систем для обнаружения потенциальных уязвимостей. То есть более простыми слова, чтобы что-то обнаружить, нужно знать как это работает.

2. С чего начать путь в ИТ, если вы новичок?​

Есть и такие кадры, кто не сталкивался с IT вообще. Но не получилось, не важно из-за каких факторов. И вот они узнали о таком направление, окунулись в него и поняли, да это же интересно, и начали думать с чего им начать? Для начала стоит найти именно свою отрасль. Ведь тут путей развитие множества: Программирование, администрирование, всеми любимый аудит уровня защищенности инфраструктуры. Нужно найти свою стязю, которая будет не рутинной, а увлечением. Свет клином не сошелся на этом ИБ, не нужно делать упор только на это.

Ссылка скрыта от гостей

Хотя базовые знания информационной гигиены, в наше время также необходимы.

3. Определились чего хотим. Вот хотим именно безопасниками быть. С чего начать?​

А начать с самих основ. Как работает сама структура Интернета. Все об сетях, сетевые протоколы: UDP / TCP / DNS / ARP. Изучить оборудование. Есть такой старый курс на Youtube по администрированию, хоть проблемы со звуком, но все равно очень хороший, где бородатый админ рассказывает про все это - Курс. После чего идем изучать Linux. Это наш основной инструмент, который откроет практически все двери и возможности. Свободная, гибкая и максимально универсальная система. Овладев этой системой в полной мере, можно творить ту самую "магию пентеста". А не бороться с системой, пытаясь обновиться. Да и не только для пентеста, Linux сам по себе очень приятен, я бы даже сказал, эта система развивает своего пользователя, помогает реализовывать задумки, и двигаться дальше.

Самый быстрый способ освоения, достаточно болезненный, это установить Linux своей основной системой, и начать решать все возникшие проблемы и трудности. Которые, несомненно появятся. Если по каким то причинам нет возможности установить, то для начала просто ставим себе дистрибут второй системой или на другой девайс, а также можно на флешку. Советую выбирать Debian, но это уже на ваше усмотрение , и работаем за ним, появляется какая-то потребность, например: "Хочу себе установить pidgin". Что делаем? Идем и гуглим (Гуглить тоже нужно уметь, и об этом мы тоже поговорим), как устанавливать программы в Debian. Читаем изучаем механизм установки, устанавливаем, и по итогу уже умеем устанавливать программы! Так шаг за шагом мы изучим эту систему. Также можно поизучать структуру Windows, чтобы уметь и в ней ориентироваться и понимать принцип работы системы, ее файловую систему, где что храниться.

4. Как правильно учиться и структурировать информацию для ИБ?​

На этапе №3 уже присутствует свободное плавание. То есть мы самостоятельно ищем векторы развития и обучения. Но чтобы не было каши, а также не хватались за все подряд. Как зачастую делают новички. Мы должны четко структурировать план изучения. Тут есть несколько основных правил:

1. От простого к сложному. Начинаем с изучения того же Linux постепенно. Например: Сначала изучаем базовые методы работы- Перемещение файлов, распаковка, запись вывода в файл. Дальше сложнее, изучаем написание bash-скриптов, автоматизацию рутинных задач.
2. Фиксировать информацию. Фиксирование каких-то непонятных, или интересных моментов в материале с последующим их изучением, благодаря этому, мы узучаем материал более досканально. Но не нужно уходить далеко от исходного материала. То есть увидели непонятный термин, изучили его, и вернулись к изначальному контексту. А не пошли дальше еще по терминам из этого термина и т.д
3. Понять, а не прочитать. Важно изучать материал до тех пор, пока ты не сможешь его объяснить своими словами, не теряя главной мысли. Давным давно я где-то увидел такой прием:"Объясни 6 летнему себе". Суть заключается в том, что ты пытаешься объяснить в слух тему, максимально просто. Конечно, со стороны это выглядят как "шиза", сидишь пустоте объясняешь что-то. Но это очень действенный метод, подробнее об этом и других методах.

Теперь выстроим план изучения для всеми полюбившийся темы - Пентест

StarterPack для специалиста по кибербезопасности: от новичка до эксперта​

StarterPack - Начальный уровень ИБ (версия 1.0)​

1. Знание Сети (Протоколы, как строится сети, топология(Дерево, Звезда, Шина), hardware часть и т.д)
2. Принципы работы Web-ресурсов (Движки, структуру,базовые принципы)
3. Умение работы с OS. ( Как написал выше, сразу пересаживаемся на Linux, но если по каким-то причинам это не возможно, то тогда установка на виртуальную машину, или же использовать загрузочную флешку.Задача максимальо сидеть и работать на этой OS, также не помешает почитать доп.материалы об администрирование)
4. -- Промежуточный пункт. Изучение Windows-семейства структура файловой системы, работа через shell (Это желательно, но не обязательно, но в перспективе это будет необходимо, так как % этого семейства крайне велик)
5. Изучение принципов уязвимостей (Что такое payload, shell, RAT, CSRF, RCE, rootkit, xss, sql-inject, Oday, sniffing и т.д. На этом этапе мы начинаем изучать именно технические аспекты пентеста. Знакомимся с основными понятиями и самим процессом эксплуатации)
6. Изучение инструментария (Из основного: сканеры (NMAP, Censys, OpenVas, Wireshark, Nikto, w3af, если есть деньги XSpider) Основные утилиты: Netcat, Metasploit Framework, Burp, John the Ripper, Hydra, sqlmap (Полный список инструментария(ссылка)). Задача потрогать максимальное колиство, +- научиться пользоваться и понимать, какой инструмент, что может)
7. Изучение web-атак (Здесь уже изучаем обход WAF, как инжектировать инъекции и следовательно тут понадобиться читать и писать код)
8. Изучение языков программирования (В основном требуется для Тут поле просто огромное: SQL/PHP/HTML/javascript/python, а еще можно изучить C++/C#/Assembler/ и вообще писать свои утилиты сканеры и т.д)

Ну а дальше уже все действуют по своему усмотрению. Естественно можно поставить изучение ЯП выше, но этот план был разработан с упором на простоту и с уменьшением логических проблем. Например, смысл изучать инструментарий, если ты не знаешь как работает твой атакуемый объект и ты не умеешь использовать саму атакующую систему (Kali)?

Эффективный поиск информации: осваиваем Google для кибербезопасности​

5. Как правильно искать информацию?​

На удивление, многие до сих пор не могут найти нужную им информацию в поисковике. В то время как поисковики могут индексировать базы данных, учетки и другую конфиденциальную информацию!
Как правильно составлять запрос?

• Используйте кавычки, если ищете что-то конкретное. Например: «Metasploit Framework guide».
• Если хотите исключить какое-то слово из поиска, то воспользуйтесь знаком «-» (минус). Например: «Boss Of this Gym -Lords of the Lockerroom». Так вы найдёте много информации об "боссе этой качалки", но не встретите ни слова про "властелина раздевалки".
• Чтобы найти информацию на конкретном портале, добавьте в поисковую строку слово site. Например: «Уязвимости vk без смс и регистрации» site: codeby.net.
• Используя логический оператор (Или) “|”, можно осуществить поиск по нескольким сочетаниям фраз, заменяя несколько слов в различных местах. Например, введём фразу “Positive Hach Day 2018 | 2019” выдаст нам страницы, содержащие либо “Positive Hack Day 2018”, либо “Positive Hack Day 2019”
• filetype - В случае, если вы хотите искать, например, только документы в формате PDF, Word или Excel, можно использовать оператор filetype:. Полный список поддерживаемых форматов на момент написания данного текста: Adobe Reader PDF (.pdf), Adobe Postscript (.ps), Autodesk DWF (.dwf), Google Earth (.kml, .kmz), Microsoft Excel (.xls), Microsoft PowerPoint (.ppt), Microsoft Word (.doc), Rich Text Format (.rtf), Shockwave Flash (.swf). Пример: stroustrup c++ language filetype:pdf
• Еще больше об операторах расширенного пользования

Научившись искать нужную информацию, открываются все двери развития и обучения. Но еще больше информации в зарубежных ресурсов. Знание языка(Английского) тут уже просто необходима, по этому если есть трудности, то поможет разные расширения для браузера, для перевода, хотя знания языка все равно понадобиться, ведь зачастую все на английском языке, начиная от инструментария, заканчивая теми же системами, на которых происходит тестирование, я сам не акти его знаю, но так сложилось в жизни. Активно исправляю это вот такой

Ссылка скрыта от гостей

, в свое время найти ее было крайне трудно.

Еще один важный момент, связанный с поиском. Иногда, есть такие вопросы, на которых точных ответов нету. Например, у вас какая-то новая ошибка, которая не у кого не встречалась. Такое редко, но случается. Тогда нужно разбирать проблему в общем смысле. Допустим у нас ошибка: "Socket Error : 0x00005034". Точной информации нету. То ищем тогда: "Socket Error:". Выясняем общие причины, почему может появляется ошибка.

6. Как закрепить и ускорить процесс обучения в ИБ?​

И теперь разобравшись в своих мыслях, целях, желаниях. Выстроив себе план обучения, общий КПД вызрастет. Но можно ли еще ускорить процесс? Конечно можно! Практика, практика и еще раз практика! Отличие профессионала от новичка, лишь в том, что профессионал имеет большой багаж опыта, которым он активно пользуется, зная что делать при определенных ситуациях. Тем более, знания, которые мы применили на практике, мы уже не забудем, практика- самый лучший способ научиться чему либо. По этому сразу нужно стараться где-то применить свои знания на практике. Изучили какой-либо инструмент, сразу идем пробовать и осваивать его! Для этого нам понадобяться цели, которые можно атаковать, ни в коем случае не пробуем атаковать какие либо чужие сайты, сервера и другую инфраструктуру!!!

7. Где практиковаться в кибербезопасности: лучшие платформы и ресурсы​

Площадки:

1. Hackerlab // Ведущая платформа для обучения и развития навыков в области кибербезопасности, предлагающая практические курсы и инструменты для освоения современных методов защиты информации.
2. Ссылка скрыта от гостей
   //Площадка для практического применения своих навыков, тут квесты и задачи разной тематики, и тестовые машины, здесь каждый найдет свою направление. Канал форумчанина, к уровню которого стоит стремиться
3. Ссылка скрыта от гостей
   // Также плащадка для практики, с интересными задачами, квестами и т.д
4. Metasploitable // Образ для виртуальной среды, тестовая машина с множеством уязвимостей. Разворачиваем на VMWare или Vbox. И изучаем процесс эксплуатации уязвимостей. На форуме есть инструкция (Руководство по эксплуатации Metasploitable 2 ) по всем атакамю.
   Ссылка скрыта от гостей
   А тут-
   Ссылка скрыта от гостей
   . Читаем, изучаем, пробуем.
5. CTF // Она же Capture the Flag. CTF — это командные соревнования, целью которых является оценка умения участников атаковать и защищать компьютерные системы. Проще говоря кибер-турнир по Информационной безопасности, подробнее
6. Конференции, мероприятия, митапы и т.д. // Обобщенная тема, ибо любые ИБ мероприятия, это какой-никакой опыт, возможность пообщаться в живую с коллегами. Участие в них как участник, ну а в перспективе как докладчик)

8. Выбор оборудования для специалиста по ИБ: ноутбук или стационарный ПК?​

Тоже довольно часто задаваемый вопрос на старте. Если честно, тут каждый выбирает сам. Если не можешь определиться, то задай себе вопрос. Каков бюджет и как часто я буду передвигаться? Если передвижений много, то тут нужно выбирать лаптоп, легкий по весу и автономный. Характеристики также зависят от бюджета. По комплетующим: по процессор : i3/i5/i7, выбираем оптимально между мощность и энергозатратами. ОЗУ DDR 3-4 8-16гб. Жесткий диск - ssd SATA или m2 формат(меньше но дороже)- от 120 гб. Из дополнений, экран желательно IPS с тонкими рамками, удобнее и глаза меньше устают. Но учтите что иметь огромные мощности при маленьком весе и автономности, просто невозможно. Ну или же таскать с собой огромный powerbank (для старта автомобиля) с размером и весом кирпича. Следствии чего, упор советую делать на автономность и легкость! А если нужны вычислительные мощности, можно использовать VPS, коннектиться удаленно и работать с сервера. Если же передвижений минимум, и бюджет не особо велик, то тут выбор в сторону ПК. Это дешевле и мощнее, к тому же есть возможность выбрать монитор, или несколько. Подмечу, что не важно вообще с чего сидеть, тот же Linux можно на одноплатный пк поставить (Rassberry pi, Orange Pi и т.д), да хоть на телефон (не на все). Но для этого нужно уметь работать чисто в терминале. Что сразу новичок врядли осилет. По этому сначала, нужно выбрать самый удобный и простой способ ЛИЧНО ДЛЯ СЕБЯ! Чем удобнее и комфортнее, тем меньше ты будете отвлекаться на решение побочный трудностей.

Также, так как это StarterPack для новичков, куда же без стартового материала? Поэтому, держите -

Ссылка скрыта от гостей

Что входит?

1. Книжки - это необходимый минимум, то что необходимо прочитать, постарался собрать все самое свежее
2. Курсы - тут сборочка уже дополнительного материала, собрал там ссылки на курсы, которые информативны и понятны. Также там есть курс по самодисциплине
3. Статейки - сборник статей, почитать для общего развития, тематики самые разные

Подводя итог, я надеюсь, что максимально смог ответить и просветить всех тех, у кого были вопросы и сомнения, по поводу начинания своего пути в ИБ. Дальше все зависит сугубо от тебя. Если ты начнешь прилагать усилия каждый день, читать узнавать и пробовать, уже скоро ты почувствуешь, насколько широки твои возможности, что ты можешь гораздо больше, чем ты предполагал ранее. Каждому под силу достигнуть всех вершин, важно лишь не прекращать идти к ней. "Знаний недостаточно, ты должен применять их. Желаний недостаточно, ты должен делать". Удачи и достижения поставленных целей!

 

[Screwy Piero]

Нормас, спасибо

 

[Menschenfresser]

Очень хорошая статья! Всё по полочкам разложено.

 

[Xstage]

Ссылки в статье не работают. На моей стороне что то ?

 

[vadiculus]

Мужик я тебя от всего сердца благодарю!!! Особенно за материалы. Книг так много, глаза разбегаются. Спасибо! Удачи!

 

[Smart Chugaister]

StarterPackMaterial что то там нифига толком нету у кого была копия моет перезальете?

 

[Fmoiill]

Спасибо за такую огромную и структурированую пасту

 

[KentMir]

Здравствуйте! в Стартер паке очень мало материала. В некоторых разделах нечего нет. так и должно быть или у меня что-то не так или может стартер пак поломался?

 

[hitman20]

Наверно правообладатели удалили. Там заголовки остались по некоторым можно самому искать. Да и там нет такого ОГО-Го материала, чтоб горевать.
Все очень быстро продвигается, то что учил вчера, сегодня уже непригоден.
по этому ориентируйся на современные подходы, книги, курсы.
Но а вообще если "0", то там тебе ничего не нужен. Начинай с азов, как все работает, ОС, сети и т.д.

 

[Сергей Попов]

Статья обновлена 18 июня 2025 года. Приятного чтения!