Jak začít kariéru v kybernetické bezpečnosti?

Průměrně 1 x měsíčně dostanu e-mail s dotazem, jak začít kariéru v kybernetické bezpečnosti. Vždy se snažím individuálně odpovědět, avšak kvůli časovým možnostem se nerozepíšu do takového rozsahu a hloubky, jak bych si přál. Protože kariéra v kybernetické bezpečnosti zajímá víc lidí, rozhodl jsem odpovědět detailněji a věnovat tématu celý článek.

Abych nevyprávěl jen o své cestě, poprosil jsem o sdílení zkušeností i své přátelé a kolegy z kyberbezpečnosti. Ptal jsem se, jak se k bezpečnosti dostali, odkud čerpají informace a kolik času oboru věnují. V tomto článku vám sdílím, co jsem zjistil.

Než se pro kariéru v kybernetické bezpečnosti rozhodnete…

Je tu pár odpovědí, které se mohou hodit.

Kolik IT znalostí bych měl mít, než se pustím do kyberbezpečnosti?

Startovní pozice tazatelů se velmi liší. Někteří již za sebou mají roky praxe v IT. Jiní svou profesi teprve hledají, případně ji chtějí radikálně změnit.

Já jsem nejdříve roky spravoval servery, sítě a lehce programoval. Až poté jsem se posunul k počítačové bezpečnosti. Cítím, že mi tato předchozí průprava velmi pomáhá. Když čtu nové materiály, nemusím si dohledávat, jak podkladové technologie fungují (např. IP, DNS, AD, VPN). Stačí mi z textu extrahovat, na co je třeba si dávat pozor nebo jak se technologie zneužívají. To mi šetří čas a zároveň si věci lépe pamatuji (mám na co navazovat).

Na druhou stranu znám kolegy, kteří naskočili rovnou na kyberbezpečnost. Třeba Pavel Matějíček (spajk.cz) nebo Marek Jílek (rozhovor „U Kulatého stolu“). Oba jsou v oboru velice dobří, ačkoliv roky předtím nestrávili správou síti a serverů.

Myslím si, že předchozí zkušenosti jsou přínosné, nikoliv avšak nezbytné. Zároveň jsou tu „mladé“ technologie a směry (např. Docker, MS Azure), u kterých začínáme všichni tak nějak na stejné startovní čáře.

Kolik peněz si vydělám?

Pokud vás motivují především peníze, nejsem si jistý, zda volíte správně. Překvapivě ne proto, že bych chtěl moralizovat. Jen si myslím, že to není obor s nejlepším poměrem cena/výkon. IT bezpečnosti musíte věnovat opravdu hodně času (viz další kapitola) a dobu potrvá, než budete schopný se tím živit. Aby to člověk cestou nevzdal, myslím, že je třeba mít tento obor rád. 😊

Pohledem do mzdových průměrů (např. „Mzdy a platy v českém IT v roce 2020: Největší nárůst u programátorů“) se dozvíme, že mzda „Bezpečnostního inženýra“ v Jihomoravském kraji se pohybuje 40-80 tisíc Kč hrubého. Mzda vývojáře (3-5 let praxe) pak 50-80 tisíc Kč hrubého. Vypadá to, že mzdy jsou vyrovnané. Ano, vím, je nutné brát to s rezervou – jedná se o široká rozmezí, bez bližších informací a otázkou je i přesnost samotného průzkumu. 😊

Pokud jde někomu jen o peníze, řekl bych, že jako programátor bude mít cestu snazší a rychlejší. 😊

Do budoucna očekávám, že mzdy lidí v IT bezpečnosti porostou rychleji než u programátorů. Odborníků je a bude potřeba čím dál více – s tím, jak si svět začíná uvědomovat, že kybernetická bezpečnost je nezbytná. Zároveň si myslím, že stát se dobrým hackerem/obráncem obnáší více studia, než na dobrého programátora (snad mě za to neukamenujete 😇).

Kolik času tomu musím obětovat?

Jak dobří chcete být? Obor IT bezpečnosti považuji za velice rozsáhlý. Jsou tu specializace podle „odvětví“, např.: infrastruktura, webové aplikace, cloud, průmyslové sítě, embedded zařízení. Tak i specializace na konkrétní technologie třeba Active Directory, Microsoft Windows, GNU/Linux, Microsoft 365. Myslím, že není v silách jednoho člověka umět úplně vše.

Druhou „obtíží“ je vývoj celého odvětví. Neustále se objevují nové technologie či vychází další verze těch současných. Jakmile se přestanete vzdělávat, za pár let nebudete v oboru moc k užitku.🙁

Já trávím prací zhruba 10 hodin denně, k tomu veškeré svátky a téměř každou neděli. Většinu času v týdnu mi zabere firemní agenda, rozvoj technologií, konzultace. Na rozšiřování znalostí pak připadají právě svátky a neděle. Během nich mám prostor si zkoušet nové věci, koukat na přednášky a různě experimentovat. I přes všechen ten čas je můj seznam literatury a přednášek ke shlédnutí delší a delší. Například certifikaci OSCP jsem si dělal právě o víkendech a svátcích.

Řada kolegů, se kterými se potkávám na konferencích, to má obdobně. Svému koníčku/práci věnují veškerý svůj volný čas.

Samozřejmě, že člověk se učí i během běžné práce. Jde jen o to, jak rychle a jak daleko chce kdo v oboru dojít. Holt IT bezpečnost není obor, kde člověk absolvuje týdenní kurz a všemu rozumí.😊

Jako rozumné východisko vidím, že člověk musí mít IT bezpečnost rád. Tím pádem to nebere jako přemlouvání se k učení, ale jako zábavu, hraní si, testování.

Kde začít kariéru v kybernetické bezpečnosti?

Jistě teď mnohé potěším – abyste se dostali do IT bezpečnosti, nepotřebujete 💰 peněz.

• Na internetu naleznete gigantickou porci kvalitního obsahu, který je dostupný zdarma.
• K virtualizaci (simulaci) celé sítě stačí běžný domácí počítač nebo můžete využít bezplatných online labů.
• Většina programů nabízí bezplatné zkušební verze.

Sám bych si přál, kdyby toto všechno bylo dostupné v době, když mi bylo 13 let.

Někteří si možná řeknou: „No jo, ale já teprve začínám a těm X článkům/ technologiím/webům… zatím nerozumím.“ V tom případě to berte jako „rozcestník“ k tomu, co se naučit. Vždy když něčemu nerozumíte, najděte si k tomu skrze Google více informací. Případně se zkuste podívat na bezplatný kurz „Internet privacy and security course“, který probírá základy.

Weby a blogy

Existuje řada dobrých webů, kde zjistíte, co se právě ve světe IT bezpečnosti děje. Stejně tak je řada dobrých blogů, kde různí výzkumníci sdílí svá zjištění a rozebírají své postupy.

Níže sdílím aktuální seznam blogů a webů, které sleduji. Ideálně ke sledování využijte nějakou „agregační“ službu, která vám vše shrne na jednom místě. Bude to pohodlnější, než procházet web za webem.😊 Já používám Feedly.com a skrze adresu https://feedly.com/i/cortex si můžete naimportovat celý můj feed. Každé ráno cestou do práce sjedu většinu novinek.

• Blogy:
  • ALTAIR.blog
  • Bill’s blog
  • Decoder’s blog
  • Fox-IT International blog
  • GCITS
  • Malwarebytes Labs
  • Ondřej Ševeček
  • PS C:\Users\itm4n> _
  • Troy Hunt’s blog
  • Vitali Kremez
  • Wilbur Security
• Weby:
  • BleepingComputer
  • Fire Eye Threat Research
  • Seclist – Full Disclosure
  • Krebs on Security
  • Sophos – Naked Security
  • The Hacker News
  • The Register – Security
  • Unit42
  • Wired – Security Latest

Přednášky

Na YouTube naleznete kanály s přednáškami z mezinárodních konferencí (vstupné často stojí dost peněz) či výuková videa od odborníků světové úrovně úplně zdarma.

Na záznamech z přednášek mám rád, že je můžu zhlédnout zrychleně (většinou koukám v rychlosti 1.75) a můžu přeskakovat známé pasáže:

• Black Hat
• Black Hills Information Security
• DEFCONConference
• Hacktivity – IT Security Festival
• IppSec
• RSA Conference
• Shakacon LLC
• TROOPERScon
• Wild West Hackin’ Fest

CTF či hackovací hry

Naučenou teorii si vyzkoušejte v praxi. K tomu nejlépe poslouží různé CTF (capture the flag) hry. Ty představují takovou virtuální „střelnici“, kde si hackování legálně vyzkoušíte. Těšit se můžete na různé obtížnosti a pečlivě připravená zadání, která velice dobře simulují reálná prostředí.

Mezi nejznámější hackerskou hru současnosti patří zřejmě „Hack The Box“ (základní přístup je zdarma). Čekají vás celé virtuální stroje obsahující jak zranitelnosti (různé úrovně, každý týden nový stroj), tak i jednotlivé úkoly z různých kategorií (cryptography, steganography, reverse engineering, web apps, app cracking). Tvůrci si s tím perfektně hrají včetně gamifikace. Já sám jsem na HTB strávil pár stovek hodin.😊 Za další zajímavé hackerské hry považuji:

• Bandit – OverTheWire
• gf0s Labs
• Root Me
• Hack Me
• Hacker101
• HackThis
• VulnHub
• CTF Time

Některé CTF jsou koncipovány formou soutěže (či vícekolového turnaje). Soutěžící se předhánějí, kdo dojde nakonec jako první, nebo kdo nasbírá nejvíce bodů. Minulý rok jsem si zahrál „The Catch 2020“ od Cesnetu a „Holiday Hack Challenge 2020“ od SANS.

Hackovací hry dobře poslouží k učení, nejen k tréninku. Častokrát totiž narazíte na novou technologii/techniku/aplikaci, ke které nezbývá než si mnohé načíst, abyste ji překonali.

Kurzy a certifikace

Kdo nerad studuje sám, může se přihlásit do kurzu. Kdo před sebou potřebuje vidět cíl, může studovat na certifikaci. Na bezpečnostní kurzy a certifikace už ale musíte mít nastřádané nějaké kačky. A mnohdy ne málo. O certifikacích jsem psal samostatný článek „Můj pohled na IT certifikace MCSE, CCNP, ECSA, CHFI, OSCP“.

Alternativně koukněte na Coursera.org, kde lze najít kvalitní kurzy zdarma. Osobně jsem tam žádný kurz z  IT Security nezkoušel. Avšak studoval jsem „Bitcoin and Cryptocurrency Technologies“ od Princeton University a byla to vážně pecka.

Kde si najít práci v kybernetické bezpečnosti?

Ohledně hledání práce nepředám příliš osobních zkušeností, jelikož celý život pracuji jen pro jednu společnost (www.patron-it.cz).😇 Sdílím tedy to, co jsem viděl a slyšel od přátel:

Jelikož je o „bezpečáky“ velký zájem, předpokládám, že vám hledání nové práce příliš dlouho nezabere. Začít se dá s weby inzerujícími volné pozice jako jobs.cz. Pokud sledujete svoji „vysněnou firmu“, kde byste si jednou přáli pracovat, mrkněte na jejich stránky a nenechte se odradit tím, že třeba aktuálně nikoho nehledají – proaktivně bych jim napsal (to říkám z pozice zaměstnavatele). Zajímavé nabídky práce uvidíte i na webu „hackthebox.eu“, který jsem už zmiňoval. Čím více „bodů“ tam nahrajete, tím lepší nabídky práce se vám odemknout.😊

Networkujte na off-line konferencích, účastněte se různých „hackovacích“ soutěží, publikujte vlastní výzkum na svůj blog/podcast/Twitter/LinkedIn. Tím zvýšíte pravděpodobnost, že vás někdo osloví s velice zajímavou neveřejnou nabídkou práce.

Stejně tak můžete pracovat jako freelancer (živnostník) najímaný na projekty. Nebo „lovec odměn“, který vydělává objevováním zranitelností u firem, které mají „bug bounty“ program (např. skrze platformu Hackerone.com).

Závěr

Rozhodně – v každém případě – nejdůležitější je ZAČÍT!!!

Hodně lidí skončí svoji kariéru u plánování a snění. Je to škoda. Prostě se do toho pusťte. Po pár dnech/týdnech ucítíte, zda s každou novou znalostí roste hlad po dalších, nebo se přistihnete, že prokrastinujete jako o zkouškovém.😊

Nelámejte si hlavu s tím, že je řada lidí v oboru již dlouho a má před vámi náskok. Stále se objevují nové technologie, které jsou velice odlišné od těch stávajících a všichni se ocitáme na stejné startovací čáře. Třeba správa „on-prem“ řešení je dosti jiná než správa „cloudových“ řešení. Správců, kteří dobře rozumí Active Directory, je hodně, avšak Azure Active Directory je úplně jiná věc (jiný princip správy, ověřovací protokoly, nástroje pro správu). Obdobně mně přijde, že i DevOps se hodně rychle vyvíjí (např. „kontejnery“).

IT bezpečnost je těžký obor kvůli množství znalostí, které musíte získat. Avšak pokud vás to chytne, je to skvělý koníček, který vás naplní a dobře uživí.

Mějte se fajn. Budu rád za sdílení vašich zkušeností, zajímavé komentáře i postřehy.

Martin

PS: Do PATRON-IT do Hradce Králové obsazujeme pozici Ochránce a správce firemního IT. Noví kolegové u nás začínají jako IT správci/admini. A ačkoliv bezpečnost u nás na určité úrovni musí znát každý, tak nabízíme i možnost proniknout do bezpečnosti mnohem hlouběji a specializovat se.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

Leave this field empty if you're human: