Comments 29
Спасибо за интересную статью.
По-хорошему в ИБ подразделении обязательно нужно иметь толкового сетевого инженера, который только на этом и специализируется. Грамотный DBA в целом тоже далеко не лишним будет.
А то получится, как сейчас с "девопсами" - на все руки от скуки без понимания, что там под капотом.
Я по образованию безопасник, по профессии девопс. Ещё в студенчестве понял что ИБ у нас это про "преступления и наказания", соответственно, этим, преимущественно, занимаются менты(нынешние, бывшие, разного сорта смешение оных, иногда противоправное). Теперь, спустя значительное количество лет, я точно могу сказать, если вы толковому девопсу ставите задачи по ИБ, он с ними справится, без кучи макулатуры, но если вы бывшему менту поставите такую же задачу, у вас будет куча макулатуры, по которой вы быстро найдете виноватого.
Согласен с Вами полностью, должны быть ИБ специалисты обладающие определенными компетенциями в конкретной области.
В направлении безопасной разработки - несомненно. Но, допустим, из тестировщика может получиться пентестер, из админа - аналитик SOC, из дата-сайентиста - спец по антифроду и т.д. Карьерных треков не так мало. Хороший обзор - https://habr.com/ru/companies/pt/articles/800865/.
Что бы был рост из программиста/девопса и и.д, зп должна быть выше чем на сеньерных позициях. А такого в большинстве своём нет
Безопасник, который вырос из программиста
А это точно "рост"?
Будет хорошо если безопасник будет программист. А еще лучше если он вдобавок будет натаскан в бизнес-процессах и менеджменте. А еще еще лучше лучше если он к тому же будет сисадмин, тимлид, кок, сантехник, слесарь, сварщик... ну вы поняли. Таких людей надо растить, плюс совершенно необязательно, чтобы была именно последовательность погромист -> хацкер. Можно и скрипт-кидёнка научить смотреть в код и видеть там не-фигу.
В ОЙТИ вообще в любом узком направлении хорошо когда "... из программиста". Как и в любой сфере в принципе, где специализации расходятся ветками от какой-то одной исторически доминирующей "базы", хорошо если специалист натаскан по этой самой базе. Но это же очевидно, нет?
Идиотизм, а не статья
Кто не умеет - не пишет, зато на диване сидит и смотрит с высока
Не в защиту, в а общую конъюнктуру. Не стоит прям так однозначно кидаться "идиотизм/не идиотизм". Проблемы связанные с безопасностью стары как мир. Какие технологии, такие и проблемы с безопасностью. Вчера были слушающие трубки и стетоскопа, была актуальна безопасность акустических каналов. Сегодня компы из каждой дырки торчат, безопасность дырок в компах. Методическая часть никуда не смещается уже много десятков лет. Проблема разрыва поколений и технологий только осложняет управление данной проблемой.
Отсюда - "ерунда", что в статье совсем упущены "классические" старообрядчики безопасники. И про разрыв поколений и технологий... И т.д. можно долго мусолить эту тему.
Но в целом "статья"-то по делу. Проблема системного подхода в решении задач неклассической безопасности очень актуальна.
Поэтому вернее было бы ее назвать "неполная статья".
Вы совершенно правы. Про безопасность можно говорить очень и очень долго, в больших количествах. В данной статье я "кратко" высказал свои мысли о том почему все же безопасник должен быть именно "подготовленным" к "боевым" задачам, а не готовиться этому на "поле боя".
Я не согласен в такой манере, потому что зачастую навыки программирования безопаснику нужны также, как и навыки умения игры на банджо.
Это безумно комплексное и требующее большое количество трудозатрат и ресурсов навык, который требует также и релевантный опыт. В то время как обучение, на которое лично я трачу зачастую свое свободное личное время, можно потратить на более нужные навыки.
В статье же прям подчёркнуто, что хороший безопасник рождается только из разработчика, что опять же полный бред. Не очень много кто в целом работает с чем то большим, чем с API или конфигами, не говоря уже о рефакторинге.
IT отличная база для любой интеллектуальной профессии требующей системного подхода или оперирования данными.
За развернутый и развернутый материал благодарочка)
"Выросший из программиста" в этой статье противопоставляется кому? Безопаснику, получившему профильное образование? Сможет ли "выросший из программиста" мыслить категориями рисков, строить модели угроз, обрести ту самую "интуицию безопасника"? Я не занижаю важность владения разработкой, просто мне кажется это не первично
Первичным мне все же кажется разработка, нельзя построить модель угроз правильно не зная процесса в целом. И при этом, я с Вами полностью согласен, что программист без профильной подготовки не сможет стать качественным ИБ-шником и мыслить категориями рисков, строить модели угроз, обрести ту самую "интуицию безопасника"
Мдэ... Видимо, нашим разрабам в ИБ-шников не перерасти никогда, судя по их крайне наплевательскому отношению к этому вопросу. И в-целом, такое мнение складывается про всю когорту разрабов в-целом. Хотя, бывают и приятные исключения.
Спасибо за статью.
Но у вас не указанны одни из главных мотиваций.
Вот синьор разработчику, переквалифицированному на ИБ, не предложат больше чем его текущая ЗП.
Может есть примеры положительные, но за год поисков никто не предложил достойную позицию, хотя вроде и спрос есть.
Вопрос денег - вопрос сложный! Обычно как, если есть желание развиваться в конкретной области, допустим в ИБ, то и работу нужно искать там где ИБ будут ценить. А ценят ИБ там где есть финансовые и репутационные потери, смотрите в сторону банков, крупных агрегаторов ПНД, онлайн сервисов, торговых площадок и т.п.
Я не могу согласится с идеей, что безопасник должен расти из "программиста". По пунктам.
Чтобы поставит "тул" и начать с ним работу, надо иметь базовые навыки установки и "работы". Совершенно необязательно уметь такое ПО написать или вообще уметь программировать.
Чтобы построить безопасность вы должны выдать ТРЕБОВАНИЯ. Иначе получится не очень, так как люди изначально могли строить "решение" непонятно как, а потом надо много переделать (ну может не очень, но лучше требования иметь в начале). Тут перечисленные навыки в статье не нужны от слова совсем
Дальше требования надо проверять, в чем помогут многочисленные сканеры и другие "помощники". Самому сильно в деталях выяснять что и как не очень то и нужно.
Понятно на уровне enterprise нудно вижеть намного больше, так как стоит задача стратегически обчеспечить ИТ безопасность организации, но зачем тут навыки программиста - несяно
Итого возникает вопрос - зачем навык программирования в любом виде?
------------------
Да, конечно может показаться, что ... а-а-а-а, не зная как выглядит та или иная технология ее нельзя защитить. Но прикол в том, что саму настройку и защиту делают именно спецы. Программисты, даевопсы, админы, сетевики. Задача же безопаснитка выставлять требования, контролировать их выполнение и "стоять гейткипером", если какая-то редиска хочет небезопасное решение протащить в прод или куда-то еще
Конечно, описанные навыки в статье могут быть бонусом, но не более того
Почему безопасник должен расти из программиста