Знание AppSec не освобождает от знания DNS 👨‍🏫

В positive research вышло интервью Кирилла Мякишева (CISO Ozon), и в нем прозвучало несколько вопросов про высшее образование в ИБ 👨‍🎓👩‍🎓

Я разделяю точку зрения Кирилла 👇

— Технологии меняются быстрее, чем вузовские программы. Это можно назвать проблемой для рынка ❓

🔙 Да, но она гораздо менее актуальна, чем падение хардовых скилов. Вуз — это не про актуалку, он должен давать фундаментальные знания. Матчасть не так уж сильно изменилась с тех лохматых лет, когда был написан RFC на DNS. А вот погружение в тренды — уже ответственность студентов. Вокруг полно сайтов и телеграм-каналов с разборами уязвимостей, ИБ-статьями и т. д. — возможностей предостаточно. Еще 15 лет назад, когда учился я, единственным способом получить актуальные знания была работа в ИТ- или ИБ-компании…

Так что не надо перекладывать на вузы вину за то, что студенты не следят за трендами. Сегодня в этом нет ничего сложного. К слову, на собеседованиях мы спрашиваем кандидатов, какие крупные уязвимости и инциденты последних лет они знают. Это сразу помогает понять, интересуется ли человек кибербезом 🔜

— Какие требования вы предъявляете к стажерам? Это должны быть студенты именно ИБ-факультетов или ИТ-специалисты тоже подойдут? Какие технологии им нужно знать и в чем разбираться ❓

🔙 Здесь все по классике: в первую очередь нужно желание учиться. Горящие глаза для нас важнее, чем конкретные скиллы. Но база все-таки нужна — я в этом плане старовер и считаю, что ИТ-матчасть должны знать все. Поэтому даже кандидатов на ИБ-позиции ждут вопросы по устройству сетей, ОС, по криптографии и программированию. Сейчас на рынке наметился тренд на снижение уровня хардовых скиллов. Это ужасно, и я пытаюсь с этим бороться — по крайней мере, в рамках моей зоны ответственности.

Отмечу, что ИБ-базу можно освоить и не обучаясь на ИБ-специальности, поэтому айтишников мы тоже берем. Достаточно хотя бы немного быть в тренде: досконально разбираться в DLP необязательно, а вот понимать, как работает DNS, необходимо. Если человек знает айтишную базу, мы поможем ему подтянуть ИБ-скилы 🔜

— С чем связано падение хардовых скилов на рынке ❓

🔙 Выскажусь немного субъективно: когда ИТ-специалистов готовили всего несколько университетов с хорошо проработанными программами, оттуда выходили лучшие из лучших. Сейчас образовательных программ стало так много, что их качество неизбежно снижается. Кроме того, появилась масса обучающих онлайн-платформ: школы, курсы, вебинары, видео на YouTube и т. д. Круто, когда человек стремится в профессию и проходит онлайн-курс по ИБ. Но этого мало — сначала прочитайте «Компьютерные сети» Таненбаума🔜

— Ощущаете ли вы кадровый голод? Если да, то с чем это связано ❓

🔙Ощущаем, как и весь российский рынок.... Тем не менее по некоторым направлениям у нас все еще открыто много вакансий. Например, не хватает AppSec-инженеров. Почему? Потому что на рынке полно специалистов, которые просят немалые деньги за свои ИБ-компетенции, но при этом не знают, как работает все тот же DNS. Я считаю, что знание AppSec не освобождает от знания DNS. Аналогичная проблема была с DevSecOps-специалистами: несколько лет назад вокруг них тоже был страшный ажиотаж 🔜

#вузы #ozon

Власти за два года (2021-2024) потратили 820 миллионов на кибергигиену чиновников, граждан и ИБ-образование

🔙Минцифры получили 820 млн руб. на мероприятия по повышению уровня кибергигиены широких слоев населения и госслужащих, а также переподготовку профессорско-преподавательского состава (ППС) и выделения грантов аспирантам на исследования в области ИБ. Указанные мероприятия были реализованы совместно с СПбГУТ и ГК «Солар».

1️⃣ Так, 287 млн руб. было выделено на разработку программы кибергигиены и грамотности широких слоев населения по вопросам ИБ. Всего указанной программой было охвачено 10,9 млн человек.

2️⃣ Гранты аспирантам и молодым ученым на исследования в области ИБ

Следующее запланированное мероприятие - это выделение грантов аспирантам и молодым ученым и проведение научно-образовательных и проектных мероприятий в области ИБ для задач цифровой экономики. На него было выделено 285 млн руб.

3️⃣ Переподготовка профессорско-преподавательского состава в области ИБ

Следующее мероприятие связано с повышением квалификации и осуществлением проф. переподготовки профессорско-преподавательского состава в области ИБ. На его реализацию было выделено 199 млн руб.

Предполагалось проведение анализа федеральных гос. образовательных стандартов высшего образования, проф. стандартов и программ доп. образования в области ИБ, а также тенденций развития индустрии ИБ на соответствие целям и задачам цифровой экономики с учетом информационных угроз.

В том числе был проведен опрос организаций работодателей о востребованности компетенций специалистами в области ИБ и проведен анализ состояния кадрового обеспечения реализации ООП (основные образовательные программы) в образовательных организациях и определение потребности в повышении квалификации и проф. переподготовки профессорско-преподавательского состава.

Было разработано не менее 8️⃣ программ повышения квалификации (объемом 40-72 часов для каждой программы), не менее 4️⃣ программ переподготовки (объемом не менее 360 часов для каждой программы), а также УМК для каждой программы. Планировалось, что к 2025 г. будет переподготовлено не менее 1,2 тыс. научно-педагогических работников 🚀

4️⃣ Олимпиады в области информационной безопасности

Еще одно мероприятие - проведение олимпиад и интеллектуальных соревнований в области ИБ, в том числе с использованием возможностей государственной поддержки талантливой молодежи, ориентированной на деятельности в области ИБ. На данное мероприятие было выделено 49 млн руб.🔜

Источник

#минцифры #федеральный_проект

Вчерашняя новость о финансировании оказалась сообщением двухлетней давности 😔

Коллеги объяснили мне, что эта новость относится к государственному проекту, который действовал с 2021 по 2024 год.

Все пункты проекта были выполнены 🫡, а основными показателями его качества стали проведенные мероприятия и количество обученных слушателей (см. рисунок). Вот такие дела.

#федеральный_проект

Ожидания студентов vs реальность преподавания кибербеза в вузах

Я тут недавно читал лекцию для первокурсников, которые учатся на ИБ. Спрашиваю их, зачем они сюда пришли, почему выбрали именно эту специальность.

Большинство промолчали, но некоторые ответили так:
1️⃣ разрабатывать антивирусы;
2️⃣ взламывать системы, потому что белые хакеры могут работать удалённо;
3️⃣ расследовать компьютерные преступления.

В общем, у студентов есть свои ожидания от учёбы. У меня, когда я поступал на ИБ в 2003 году, были похожие 😄

Далее в ответ на ожидания мы объясняем студентам, что в учебном плане такого нет, что вуз учит учиться, даёт фундаментальные знания, учит мыслить и произносим другие правильные/красивые слова. Не всем студентам такое понравится 🤷

Мне кажется, это какое-то фундаментальное противоречие между тем, чего студенты ждут от учёбы на ИБ, и тем, что мы им реально рассказываем в вузе.

#вуз #студенты

Анонс выступлений

В ближайшее время у меня будет несколько выступлений. Сначала в Питере на студенческом GIS DAYS, потом в Москве на CyberCamp.

🗣 Расскажу про то, как появилась схема профессий в кибербезопасности cybersecurity-roadmap.ru (в PDF), как она развивается и как ей пользоваться.

Следите за трансляцией, записью поделюсь 🫡

#афиша

Выступление на студенческом GISDAYS

Делюсь записью и презентацией своего короткого выступления в Питере 🫡

#gisdays

Выступление на CyberCamp 2024

Это был мой первый опыт участия в онлайн ток-шоу, посвященном кибербезу. Организация на высшем уровне 👍

Запись трансляции доступна по ссылке VK (презентация тут 📕)

Ждем, когда выступления выложат отдельно, чтобы посмотреть все доклады 👀

#cybercamp

Про школу преподавателей кибербезопасности

Второй год подряд мы в Positive Technologies 🟥 запускаем бесплатную школу преподавателей кибербезопасности 🚀

В этом году проект стартует в партнерстве с МГТУ им. Н. Э. Баумана и при поддержке Минцифры 🔥

Перечислю модули, которые предстоит изучить слушателям:
— Методология результативной кибербезопасности.
— Основы ИТ для понимания работы компьютерных систем и сетей.
— Практическая кибербезопасность с рассмотрением современных атак и способов защиты.
— Белый хакинг для нахождения уязвимостей в информационных системах.
— Учебный кибертренажёр для отработки навыков реагирования на кибератаки.
— Гибкие навыки для преподавателей, включая коммуникативные и организационные навыки.
— Безопасная разработка.
— Безопасность ИИ.
— Безопасность Web3.
— Профориентация в кибербезопасности: знакомство с профессиями, их особенностями и требованиями к специалистам.

Подробности на сайте проекта: https://school.edu.ptsecurity.com

PS. итоги первого потока в журнале positive research 📕

#шпк

Социальная информация ℹ️

Очередная беседа с Атамановым Г.А., в этот раз затронули следующие темы:

1️⃣ Что такое «социальная информация»?
2️⃣ Функции социальной информации
3️⃣ Свойства социальной информации
4️⃣ Модель формирования знания

👉 Полностью запись беседы доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке, монография тут 📕

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

Архив бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория? Зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация

#подкаст #атаманов

Научить кита летать (коан кибербез образования)💡

Однажды ученик 🤓 подошёл к Мастеру Лу 🤠 с вопросом: как познать практику кибербезопасности?

Мастер взял бумагу и сделал из неё кита 🐳 Затем он сказал:

— Для начала научи кита летать...

Ученик задумался, но вскоре понял, что это невозможно. Тогда он спросил:

— Как же мне это сделать, Мастер? 🤓

Мастер улыбнулся и ответил:

— Когда ты поймёшь, как научить кита летать, ты постигнешь практику кибербезопасности 🥷

#коаны

Альманах «ИБ-пророк» доступен онлайн 🔥

В книге собраны 22 уникальных прогноза визионеров, признанных экспертов в области ИБ. Они поделились своим видением развития отрасли на ближайшие три года 🤔

От редакции
Беседа с Александром Белявским
Беседа с Лидией Витковой
Беседа с Сергеем Груздевым
Беседа с Дмитрием Гусевым
Беседа с Данилом Заколдаевым
Беседа с Дмитрием Зегжда
Беседа с Натальей Касперской
Беседа с Русланом Киричек
Беседа с Сергеем Кирюшкиным
Беседа с Игорем Котенко
Беседа с Алексеем Лукацким
Беседа с Денисом Макрушиным
Беседа с Ильей Маркеловым
Беседа с Андреем Масаловичем
Беседа с Константином Мушовец
Беседа с Николаем Нашивочниковым
Беседа с Сергеем Полуниным и Дмитрием Овчинниковым
Беседа с Николаем Сивак
Беседа с Дмитрием Служеникиным
Беседа со Станиславом Смышляевым
Беседа с Рустэмом Хайретдиновым и Андреем Вишняковым
Беседа с Александром Шойтовым

#GIS_DAYS

Недопустимые события. Научный подход

Готовлю материалы к занятиям в вузе по методологии кибербеза, добрался до понятия недопустимое событие 🤔

И вот, что получилось 👀

#термины #резбез

Мечта о диссертации про кибербез образование

Мечтаю о том, чтобы нашелся талантливый аспирант, который, изучив аналитические материалы (cybersecurity-education.ru) с этого канала, успешно защитит диссертацию ✍️ на тему образования в области кибербезопасности 🤓

Я наивно полагаю, что этот канал — лишь временное явление, а диссертация, написанная на основе собранных здесь данных, будет храниться в архиве ещё много лет и послужит источником вдохновения для будущих учёных 😇

Буду рад оказать консультационную и информационную поддержку автору такой диссертации 🤔

#мечта #диссертация

О подходах к оценке квалификации выпускников, обучающихся по направлению «Информационная безопасность»

Дмитрий Правиков, заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М.Губкина.

Выступление включает
1️⃣ Модель специалиста ИБ
2️⃣ Специфика рынка труда ИБ
3️⃣ Требования к специалистам ИБ

#видео #Реалии_и_Стратегии_КиберБезопасности #липецк

Седьмой выпуск подкаста про кибербез образование 🎶

В этот раз поговорили с Владимиром Николаевым, инженером отдела эксплуатация систем кибербезопасности в Positive Technologies.

Владимир в 22 года, будучи студентом четвертого курса, решил глубже погрузиться в кибербез и начал самостоятельно изучать разные направления. Первое время он никак не мог устроиться на работу и только коллекционировал отказы. Сейчас он работает в Positive Technologies и преподает в МТУСИ 👨‍🏫

👉 Подкаст доступен на Яндекс.Музыке , видео на RuTube и VK.

Таймкоды:
00:22 - О своей деятельности.
5:56 - Путь в кибербезопасность через ROM хакинг.
9:20 - Ожидания от университета.
10:28 - Про платное обучение в вузе.
13:34 - Физика в вузе и поиск первой работы, стажировка в Positive Technologies.
18:30 - Базовые знания и собеседования.
19:25 - Идея создания факультатива в вузе и обучение на старших курсах.
22:50 - Очередная попытка пройти собеседование.
27:48 - Три оффера одновременно и путь в Positive Technologies.
32:34 - Создание образовательной программы по кибербезу в вузе.
40:43 - Как правильно относиться к университету?
44:34 - Что вдохновляет преподавать?
48:41 - Про выбор темы для новой лекции.
54:34 - Как начать преподавать?
01:02:48 - Пожелания студентам первого курса.

Дополнительно: выступление Владимира на Standoff101 и выступление на PHDays 2 👷

#подкаст

Учебник важнее учителя? 🤔

Недавно мне в руки попала монография, посвященная проблемам качества математического образования. В ней обсуждается роль учебника.

Привожу цитату из этой монографии.

🔙 В управленческих и педагогических кругах часто слышится мнение, что учитель - более важный фактор обучения, нежели учебник. Мнение, по меньшей мере, поверхностное.

Бесспорно, что хороший учитель оказывает сильнейшее благотворное психологическое влияние на учащихся, стимулируя их мотивацию и организовывая познавательный процесс. Но хороший учебник влияет и на учащихся, и на учителя. Он даёт в руки учителя педагогически организованную систему учебного предмета, методически проработанную и выверенную длительным опытом многих поколений учителей. Тем самым он избавляет учителя от многих ошибок и вооружает правильной методикой преподавания.

Но главная функция учебника другая. Хороший, доступный учащимся учебник позволяет им самостоятельно добывать знания и осмысливать их.

Хороший учебник не пишется в один-два года по заказу министерства или для конкурса. Он не будет написан даже за десять лет. Он вырабатывается талантливым педагогом-практиком вместе с учащимися в течение всей педагогической жизни (а не профессором математики или академиком за письменным столом).

Хороший учебник не может появиться сразу. Любой учебник при своём первом появлении содержит массу педагогических, методических, стилистических и даже фактических ошибок, которые можно устранить только в процессе дальнейшей многолетней практической работы с ним. Работа эта состоит в систематическом выявлении затруднений учащихся при пользовании учебником, во внимательных наблюдениях за многочисленными ошибками учащихся, педантичной их фиксации с последующим вдумчивым анализом, отысканием новых методических решений, их практической проверкой и соответствующей коррекцией текста учебника 🔜

Согласны? 🤔

#учебник

Путеводитель по карьере в кибербезопасности

На русском языке издали книгу про карьеру в кибербезе. Читал ее в оригинале (Cybersecurity Career Guide by Alyssa Miller), поэтому про перевод ничего не скажу 📕

➕ Из плюсов:
- первая подобная книга на русском языке;
- помогает сформировать собственный карьерный план развития в кибербезе.

➖ Из минусов:
- ориентация на западную сертификацию;
- много рекомендаций в стиле: заведите блог, вступите в кибербез-сообщество, напишите качественное резюме (относится к любой сфере деятельности).

➡️ Напоминаю про отечественную 🇷🇺 интерактивную схему карьерных треков в кибербезе, которая активно продолжает развиваться: cybersecurity-roadmap.ru

#книга

Предложение для ФУМО ИБ про список рекомендованных ресурсов (литературы)

В проекте нового образовательного стандарта ФГОС 4 перечислены обязательные общепрофессиональные компетенции (ОПК) и результаты обучения по их достижению (знать/уметь).

По специальности Кибербезопасность я собрал ОПК в отдельный документ 🫡

✍️ Предлагаю к следующему Пленуму подготовить академическим сообществом список рекомендованных ресурсов по каждому из обязательных ОПК. Хорошо, если такой список появится по всем специальностям.

Подобный перечень может стать рекомендуемым и обновляться ежегодно с появлениям новых ресурсов (полезных монографии, учебников, пособий, статей и сайтов) 🤔

Это во многом упростит жизнь преподавателям и студентам 📕

Что думаете про идею? 🤔

#фумоиб

Вопросы для подготовки к собеседованию по кибербезу

В помощь начинающим специалистам по кибербезу я решил собрать интересные вопросы и распределить их по категориям (пока без перевода)

↘️ вопросы на GitHub

Один из вопросов, который мне показался интересным: если бы вы могли перепроектировать протокол TCP, что бы вы изменили? 🤔

Это не классический вопрос об отличиях TCP от UDP 🥱

Поделитесь в комментариях, какие вопросы на собеседованиях показались вам интересными? 📕

#собеседование