Zmiana specjalizacji na cyberbezpieczeństwo z webdevu - porady i wskazówki dla początkującego.

0

Cześć wszystkim!

Jestem studentem informatyki, właśnie skończyłem drugi rok. Wybrałem specjalizację technologie webowe, ale szczerze mówiąc, nie do końca czuję, że to jest to, co chciałbym robić. Na początku, tak jak większość, zdecydowałem się na frontend, ale z czasem zauważyłem, że jest tu straszny przesyt i brakuje mi w tej specjalizacji jakiejś głębszej idei.

Ostatnio, po rozmowie z kolegą, który specjalizuje się w usługach sieciowych, zacząłem myśleć o nauce cyberbezpieczeństwa. Chciałbym dowiedzieć się więcej o tej branży. Jak wygląda ścieżka kariery w cyberbezpieczeństwie? Jakie są możliwości i, co równie ważne, jakie są zarobki? Jak wygląda konkurencja na rynku pracy?

Dostałem sugestię, żeby zacząć od administrowania systemami, więc na sam początek zacząłem robić kurs Cisco CCNA. Macie może jakieś porady dla kogoś, kto dopiero zaczyna? Byłbym bardzo wdzięczny za wszelkie wskazówki, informacje, przemyślenia.

Dodam, że w branży tworzenia aplikacji mega inspirującymi osobami byli dla mnie Pieter Levels, czy Hunter Isaacson. Czy jest ktoś w branży cyberbezpieczeństwa będący równie inspirującą osobą?

Dzięki z góry za pomoc!

0

Ja bym polecał trochę liznąć realnych aplikacji - developmentu itp. Jako, że jest ogromna ilość aplikacji typu SaaS (które wymagają audytów co pewien czas) - możesz spróbować sił w web security. Ale dobrze jest właśnie znać specyfikę tworzenia aplikacji tego typu, najlepiej w różnych ekosystemach (react, angular, php, rózne bazy itp) - to byłaby idealna podbudowa. Da się bez tego, ale audyt aplikacji, która jest dla Ciebie blackboxem ze względu na nieznajomość np. specyfiki JavaScripta czy konkretnego frameworka/toola, browsera z pozycji developera - może być trudne do przeskoczenia.

2

Bawi mnie ten post 😂 coś Ty tego frontendu widział skoro na drugim roku studiów twierdzisz że przesyt 😂 To taka branża że z reguły jest pod górkę, ale jak już przejdziesz te pierwsze lata gehenny to przywykniesz.

A co do samego security to bez expa w developmencie ciężko będzie Ci ogarnąć bo co z tego że wykujesz na blachę flow skoro nie doświadczyłeś tego problemu w realnej sytuacji?

Fajnie mieć podstawy teoretyczne, ale od teorii do praktyki to jak od JavaScriptu do Javy.

0
mizi napisał(a):

Jestem studentem informatyki, właśnie skończyłem drugi rok. Wybrałem specjalizację technologie webowe, ale szczerze mówiąc, nie do końca czuję, że to jest to, co chciałbym robić. Na początku, tak jak większość, zdecydowałem się na frontend, ale z czasem zauważyłem, że jest tu straszny przesyt i brakuje mi w tej specjalizacji jakiejś głębszej idei.

A nie mogłeś przed studiami zainteresować się trochę tematem?
A nie, że teraz budzisz się z ręką w nocniku...

mizi napisał(a):

Czy jest ktoś w branży cyberbezpieczeństwa będący równie inspirującą osobą?

Istnieją tacy ludzie.
Ale są tak dobrzy, że nikt ich nie zna.

0

Masz rację, może rzeczywiście trochę za wcześnie stwierdziłem, że frontend jest przesycony. Jeszcze się nie zniechęcam, bo wiem, że każda branża ma swoje wyzwania, szczególnie na początku. Webówki planowałem uczyć się bardziej po drodze – np. zrobiłem na ten moment kurs CS50W z Harvardu, żeby poznać podstawy, znam troche TS, Reacta. Jednak jeśli chodzi o ścieżkę kariery, to bardziej fascynujące wydaje się być cyberbezpieczeństwo, zwłaszcza na przykład praca w Red Teamie, niż klepanie interfejsów graficznych według gotowych projektów i pisanie zapytań do bazy danych. Jeżeli odlatuje, to mnie poprawcie 😅
Dlatego chcę zacząć od administracji systemów i zdobyć solidne podstawy w tym obszarze. Wydaje mi się, że to da mi lepszy start w kierunku, który mnie bardziej zainteresował. Wiem, że teoria to jedno, a praktyka to zupełnie inna bajka – może właśnie dlatego szukam wskazówek, jak najlepiej połączyć jedno z drugim. Chciałbym poznać opinię kogoś kto pracuje w security i mógłby mi coś opowiedzieć.

0

Widzisz, że przez kartę sieciową idzie taki ciąg "10101001010101000001101010" - co robisz?

1

Na stanowisko w helpdesku w byle fabryce jest po sto zgłoszeń w kilka godzin. Rekrutacja trwa parę dni. Budżet dzieli się na pół, przyjmuje dwóch typa, po kwartale jeden wylatuje. Czy coś się zmieni? Ja na to nie widzę szans bo ludzi w IT jest jest zwyczajnie za dużo.

Ludzie którzy robią kariery w infosecu to albo siedzieli długie lata w networkingu, w data center albo byli niezłymi programistami albo qa, a do tego wyrobili sobie uważność, interesowali się szczegółami.

Kariera w infosec ma sens jak jesteś seniorem, ogarniasz nieźle tematy, zastanawiasz się co dalej. Bez tego doświadczenia będziesz konserwować cisco iron port / asa czy inne wynalazki, pomagać sprzedawać palo alto czy co tam teraz jest na topie, wdrażać zero trust, obsugiwać siem-y, pisac skrypty do grayloga, poprawiać pipeline jenkinsa które zapuszczają nmap-a bądź inne narzędzia, a z czasembędziesz mielić papier jako gośc od iso zatrudniony w różnych firmach na ułamkowe części etatu.

Poza tym to, co potrafi przeciętny gość oc infosecu który wiedzę czerpał na kursach wieczorowych, bootkampach to potrafi też rozgarnięty admin, kumaty devops czy qa zajmujący się bezpieczeństwem. W tych czasach firmy wolą tego admina, devopsa czy qa.

2

Też kiedyś o tym myślałem. Tylko poza zwykłymi pierdołami wypadałoby jeszcze być dobrym w low levelu, reverse engineeringu itd. Tylko to już jest bardzo ciężka sprawa.

1

W cybersecu jedyne sensowne pieniądze można zarobić sprzedając dane pracodawcy konkurencji. Cała reszta to tylko przykrywka.

0
Zig napisał(a):

Też kiedyś o tym myślałem. Tylko poza zwykłymi pierdołami wypadałoby jeszcze być dobrym w low levelu, reverse engineeringu itd. Tylko to już jest bardzo ciężka sprawa.

Moim zdaniem aby dziś być dobrym z czegoś to poza pracą własną której w tym przypadku jest ogrom to jeszcze w danej części świata musi funkcjonować system organizacji w których nabędzie się wiedzy eksperckiej z danej dziedziny. W jueseju masz na przykład MITRE która wykształciła i kształci całe pokolenia ekspertów od rzeczy niskopoziomowych. W Izraelu jest trochę spółek pokroju NSO.

U nas infosec to kupowanie sprzętów co w nazwie mają "coś tam firewall" albo "coś tam zero trust" albo januszeksy które opanowały nmap-a, aircrack-a i inne narzędzia z kali linuxa albo pisacze skryptów do grayloga, ibm q-radara i innych siemów.

Eset czy inne oddziały zagranicznych korpo to outsourcing więc nie ma co ich brać pod uwagę. Z resztą oferty płacy u nich to żenuła.

0
eaxeax napisał(a):

W jueseju masz na przykład MITRE która wykształciła i kształci całe pokolenia ekspertów od rzeczy niskopoziomowych. W Izraelu jest trochę spółek pokroju NSO.

Tak pośrednio z tego co napisałeś to jedyna sensowna robota w infosecu zaczyna i kończy się na budżetówce. Tak średnio rzekłbym.

1

oho oho, czyżby kolejny peak of 4p?

Wiele już w tym wątku się pojawiło - Low level, reverse engineering, cryptography, IZRAEL, NSO, 0 click 0 daye, kali linux, jeszcze tylko brakuje spectre/meltdown/side channeli, CTFów i bugów w parserach gifów :D

a pewnie rzeczywistość jest taka że 90% tego całego security to check listy, zmiany haseł, SSO, wyłapywanie maili z malware, odpalanie skanerów itd

@mizi

Poczytaj sobie bloga @Gynvael Coldwind

np. ten post, ale i pewnie i wiele innych, on ci pewnie lepiej nakreśli jak wygląda branża security

https://gynvael.coldwind.pl/?id=791

FAQ: The tragedy of low-level exploitation

Q: I love low-level exploitation and exploit development! How can I make this my whole career?
A: So to not bury the lead, the problem is that low-level exploitation is rarely needed in cybersecurity, and jobs where one works mostly on low-level exploitation are few and far between. Furthermore, these jobs are even more rare if one wants to stay away from the gray area of hacking and away from the black market. It's more common for low-level exploitation to be a small occasional part of another role.

(...)

The whole cybersecurity job market is huge and it seems to be still growing. However, low-level exploitation is a very very small niche in the whole industry. It's cool and awesome, but sadly rarely required. While jobs focusing fully on low-level exploitation do exist, there are very few of them, and even fewer if one doesn't want to answer any hard ethical questions. Furthermore, due to the scarcity of jobs in this segment, the hiring bar is pretty high. It's a bit easier to find a job where low-level exploitation is a small part of the role – there one gets to work on low-level stuff from time to time, even if not as often as one would like. And then we have the whole bug bounty thing, which is where high skill requirements meet the lottery.

Furthermore, the reason there are so many exploits readily available is mostly hobbyists working on this in their spare time. And it's a similar story with a good chunk of vulnerability, or more generally – security, research, which is done after work pro bono by hackers and open-source enthusiasts. This work is important for both the defensive community and pentesters, but hardly a directly paying job (there are resume-level benefits of course).

So should you pursue your dream of being a full time low-level vulnerability researcher and exploit dev? And how should you approach this? Well, these are the questions for you to answer yourself, but I do hope you're a bit more equipped with knowledge to make that choice.

0
WeiXiao napisał(a):

a pewnie rzeczywistość jest taka że 90% tego całego security to check listy, zmiany haseł, SSO, wyłapywanie maili z malware, odpalanie skanerów itd

90% w jakiej firmie? U integratora typu Trecom, T-Systems czy innych co sprzedaje "usluge bezpieczenstwa ajti" czy korpo ktorego it manger mowi, ze maja cisco asa, iron porty, palo alto no i sa bezpieczni?

https://gynvael.coldwind.pl/?id=791

Zdaje sie, ze gosc odszedl z google, nigdzie poza googlem nie pracowal, a teraz zajal sie glownie szkoleniami i spieniezaniem swojej legendy. Super przykad.

0

@eaxeax

Zdaje sie, ze gosc odszedl z google, nigdzie poza googlem nie pracowal, a teraz zajal sie glownie szkoleniami i spieniezaniem swojej legendy. Super przykad.

...i już wcześniej prowadził wiele konf/szkoleń/bloga/streamów, był kapitanem teamu który przez wiele lat był top1/2/3 na świecie w CTFach https://ctftime.org/stats/2019 gdzie współpracował w ludźmi z różnych firm/org od CERT PL do jakichś pewnie bankow/korpo itd. Oczywiście ponad dekada w Googlu (Project Zero?)

No generalnie wydaje się mieć sensowną ekspozycję na ten świat security, niezbyt wiele osób z PL ma tak niecodzienne doświadczenie.

90% w jakiej firmie? U integratora typu Trecom, T-Systems czy innych co sprzedaje "usluge bezpieczenstwa ajti" czy korpo ktorego it manger mowi, ze maja cisco asa, iron porty, palo alto no i sa bezpieczni?

To drugie

1
WeiXiao napisał(a):

No generalnie wydaje się mieć sensowną ekspozycję na ten świat security, czyż nie?

I tu jest paradoks doświadczenia - czy mając obecne doświadczenie ale zaczynając jako noname doszedłby do tego samego poziomu czy też po prostu doświadczenie jest wynikiem tego że startował z nieznanego kraju w czasach niewielkiej konkurencji a dziś po prostu woli to monetyzować niż konkurować z innymi?

3

Widzę że pingują, więc dla szybkiego sprostowania ;) Nie, nie pracowałem w Project Zero (pracowałem w zespole, z którego potem PZ się odseparował). Tak, pracowałem przed Google jeszcze w innych firmach (~4 lata w hiszpańskim Hispasec (Virustotal u nich powstał) przy pentestach/analizie malware/vuln research, ~1 rok w polskiej firmie antywirusowej przy modułach do silnika, ~0.5 roku na uczelni przy jakimś projekcie jako kinda konsultant od sec).
Więcej póki co nie piszę, bo muszę przeczytać wątek 😄

0
mizi napisał(a):

brakuje mi w tej specjalizacji jakiejś głębszej idei.

A jakiej głębszej idei byś się spodziewał po security?

Jakie są możliwości i, co równie ważne, jakie są zarobki? Jak wygląda konkurencja na rynku pracy?

Trudniej się dostać do SecOpsów. A bez doświadczenia w jakichś podobnych rolach to już w ogóle (przynajmniej do firm które znam i które poważnie traktują swoje bezpieczeństwo). Trudniej niż na jakiekolwiek inne role. Przy czym z tego co wiem - mówię tu o swoim środowisku - to zarobki nie są wyższe, chociaż pewnie to też zależy od firmy.

Co do tego co trzeba umieć, no to w dużym stopniu doświadczenie w administracji - Linux Ubuntu/RedHat, jakieś Windows serwery, hardeningowanie, sieci, firewalle, AD, nginx, certyfikaty, do tego jakiś jeden Cloud do wyboru, ale na wysokim poziomie, elementy obserwability/monitoringu (poza natywnymi w chmurze bywa Elastic, Prometheus, Grafana), CIS, narzędzia do zabezpieczeń, VPN, praca z logami, zarządzanie aktualizacjami, zarządzanie bezpieczeństwem obrazów dockerowych i narzędzia do ich badania.
To jest to co widziałem, że robią koledzy z Sec, a pewnie jest jeszcze sporo rzeczy, których nie widziałem, bo jakoś nigdy nie patrzyłem im na ręce.
Do tego takie rzeczy co są na styku developerki i bezpieczeństwa - nigdy nie wnikałem za bardzo, kto to się tym zajmuje bo mnie nie interesowało, ale jakieś narzędzia do sprawdzania bezpieczeństwa aplikacji - czy to mobilnych czy typowych webowych

Generalnie w porównaniu z FE materiału wydaje się być w cholerę dużo i odpowiedzialność i stres też pewnie większy. Poza tym ludzie psioczą na Seców bo utrudniają często pracę (oczywiście w imię bezpieczeństwa) - instalują jakieś narzędzia monitorujące, ograniczają uprawnienia. Wiadomo, niby nie ich wina, takie wytyczne, ale nie raz widziałem, jak na czacie na bezpieczniaków ludzie jechali z mordą.

0

Nie wiem za wiele o rynku cybersecurity, poza tym, że uchodzi za jedną z niewielu specjalizacji, w której nawet budżetówka płaci nieźle. Natomiast coś tam wiem na temat webdevelopmentu i generalnie wg mnie nie ma co się w to ładować, bo tu już raczej dobrze nie będzie, dosłownie z miesiąca na miesiąc postępujący regres. A frontend to zapchany był 5 lat temu i już wtedy trzeba było kombinować np. idąc w kierunku fullstack (obecnie to też już nic nie daje). Także może pomysł z cyberbezpieczeństwem jest ok, jedyna niepokojąca czerwona flaga, to że ostatnio coraz więcej bootcampów w tym kierunku wyrasta.

0
Matteo Mongke napisał(a):

jedyna niepokojąca czerwona flaga, to że ostatnio coraz więcej bootcampów w tym kierunku wyrasta.

Jestem zdania, że w naszym bantustanie ktoś powinie wziąć za szeroko pojętą działalność edukacyjną. Jak chcesz uczyć ludzi to zapraszamy na studia z zakresu dydaktyki, przejdź testy psychologiczne, wykaż się praktyką zawodową. Jak obiecujesz zatrudnienie to poświadczasz nieprawdę więc będą z tego konsekwencje.

3

@mizi W sumie to już sporo było powiedziane, ale dla podsumowania:

  1. Cybersec to BARDZO DUŻA działka i jest w niej dużo różnych "zawodów"/"stanowisk".
  2. Zazwyczaj najlepiej wejść w cybersec jak już się ma 1-2 specjalności w IT. Takim klasykiem jest przejście do bezpieczeństwa z sysadminowania i/lub sieci komputerowych i/lub programowania.
  3. Punkt drugi wynika trochę z tego, że w bezpieczeństwie bardzo bardzo bardzo ważne jest zrozumienie jak coś działa w szczegółach. A do tego potrzeba masy wiedzy "o wszystkim" (o systemach operacyjnych, o oprogramowaniu, o sieciach, o tym jak działają komputery, i tak dalej). Jak ktoś sysadminuje albo programuje wcześniej, to sporo takie wiedzy ogólnej nabywa. To powiedziawszy, jest też masa wiedzy bardzo specyficznej dla bezpieczeństwa, której się trzeba douczyć.
  4. To powiedziawszy, w tym momencie rynek jest kapkę przesycony na poziomie entry level. Tj. brakuje specjalistów, ale ponieważ hacking jest modny, to jest bardzo dużo nowych osób (które zazwyczaj próbują wejść od razu w cybersec, więc im bardzo ciąży brak podstaw). I niestety jest im bardzo trudno znaleźć pracę.

Co do zarobków, to są od niskich po wysokie – jak w programowaniu w sumie. Jest pewna korelacja z technicznym skillem, choć nie pełna (jak wszędzie).
Podobnie z warunkami pracy – kwestia jak się trafi. Mi się udawało zawsze dobrze trafiać, ale wiem z opowieści, że jak się trafi na złego szefa, to taki potrafi bardzo uprzykrzyć życie.
Natomiast ogólnie odnoszę silne wrażenie, że w security jest trochę luźniej niż np. w gamedev.

W każdym razie jest na polskiej scenie sporo fajnych wykładów i prelekcji za friko – możesz pomyśleć, czy by nie przyjść na kilka, żeby zobaczyć, czy Ci w ogóle pasują tematy, o których ludzie opowiadają. W szczególności https://zaufanatrzeciastrona.pl/ robi co jakiś czas mniej lub bardziej darmowe wysokopoziomowe prelekcje, a https://sekurak.pl/ / Securitum robią trochę bardziej techniczne rzeczy (np. za tydzień ja tam mam darmowy wykład/demo z inżynierii wstecznej). Na youtube ofc jest miliard nagranych prelekcji z różnych konferencji.

I na koniec mój standardowy zestaw linków:
https://www.freecodecamp.org/news/so-you-want-to-work-in-security-bc6c10157d23/
https://lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in-security-but-are.html
http://ifsec.blogspot.com/2018/02/so-you-want-to-work-in-security-and-for.html
https://gist.github.com/mubix/5737a066c8845d25721ec4bf3139fd31
https://research.checkpoint.com/2020/i-want-to-learn-about-exploitation-where-do-i-start/

0
Matteo Mongke napisał(a):

A frontend to zapchany był 5 lat temu i już wtedy trzeba było kombinować np. idąc w kierunku fullstack (obecnie to też już nic nie daje).

Co Ty gadasz, dwa-trzy lata temu brali niemal każdego kto się nawinął, chyba nawet większe ssanie było z js-em niż na java developerów... Nawet jak nie mieli projektu, to na ławkę brali jak był ktoś chętny.

0

Pracuję od dwóch lat jako pentester (90% web apki) a jedyny exp jaki miałem to bug bounty i certyfikat OSCP. Tu tak jak w programowaniu, było łatwo wejść, teraz jest problem bo niestety nawaliło kursów i bootcampów i teraz cybersec jest ziemią obiecaną i każdy chce być "hakerem". SOC L1 też jest osiągalny. Obecnie kolega z teamu 3 lata expa też pentester jako pierwsza praca w IT.

1 użytkowników online, w tym zalogowanych: 0, gości: 1