Стажировки в области кибербезопасности: из чего выбирать?

Стажировки в области кибербезопасности: из чего выбирать?

Стажировки в области кибербезопасности: из чего выбирать?

Как показали результаты недавнего эфира AM Live, посвященного вопросам развития системы профобразования в России в области кибербезопасности, компании достаточно неохотно берут в свой штат выпускников вузов по профильным специальностям.

Они отдают предпочтение специалистам, уже успевшим наработать необходимые навыки и получить практический опыт. Была названа также приблизительная оценка требуемого «опыта» – 2-3 года практического стажа в области ИБ.

Очевидно, что подобное отношение работодателей не может рассматриваться как нормальное в отношении выпускников вузов. Им приходится меньше уделять внимания обучению и уже на третьем-четвертом курсах оформляться на подработку, например, в качестве стажеров на первую линию SOC. Это – хорошая практика, но она мешает полноценному обучению. В результате темпы развития рынка снижаются.

В то же время позицию бизнеса также можно понять: большинство компаний, имеющих участки ИБ, не готовы поручать молодым специалистам, только что закончившим вузы, ответственные участки работ, связанные с кибербезопасностью. Там осознают, что молодые специалисты не могут нести полной ответственности за качество своей работы, не имея навыков и опыта.

Получается заколдованный круг. Как же рынок справляется с подобной ситуацией?

Объемы выпуска и потребность в ИБ-специалистах в России

 

Очевидно, что проблема должна решаться через организацию стажировок молодых специалистов. Эта практика действительно принята в вузах, но и там есть свои трудности.

Как рассказал во время эфира Дмитрий Правиков, завкафедрой комплексной безопасности (КБ) критически важных объектов (КВО), РГУ нефти и газа (НИУ) имени И.М.Губкина, вузовские стажировки сопряжены с соблюдением дополнительных требований. Первое из них – проведение стажировок – должно проходить по правилам, формируемым Министерством образования. Они не всегда отвечают реальным запросам компаний и студентов. Во-вторых, от компаний, где проходят практику студенты, требуют подписания определенных документов, которые ограничивают их возможности.

Болезненность вопроса состоит прежде всего в том, что наиболее развитые компании с практикой ИБ относятся к числу коммерческих. Бизнес-цели не позволяют им решать задачи полноценно, поскольку требуют отвлечения ключевых специалистов от основной деятельности, а также финансовых затрат.

В результате формируется альтернативный рынок обучения и стажировок. Уже появились компании, которые готовы предлагать собственный курс обучения для молодых специалистов, в котором студенты могут участвовать по собственной инициативе.

Один из таких примеров – компания Positive Technologies. Как стало известно, 11 сентября этого года там стартует первый этап новой стажировки PTSTART, рассчитанной для молодых специалистов, которые хотят развиваться в области кибербезопасности.

Обучение будет проходить в формате онлайн-лекций и лабораторных практикумов. Запланировано 84 часа практики. Те, кто выполнит все задания первого этапа, пройдут на второй этап стажировки PTSTART Intensive. Намечены интенсивы по следующим направлениям:

  • Подразделение PT Expert Security Center (PT ESC) – техника обнаружения, проведения расследований и реагирований на сложные инциденты;
  • Подразделение Cyberanalytics – Экспертиза по исследовательским проектам в области ИБ;
  • Подразделение Standoff – практика организации учений на киберполигоне для белых хакеров и ИБ-специалистов;
  • Департамент инжиниринга – обучение по продуктам компании и их продвижению;
  • Департамент бизнес-консалтинга – практика продвижения ИБ-решений.

В программе обучения запланирован также третий этап – оплачиваемая стажировка PTSTART Internship.

В определенной мере стажировки PT становятся значимой альтернативой еще и для третьего типа существующих в России стажировок – курсов ФСТЭК. Правила их проведения согласованы с Минобразования и нацелены на подготовку специалистов, которые будут работать с объектами КИИ.

Но как было отмечено в ходе эфира AM Live, получение свидетельства о прохождении курсов ФСТЭК отражает закрытие потребностей для конкретных работодателей. В общем случае, прохождение курсов ФСТЭК не является гарантией выхода молодых специалистов на рынок ИБ.

Какие же курсы и стажировки все-таки нужны молодым специалистам?

Как отметил Евгений Акимов, директор национального киберполигона, «РТК-Солар», «рекрутер не сам придумывает фильтры, по которым отбирает соискателей. Ему сообщает их внутренний заказчик».

Участники эфира AM Live

 

Несколько лет назад маркерами качества подготовки ИБ-специалистов выступали сертификаты (например, CISSP, CISA, CSP). Они отражали, что человек разбирается в теме на определенном уровне, служили определенным знаком качества его подготовки. Наличие таких сертификатов было важно для работодателей, поскольку для некоторых проектов требовалось указывать наличие специалистов в компании-подрядчике, обладающих соответствующими сертификатами.

Пока в России отсутствует система сертификации по ИБ, единственным достоверным критерием качества подготовки может служить не только стаж работы в области ИБ, но и участие в стажировках и курсах подготовки, отметили эксперты AM Live.

Фейковый Google Play маскирует онлайн-казино под приложения Tesco, Amazon

Мошенники нашли красивую упаковку для старой схемы: берут известный бренд, рисуют фейковую страницу Google Play, запускают рекламу в соцсетях и под видом официального приложения ведут пользователя в онлайн-казино. В объявлениях злоумышленники используют названия и визуальный стиль известных компаний, включая Tesco, Amazon, Monzo, Revolut и стриминговые сервисы.

По данным Netcraft, кампания продвигается через платную рекламу в Facebook, Instagram, Threads (все три принадлежат корпорации Meta, признанной экстремистской и запрещённой в России) и TikTok.

Где-то всё выглядит примитивно — просто «Brand Slots». А где-то уже почти спектакль: поддельные интерфейсы, фальшивые отзывы, липовые данные из магазинов приложений и даже ИИ-видео с якобы сотрудниками бренда.

 

Главная легенда — официальный запуск слотов или казино-приложения от известной компании. Пользователь кликает по рекламе и попадает на страницу, похожую на Google Play, App Store или сайт бренда. Но кнопка «Install» не ведёт в настоящий магазин приложений. Вместо этого браузер предлагает добавить на главный экран PWA — прогрессивное веб-приложение.

После установки такая штука выглядит как обычное приложение: с иконкой, названием и оформлением под бренд. На деле это тонкая обёртка, которая открывает сторонний сайт онлайн-казино. То есть пользователь думал, что ставит «Amazon Slots» или «Monzo Slots», а получил ярлык на азартную площадку.

Netcraft считает, что схему подпитывает партнёрская экономика. В PWA и ссылках есть параметры, которые позволяют отслеживать регистрации и депозиты. По открытым данным, выплаты за игрока, внесшего депозит, могут составлять от $50 до $350. С такими ставками мошенникам есть смысл вкладываться в правдоподобные объявления и массовый запуск рекламы.

В некоторых кампаниях использовались фейковые страницы с вымышленными разработчиками, скачиваниями и отзывами. Были и интерактивные приманки вроде колеса удачи с гарантированным выигрышем, после которого пользователя просили установить PWA, чтобы забрать приз.

Опасность здесь не только в потерянных деньгах. Такие PWA размывают границу между настоящим приложением и подделкой: браузерная оболочка минимальна, и всё выглядит почти как фирменный сервис. Только фирменного там — разве что украденный логотип.

RSS: Новости на портале Anti-Malware.ru