Кибербез образование

Методология обеспечения кибербезопасности организации (ч.2) 👨‍🎓

Идея цикла бесед про инфобез и кибербез появилась еще 5 лет назад и вот она реализовалась 🥳 Мы это сделали! Встречайте финальную беседу с к.филос.н. Атамановым Г.А. 👨‍🏫

Таймкоды:
0:00 - Благодарности слушателям бесед
6:10 - План заключительной беседы
10:28 - Связь науки и практики в инфобезе и кибербезе
15:26 - Общие методы организации деятельности по обеспечению кибербезопасности предприятия: научные, интуитивные, директивные
25:36 - Частные методы по обеспечению кибербезопасности предприятия: управление доступом к объектам защиты, обучение и воспитание персонала, контроль действий персонала и посетителей итд
38:54 - Принципы построения системы обеспечения кибербезопасности предприятия: адекватность, комплексность, системность
42:47 - Про модель угроз (модель потенциального нарушителя)
44:57 - Меры по обеспечению кибербезопасности: превентивные, реактивные, постинцидентные
47:57 - Направления деятельности по обеспечению кибербезопасности: снижение рисков, противодействие угрозам, ликвидация последствий
52:05 - Типы средств защиты по обеспечению кибербезопасности: антропные, технические, программные
56:02 - Антропные средства защиты
58:13 - Виды объектов защиты
1:05:04 - Этапы жизненного цикла объектов защиты: проектирование, создание, эксплуатация, ликвидация
1:06:19 - Вариант классификации источников угроз ИР государства
1:10:51 - Методы защиты информации об объекте
1:12:57 - СКБ должна обеспечивать: идентичность, аутентичность, доступность
1:18:53 - Алгоритм действий по обеспечению кибербезопасности предприятия
1:27:13 - Цикл Атаманова
1:31:23 - Первоочередные правила для повышения уровня кибербезопасности предприятия
1:37:48 - О том, почему утечка информации не является угрозой
1:41:52 - Как быстро решить вопрос с социальной инженерией?

👉 Запись также доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке 📕

Архив всех бесед в RuTube 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ
11. Методология обеспечения кибербезопасности (часть 1)
12. Методология обеспечения кибербезопасности (часть 2)

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

#подкаст #атаманов

Как выбрать программу обучения в области кибербеза? 🤔

Отвечает Олег Игнатов, руководитель отдела взаимодействия с вузами Positive Technologies

↘️ А я напомню про схему развития карьерных треков в кибербезе cybersecurity-roadmap.ru и ее PDF-версию для мобильных устройств 📱

#PositiveEducation #карьера_в_ИБ

Как стать аналитиком кибербезопасности? ✍️

Говорим об этом с Дмитрием Каталковым, заместителем директора департамента PT Cyber Analytics 🟥

0:32 - Дмитрий о своем пути в кибербез
6:30 - Кто такие аналитики ИБ и чем они занимаются?
13:47 - Нужно ли ИБ образование для аналитика? Постепенный рост в роли аналитика ИБ. Про широкий кругозор аналитика и фундаментальные знания. Про нетворкинг
22:56 - Карьерный трек аналитика ИБ. Куда расти? Какие переходы возможны?
31:27 - Как попасть в PT Cyber Analytics? Как понять, что аналитика ИБ будет интересна? Как готовиться к собеседованию на позицию аналитика ИБ?
40:56 - Есть ли польза от ведения профессиональных блогов?

↘️ Поставьте 👍, если хотите больше узнать про профессию аналитика ИБ

Дополнительно:
— Человек-швейцарский нож: чем занимаются аналитики ИБ и где мы таких берем
— PT-START
— Схема карьерных треков в кибербезе и ее PDF-версия

Запись также будет доступна в RuTube и Яндекс.Музыке 🎶

#подкаст #PT_Cyber_Analytics #аналитик_ИБ

Обзор открытых проектов в области защиты от киберугроз 🥷

Студентам на заметку ✍️

Спикер: Антон Кутепов, руководитель направления развития сообществ ИБ, Positive Technologies

00:00 - Вступление, об авторе
1:01 - План выступления
1:31 - Социальная архитектура
2:32 - Про открытые проекты
3:25 - Открытые проекты в области защиты от киберугроз
5:03 - MITRE ATT&CK
6:19 - Atomic Red Team
7:57 - osquery
9:30 - Sigma
14:19 - YARA
16:39 - D3FEND
24:00 - Экспертная открытость
28:11 - ERM&CK
30:47 - Язык XP
31:47 - VSCode XP
32:27 - Применение в вузах
34:58 - Как начать контрибьютить в OSS?

↘️ Презентация выступления в PDF

#open_source #PositiveEducation

Схема карьерных треков для обеспечения результативной кибербезопасности 👷

Поделюсь текущими результатами ✈️

Убрал на схеме визуальный шум: из явных элементов остались только статьи на Хабр и ссылки на курсы 👨‍🎓

↘️ Схема доступна на cybersecurity-roadmap.ru или в PDF-версии для мобильных устройств 📞

Подробно о схеме я также рассказывал на CyberCamp (видео) и SOCForum (видео) 📺

#карьера_в_ИБ

Карточная игра Cyber Threat Defender 🎲

Продолжим разбираться в популярных карточных играх по кибербезу 🥷

В этот раз посмотрим на игру Cyber ​​Threat Defende для детей от 11 лет и старше, созданную по образцу Magic:_The_Gathering 🧙‍♀️

Игра была разработана Центром обеспечения и безопасности инфраструктуры (CIAS) Техасского университета в Сан-Антонио

Игроки создают сеть активов (Assets) и строят оборону (Defenses), чтобы предотвратить атаки (Attacks) со стороны противников, события (Events) — это различные вещи, которые могут произойти. Чтобы игрок успешно победил своего противника, он должен разработать и реализовать стратегию расширения и защиты своей сети. Средняя продолжительность игры составляет 20 минут ⏳

Подробные правила тут и презентация

Дополнительно:
— Стартовая колода (54 карты)
— Список карточек тут
— Конкурс по дизайну новых карточек
— Шаблон карточки
— Формат турнира
— Cyber ​​Threat Guardian — многопользовательская карточная игра для детей от пяти лет
— Cyber ​​Threat Protector — многопользовательская карточная игра, рассчитанная на учащихся 3–5 классов

#игра

Образовательная экосистема как инструмент для решения кадрового вопроса в кибербезе 👨‍🎓

Снова я погрузился в анализ зарубежного опыта в подготовке кибербез кадров на уровне страны. Дальше всех в этом вопросе шагнули американцы, которые в июле прошлого года утвердили национальную стратегию в области кибербез образования в рамках национальной стратегии по кибербезу. В отдельном документе перечислены начальные шаги по внедрению образовательной стратегии ✍️

Образовательная экосистема по кибербезу

Одним из пунктов реализации образовательной стратегии является создание экосистем. В декабре прошлого года был опубликован набор инструментов (toolkit) для создания подобных экосистем в кибербезе, то есть предлагается "удочка вместо готовой рыбы" 🤔

Цель состоит в формировании и выстраивании локальных (в зависимости от географии или отрасли), устойчивых сообществ, заинтересованных в подготовке кибербез кадров. Элементы экосистемы: вузы, работодатели, родители, студенты итд (см. рисунок)

Алгоритм выстраивания образовательной экосистемы

1️⃣ Взаимодействуйте с местным сообществом, найдите организаторов мероприятий в области кибербеза
2️⃣ Общайтесь с заинтересованными сторонами на уровне города, региона
3️⃣ Разработайте план с желаемыми целями, результатами и необходимыми ресурсами
4️⃣ Найдите ресурсы
5️⃣ Реализуйте свой план, держите в курсе заинтересованные стороны
6️⃣ Поделитесь своими результатами в блоге, на локальном форуме, конференции
7️⃣ Расширьте экосистему через привлечение новых участников

Наблюдаю, что подобные сообщества у нас формируются вокруг активных ИБ-вузов 🤔

#кадры_в_ИБ

Обучение кибербезу на основе ментальных моделей 👨‍🏫

Образование в области кибербеза находится в состоянии глубокого когнитивного кризиса из-за возросшего потока информации 💦, связанного с безопасным внедрением ИТ👷

Справиться с этой проблемой позволяют ментальные модели, т.е. специальные инструменты, применимые в профессиональной деятельности. Популярные и полезные модели: кривая нормального распределения, модель OSI итд

Мы постоянно используем всевозможные ментальные модели в течение дня. Каждый из нас воспринимает мир через свои собственные уникальные "очки" 😎, которые являются продуктом эволюции и индивидуального социального опыта. Я, например, часто применяю бритву Оккама в своей работе ✂️

Использование ментальных моделей в преподавании позволяет выстраивать в головах студентов представление (знание) о сложных системах. Вспомните, к примеру, как модель TCP/IP упрощает изучение сетевых протоколов 🕸

При решении сложных задач ментальные модели в голове дополняют и соревнуются друг с другом, при этом каждая модель должна иметь четкие критерии использования 👨‍🎓

Какие ментальные модели помогают в изучении кибербеза?
— The Diamond Model of Intrusion Analysis
— Cyber ​​Kill Chain
— MITRE ATT&CK
— Pyramid of Pain
— STRIDE

Дополнительные материалы:
— Модели в информационной безопасности

#модель #ментальная_модель

Методология обеспечения кибербезопасности организации (ч.1) 👨‍🎓

Новогодняя 🎄 беседа с к.филос.н. Атамановым Г.А. 👨‍🏫

Таймкоды:
0:00 - Вступление к беседе Методология защиты информационных ресурсов субъектов информационных отношений (ч.1)
0:32 - Зачем нужна корректная картина мира?
4:07 - Почему значения и смыслы передать нельзя?
6:12 - Методология защиты информации по "мнению" ИИ
12:14 - Законность как принцип обеспечения ИБ по законодательству РФ
13:16 - Про 17 Приказ ФСТЭК РФ
14:41 - Методология защиты информации по ГОСТ Р 50922-2006
21:41 - ГОСТ Р 53144-2008
24:48 - Типы возможного деструктивного воздействия
29:09 - Цикл Деминга и миф о Сизифе
35:23 - Как правильно взаимодействовать ИТ и ИБ?
45:34 - Методология защиты информационных ресурсов организации
49:45 - Объекты защиты в информационной сфере
51:36 - Могут ли процессы быть объектами защиты информации?
53:46 - Целеполагание
1:01:29 - Цель обеспечения ИБ субъекта
1:02:16 - Цель обеспечения кибербезопасности (защиты информационных ресурсов)
1:04:19 - Что такое информационный объект и информационный ресурс?
1:10:52 - Что такое система?
1:18:42 - Что такое информационная система?
1:26:31 - Классификация информационных ресурсов по признаку конфиденциальности
1:38:04 - Виды и подвиды тайн
1:45:19 - Про угрозу несанкционированного доступа
1:51:21 - Виды угроз информационным ресурсам предприятия и способы их реализации

👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке 📕

Архив всех бесед в RuTube 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ
11. Методология обеспечения кибербезопасности (часть 1)

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

#подкаст #атаманов

Какую тему диплома по кибербезу выбрать в 2025 году? 🤔

Посмотрим для начала на мировые тренды 👨‍🎓

В 2005 году в США была проведена комплексная работа, в результате которой группа исследователей опубликовала Список сложных проблем в области кибербеза, куда вошли Global-Scale Identity Managemenе, Insider Threat, Availability of Time-Critical Systems, Building Scalable Secure Systems, Situational, Understanding and Attack Attribution, Information Provenance, Security with Privacy, Enterprise-Level Security Metrics.

Видим, что за 20 прошедших лет проблемы не сильно изменились 🤷

В 2023 году был представлен стратегический план США, который координирует проблемы в области кибербеза следующим образом.
1️⃣ Кибербезопасность, ориентированная на человека (Human-centered cybersecurity)
2️⃣ Благонадежность (Trustworthiness)
3️⃣ Киберустойчивость (Cyber resilience)
4️⃣ Метрики, измерения и оценка кибербезопасности (Cybersecurity metrics, measurements, and evaluation)
5️⃣ Инфраструктура исследований, разработок и экспериментов в области кибербезопасности (Cybersecurity research, development, and experimentation infrastructure)

У Национального центра кибербезопасности Великобритании есть Cybersecurity Research Problem Book, он включает 5 сквозных проблем, 4 проблемы безопасности оборудования и 6 киберфизических проблем.

В отчете 2024 года по стратегии киберфизической устойчивости США перечислены задачи для исследования.
1️⃣ Изучение основополагающих принципов устойчивости сложных систем
2️⃣ Хаос-инжиниринг в применении к кибербезу
3️⃣ Механизмы применения сегментации, микровиртуализации и технологий нулевого доверия
4️⃣ Технологии криптогибкости, которые могут обеспечить надежный, устойчивый и своевременный переход к постквантовым стандартам криптографии
5️⃣ Изучение использования методов ИИ для обнаружения аномалий
6️⃣ Разработка инструментов моделирования цифровых двойников для критически важных систем и использование прогностических методов для моделирования слабых мест
7️⃣ Исследования, направленные на содействие переходу на безопасные языки программирования

Отечественный перечень тем представлен в паспортах научных специальностей 1.2.4. Кибербезопасность и 2.3.6. Методы и системы защиты информации, информационная безопасность 👨‍🏫

#наука #исследования

Цель обеспечения кибербезопасности в компании

Цель обеспечения кибербезопасности в любой компании — защитить бизнес от атак, которые происходят с помощью технологий. Это нужно, чтобы компания могла продолжать работать и получать прибыль 🤔

Специалисты по кибербезу часто смотрят только на технологии. Чтобы защитить бизнес, нужно понять, как он работает. Нужно узнать, как компания зарабатывает деньги, как она общается с клиентами, поставщиками и партнёрами. Нужно понять, как работают люди в компании 👨‍🚀🦸‍♀️

Специалисты по кибербезу должны понять компанию, в которой они работают. Для этого нужно общаться с людьми из разных отделов. Нужно знать, что происходит в компании каждый день 🕕

На современных рынках компаниям нужно быстро действовать и быстро выпускать продукт, поэтому кибербез часто оказывается не таким важным, как хотелось бы 😔

Дополнительно по теме рекомендую:

0️⃣ Зачем безопаснику нужно знание бизнес-моделей? (Алексей Лукацкий)
1️⃣Шаблон бизнес-модели Александра Остервальдера и Ива Пинье по ссылке
2️⃣ Курс Cyber Security Economics
3️⃣ Security Economics Knowledge Guide (PDF)
4️⃣ Economics and Security Resource Page по ссылке
5️⃣ Дмитрий Гадарь про кибербез в банке

#экономика

Что общего между кибербезопасностью и Великой Китайской стеной? ❔

Великая Китайская стена 🧱 — проект длинной около 21 000 километров 😳 👷

Во времена династии Мин стена долго держалась, но в конце концов её прорвали маньчжуры, потому что им открыли ворота ⛩

Чтобы стена выполняла свою функцию, её нужно было обслуживать по всей длине: во времена династии Мин для охраны поставили миллион солдат 🫡

Варвары могли выбирать, когда и где атаковать стену. Они искали слабое звено и атаковали там. Так сделали монголы в 1550 году. Они прорвались через слабо защищённый участок стены в Губэйкоу, подошли к Пекину и разграбили его пригороды 😱

Кибербезопасность похожа на Великую Китайскую стену. Злоумышленникам легче атаковать, чем защитникам защищаться 🧑‍💻

В кибербезопасности трудно понять, где находится линия фронта. Злоумышленнику достаточно найти одну уязвимость и проникнуть внутрь. Защитнику приходится учитывать все уязвимости в коде и оборудовании 😱

Обнаружить успешную атаку сложно 🔍 Древние китайцы знали, когда была взломана стена, потому что это невозможно было скрыть 🫥

#аналогии #модель

Почему кибербезопасность сложна для понимания? ❔

Мне нравится сравнение кибербезопасности с защитой замка (на рисунке), но метод аналогий порой уводит в сторону. В таком случае трудно объяснить, как работает антивирус и зачем устанавливать обновления 🧑‍💻

В замке есть разные уровни защиты, которые не дают посторонним пройти внутрь (на рисунке). А в компьютерной сети трудно увидеть и проследить, как работают средства защиты информации 👣

Кибербезопасность сложно понять, потому что технологии (в отличие от защиты замка), которые её обеспечивают, совсем не очевидны ❄️

#концепции #модель

Киберпсихология или психология безопасного поведения человека👨‍🏫

Одних технологических навыков в кибербезе недостаточно. Человек до сих пор остается самым слабым звеном 🔗

В учебных заведениях, которые готовят специалистов по ИБ, следует ввести курс по киберпсихологии. Руководители и специалисты по кибербезу должны изучать поведенческую психологию.

Некоторые руководители до сих пор считают, что написание многостраничной политики по ИБ сформирует культуру кибербеза в компании. Однако наука о принятии решений и поведенческая психология говорит об обратном.

Дополнительно по теме рекомендую:

1️⃣ вебинар Сергея Солдатова про Социальную инженерию (на рисунке скриншот из вебинара)
2️⃣ открытую встречу в институте Иматон Тревожный звоночек. Немного о телефонных мошенниках
3️⃣ страницу Psychology and Security Resource Page
4️⃣ Security and Human Behavior (SHB) 2024 из блога Брюса Шнайера
5️⃣ Брюс Шнайер: Психология безопасности (ЧАСТЬ 1, ЧАСТЬ 2, ЧАСТЬ 3)

#киберпсихология

Методология обеспечения информационной безопасности 👨‍🎓

Предновогодняя 🎄 беседа с к.филос.н. Атамановым Г.А. 👨‍🏫

Таймкоды:
0:00 - Про методологию (краткое содержание предыдущей беседы)
2:21 - Использование ИИ для определения методологии ИБ
6:00 - Как методологию ИБ трактует отечественная наука?
8:12 - Средства обеспечения ИБ с позиции отечественной науки
14:12 - Про продовольственную безопасность
22:08 - Как трактуется ИБ с позиции отечественной науки
26:30 - Про информационную войну
29:44 - Доктрина ИБ РФ
35:03 - Информационная опасность / безопасность объекта
39:32 - Объекты обеспечения ИБ
44:10 - Опасность для человека
47:26 - Цель обеспечения ИБ субъекта информационных отношений
51:40 - Содержание работ по обеспечению ИБ субъекта
59:45 - Структура деятельности по обеспечению ИБ субъекта
1:00:13 - Удовлетворение информационных потребностей
1:04:07 - Защита от деструктивных информационных воздействий
1:08:24 - Защита информационных ресурсов
1:12:00 - Про достоверность, доступность и достаточность информации
1:24:45 - Методы и средства реализации угроз субъектам информационных отношений в информационной сфере
1:28:00 - Субъекты обеспечения ИБ

👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке 📕

Архив всех бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?
10. Методология обеспечения ИБ

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

#подкаст #атаманов

Карьерные траектории в кибербезе (SOCForum 2024) 🚀

Делюсь записью своего выступления на SOCForum про схему карьерных треков cybersecurity-roadmap.ru 👨‍🏫

Тайминг:
1:07 - Вступление
2:31 - План выступления
3:00 - Про свой карьерный путь
4:55 - Чем занимается специалист по кибербезу?
5:51 - NICE Framework и роли
8:24 - Профстандарты по ИБ в РФ
11:51 - Схема карьерных треков в кибербезе
16:16 - Области компетенций в кибербезе
17:06 - Роль сообщества в развитии схемы карьерных треков
20:04 - Итоги доклада
20:40 - Вопрос про профстандарты
22:12 - Вопрос про наиболее важные навыки для успешного карьерного роста в кибербезе
26:28 - Вопрос про самообразование
29:10 - Комментарий про роль преподавателя в кибербезе

PS. Видео также можно посмотреть в VK по ссылке 💙

#SOCForum #кадры_в_ИБ #карьера_в_ИБ #PositiveEducation

Как преподавать сетевые технологии после ухода Cisco? 🤔

В новом выпуске подкаста поговорили с Игорем Ушаковым, к.т.н., зав. кафедрой информационной безопасности компьютерных сетей СПбГУТ 📡

Таймкоды:
0:22 - Игорь о себе
1:39 - Перевод образовательного процесса на отечественное производителя
2:17 - Про Академию Cisco в 99 году
2:55 - Про разработку курса для Cisco
4:10 - Командировка на выставку "Связь" и знакомство с Eltex (апрель 22 года)
5:35 - Разработка УМК по аналогии с netacad
6:50 - Открытие Академии Eltex на базе СПбГУТ (ноябрь 22 года)
7:50 - Как строится образовательный процесс в Eltex
9:42 - Про создание отечественного курса и учебника по сетям
11:00 - Описание учебных материалов
14:40 - Про комплект оборудования
16:30 - Как проходит обучение студентов?
18:30 - Про итоговый тест по курсу и студенческую сертификацию от Eltex
20:40 - Образовательный процесс в вузе
25:00 - Про разработку курса по безопасности сетей
32:50 - Про обучение преподавателей для открытия Академии Eltex

👉 Запись также будет доступна в VK, RuTube и Яндекс.Музыке 🎶

#подкаст #cisco #eltex #сети

Схема карьерных треков в результативной кибербезопасности 🚀

Работа над схемой продолжается ✍️

↘️ Посмотрите результат на cybersecurity-roadmap.ru или PDF-версию для мобильных устройств 📞

Думаю, как упростить ее восприятие 🤔

По просьбам подписчиков на схеме обновились значки. Теперь сразу (надеюсь 😄) понятно, где статья на Хабре, а где — ссылка на курсы от Positive Education 👷

PS. в слоях (Layers) вы можете отключить "значки" и оставить только "чистую" схему 👀

#карьера_в_ИБ

Беседа про кадры в кибербезе на ICEBREAKER 2024 🚀

Обсудили с Владимиром Зайцевым, заместителем тех.директора NGENIX, важность образования и подготовки кадров в кибербезе 👨‍🎓👨‍🏫

00:05 - Вступление
01:20 - Почему говорим на тему кадров в ИБ?
02:15 - Системный подход к проблеме подготовки кадров (студенты и компании)
04:38 - Введение в специальность на первом курсе вуза
05:40 - Конкуренция с разработкой
06:25 - ИТ vs Кибербез
08:30 - Мягкие навыки в кибербезе (сравнение с ИТ)
11:56 - Про стажерские кибербез программы в компаниях
14:35 - Будущее рынка труда в области ИБ
16:20 - Специалисты по безопасности облаков (требования к их знаниям и навыкам)
19:04 - Про знание средств защиты на начальной позиции в компании
21:10 - Почему стоит переходить из ИТ в кибербез? Рост в кибербезе

#интервью #кадры_в_ИБ #ICEBREAKER

Эксперты «СёрчИнформ» собрали портрет идеального кандидата в ИБ-специалисты ✍️

Компания «СёрчИнформ» проанализировала более 100 открытых вакансий ИБ-специалистов, размещенных на платформах онлайн-рекрутинга.

Кадровый голод вынуждает работодателей снижать требования к будущим сотрудникам в ИБ-подразделениях. Государственные организации охотнее частных компаний готовы взять в штат специалистов без опыта (14%) или с минимальным опытом в ИБ от 1 года до 3 лет (57%). Эти данные показывают готовность организаций обучать сотрудников.

В 27% вакансий не указывают требуемое образование, в оставшихся 73% вакансий обозначены:
— профильное образование (ИБ) – 52%
— непрофильное образование (ИТ) – 38%
— специализированные курсы – 21%
— наличие сертификатов – 2%

Большая часть работодателей (50%) готовы предложить ИБ-специалистам зарплату от 100 000 до 200 000 рублей.

Распределение вакансий по опыту и предлагаемой зарплате показывает, что соискателям с опытом от 1 года до 3 лет организации готовы предложить от 50 до 100 тысяч рублей (43% работодателей) и от 100 до 200 тысяч (57% работодателей). ИБ-специалистам с опытом от 3 до 6 лет 63% организаций предлагают зарплату от 100 до 200 тысяч, 27% готовы предложить от 200 до 300 тысяч. Доход от 300 до 500 тысяч специалистам с опытом более 3 лет предлагают лишь в 9% компаний.

Работодатели указывают в вакансии профессиональные навыки в сфере ИТ, которыми должны владеть соискатели на должность ИБ-специалиста: знание протоколов и сетевых технологий, знание языков программирования, понимание серверных технологий виртуализации, навыки администрирования ОС.

Среди профессиональных ИБ-требований следующие.
— Управление и расследование ИБ-инцидентов – 57%
— Владение SIEM – 33%
— Навыки работы с различными СЗИ – 30%
— Знание законодательства, регулирующего вопросы защиты информации – 29%
— Аналитика DLP-системы – 22%
— Подготовка документации, подготовка к проверкам РКН, ФСТЭК, разработка документации на защиту объектов КИИ, взаимодействие с регуляторами – 16%
— Знание основных стандартов ИБ (ISO/IEC 270ХХ, CobIT, PCI DSS и др.), понимание принципов GDPR – 13%
— Понимание матрицы MITRE ATT@CK/Shield и современных TTP, знание современных угроз и атак (DDoS, XSS, SQL Injection) – 13%
— Взаимодействие с международными сертификационными органами – 4%
— Разработка обучающих курсов для повышения цифровой грамотности сотрудников – 2%

PS. Спасибо подписчику, который поделился ссылкой на исследование 🤝

#аналитика

Состояние рынка труда в сфере кибербезопасности в Ирландии (State of the Cyber Security Labour Market in Ireland)

Cyber ​​Ireland, национальная кластерная организация по кибербезопасности, была основана в 2019 году для объединения промышленности, академических кругов и правительства для представления потребностей экосистемы кибербезопасности в Ирландии.

В 2022 году в Ирландии было размещено 6707 уникальных вакансий для специалистов по кибербезу, что более чем в три раза превышает спрос в 2019 году.

↘️ Анализ основан на выборке данных по 10 832 вакансиям, предоставленной Lightcast.

Эти данные свидетельствуют о том, что почти две трети всех вакансий относились к трем основным категориям: 1️⃣ инженер по безопасности (31%), 2️⃣ аналитик по безопасности (20%) или 3️⃣ менеджеры по безопасности (11%).

Детальный анализ на базе Европейской системы навыков (ECSF ENISA) показал, что 1️⃣ специалист по внедрению кибербезопасности является самой востребованной должностью, включенной в 46% всех объявлений о вакансиях с 2019 года.

За ним следуют 2️⃣ специалист по реагированию на киберинциденты (13%) и 3️⃣ менеджер по киберрискам (12%). В совокупности эти роли составляют 71% всех объявлений о вакансиях.

Это подчеркивает, что, хотя в целом растет спрос на сотрудников по кибербезопасности, сосредоточенные усилия по удовлетворению потребностей в навыках в рамках этих трех ролей, вероятно, окажут значительное влияние на рост сектора на национальном уровне.

PS. В представленном отчете мне понравилось, как авторы перешли от анализа вакансий к анализу ролей на основе ECSF ENISA и далее связали их с навыками 🤔

#аналитика

Дефицит навыков в области кибербезопасности в 2023 году (Cybersecurity Skills Gap Global Research Report)

Результаты отчета основаны на ответах, полученных в ходе онлайн-интервью и опроса по электронной почте 1855 лиц, принимающих решения в сфере ИТ и кибербезопасности, проведенного Sapio Research в ноябре 2022 года.

Большинство руководителей признают ценность специализированных технических знаний и навыков.

Восемьдесят два процента (82%) респондентов указывают, что их организациям были бы полезны сертификаты по кибербезопасности, а 90% указали, что они заплатили бы за получение сотрудником сертификата по кибербезопасности.

На рисунке показал востребованные навыки 📕

Меня удивил международный спрос на навыки анализа вредоносных программ. Зачем обычной ИТ-компании такие специалисты? 🤔

PS. В нашем исследовании отечественного рынка труда мы пришли к похожим выводам про облачную безопасность 🤔

#аналитика

Что такое МЕТОДОЛОГИЯ, кому и зачем она нужна? 🤔

Очередная познавательная беседа с к.филос.н. Атамановым Г.А. 👨‍🏫

Таймкоды:
0:00 - Подведение итогов предыдущих бесед
4:20 - Притча о скульпторе
10:40 - Вопросы для самопроверки
15:44 - Анализ существующих определений
19:49 - Цитата из статьи Новиковых о методологии
27:44 - Исследование этимологии термина методология
31:46 - Метод — путь достижения цели
38:33 - Составные части метода (пути)
39:31 - Методика — описание конкретного пути достижения конкретной цели
40:14 - Методология — учение о целеполагании и целедостижении
44:40 - Структура методологии
46:00 - Кому не нужна методология?
47:45 - Кому нужна методология?
51:38 - Кому и когда нужна методика?
57:24 - Фрактальная структура методологии

👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке 📕 и статья Новиковых

Архив всех бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория и зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?
9. Что такое методология?

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

#подкаст #атаманов

Сегодня2️⃣ года 🥳 со дня начала моей работы в Positive Technologies 🤟 и 4️⃣0️⃣ 0️⃣0️⃣ подписчиков в канале 🥳

↘️ Кстати, на нашей странице Positive Education вы сможете найти множество полезных программ про практический кибербез 🚀

#личное #PositiveEducation

Выпуск подкаста про роль колледжей в подготовке кадров по ИБ/кибербезу 🎶

По многочисленным просьбам записал выпуск про СПО 👷

В гостях Антон Уймин, руководитель #au_team, менеджер компетенции сетевое и системное администрирование 📶

Тайминг:
0:26 - Антон о себе
2:14 - Про качество образования в колледжах
5:00 - Преподаватели в колледжах
12:51 - Почему выбирают колледж? Профориентация и старшие классы школы
21:04 - ИИ заменит выпускников колледжей? Пример с автошколой
27:02 - Квалификационный экзамен в колледже по ИБ
36:15 - Направления и как правильно выбрать колледж?
41:42 - Про образование в целом

👉 Подкаст доступен на Яндекс.Музыке , видео на RuTube и VK ❤️

#подкаст

Образ мышления в области безопасности (Teaching the Security Mindset) 💭

Ранее я уже писал про идею учебного курса «Мышление хакера» и обучение состязательному мышлению в кибербезе ✍️

Далее приведу яркую цитату легендарного Брюса Шнайера про мышление безопасника 👨‍🏫

🔙 Безопасность требует особого типа мышления. Специалисты по безопасности — по крайней мере, хорошие — видят мир иначе. Они не могут пользоваться компьютером, не задумываясь об уязвимостях...

Такое мышление неестественно для большинства людей. Оно неестественно для инженеров. Хорошая инженерия подразумевает размышления о том, как можно заставить систему работать; образ мышления в области безопасности подразумевает размышления о том, как можно заставить систему сломаться. Оно подразумевает мышление злоумышленника. Вам не нужно использовать уязвимости, которые вы находите, но если вы не смотрите на мир таким образом, вы никогда не заметите большинство проблем безопасности.

Я часто размышляю о том, насколько это врожденное качество. Думаю, что это особый способ смотреть на мир, и что гораздо проще научить предметной области — криптографии, безопасности программного обеспечения, чем научить кого-то образу мышления безопасника.

Образ мышления безопасника — ценный навык, который может быть полезен каждому, независимо от карьерного пути🔜

#шнайер #мышление_хакера

Феномен доверия в кибербезопасности (Reflections on Trusting Trust)

Давно собирался написать серию заметок о роли доверия в кибербезе ✍️

Хорошо известно, что доверие снижает трансакционные издержки: на примере "бирюзовых организаций" доказано и показано, что экономически выгодно доверять друг другу 🤝

В кибербезе этот принцип не действует🤷 Кибербез существует, пока киберсистемам может быть причинен существенный, с точки зрения их владельца, вред 👆

Не случайно Джоном Киндервагом, аналитиком Forrester, была сформулирована философия "Нулевого доверия" (Zero Trust), где нет доверия устройствам, подключенным к сети ⌨️

Первое знакомство с темой доверия к ПО и безопасности цепочек поставок у меня состоялось на первом курсе университета, когда Семьянов П.В. пересказал нам статью 1983 года Кена Томпсона, создателя UNIX и GoLang, "Размышления о том, можно ли полагаться на доверие" (перевод) 👨‍🏫

В своей статье Кен Томпсон объясняет (и тут) в три шага, как модифицировать двоичный файл компилятора C, чтобы вставить бэкдор при компиляции программы login, не оставляя следов в исходном коде 😱

Получается, что сами программные инструменты могут быть скомпрометированы способами, которые практически невозможно обнаружить с помощью обычных методов проверки 😱

В 2009 году Дэвид А. Уиллер в своей диссертации предложил вариант проверки бэкдора в компиляторе с условным названием "разнообразная двойная компиляция" (diverse double-compiling) 🤔

Некоторые итоги

1️⃣ "Нельзя доверять программе, которую вы не написали полностью сами" (Кен Томпсон)

2️⃣ Статья "Размышления о том, можно ли полагаться на доверие" является обязательной для прочтения всеми студентами ИБ/кибербез специальности

3️⃣ Доверие к компиляторам должно выходить за рамки анализа исходного кода и охватывать всю цепочку инструментов, используемых для их создания 🤔

#доверие #кен_томпсон #бэкдор

С 1988 г. по инициативе Ассоциации вычислительной техники во всем мире 30 ноября отмечают День защиты информации (Computer Security Day).

С профессиональным праздником, коллеги! 🥳

PS. На фото исходный код червя Морриса на гибком диске в Музее компьютерной истории в Маунтин-Вью, Калифорния, США.

В этот день посмотрите фильм Червь Морриса: первое в истории кибероружие от Positive Hack Media 🥷

Предложение для ФУМО ВО ИБ по созданию рабочей группы из представителей компаний

Решил я разобраться в механизмах работы нашего УМО ВО ИБ, куда на данный момент входят 99 вузов по ИБ/кибербезу. Вузов больше, получается, что часть вузов в УМО не состоит.

Какая роль у УМО? 🤔 За 10+ лет работы в вузе я не помню, чтобы УМО помогало нам методически, зато ежегодно зав.кафедрой отправлял туда отчеты ✍️

Что происходит с вузами, которые не в УМО? Лишаются бюджетных мест? Существует ли алгоритм вступления вуза в УМО? 🤔

Нашел Положение об УМО ВО ИБ, которое было принято в 2001 году. Это единственный доступный документ, но, похоже, сильно устаревший, поэтому комментировать его не буду.

Актуальная на июнь 2024 года структура УМО ВО ИБ представлена на рисунке. Получается, ФУМО ИБ подчиняется Минобрнауки? Странная схема. А где остальные регуляторы? 🤔

Со стороны выглядит так, что вузы формируют учебные программы для вузов по ИБ/кибербезу, а потом мы удивляемся, почему выпускники не знают даже основ работы с командной строкой Linux 🤷

На текущий момент актуальная экспертиза по ИБ/кибербезу находится в компаниях и единственным, на мой взгляд, способом улучшить ситуацию с преподаванием является объединение усилий 💪

В представленной структуре я не вижу, как компании могут принять участие в деятельности ФУМО 🤔 Когда проходят заседания региональных отделений? Где повестка этих заседаний? Может, уже есть действующая рабочая группа, куда входят компании? 🤔

Если такой группы нет, то предлагаю на базе ФУМО ВО ИБ ее создать. Уверен, что коллеги из разных компаний поддержат инициативу 🤝

#фумоиб

Искусственный интеллект в кибератаках 🤖

Отчет содержит информацию об общемировых актуальных угрозах информационной безопасности, основанную на собственной экспертизе компании Positive Technologies 🟥, результатах расследований, а также на данных авторитетных источников.

1. Введение
2. Уровни применения ИИ в кибератаке
3. Сбор информации о жертве
4. Эксплуатация уязвимостей
5. Массовая генерация фишинга
6. Дипфейки: политика, реклама, частные лица и организации
7. Генерация и модификация вредоносного кода
8. Многообразие применения ИИ как инструмента кибератаки
9. Будущее ИИ в кибератаках
10. Выводы

#ии

Кем я вырасту, когда стану специалистом по ИБ/кибербезу? 🤔

Выступление Татьяны Кошелевой, старшего аналитика Аналитического центра УЦСБ.

01:44 - Вступление
03:33 - План выступления
04:09 - Траектория будущего специалиста
13:37 - Направления в ИБ/кибербезе
18:02 - Где реализовать себя?
20:35 - Как добраться до вершины?
21:37 - Особенность сферы ИБ/кибербеза
23:52 - Мягкие навыки специалиста
26:30 - Чему нас не учат (на самом деле учат) в вузе
28:15 - Горизонтальный рост
29:53 - С чего начать карьеру?

#кадры_в_ИБ #УЦСБ

Штатная численность специалистов по защите информации (по сведению ФСТЭК РФ)

Изучаю презентацию Анатолия Марченко (ФСТЭК России) к докладу о кадровом обеспечении ИБ.

Посмотрим на последний столбик, где обозначена штатная численность специалистов по ЗИ в Лицензиатах ФСТЭК РФ (9980). Количество лицензиатов можно найти в реестре (3368).

Простые расчеты показывают, что на одного лицензиата приходится в среднем три штатных специалиста по защите информации. Как минимум, да... но в реальности цифры несколько больше.

Предположу, что КЦП на бюджетные места в вузах формируются, исходя из этих минимальных показателей 🤔

#фстэк_рф

Важные вопросы о карьере в ИБ/кибербезе 🤔

Выступление Евгения Баклушина, автора канала BESSEC ✍️

01:28 - Зачем этот доклад?
2:25 - Куда идти работать?
3:21 - Особенности работы в Заказчике
5:45 - Особенности работы в Интеграторе
7:51 - Особенности работы в Вендоре
10:29 - Особенности работы в Правительстве
12:35 - Особенности работы в Образовании
15:29 - Битва за кадры
18:56 - Можно ли без ИБ-образования?
20:22 - Суперспособности ИБ-специалиста
27:00 - Смыслы и страхи

#кадры_в_ИБ

Образ магистратуры по кибербезу 😴

Продолжим разговор про современную магистратуру в ИБ/кибербезе.

Представим идеальный образ такой магистратуры 🤔

1️⃣ Запуск магистратуры в вузе обусловлен определенным запросом со стороны организации (государственной или коммерческой). Таким образом, у магистратуры появляется понятная цель. Учебный план выстраивается с учетом компетенций выпускника 💪

Организация-заказчик выступает в роли соавтора и рецензента образовательной программы. Возникает синергетический эффект 😁

2️⃣ В магистратуре учащиеся под руководством преподавателей занимаются научными исследованиями в области кибербеза: пишут статьи, выступают на профильных конференциях ✍️

Некоторые выпускники магистратуры планируют продолжить свой карьерный путь в аспирантуре 🤓

3️⃣ Производственная практика учащихся проходит в организации и/или в научной лаборатории 👩‍🔬

4️⃣ Преподаватели магистратуры работают в отрасли и/или занимаются научными исследованиями в ИБ/кибербезе 👨‍💻

Это важный критерий, т.к. в вузе считается нормальным, когда доцент способен за год подготовить и затем провести любую дисциплину, и не важно, что раньше он никогда не занимался этой темой 🤓

🙂 На мой взгляд, если исключить перечисленные пункты, то магистратура вырождается в бакалавриат/специалитет, который проводится теми же преподавателями, но под другой вывеской 🤦‍♂️

Знаю множество примеров, когда магистранты повторно сдавали свои бакалаврские работы без внесения в них изменений 😫

#магистратура

Модель магистерской программы "Кибербезопасность" на факультете ВМК МГУ

Решил я внимательнее посмотреть на магистерскую программу Сбера на факультете ВМК МГУ. Тем более, что ее научный руководитель Сухомлин В.А., один из авторов Модели цифровых навыков кибербезопасности (на 300 страниц 🤯), в сокращенном виде она тут ✍️

Сразу скажу, что это магистратура по направлению подготовки 01.04.02 "Прикладная математика и информатика" при том, что в МГУ давно действует кафедра по ИБ 🥷

Научный руководитель магистратуры рассказывает про концепцию в отдельной статье 👨‍🏫

За основу магистратуры взяли проект CyBoK (The Cyber Security Body of Knowledge, о нем я писал тут) и куррикулум дисциплины "Кибербезопасность".

Дисциплины магистратуры сопоставили категориям из CyBoK (см. Рисунок):
— Человеческие, организационные и нормативные аспекты (Human, Organisational, and Regulatory Aspects),
— Атаки и Защита (Attacks and Defences),
— Безопасность систем (Systems Security),
— Безопасность программного обеспечения и платформ (Software and Platform Security),
— Безопасность инфраструктуры (Infrastructure Security).

С точки зрения кибербезопасности понятный состав дисциплин, но выпускники получат дипломы магистров прикладной математики, поэтому странно, что прикладной математики в программе практически нет 🤔

#мгу

Почему подготовка кибербезопасников — тупиковый путь? (интервью вице-президента по кибербезопасности Сбера) 😱

Сергей Лебедь затронул острые вопросы подготовки кадров в кибербезе 🤔

Приведу несколько ярких цитат из интервью:

🔙 Сегодня специалист по кибербезопасности — это прежде всего эксперт в ИT со своей узкопрофильной специализацией в кибербезопасности. Причём иногда эта специализация выходит за рамки сферы кибербезопасности: финансисты, разработчики моделей искусственного интеллекта, математики, инженеры данных🔜

✍️ С этим я согласен, в основе кибербеза лежит ИТ-фундамент. Выстраивается иерархия: ИТ —> кибербез —> специализация.

🔙 Мы поставили себе амбициозную задачу — создать эталонные учебно-методические материалы по предметным областям кибербезопасности на основе интеграции академических знаний с отраслевым экспертным опытом рынка и сделать их доступными для всего профессионального сообщества.

Для решения этой задачи в 2023 году Сбер совместно с одним из ведущих вузов страны открыл магистерскую программу «Кибербезопасность». Мы проработали содержание каждой дисциплины, в том числе и с учётом нашего практического опыта, создали карты знаний в виде иерархических структур и рассчитывали, что в итоге получим качественный методический материал, которым можно поделиться с другими вузами. Но столкнулись с противостоянием новой и старой школы. К сожалению, от развития совместного проекта, на которое мы рассчитывали, пришлось отказаться. Это крайне важный вопрос, поэтому мы его заостряем, публично акцентируем на нём внимание и продолжаем искать партнёров🔜

✍️ По всей видимости, речь идет про магистерскую программу Сбера на факультете ВМК МГУ. Интересно, о какой "новой" и "старой" школе говорит Сергей? Что помешало сделать доступными УМК по кибербезу? 🤔

🔙Мы видим, что в большинстве вузов сильные преподаватели приходят на кафедры с одной целью — готовить молодых специалистов для своих компаний или проектов. Проблема качества, мотивации преподавательского состава вузов, по крайней мере в сфере кибербезопасности, — одна из ключевых в задаче подготовки выпускников. Проблема подготовки кадров для кибербезопасности много лет остаётся сложной и, к сожалению, имеет тренд на обострение. Видимо, поэтому ряд экспертов полагают, что подготовка кибербезопасников — тупиковый путь, поэтому нужно готовить специалистов в ИТ после вуза и проводить дообучение в одном или нескольких направлениях кибербезопасности🔜

✍️ Про мотивацию преподавателей я пишу часто, проблема существует. А вот про отказ от подготовки "чистых кибербезников" стоит поговорить отдельно.

Не отрицаю, что из выпускников ИТ-кафедр возможно подготовить отличных специалистов по кибербезу. Доучивать их можно в (корпоративной) магистратуре под определенные задачи. Таким образом, кибербез становится веткой внутри ИТ 🤔

С другой стороны, схема развития карьеры в кибербезе показывает, что покрыть все специальности магистратурой не получится 📕

Современные ИТ-кафедры по остаточному принципу преподают ИБ/кибербез, поэтому у выпускников складывается искаженное представление о кибербезе и задачах, которые там решаются.

На мой взгляд, процесс преподавания ИТ-дисциплин для программистов и специалистов по кибербезу различается. Об этом писал в заметке Творческий подход к преподаванию языка ассемблера.

А вы согласны с тезисами Сергея? 🤔

#сбер

🤓 Может ли программист разрабатывать миллиардные проекты и быть владельцем футбольного клуба

Да, если это Денис Кораблев, идейный вдохновитель, создатель и, можно сказать, отец PT NGFW — российского межсетевого экрана нового поколения.

В новом выпуске «Думай как» расспросили Дениса, как из айтишника трансформироваться в айтишника-предпринимателя, в чем секрет создания прорывных продуктов, и где он берет лишние 10 часов в сутках, чтобы все успевать (в том числе улучшать российский футбол).

👀 Смотреть всем
👀 Вообще всем
👀 Мы не шутим

P. S. Заодно проверите, кто был прав насчет выбранной обложки.

@PositiveHackMedia

Минцифры разрабатывает новые критерии для крупных IТ-компаний по поддержке вузов 🤔

Вчера в РБК вышла об этом новость.

По данным "Коммерсанта", сейчас обсуждаются три критерия:
1️⃣ направление сотрудников в качестве преподавателей в вузы;
2️⃣ организация стажировок в компаниях;
3️⃣ техническое оснащение вузов.

Эти требования хотят ввести для IТ-компаний с выручкой от 1 млрд руб.

Что я об этом думаю?

Крупные компании из-за кадрового голода на рынке давно работают с вузами. Формы взаимодействия разные: зависят от бизнеса (вендор, интегратор, дистрибьютор) и целей компании.

Минцифры, с одной стороны, предлагает сделать эту деятельность прозрачной, с другой - обязывает компании системно подходить к этой активности для увеличения качества подготовки IТ-специалистов.

Преподаватели-эксперты из IТ-компаний

Многие эксперты из IТ-компаний уже преподают в вузах, но в свободное от основной работы время (вечерами, в выходные, в свой отпуск). Про их мотивацию писал ранее.

Правда, это занимает много времени. На подготовку одной лекции может уходить от 8 часов, затем, если занятие очное, то от 4 до 8 часов тратится на переезд и проведение пар. То есть подготовка и проведение 1-2 занятий очно в вузе занимает два рабочих дня 😱

Получается, что если эту деятельность делать прозрачной, то эксперта придется вынимать из рабочих процессов на два дня, что нереально сделать в современных условиях.

Отдельная роль преподавателя в IT-компании

Подобные критерии, на мой взгляд, могут подтолкнуть компании к появлению особой роли преподавателя. Это специалисты, которые работают в IT-компании, но большая часть их рабочего времени направлена на преподавание в вузах.

Такая роль позволяет разрабатывать курсы, общаясь с экспертами внутри компании, и транслировать актуальные знания студентам. О современной роли преподавателя я писал тут.

Продолжу следить за развитием событий ✍️

#Минцифры

Коллеги, поздравляю вас с Днем преподавателя высшей школы 🥳

PS. Фото с заседания Студенческого Научного Общества, где рассказываю про академическое письмо (по учебнику И. Б. Короткиной) 👨‍🏫

Почему мне не нравится ФГОС по ИБ? 📕

Я понял, чем мне так не нравится наш Федеральный государственный образовательный стандарт (ФГОС) по ИБ и все последующие его редакции 💡

Сразу скажу: его чрезмерной специализацией.

Когда я работал в приемной комиссии вуза, то приходилось объяснять абитуриентам разницу между ИБАС и КБ 🤷

Вопросы, которые ставили меня в тупик:
— Кем пойдет работать специалист по безопасности открытых информационных систем?
— Чем отличается анализ безопасности информационных систем на ИБАС от анализа безопасности компьютерных систем на КБ?

Проект ФГОС 4 добавляет к ИБТКС, ИБАС, ИАСБ и ОТЗИ перечень специализаций (см. рисунок). Получается, что студент с первого курса учится узкой специализации? Мы не даем студентам шанса выбрать специализацию на основе их интересов? 🤷

Как показывает анализ направлений, знания и навыки в ИБ/кибербезе тесно переплетены 🕸

Возьмем столбец "Кибербезопасность", разве анализ безопасности ИТ не является обязательной компетенцией специалиста по ИБ/кибербезу? 🤷

Считаю ошибочным выделять кибербез в отдельное направление. Например, в ИБАС присутствует специализация "Безопасность киберфизических систем", которая, очевидно, относится к кибербезу.

Т.е. согласно новому проекту существует кибербез и не-кибербез? Инфобез? 🤯

На мой взгляд, путаница происходит, т.к. во ФГОС не разделяются кибербез и инфобез. Мы ранее подробно разбирали понятие инфобез и немного затронули кибербез, которые зафиксированы в терминосистеме 📕

Выбор вузом специализации, например, "Безопасность технологий больших данных" говорит о том, что не надо преподавать "Безопасность систем искусственного интеллекта", ведь это другое направление, согласно новому проекту? Современные системы ИИ построены как раз на больших данных. Зачем производить подобное разделение? В ИБ-вузе есть классический курс по ИИ, почему не добавить туда элементы ИБ? 🤷

Я провел поверхностный анализ проекта ФГОС, но вопросов по нему остается еще много 🤔

Мне видится, что необходимо по ИБ/кибербезу преподавать прочную инженерную основу (об этом тут), дальше погружать в специфику (об этом тут) по значимым для страны технологиям. Сейчас получается, что выпускники по ИБ/кибербезу в разных вузах имеют разную базу, т.к. ОТЗИ, например, не предполагает погружение в архитектуру ИС 🤷

Основы кибербеза необходимо читать всем ИБ-студентам, даже для направления "бумажной" безопасности ✍️

Редкий вуз имеет сейчас возможность действительно обучить узкой специализации (сложности с преподавателями-практиками, материально-технической базой и т.д.), да и не надо перекладывать на вузы такую ответственность. Решением могут быть различные схемы взаимодействия с вендорами и интеграторами. Но база — она за вузом, а сейчас кажется, будто в погоне за трендами мы забываем про фундамент 🤷 👷

#фгос

Примите участие во всероссийских соревнованиях белых хакеров в формате CTF от команды Red Cadets! 🚀

☎️ Red Cadets, в лице кафедры систем сбора и обработки информации Военно-космической академии имени А.Ф. Можайского, снова на связи!

Red Cadets приглашает всех учащихся довузовских образовательных учреждений окунуться в атмосферу настоящего хакерского противостояния в формате CTF!

📅 НАЧАЛО СОРЕВНОВАНИЙ: 17:00 23 ноября 2024 года
⏱️ ПРОДОЛЖИТЕЛЬНОСТЬ: 24 часа
📍 ОНЛАЙН-ПЛАТФОРМА СОРЕВНОВАНИЙ: vkactf.ru

💻 Регистрируйтесь по ссылке vkactf.ru, приглашайте всех своих друзей, товарищей, знакомых, знакомых знакомых и открывайте мир удивительных задач по инфобезу!

Победителей и призеров соревнований ждут подарки от Федерации спортивного программирования России 🥳

Соревнования включены в Единый Календарный план Минспорта России, а это значит, что победителям и призерам имеется возможность присвоения спортивных разрядов по виду спорта «Спортивное программирование» 🔥

#VKACTF_kids

Образ идеальной конференции про кибербез образование 🤔

Перечислю, какие, на мой взгляд, критерии у хорошей образовательной конференции 👨‍🏫

1️⃣ Наличие онлайн-трансляции и доступ к материалам после ее проведения (записи выступлений и презентации спикеров). В современном мире это уже считается нормой, в ином случае такая конференция превращается в закрытый клуб по интересам.
2️⃣ Разделение секций по целевой аудитории:
— на открытии конференции присутствуют представители регуляторов, компаний, зав. кафедрами, деканы, преподаватели, аспиранты (про цели, задачи, куда идем и зачем);
— отдельная секция для зав. кафедрами, деканов (разговор про учебные планы и кадровый дефицит в вузах, формирование новых ДПО, совместные проекты);
— отдельная секция для преподавателей кибербеза (методика преподавания, обмен практиками, повышение квалификации для преподавателей);
— научная секция (передовые исследовательские темы, выступают в основном аспиранты);
— отдельная секция для компаний, которые продают продукты в вузы и тех, кто хочет послушать спонсоров (рекламные доклады).
3️⃣ Опционально: электронная публикация итогов конференции, резолюция (можно заменить презентациями).
4️⃣ Наличие онлайн-канала коммуникации во время и после проведения конференции.
5️⃣ Отсутствие пленарных дискуссий. Считаю, что все "пленарки" пора заменить на доклады с понятными тезисами.
6️⃣ Чуть не упустил из виду. Наличие сайта конференции или постоянной страницы, где собраны все материалы (программа конференции).

Согласны? 🤔

#конференции

Обзор образовательных игр про кибербез 🎲

Подготовил небольшой обзор игр в области кибербеза с различными механиками 🎮

#игра

ИИ-помощник от Positive Technologies 🤖

Мы разработали ИИ-помощника для обучения кибербезопасности 🥷

Сейчас наш чат-бот «Алекс»:

1️⃣отвечает на вопросы о продуктах Positive Technologies;
2️⃣ориентирует в том, как устроен процесс обучения;
3️⃣подбирает нужные курсы и сертификации, предлагая ссылки на соответствующие материалы.

Пока это MVP, но в перспективе мы планируем создать на его основе гибкое и масштабируемое решение с интегрированным генеративным ИИ. В чат-боте появится функционал, который позволит преподавателям разрабатывать и загружать контент, а менеджерам (заказчикам) ставить задачи и собирать аналитику по обучению.

Ключевая особенность «Алекса» в том, что вместо разрозненных решений для каждой целевой группы мы предлагаем единый интерфейс, который объединит потребности всех аудиторий. Это сократит затраты на разработку и поддержку учебных систем, обеспечит гибкость и персонализацию обучения.

Детально про проект Андрей Карлович рассказал в статье ✍️

#бот #PositiveEducation

Обучение студентов инфобезу/кибербезу через настольные игры 🎲

Мне нравятся трансформационные игры с настоящим фасилитатором 💭 Подобные игры позволяют лучше понять себя, посмотреть иначе на окружающий мир 🗺

Несколько раз принимал в них участие. В ходе игры участник проживает различные роли, проигрывает сценарии жизни и попадает в неожиданные ситуации 🍿

🔙 А не замахнуться ли нам на Вильяма, понимаете ли, нашего Шекспира? 🔜 🚘

А что, если нам перенести эту идею на инфобез/кибербез и разработать игру, формирующую у студентов "мышление результативного безопасника"? 🤔

Ранее я уже писал про учебный курс "Мышление хакера" (Thinking Security, Think Like a Hacker) и "состязательное мышление" (Introduction to Adversarial Thinking for Cybersecurity) безопасника 💻

Игру, например, можно проводить в малых группах, растянуть во времени, как фильме "Джуманджи" 1995 года 🦁

Напишите в комментариях, если идея актуальная и интересная ✍️ Подумаем над реализацией вместе 👷

#идея #игра

Обновление схемы карьерных треков в кибербезопасности по результатам гастролей 🎤

Несколько дней гастролировал с концертами выступлениями на тему профессий в кибербезе 🚂 Собрал, что важно ✍️, живую обратную связь!

Как изменилась схема cybersecurity-roadmap.ru и ее PDF-версия?

1️⃣ обновил название, теперь это "Схема карьерных треков в результативной кибербезопасности";
2️⃣ роль преподавателя/тренера перестала быть самостоятельной и стала развитием деятельности экспертов (в результате деятельности специалист приобретает знания, которыми делится);
3️⃣ трек по безопасной разработке приложений разделил на AppSec и DevSecOps.

Напоминаю, что схема интерактивная: с помощью слоев можно посмотреть на тренды, области компетенций или отобразить вариант схемы с начальными ролями ⚡️

#SOCForum

Гайд для HR-ов, не сталкивавшихся с наймом ИБ-шников 🥷

Алексей Пыринов поделился на Хабре интересным гайдом по направлениям в кибербезе с учетом отечественной специфики:

— Cybersecurity Specialist (Специалист по информационной безопасности);
— SOC-engineer (Специалист по реагированию на инциденты);
— Pentester (Специалист по тестированию на проникновение);
— System Engineer (Специалист по сетевой безопасности);
— Compliance Specialist (Аудитор по информационной безопасности);
— AppSec (Специалист по безопасности приложений);
— DevSecOps;
— Blockchain Security Researcher

#треки_в_кибербезе

Магнит для компании: как в 21 год получить 3 оффера одновременно 😳 🔥

Выступление Макара Ляхнова из Positive Technologies 👨‍💻 на GIS STUDENT DAY 2024 👨‍🎓

PS. в начале года записывал интервью с Макаром, оно доступно по ссылке 🎶

#студенту

Что такое информационная безопасность? 🤔

Очередная познавательная беседа с к.филос.н. Атамановым Г.А. 👨‍🏫

Таймкоды:
0:00 - Подведение итогов предыдущих бесед.
3:40 - Прагматическая наука.
5:30 - Научные публикации.
6:23 - Понятие "информационная безопасность" (ИБ).
9:30 - Что такое ИБ?
17:51 - Продовольственная безопасность.
25:46 - Виды воздействия информации на человека.
31:54 - Зачем информация необходима человеку?
34:34 - Свойства информации.
35:51 - Информационная коммуникация.
37:46 - Какой вред может причинить человеку информация?
1:02:46 - Опасность/безопасность.
1:05:03 - Информационная безопасность.
1:08:13 - Какой должна быть информация?

👉 Запись доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке 📕

Архив всех бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория? Зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация
8. Что такое информационная безопасность?

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

#подкаст #атаманов

Зачем учиться в вузе? Про развитие способностей 🤔

Небольшой отрывок из новой беседы с Атамановым Г.А. про инфобез. В ближайшие дни опубликую полную версию 🚀

#атаманов #теория

Схема карьерных треков в журнале Positive Research 🚀

В свежем номере журнала (в его бумажной версии) опубликована схема-бродилка карьерных треков в кибербезе 🥳

↘️ Схему в PDF можно скачать по ссылке 📕

#схема #Positive_Research

Влияет ли сертификация студентов на трудоустройство в кибербезе? 🤔

Таким вопросом задаются ученые из Georgia Gwinnett College.

Далее цитата из их отчета.

🔙 Результаты количественного опроса по шкале Лайкерта, полученного от 12 компаний, работающих в сфере ИТ в районе Атланты..... Результаты убедительно свидетельствуют о том, что сертификаты в сочетании с высшим образованием способствуют тому, что выпускник получает больше шансов при приеме на работу.

>90 % опрошенных согласны с тем, что образование, в котором отсутствуют ИТ-сертификаты, делает выпускников менее конкурентоспособными, >83 % утверждают, что сертификаты важны при приеме на работу, 100 % утверждают, что наличие нескольких ИТ-сертификатов дает работнику больше уверенности в кандидате, 75 % утверждают, что ИТ-сертификаты учитываются при определении стартовой зарплаты, и >83 % утверждают, что ИТ-сертификаты должны быть включены в диплом колледжа.

Высшие учебные заведения обязаны постоянно содействовать подготовке студентов к трудовой деятельности. В сфере кибербезопасности это требует включения сертификации в учебную программу, что подтверждается как количественными, так и качественными результатами 🔜

Вот такие выводы 🤷

↘️ Оригинальная статья здесь ✍️

Если обратиться к другим статьям из Журнала исследований и практики образования в области кибербезопасности, можно сделать вывод, что проблемы в американском кибербез образовании схожи с нашими 🤔

#сертификация

Бесплатный курс «Специалист по противодействию кибератакам» от CyberEd

Эту программу эксперты 😎 подготовили для новичков в Blue Team, а также для системных администраторов и IT-специалистов, которые сталкиваются с необходимостью защиты инфраструктуры, но не имеют опыта в кибербезопасности 🚀

На курсе вы научитесь:
➡️ Реагировать на кибератаки на разных этапах — от разведки до ликвидации последствий.
➡️ Работать по плейбукам, как это делают аналитики 1-й линии SOC.
➡️ Понимать, что делать, когда инцидент уже произошел — это компетенция аналитиков 2-й линии SOC.

Формат курса — асинхронный. Вы будете смотреть видеолекции, изучать материалы и выполнять практические задания. Получить обратную связь и задать вопрос куратору вы всегда сможете в специальном чате поддержки.

📅 Прохождение курса займет приблизительно от 2 до 4 недель (48 ак.ч.)

➡️Записаться на курс можно по ссылке 🏃‍♂️

#soc #cybered

Студенты-амбассадоры кибербезопасности 👨‍🎓👨‍💻

В настоящее время активно обсуждается вопрос повышения уровня личной кибербезопасности в образовательных учреждениях 🤔

Одним из возможных решений этой проблемы может стать привлечение студентов, обучающихся на ИБ-кафедрах, в качестве амбассадоров. Эти студенты могли бы проводить «Разговоры о личной кибербезопасности» для школьников 👨‍🏫

На мой взгляд, это может стать эффективной учебной практикой для будущих специалистов в области ИБ 💪

Представим, что мы отбираем 100 студентов по всей стране, каждый из которых проводит мероприятия в пяти школах своего города. Таким образом, мы охватываем 500 школ! 🚀

Студенты получают уникальный опыт публичных выступлений, а школьники — возможность пообщаться с будущими специалистами. Это способствует профориентации и повышению уровня личной кибербезопасности в стране 🇷🇺

PS. Получится хороший проект для Центра развития образования в кибербезе, о котором писал ранее ✍️

#идея

Топ 5 ИБшных специальностей от Алексея Лукацкого, которые будут нужны любой IT-компании в ближайшие 5-10 лет? 🤠

👇

1️⃣ специалисты в области моделирование угроз, причём широкого плана моделирования угроз.
2️⃣ специалисты, которые занимаются безопасностью ИИ.
3️⃣ специалисты, которые занимаются интернетом вещей и его безопасностью. Потому что когда у нас к интернету подключаются к кардиостимуляторы, инсулиновые помпы, автомобили, стельки... и так далее. Очевидно там огромное количество всяких угроз могут быть реализованы, поэтому безопасность этих устройств очень важна.
4️⃣ аналитики, которые, самое главное, могут делать выводы на основе информации.
5️⃣ психологи в области кибербеза, потому что большинство проблем происходит из-за человеческой глупости, тупости, невнимательности, а это означает, что для психологов в широком смысле (психологии, психоаналитики, физиологи даже) у них будет всегда работа с точки зрения кибербеза: в продуктовой юзабилити, эргономике, UI - это тоже вопрос психологии, вопросы физиологии, как глаз движется, какие у человека толстые или не толстые пальцы. Кучу нюансов, которым, к сожалению, нигде не учат. А из-за этого и происходят многие инциденты, потому что средства защиты неудобны и их отключают, а хакеры входят в инфраструктуру, как в открытую дверь

По материалам интервью 👀

#интервью #профессии_в_ИБ

Карта информационных угроз в медиапространстве 🗺

Я редко пишу про инфобез, хотя занимался несколько лет анализом деструктивного информационного воздействия на примере СМИ и религиозных культов (предложил в 2013 году теорию формирования картины мира) 🔈

Сегодня узнал, что при МГЮА существует Лаборатория информационной безопасности несовершеннолетних.

Сотрудники лаборатории подготовили детальную и системную карту информационных угроз в медиапространстве, доступную по ссылке 🤔

Количество приведенных угроз впечатляет 😳

#МГЮА

Центр развития образования в области кибербезопасности

В свой День рождения хочется помечтать и отправить запрос во Вселенную 🚀

Вселенная, записывай! ✍️

Нам необходим отечественный академический центр развития образования в области кибербезопасности, где будут разрабатываться концепции, стратегии и предприниматься действия, способствующие развитию образования, обучения и подготовки кадров в области кибербезопасности в РФ 🇷🇺

Вселенная, у нас в стране все для этого есть: уникальная методология безопасности, сильная экспертиза в области анализа защищенности и расследования инцидентов, более 200 учебных заведений, где уже преподают ИБ 🫡

Перечислю цели центра 🎯

Цель 1. Содействие развитию карьеры в кибербезопасности.
Цель 2. Трансформация обучения для создания квалифицированных кадров в кибербезе.
Цель 3. Модернизация процесса управления талантами в кибербезе.
Цель 4. Проведение исследований для поиска и создания эффективных методов развития кадров в кибербезе.

Подобный научный центр может быть создан на базе вуза, обладающего экспертизой в области преподавания кибербезопасности ✍️

Вселенная, подскажи, как приблизить создание такого центра? 🤔

PS: свечки на торте задул 🎂

#мечта

Остаться востребованным: чему учить и учиться в ИБ 😺

Мое выступление на CyberCamp2024 👨‍🏫

Тайминг:
0:00 - О своем пути в ИБ.
4:16 - Чем занимается специалист по кибербезу?
6:57 - NICE Framework.
10:53 - Профессиональные стандарты в ИБ.
15:51 - Схема карьерных треков в кибербезе.
19:39 - Чему учиться в кибербезе?
21:14 - Рынок труда в ИБ и тренд на горизонте до 2027 года.
25:17 - Как стать востребованным специалистом?
28:48 - Полезные книги по кибербезу.
30:17 - Ответы на вопросы зрителей.

Презентация по ссылке 🟢

Видео также можно посмотреть VK ⚡️

#CyberCamp

Киберкрепость: цифровой суверенитет и информационная безопасность в России

Сегодня модерирую панельную дискуссию в рамках всероссийской конференции для талантливых студентов «Менеджмент Будущего», организуемой Высшей школой менеджмента СПбГУ 👨‍🏫

В ходе дискуссии мы обсудим взаимосвязь между цифровым суверенитетом, кибербезопасностью и образованием 👨‍🎓

Посмотреть прямую трансляцию можно по ссылке VK 👀

#МенеджментБудущего

Вопросы для подготовки к собеседованию по кибербезу

В помощь начинающим специалистам по кибербезу я решил собрать интересные вопросы и распределить их по категориям (пока без перевода)

↘️ вопросы на GitHub

Один из вопросов, который мне показался интересным: если бы вы могли перепроектировать протокол TCP, что бы вы изменили? 🤔

Это не классический вопрос об отличиях TCP от UDP 🥱

Поделитесь в комментариях, какие вопросы на собеседованиях показались вам интересными? 📕

#собеседование

Предложение для ФУМО ИБ про список рекомендованных ресурсов (литературы)

В проекте нового образовательного стандарта ФГОС 4 перечислены обязательные общепрофессиональные компетенции (ОПК) и результаты обучения по их достижению (знать/уметь).

По специальности Кибербезопасность я собрал ОПК в отдельный документ 🫡

✍️ Предлагаю к следующему Пленуму подготовить академическим сообществом список рекомендованных ресурсов по каждому из обязательных ОПК. Хорошо, если такой список появится по всем специальностям.

Подобный перечень может стать рекомендуемым и обновляться ежегодно с появлениям новых ресурсов (полезных монографии, учебников, пособий, статей и сайтов) 🤔

Это во многом упростит жизнь преподавателям и студентам 📕

Что думаете про идею? 🤔

#фумоиб

Путеводитель по карьере в кибербезопасности

На русском языке издали книгу про карьеру в кибербезе. Читал ее в оригинале (Cybersecurity Career Guide by Alyssa Miller), поэтому про перевод ничего не скажу 📕

➕ Из плюсов:
- первая подобная книга на русском языке;
- помогает сформировать собственный карьерный план развития в кибербезе.

➖ Из минусов:
- ориентация на западную сертификацию;
- много рекомендаций в стиле: заведите блог, вступите в кибербез-сообщество, напишите качественное резюме (относится к любой сфере деятельности).

➡️ Напоминаю про отечественную 🇷🇺 интерактивную схему карьерных треков в кибербезе, которая активно продолжает развиваться: cybersecurity-roadmap.ru

#книга

Учебник важнее учителя? 🤔

Недавно мне в руки попала монография, посвященная проблемам качества математического образования. В ней обсуждается роль учебника.

Привожу цитату из этой монографии.

🔙 В управленческих и педагогических кругах часто слышится мнение, что учитель - более важный фактор обучения, нежели учебник. Мнение, по меньшей мере, поверхностное.

Бесспорно, что хороший учитель оказывает сильнейшее благотворное психологическое влияние на учащихся, стимулируя их мотивацию и организовывая познавательный процесс. Но хороший учебник влияет и на учащихся, и на учителя. Он даёт в руки учителя педагогически организованную систему учебного предмета, методически проработанную и выверенную длительным опытом многих поколений учителей. Тем самым он избавляет учителя от многих ошибок и вооружает правильной методикой преподавания.

Но главная функция учебника другая. Хороший, доступный учащимся учебник позволяет им самостоятельно добывать знания и осмысливать их.

Хороший учебник не пишется в один-два года по заказу министерства или для конкурса. Он не будет написан даже за десять лет. Он вырабатывается талантливым педагогом-практиком вместе с учащимися в течение всей педагогической жизни (а не профессором математики или академиком за письменным столом).

Хороший учебник не может появиться сразу. Любой учебник при своём первом появлении содержит массу педагогических, методических, стилистических и даже фактических ошибок, которые можно устранить только в процессе дальнейшей многолетней практической работы с ним. Работа эта состоит в систематическом выявлении затруднений учащихся при пользовании учебником, во внимательных наблюдениях за многочисленными ошибками учащихся, педантичной их фиксации с последующим вдумчивым анализом, отысканием новых методических решений, их практической проверкой и соответствующей коррекцией текста учебника 🔜

Согласны? 🤔

#учебник

Седьмой выпуск подкаста про кибербез образование 🎶

В этот раз поговорили с Владимиром Николаевым, инженером отдела эксплуатация систем кибербезопасности в Positive Technologies.

Владимир в 22 года, будучи студентом четвертого курса, решил глубже погрузиться в кибербез и начал самостоятельно изучать разные направления. Первое время он никак не мог устроиться на работу и только коллекционировал отказы. Сейчас он работает в Positive Technologies и преподает в МТУСИ 👨‍🏫

👉 Подкаст доступен на Яндекс.Музыке , видео на RuTube и VK.

Таймкоды:
00:22 - О своей деятельности.
5:56 - Путь в кибербезопасность через ROM хакинг.
9:20 - Ожидания от университета.
10:28 - Про платное обучение в вузе.
13:34 - Физика в вузе и поиск первой работы, стажировка в Positive Technologies.
18:30 - Базовые знания и собеседования.
19:25 - Идея создания факультатива в вузе и обучение на старших курсах.
22:50 - Очередная попытка пройти собеседование.
27:48 - Три оффера одновременно и путь в Positive Technologies.
32:34 - Создание образовательной программы по кибербезу в вузе.
40:43 - Как правильно относиться к университету?
44:34 - Что вдохновляет преподавать?
48:41 - Про выбор темы для новой лекции.
54:34 - Как начать преподавать?
01:02:48 - Пожелания студентам первого курса.

Дополнительно: выступление Владимира на Standoff101 и выступление на PHDays 2 👷

#подкаст

О подходах к оценке квалификации выпускников, обучающихся по направлению «Информационная безопасность»

Дмитрий Правиков, заведующий кафедрой комплексной безопасности критически важных объектов РГУ нефти и газа (НИУ) имени И.М.Губкина.

Выступление включает
1️⃣ Модель специалиста ИБ
2️⃣ Специфика рынка труда ИБ
3️⃣ Требования к специалистам ИБ

#видео #Реалии_и_Стратегии_КиберБезопасности #липецк

Мечта о диссертации про кибербез образование

Мечтаю о том, чтобы нашелся талантливый аспирант, который, изучив аналитические материалы (cybersecurity-education.ru) с этого канала, успешно защитит диссертацию ✍️ на тему образования в области кибербезопасности 🤓

Я наивно полагаю, что этот канал — лишь временное явление, а диссертация, написанная на основе собранных здесь данных, будет храниться в архиве ещё много лет и послужит источником вдохновения для будущих учёных 😇

Буду рад оказать консультационную и информационную поддержку автору такой диссертации 🤔

#мечта #диссертация

Недопустимые события. Научный подход

Готовлю материалы к занятиям в вузе по методологии кибербеза, добрался до понятия недопустимое событие 🤔

И вот, что получилось 👀

#термины #резбез

Мы учимся на собственных ошибках. Нет другого пути 🤷

Дмитрий Волошин (CEO OTUS) рассказывает про роль ошибок в процессе обучения.

Обучение отличается от рабочего процесса отношением к ошибкам👨‍🎓

#видео

Альманах «ИБ-пророк» доступен онлайн 🔥

В книге собраны 22 уникальных прогноза визионеров, признанных экспертов в области ИБ. Они поделились своим видением развития отрасли на ближайшие три года 🤔

От редакции
Беседа с Александром Белявским
Беседа с Лидией Витковой
Беседа с Сергеем Груздевым
Беседа с Дмитрием Гусевым
Беседа с Данилом Заколдаевым
Беседа с Дмитрием Зегжда
Беседа с Натальей Касперской
Беседа с Русланом Киричек
Беседа с Сергеем Кирюшкиным
Беседа с Игорем Котенко
Беседа с Алексеем Лукацким
Беседа с Денисом Макрушиным
Беседа с Ильей Маркеловым
Беседа с Андреем Масаловичем
Беседа с Константином Мушовец
Беседа с Николаем Нашивочниковым
Беседа с Сергеем Полуниным и Дмитрием Овчинниковым
Беседа с Николаем Сивак
Беседа с Дмитрием Служеникиным
Беседа со Станиславом Смышляевым
Беседа с Рустэмом Хайретдиновым и Андреем Вишняковым
Беседа с Александром Шойтовым

#GIS_DAYS

Научить кита летать (коан кибербез образования)💡

Однажды ученик 🤓 подошёл к Мастеру Лу 🤠 с вопросом: как познать практику кибербезопасности?

Мастер взял бумагу и сделал из неё кита 🐳 Затем он сказал:

— Для начала научи кита летать...

Ученик задумался, но вскоре понял, что это невозможно. Тогда он спросил:

— Как же мне это сделать, Мастер? 🤓

Мастер улыбнулся и ответил:

— Когда ты поймёшь, как научить кита летать, ты постигнешь практику кибербезопасности 🥷

#коаны

Социальная информация ℹ️

Очередная беседа с Атамановым Г.А., в этот раз затронули следующие темы:

1️⃣ Что такое «социальная информация»?
2️⃣ Функции социальной информации
3️⃣ Свойства социальной информации
4️⃣ Модель формирования знания

👉 Полностью запись беседы доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация по ссылке, монография тут 📕

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

Архив бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория? Зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации
7. Социальная информация

#подкаст #атаманов

Про школу преподавателей кибербезопасности

Второй год подряд мы в Positive Technologies 🟥 запускаем бесплатную школу преподавателей кибербезопасности 🚀

В этом году проект стартует в партнерстве с МГТУ им. Н. Э. Баумана и при поддержке Минцифры 🔥

Перечислю модули, которые предстоит изучить слушателям:
— Методология результативной кибербезопасности.
— Основы ИТ для понимания работы компьютерных систем и сетей.
— Практическая кибербезопасность с рассмотрением современных атак и способов защиты.
— Белый хакинг для нахождения уязвимостей в информационных системах.
— Учебный кибертренажёр для отработки навыков реагирования на кибератаки.
— Гибкие навыки для преподавателей, включая коммуникативные и организационные навыки.
— Безопасная разработка.
— Безопасность ИИ.
— Безопасность Web3.
— Профориентация в кибербезопасности: знакомство с профессиями, их особенностями и требованиями к специалистам.

Подробности на сайте проекта: https://school.edu.ptsecurity.com

PS. итоги первого потока в журнале positive research 📕

#шпк

Выступление на CyberCamp 2024

Это был мой первый опыт участия в онлайн ток-шоу, посвященном кибербезу. Организация на высшем уровне 👍

Запись трансляции доступна по ссылке VK (презентация тут 📕)

Ждем, когда выступления выложат отдельно, чтобы посмотреть все доклады 👀

#cybercamp

Выступление на студенческом GISDAYS

Делюсь записью и презентацией своего короткого выступления в Питере 🫡

#gisdays

Анонс выступлений

В ближайшее время у меня будет несколько выступлений. Сначала в Питере на студенческом GIS DAYS, потом в Москве на CyberCamp.

🗣 Расскажу про то, как появилась схема профессий в кибербезопасности cybersecurity-roadmap.ru (в PDF), как она развивается и как ей пользоваться.

Следите за трансляцией, записью поделюсь 🫡

#афиша

Ожидания студентов vs реальность преподавания кибербеза в вузах

Я тут недавно читал лекцию для первокурсников, которые учатся на ИБ. Спрашиваю их, зачем они сюда пришли, почему выбрали именно эту специальность.

Большинство промолчали, но некоторые ответили так:
1️⃣ разрабатывать антивирусы;
2️⃣ взламывать системы, потому что белые хакеры могут работать удалённо;
3️⃣ расследовать компьютерные преступления.

В общем, у студентов есть свои ожидания от учёбы. У меня, когда я поступал на ИБ в 2003 году, были похожие 😄

Далее в ответ на ожидания мы объясняем студентам, что в учебном плане такого нет, что вуз учит учиться, даёт фундаментальные знания, учит мыслить и произносим другие правильные/красивые слова. Не всем студентам такое понравится 🤷

Мне кажется, это какое-то фундаментальное противоречие между тем, чего студенты ждут от учёбы на ИБ, и тем, что мы им реально рассказываем в вузе.

#вуз #студенты

Вчерашняя новость о финансировании оказалась сообщением двухлетней давности 😔

Коллеги объяснили мне, что эта новость относится к государственному проекту, который действовал с 2021 по 2024 год.

Все пункты проекта были выполнены 🫡, а основными показателями его качества стали проведенные мероприятия и количество обученных слушателей (см. рисунок). Вот такие дела.

#федеральный_проект

Власти за два года (2021-2024) потратили 820 миллионов на кибергигиену чиновников, граждан и ИБ-образование

🔙Минцифры получили 820 млн руб. на мероприятия по повышению уровня кибергигиены широких слоев населения и госслужащих, а также переподготовку профессорско-преподавательского состава (ППС) и выделения грантов аспирантам на исследования в области ИБ. Указанные мероприятия были реализованы совместно с СПбГУТ и ГК «Солар».

1️⃣ Так, 287 млн руб. было выделено на разработку программы кибергигиены и грамотности широких слоев населения по вопросам ИБ. Всего указанной программой было охвачено 10,9 млн человек.

2️⃣ Гранты аспирантам и молодым ученым на исследования в области ИБ

Следующее запланированное мероприятие - это выделение грантов аспирантам и молодым ученым и проведение научно-образовательных и проектных мероприятий в области ИБ для задач цифровой экономики. На него было выделено 285 млн руб.

3️⃣ Переподготовка профессорско-преподавательского состава в области ИБ

Следующее мероприятие связано с повышением квалификации и осуществлением проф. переподготовки профессорско-преподавательского состава в области ИБ. На его реализацию было выделено 199 млн руб.

Предполагалось проведение анализа федеральных гос. образовательных стандартов высшего образования, проф. стандартов и программ доп. образования в области ИБ, а также тенденций развития индустрии ИБ на соответствие целям и задачам цифровой экономики с учетом информационных угроз.

В том числе был проведен опрос организаций работодателей о востребованности компетенций специалистами в области ИБ и проведен анализ состояния кадрового обеспечения реализации ООП (основные образовательные программы) в образовательных организациях и определение потребности в повышении квалификации и проф. переподготовки профессорско-преподавательского состава.

Было разработано не менее 8️⃣ программ повышения квалификации (объемом 40-72 часов для каждой программы), не менее 4️⃣ программ переподготовки (объемом не менее 360 часов для каждой программы), а также УМК для каждой программы. Планировалось, что к 2025 г. будет переподготовлено не менее 1,2 тыс. научно-педагогических работников 🚀

4️⃣ Олимпиады в области информационной безопасности

Еще одно мероприятие - проведение олимпиад и интеллектуальных соревнований в области ИБ, в том числе с использованием возможностей государственной поддержки талантливой молодежи, ориентированной на деятельности в области ИБ. На данное мероприятие было выделено 49 млн руб.🔜

Источник

#минцифры #федеральный_проект

Знание AppSec не освобождает от знания DNS 👨‍🏫

В positive research вышло интервью Кирилла Мякишева (CISO Ozon), и в нем прозвучало несколько вопросов про высшее образование в ИБ 👨‍🎓👩‍🎓

Я разделяю точку зрения Кирилла 👇

— Технологии меняются быстрее, чем вузовские программы. Это можно назвать проблемой для рынка ❓

🔙 Да, но она гораздо менее актуальна, чем падение хардовых скилов. Вуз — это не про актуалку, он должен давать фундаментальные знания. Матчасть не так уж сильно изменилась с тех лохматых лет, когда был написан RFC на DNS. А вот погружение в тренды — уже ответственность студентов. Вокруг полно сайтов и телеграм-каналов с разборами уязвимостей, ИБ-статьями и т. д. — возможностей предостаточно. Еще 15 лет назад, когда учился я, единственным способом получить актуальные знания была работа в ИТ- или ИБ-компании…

Так что не надо перекладывать на вузы вину за то, что студенты не следят за трендами. Сегодня в этом нет ничего сложного. К слову, на собеседованиях мы спрашиваем кандидатов, какие крупные уязвимости и инциденты последних лет они знают. Это сразу помогает понять, интересуется ли человек кибербезом 🔜

— Какие требования вы предъявляете к стажерам? Это должны быть студенты именно ИБ-факультетов или ИТ-специалисты тоже подойдут? Какие технологии им нужно знать и в чем разбираться ❓

🔙 Здесь все по классике: в первую очередь нужно желание учиться. Горящие глаза для нас важнее, чем конкретные скиллы. Но база все-таки нужна — я в этом плане старовер и считаю, что ИТ-матчасть должны знать все. Поэтому даже кандидатов на ИБ-позиции ждут вопросы по устройству сетей, ОС, по криптографии и программированию. Сейчас на рынке наметился тренд на снижение уровня хардовых скиллов. Это ужасно, и я пытаюсь с этим бороться — по крайней мере, в рамках моей зоны ответственности.

Отмечу, что ИБ-базу можно освоить и не обучаясь на ИБ-специальности, поэтому айтишников мы тоже берем. Достаточно хотя бы немного быть в тренде: досконально разбираться в DLP необязательно, а вот понимать, как работает DNS, необходимо. Если человек знает айтишную базу, мы поможем ему подтянуть ИБ-скилы 🔜

— С чем связано падение хардовых скилов на рынке ❓

🔙 Выскажусь немного субъективно: когда ИТ-специалистов готовили всего несколько университетов с хорошо проработанными программами, оттуда выходили лучшие из лучших. Сейчас образовательных программ стало так много, что их качество неизбежно снижается. Кроме того, появилась масса обучающих онлайн-платформ: школы, курсы, вебинары, видео на YouTube и т. д. Круто, когда человек стремится в профессию и проходит онлайн-курс по ИБ. Но этого мало — сначала прочитайте «Компьютерные сети» Таненбаума🔜

— Ощущаете ли вы кадровый голод? Если да, то с чем это связано ❓

🔙Ощущаем, как и весь российский рынок.... Тем не менее по некоторым направлениям у нас все еще открыто много вакансий. Например, не хватает AppSec-инженеров. Почему? Потому что на рынке полно специалистов, которые просят немалые деньги за свои ИБ-компетенции, но при этом не знают, как работает все тот же DNS. Я считаю, что знание AppSec не освобождает от знания DNS. Аналогичная проблема была с DevSecOps-специалистами: несколько лет назад вокруг них тоже был страшный ажиотаж 🔜

#вузы #ozon

Все, что вы не знали о хакерах и защите от них 👀

Гость второго выпуска «Думай как» — Алексей Лукацкий, один из лучших специалистов по кибербезопасности с 30-летним стажем.

Почему в России такие сильные айтишники? Какими были первые хакеры? Как устроен мир черных и белых хакеров? Можно ли раз и навсегда избавиться от киберпреступности? Правда ли, что взломать чужой мозг будет так же просто, как смартфон? Как защититься от очередной кибератаки?

Ответы на эти и другие вопросы — в нашем интервью.

Посмотреть его можно и на других платформах:

📺 YouTube | 📺 Rutube | 📺 VK Видео


😮 Таймкоды:

00:44 — «Дедпул и Фиксики»: какие фильмы смотрит наш гость
01:34 — чем занимается Алексей Лукацкий
01:57 — в чем схож российский балет и отечественная IT-индустрия
04:03 — первые хакеры: какими они были
06:52 — почему Адама можно назвать первым хакером
07:47 — про запуск «Спутника-1» и зарождение интернета
10:22 — Роберт Моррис и его сетевой червь
12:50 — как появились киберпреступники и кто такие фрикеры
15:43 — чем отличается шпион от разведчика, а белый хакер от черного
17:15 — главные технологические открытия 90-х
19:11 — люди, которые внесли вклад в развитие отрасли кибербезопасности
23:00 — как развивается кибербезопасность в России
28:11 — ОПГ и APT: что общего у этих аббревиатур
34:18 — как действуют хакерские группировки и почему это пока только «ягодки»
39:02 — наши бабушки становятся хакерами
40:46 — когда нас ждет «Черное зеркало»
44:22 — почему деньги уже не единственный мотив для хакеров
48:05 — можно ли будет взломать мысли человека
50:08 — простые правила, которые помогут защититься от кибератак
52:31 — «Кому мы должны?»

@PositiveHackMedia

Физическая природа информации ℹ️

Парадоксальная ситуация складывается в нашей отрасли. Как можно защищать информацию и не понимать, что это такое? 🤔

Продолжаем разбираться с Атамановым Г.А. в основных понятиях инфобеза. Поговорили про этимологию слова информация, Клода Шеннона, виды информации. В процессе мне пришлось вспомнить забытый школьный курс физики 🎱

👉 Полностью запись беседы доступна в VK, RuTube и Яндекс.Музыке 🎶

Презентация с определениями по ссылке, монография тут 📕

👉 Визуальное представление основных терминов в ИБ (терминосистемы) собираю отдельно на сайте cybersecurity-glossary.ru и в PDF-файле.

Архив бесед в VK 🍿

1. Знакомство
2. Кризис теории информационной безопасности
3. Что такое теория? Зачем нужна теория ИБ?
4. Что такое опасность и безопасность?
5. Основные понятия теории безопасности
6. О природе информации.

#подкаст #атаманов