Перейти к содержанию

Какое образование нужно специалисту по кибербезопасности | Блог Касперского


Рекомендуемые сообщения

Мировой рынок труда давно испытывает нехватку специалистов в области кибербезопасности. Зачастую компании, которые сталкиваются с необходимостью найма специалистов по ИБ, не могут найти достаточно экспертов с профильным образованием и нужным опытом. Для того чтобы понять, насколько для обеспечения безопасности компании важно наличие у сотрудников формального образования в этой области и насколько такое образование отвечает современным потребностям рынка, наши коллеги провели исследование, опросив более 1000 человек из 29 стран различных регионов мира. Среди опрошенных специалисты разного уровня: от начинающих с двухлетним стажем до IT-директоров и руководителей SOC с 10 годами опыта. И, судя по ответам респондентов, становится понятно, что классическое образование не поспевает за ИБ-трендами.

Во-первых, далеко не все специалисты вообще имеют высшее образование: больше чем у половины (53%) представителей отрасли ИБ из разных стран нет послешкольного образования. Но даже из тех, кто его имеет, каждый второй сомневается в том, что их формальное образование реально помогает выполнять должностные обязанности.

Дело в том, что кибербезопасность — быстро меняющаяся отрасль. Ландшафт угроз меняется настолько стремительно, что даже отставание в пару месяцев может быть критично, не говоря уж о четырех-пяти годах, которые могут уйти на получение ученого звания. За это время злоумышленники могут модернизировать свои тактики и методы таким образом, что начинающему специалисту по ИБ в случае реальной атаки придется спешно читать свежие статьи об угрозах и методах защиты.

Часто реально работающие ИБ-специалисты утверждают, что учебные заведения в любом случае не предоставляют достаточно практических знаний, не имеют доступа к современным технологиям и оборудованию, да и в целом для работы и борьбы с реальными киберугрозами в любом случае требуется дополнительное образование.

Это все, разумеется, не означает, что кибербезопасники с профессиональным или высшим образованием менее компетентны, чем их коллеги со школьными аттестатами. В конечном итоге важнейшую роль в профессиональном развитии играет энтузиазм и способность постоянно развиваться. Многие опрошенные отметили, что получили в традиционных учебных заведениях скорее теоретические знания, нежели практические, — этим и полезно академическое образование, потому что без должной теоретической базы обучение может продвигаться медленнее. С другой стороны, специалисты, не имеющие послешкольного образования вообще или пришедшие в ИБ из другой IT-отрасли, точно так же могут стать эффективными специалистами по защите от киберугроз.

Как исправить ситуацию на рынке?

Для того чтобы рынок смог получить достаточное количество экспертов по информационной безопасности, ситуацию следует выравнивать с двух сторон. Во-первых, учебным заведениям имеет смысл обдумать партнерство с компаниями, работающими в сфере кибербезопасности. Это позволит им обеспечивать студентов практическими знаниями, которые более применимы в кибербезопасности. Во-вторых, компаниям имеет смысл периодически повышать экспертные знания своих сотрудников при помощи специализированных образовательных курсов (в данный момент доступны только на английском языке).


Ознакомиться с частью отчета, посвященной проблемам образования, можно на странице первой главы — Educational background of current cybersecurity experts.

Посмотреть статью полностью

Ссылка на сообщение
Поделиться на другие сайты

Присоединяйтесь к обсуждению

Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.

Гость
Ответить в этой теме...

×   Вставлено с форматированием.   Вставить как обычный текст

  Разрешено использовать не более 75 эмодзи.

×   Ваша ссылка была автоматически встроена.   Отображать как обычную ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставлять изображения напрямую. Загружайте или вставляйте изображения по ссылке.

  • Похожий контент

    • KL FC Bot
      От KL FC Bot
      В OpenSSH, популярном наборе инструментов для дистанционного управления *nix-системами, была найдена уязвимость, при помощи которой неаутентифицированный злоумышленник может выполнить произвольный код и получить root-привилегии. Уязвимость получила номер CVE-2024-6387 и собственное имя regreSSHion. Учитывая, что sshd, сервер OpenSSH, внедрен в большинство популярных ОС, многие устройства интернета вещей и другие девайсы вроде межсетевых экранов, описание уязвимости звучит как начало новой эпидемии уровня WannaCry и Log4Shell. На практике ситуация несколько сложнее, и массовой эксплуатации уязвимости, вероятно, не будет. Несмотря на это, все администраторы серверов с OpenSSH должны срочно позаботиться об устранении уязвимости.
      Где применяется OpenSSH
      Набор утилит OpenSSH встречается почти повсеместно. Это популярная реализация протокола SSH (secure shell), внедренная в подавляющее большинство дистрибутивов Linux, OpenBSD и FreeBSD, macOS, а также в специализированные устройства, например на базе Junos OS. Поскольку многие телевизоры, «умные» дверные глазки и видеоняни, сетевые медиаплееры и даже роботы-пылесосы работают на базе Linux-систем, в них тоже часто применяется OpenSSH. Начиная с Windows 10, OpenSSH есть и в ОС от Microsoft, правда, здесь это опциональный компонент, не устанавливаемый по умолчанию. Не будет преувеличением сказать, что sshd работает на десятках миллионов устройств.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Сегодня Telegram уже не просто мессенджер, а социальная сеть. Пользователи могут хранить неограниченное количество файлов, вести каналы, создавать ботов и даже покупать криптовалюту. Разумеется, все это дает мошенникам большое пространство для маневров.
      На этот раз киберпреступники придумали схему кражи Telegram-аккаунтов и криптокошельков с помощью фишингового бота. Детали новой схемы и рекомендации по защите своих криптоактивов — в этом материале.
      Как работает мошенническая схема
      Для начала определим целевую аудиторию мошенников. Если вы думаете, что под угрозой находятся все пользователи Telegram, — расслабьтесь. Киберпреступники сфокусированы на владельцах криптокошельков Telegram Wallet, которые совершают сделки по P2P-торговле (это когда пользователи могут покупать и продавать криптовалюту без посредников).
      Как только потенциальная жертва найдена, мошенники связываются с ней под видом легитимного покупателя или продавца, в зависимости от контекста. Одним из первых же предложений в переписке становится просьба пройти KYC-верификацию (Know Your Customer — «Знай своего клиента»). Это реальное требование Telegram Wallet, направленное на повышение уровня безопасности платформы. Пользователям на самом деле требуется предоставить свои реальное имя, номер телефона и адрес, чтобы совершать сделки. Но есть нюанс: мошенники отправляют ссылку на фейковый канал для прохождения KYC-верификации и угрожают заморозкой криптоактивов в случае, если жертва проигнорирует просьбу. Для большей убедительности криптомошенники упоминают выдуманные «требования регуляторов».
      Как определить, что канал принадлежит мошенникам: малое число просмотров поста, синтаксические ошибки и активный призыв перейти по ссылке
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Последние недели в Сети активно обсуждают новые правила в политике безопасности Meta*. Компания-владелец Facebook**, Instagram** и WhatsApp** сообщила части своих пользователей, что с 26 июня их личные данные будут использованы для развития генеративного искусственного интеллекта Meta AI**.
      О каких данных идет речь, можно ли отказаться от их добровольной передачи и как обеспечить свою цифровую безопасность — в этом материале.
      Meta* собирается использовать контент из Facebook** и Instagram** для обучения своего ИИ?
      Meta AI** существует более девяти лет: подразделение, занимающееся развитием ИИ, компания открыла еще в 2015 году. Для обучения своих нейросетей Meta* нужны данные — и скоро источником знаний для ИИ может стать пользовательский контент крупнейших в мире соцсетей.
      Все началось в мае 2024 года, когда в Интернете стали массово появляться сообщения об очередном изменении политик безопасности Meta*: якобы компания с конца июня планирует использовать контент из Facebook** и Instagram** для тренировок генеративного ИИ. Но уведомления об этом пришли не всем, а лишь некоторым пользователям из Евросоюза и США.
      На волне поднявшегося негодования Meta* выпустила официальное заявление для жителей Евросоюза по этому поводу, но пока оно оставляет больше вопросов, чем дает ответов. Пресс-релиза, где бы черным по белому было написано: «Начиная с такого-то числа Meta AI** будет использовать ваши данные для обучения», не существует — но недавно появилась страница «Генеративный ИИ в Meta*», где подробно описано, какие данные и как компания собирается использовать для развития искусственного интеллекта. Снова без дат.
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      Не так давно мы писали о том, что злоумышленники научились использовать легитимную инфраструктуру социальной сети для доставки достаточно правдоподобных на вид предупреждений о блокировке бизнес-аккаунта — с последующим угоном паролей. Оказывается, уже несколько месяцев очень похожим образом атакуют аккаунты разработчиков на GitHub, что не может не волновать корпоративную службу информационной безопасности (особенно если разработчики имеют административный доступ к корпоративным репозиториям на GitHub). Рассказываем о том, как устроена эта атака.
      Угон аккаунтов на GitHub
      Жертвам этой атаки приходят письма, отправленные с настоящего почтового адреса GitHub. В письмах говорится, что команда GitHub ищет опытного разработчика, которому компания готова предложить привлекательные условия — зарплату $180 000 в год плюс щедрый соцпакет. В случае заинтересованности в этой вакансии получателю письма предлагается подать заявку по ссылке.
      Атака начинается с письма: GitHub якобы ищет разработчика на зарплату $180 000 в год. Источник
       
      Посмотреть статью полностью
    • KL FC Bot
      От KL FC Bot
      В мае 2024 года Microsoft представила новую функцию для Windows 11 под названием Recall. Она позволяет «вспоминать» все, что делал пользователь на компьютере за последние месяцы. Можно задавать в поисковой строке самые общие вопросы вроде «фото красного авто, которое мне присылали» или «какой корейский ресторан советовали» — и получать ответы в виде ссылок на приложение, сайт, документ в паре с картинкой-миниатюрой, на которой запечатлен… экран компьютера в момент, когда пользователь смотрел на предмет запроса!
      Recall позволяет вспомнить все, что вы делали за компьютером в последние месяцы. Возможно, даже то, что вы предпочли бы не вспоминать. Источник
      Чтобы реализовать чудо-поиск, новый сервис Microsoft будет делать скриншоты всего экрана каждые несколько секунд и сохранять их в папке на компьютере. Затем все эти изображения анализируются искусственным интеллектом в фоновом режиме, из скриншотов извлекается вся информация и помещается в базу данных, по которой при помощи ИИ-ассистента ведется умный поиск.
      Несмотря на то что все операции проводятся локально, на компьютере пользователя, Recall сразу после анонса вызвал тревогу у многих специалистов по информационной безопасности — эта функция создает слишком много рисков. Начальная реализация Recall была практически не зашифрована и доступна любому пользователю компьютера. Под давлением ИБ-сообщества Microsoft объявила о внесении доработок в Recall еще до выпуска публичной версии, который отложили с 18 июня ориентировочно до конца осени 2024 года. Тем не менее даже с обещанными улучшениями функция остается неоднозначной.
       
      Посмотреть статью полностью
×
×
  • Создать...