Jak začít kariéru v kybernetické bezpečnosti?

6
Jak začít kariéru v kybernetické bezpečnosti?

Průměrně 1 x měsíčně dostanu e-mail s dotazem, jak začít kariéru v kybernetické bezpečnosti. Vždy se snažím individuálně odpovědět, avšak kvůli časovým možnostem se nerozepíšu do takového rozsahu a hloubky, jak bych si přál. Protože kariéra v kybernetické bezpečnosti zajímá víc lidí, rozhodl jsem odpovědět detailněji a věnovat tématu celý článek.

Abych nevyprávěl jen o své cestě, poprosil jsem o sdílení zkušeností i své přátelé a kolegy z kyberbezpečnosti. Ptal jsem se, jak se k bezpečnosti dostali, odkud čerpají informace a kolik času oboru věnují. V tomto článku vám sdílím, co jsem zjistil.

Než se pro kariéru v kybernetické bezpečnosti rozhodnete…

Je tu pár odpovědí, které se mohou hodit.

Kolik IT znalostí bych měl mít, než se pustím do kyberbezpečnosti?

Startovní pozice tazatelů se velmi liší. Někteří již za sebou mají roky praxe v IT. Jiní svou profesi teprve hledají, případně ji chtějí radikálně změnit.

Já jsem nejdříve roky spravoval servery, sítě a lehce programoval. Až poté jsem se posunul k počítačové bezpečnosti. Cítím, že mi tato předchozí průprava velmi pomáhá. Když čtu nové materiály, nemusím si dohledávat, jak podkladové technologie fungují (např. IP, DNS, AD, VPN). Stačí mi z textu extrahovat, na co je třeba si dávat pozor nebo jak se technologie zneužívají. To mi šetří čas a zároveň si věci lépe pamatuji (mám na co navazovat).

Na druhou stranu znám kolegy, kteří naskočili rovnou na kyberbezpečnost. Třeba Pavel Matějíček (spajk.cz) nebo Marek Jílek (rozhovor „U Kulatého stolu“). Oba jsou v oboru velice dobří, ačkoliv roky předtím nestrávili správou síti a serverů.

Myslím si, že předchozí zkušenosti jsou přínosné, nikoliv avšak nezbytné. Zároveň jsou tu „mladé“ technologie a směry (např. Docker, MS Azure), u kterých začínáme všichni tak nějak na stejné startovní čáře.

Kolik peněz si vydělám?

Pokud vás motivují především peníze, nejsem si jistý, zda volíte správně. Překvapivě ne proto, že bych chtěl moralizovat. Jen si myslím, že to není obor s nejlepším poměrem cena/výkon. IT bezpečnosti musíte věnovat opravdu hodně času (viz další kapitola) a dobu potrvá, než budete schopný se tím živit. Aby to člověk cestou nevzdal, myslím, že je třeba mít tento obor rád. 😊

Pohledem do mzdových průměrů (např. „Mzdy a platy v českém IT v roce 2020: Největší nárůst u programátorů“) se dozvíme, že mzda „Bezpečnostního inženýra“ v Jihomoravském kraji se pohybuje 40-80 tisíc Kč hrubého. Mzda vývojáře (3-5 let praxe) pak 50-80 tisíc Kč hrubého. Vypadá to, že mzdy jsou vyrovnané. Ano, vím, je nutné brát to s rezervou – jedná se o široká rozmezí, bez bližších informací a otázkou je i přesnost samotného průzkumu. 😊

Mzdy v kybernetické bezpečnosti
Obrázek 1: Zdroj: https://businessworld.cz/business-rizeni-podniku/prehled-platu-v-ceskem-it-7020

Pokud jde někomu jen o peníze, řekl bych, že jako programátor bude mít cestu snazší a rychlejší. 😊

Do budoucna očekávám, že mzdy lidí v IT bezpečnosti porostou rychleji než u programátorů. Odborníků je a bude potřeba čím dál více – s tím, jak si svět začíná uvědomovat, že kybernetická bezpečnost je nezbytná. Zároveň si myslím, že stát se dobrým hackerem/obráncem obnáší více studia, než na dobrého programátora (snad mě za to neukamenujete 😇).

Kolik času tomu musím obětovat?

Jak dobří chcete být? Obor IT bezpečnosti považuji za velice rozsáhlý. Jsou tu specializace podle „odvětví“, např.: infrastruktura, webové aplikace, cloud, průmyslové sítě, embedded zařízení. Tak i specializace na konkrétní technologie třeba Active Directory, Microsoft Windows, GNU/Linux, Microsoft 365. Myslím, že není v silách jednoho člověka umět úplně vše.

Druhou „obtíží“ je vývoj celého odvětví. Neustále se objevují nové technologie či vychází další verze těch současných. Jakmile se přestanete vzdělávat, za pár let nebudete v oboru moc k užitku.🙁

Já trávím prací zhruba 10 hodin denně, k tomu veškeré svátky a téměř každou neděli. Většinu času v týdnu mi zabere firemní agenda, rozvoj technologií, konzultace. Na rozšiřování znalostí pak připadají právě svátky a neděle. Během nich mám prostor si zkoušet nové věci, koukat na přednášky a různě experimentovat. I přes všechen ten čas je můj seznam literatury a přednášek ke shlédnutí delší a delší. Například certifikaci OSCP jsem si dělal právě o víkendech a svátcích.

Řada kolegů, se kterými se potkávám na konferencích, to má obdobně. Svému koníčku/práci věnují veškerý svůj volný čas.

Samozřejmě, že člověk se učí i během běžné práce. Jde jen o to, jak rychle a jak daleko chce kdo v oboru dojít. Holt IT bezpečnost není obor, kde člověk absolvuje týdenní kurz a všemu rozumí.😊

Jako rozumné východisko vidím, že člověk musí mít IT bezpečnost rád. Tím pádem to nebere jako přemlouvání se k učení, ale jako zábavu, hraní si, testování.

Kde začít kariéru v kybernetické bezpečnosti?

Jistě teď mnohé potěším – abyste se dostali do IT bezpečnosti, nepotřebujete 💰 peněz.

  • Na internetu naleznete gigantickou porci kvalitního obsahu, který je dostupný zdarma.
  • K virtualizaci (simulaci) celé sítě stačí běžný domácí počítač nebo můžete využít bezplatných online labů.
  • Většina programů nabízí bezplatné zkušební verze.

Sám bych si přál, kdyby toto všechno bylo dostupné v době, když mi bylo 13 let.

Někteří si možná řeknou: „No jo, ale já teprve začínám a těm X článkům/ technologiím/webům… zatím nerozumím.“ V tom případě to berte jako „rozcestník“ k tomu, co se naučit. Vždy když něčemu nerozumíte, najděte si k tomu skrze Google více informací. Případně se zkuste podívat na bezplatný kurz „Internet privacy and security course“, který probírá základy.

Weby a blogy

Existuje řada dobrých webů, kde zjistíte, co se právě ve světe IT bezpečnosti děje. Stejně tak je řada dobrých blogů, kde různí výzkumníci sdílí svá zjištění a rozebírají své postupy.

Níže sdílím aktuální seznam blogů a webů, které sleduji. Ideálně ke sledování využijte nějakou „agregační“ službu, která vám vše shrne na jednom místě. Bude to pohodlnější, než procházet web za webem.😊 Já používám Feedly.com a skrze adresu https://feedly.com/i/cortex si můžete naimportovat celý můj feed. Každé ráno cestou do práce sjedu většinu novinek.

Přednášky

Na YouTube naleznete kanály s přednáškami z mezinárodních konferencí (vstupné často stojí dost peněz) či výuková videa od odborníků světové úrovně úplně zdarma.

Na záznamech z přednášek mám rád, že je můžu zhlédnout zrychleně (většinou koukám v rychlosti 1.75) a můžu přeskakovat známé pasáže:

CTF či hackovací hry

Naučenou teorii si vyzkoušejte v praxi. K tomu nejlépe poslouží různé CTF (capture the flag) hry. Ty představují takovou virtuální „střelnici“, kde si hackování legálně vyzkoušíte. Těšit se můžete na různé obtížnosti a pečlivě připravená zadání, která velice dobře simulují reálná prostředí.

Mezi nejznámější hackerskou hru současnosti patří zřejmě „Hack The Box“ (základní přístup je zdarma). Čekají vás celé virtuální stroje obsahující jak zranitelnosti (různé úrovně, každý týden nový stroj), tak i jednotlivé úkoly z různých kategorií (cryptography, steganography, reverse engineering, web apps, app cracking). Tvůrci si s tím perfektně hrají včetně gamifikace. Já sám jsem na HTB strávil pár stovek hodin.😊 Za další zajímavé hackerské hry považuji:

Některé CTF jsou koncipovány formou soutěže (či vícekolového turnaje). Soutěžící se předhánějí, kdo dojde nakonec jako první, nebo kdo nasbírá nejvíce bodů. Minulý rok jsem si zahrál „The Catch 2020“ od Cesnetu a „Holiday Hack Challenge 2020“ od SANS.

Hackovací hry dobře poslouží k učení, nejen k tréninku. Častokrát totiž narazíte na novou technologii/techniku/aplikaci, ke které nezbývá než si mnohé načíst, abyste ji překonali.

Kurzy a certifikace

Kdo nerad studuje sám, může se přihlásit do kurzu. Kdo před sebou potřebuje vidět cíl, může studovat na certifikaci. Na bezpečnostní kurzy a certifikace už ale musíte mít nastřádané nějaké kačky. A mnohdy ne málo. O certifikacích jsem psal samostatný článek „Můj pohled na IT certifikace MCSE, CCNP, ECSA, CHFI, OSCP“.

Alternativně koukněte na Coursera.org, kde lze najít kvalitní kurzy zdarma. Osobně jsem tam žádný kurz z  IT Security nezkoušel. Avšak studoval jsem „Bitcoin and Cryptocurrency Technologies“ od Princeton University a byla to vážně pecka.

Kde si najít práci v kybernetické bezpečnosti?

Ohledně hledání práce nepředám příliš osobních zkušeností, jelikož celý život pracuji jen pro jednu společnost (www.patron-it.cz).😇 Sdílím tedy to, co jsem viděl a slyšel od přátel:

Jelikož je o „bezpečáky“ velký zájem, předpokládám, že vám hledání nové práce příliš dlouho nezabere. Začít se dá s weby inzerujícími volné pozice jako jobs.cz. Pokud sledujete svoji „vysněnou firmu“, kde byste si jednou přáli pracovat, mrkněte na jejich stránky a nenechte se odradit tím, že třeba aktuálně nikoho nehledají – proaktivně bych jim napsal (to říkám z pozice zaměstnavatele). Zajímavé nabídky práce uvidíte i na webu „hackthebox.eu“, který jsem už zmiňoval. Čím více „bodů“ tam nahrajete, tím lepší nabídky práce se vám odemknout.😊

Networkujte na off-line konferencích, účastněte se různých „hackovacích“ soutěží, publikujte vlastní výzkum na svůj blog/podcast/Twitter/LinkedIn. Tím zvýšíte pravděpodobnost, že vás někdo osloví s velice zajímavou neveřejnou nabídkou práce.

Stejně tak můžete pracovat jako freelancer (živnostník) najímaný na projekty. Nebo „lovec odměn“, který vydělává objevováním zranitelností u firem, které mají „bug bounty“ program (např. skrze platformu Hackerone.com).

Závěr

Rozhodně – v každém případě – nejdůležitější je ZAČÍT!!!

Hodně lidí skončí svoji kariéru u plánování a snění. Je to škoda. Prostě se do toho pusťte. Po pár dnech/týdnech ucítíte, zda s každou novou znalostí roste hlad po dalších, nebo se přistihnete, že prokrastinujete jako o zkouškovém.😊

Nelámejte si hlavu s tím, že je řada lidí v oboru již dlouho a má před vámi náskok. Stále se objevují nové technologie, které jsou velice odlišné od těch stávajících a všichni se ocitáme na stejné startovací čáře. Třeba správa „on-prem“ řešení je dosti jiná než správa „cloudových“ řešení. Správců, kteří dobře rozumí Active Directory, je hodně, avšak Azure Active Directory je úplně jiná věc (jiný princip správy, ověřovací protokoly, nástroje pro správu). Obdobně mně přijde, že i DevOps se hodně rychle vyvíjí (např. „kontejnery“).

IT bezpečnost je těžký obor kvůli množství znalostí, které musíte získat. Avšak pokud vás to chytne, je to skvělý koníček, který vás naplní a dobře uživí.

Mějte se fajn. Budu rád za sdílení vašich zkušeností, zajímavé komentáře i postřehy.

Martin

PS: Do PATRON-IT do Hradce Králové obsazujeme pozici Ochránce a správce firemního IT. Noví kolegové u nás začínají jako IT správci/admini. A ačkoliv bezpečnost u nás na určité úrovni musí znát každý, tak nabízíme i možnost proniknout do bezpečnosti mnohem hlouběji a specializovat se.

Líbí se vám témata, o kterých píši?

Abyste nemuseli kontrolovat, jestli už vyšel nový článek, rád vám ho ihned po zveřejnění pošlu do e-mailu. Každý kontakt, který mi poskytnete, si nechám vždy jen pro sebe.

  1. Zdravím Martine,

    vyčerpávající článek jako vždy. HackTheBox je skvělá platforma a stejně tak mohu doporučit i TryHackMe, která je pro lidi, kteří spíše začínají s kyberbezpečností od úplné nuly. Chtěl jsem se ještě zeptat, s jakými certifikacemi se k vám (nebo obecně do bezpečnosti) lidi nejčastěji hlásí a jaké certifikace je dobré mít?

    Děkuji za odpověď.

    • Dobrý dotaz 😊. Naprostá většina lidí, co se k nám hlásí, žádné certifikáty nemá. Pokud ano, bývá to MCSA, CCNA, či MTCNA. Je to ale tím, že u nás nabíráme dospod. Nové kolegy pak zaučujeme, a postupně se ve firmě posouvají dál (s tím jak rostou jejich znalosti a zkušenosti). U lidí se snažíme hlavně hledat talent, cit a lásku pro IT. Pokud to mají, víme, že se budou posouvat rychle a zapadnou do kolektivu 😀.

      V oboru se nejčastěji potkávám, že mají lidé CEH. Ten je často zmiňován i ve výběrových řízeních a poptávkách. Tou certifikací člověk nic nezkazí. Avšak na druhou stranu je to poměrně komerční záležitost a v komunitě se to netěší takovému uznání/jménu jako třeba OSCP.

  2. Ahoj,
    mě by asi nejvíc zajímalo, jak lze tohle skloubit s rodinou, rodinným domem, sociálním životem a tak. A jak se to projevilo na tvé hodinovce. Připadá mně, že na to čas vůbec při učení není. Z toho mi pak ale vyplývá, že ta výsledná přidaná hodnota je spíš záporná. Peníze nelze měřit časem stráveným se svými dětmi.

    • Ahoj, ptáš se velice dobře – všichni máme stejných 24 hodin každý den a je to o tom jak je rozdělíme mezi činnosti. Každý člověk je v jiné situaci, má jiné priority, cíle, možnosti atd. proto každý bude mít jiné řešení/odpověď na tu otázku ☺.

      Nicméně mi to připomíná jeden (nejspíše smyšlený příběh) který jsem někdy četl/zaslechl:
      Po klavírním koncertu se ptá reportérka klavíristy: „Mistře, jak to děláte, že hrajete tak senzačně? Já bych dala život za to, když bych dokázala hrát jako Vy.“
      On jí odpovídá: „Já ho za to dal!“

  3. Ahoj Martine, hezký článek, pěkný vhled od Tebe jako autora na certifikace.
    Za mě, CCNA je dobrý krok pro začátečníka jak získat základy a mě osobně to dalo hrozně moc (absolvoval jsem to ještě na škole před cca 10ti lety). Certifikace může být konkurenční výhoda u pohovoru, certifikace nastíní koncept, informace jsou zasazené do kontextu a celkově to potom dává všechno větší smysl. Na druhou stranu když se člověk prezentuje nějakou aktivní certifikací třeba právě na pohovoru, nebo u zákazníka, měl by obsah ovládat, jinak to může člověka poměrně slušně zdiskreditovat. Dnes vidím na druhou stranu hodně příležitostí kde na internetu shánět informace….e-learningy, virtualní laby a člověk není tak závislý na specializovaném HW jako dříve. Osobně mám zkušenosti se cbtnuggets.com, pluralsight.com, ine.com, networklessons.com, acloudguru.com (byvala linuxacademy.com) a vřele doporučuji, spousta kvalitního obsahu, často i vč. labů v cloudu. Celkově si myslím, že se studium a sebevzdělávání stane „nutnou“ součástí života i ve volném čase po práci. Jedině kontinuální studium člověku pracujícím v IT zajistí, že bude u aktuálních, zajímavých projektů a „neujede mu vlak“.

    • Ahoj Mirku, taky si myslím, že v IT (správě/bezpečnosti) je nutné se neustále vzdělávat. Technologie se velice rychle vyvíjí/mění. Ten kdo pár let zaspí, skončí buď bez zakázek, nebo bude pro svého zaměstnavatel/zákazníka nebezpečný. Vím, že s tím, jak je lidí v IT nedostatek pracujeme všichni od nevidím do nevidím, ale čas na vzdělávání je opravdu třeba si najít. Je to pak takové dilema mezi tím „pracovat tvrdě“ a „pracovat chytře“. Připomíná mi to ten vtip/“moudro“:

      Dřevorubec v lese řeže pilou dříví. Pracuje tvrdě, do úmoru, nedívá se okolo, nezastavuje se, pot z něj jen stříká. Přijde k němu druhý a říká: „Co tady proboha děláš?“ A náš dřevorubec na to: „Však vidíš, řežu dříví, všechno to musím mít do večera hotové“. Ten první: „A proč si proboha nenabrousíš tu pilu?“ Náš dřevorubec: „Však jsem ti říkal, musím to mít do večera hotové. Nemám čas na nějaké broušení!“

      Díky za nasdílení stránek s výukovými materiály 👍🏼!

Leave a Reply