Порекомендовать героя

WE важно, кто рядом с нами и нашими семьями. МЫ стремимся делать так, чтобы вокруг нас были надежные люди, которым можно доверять. Рекомендуя людей, обратите внимание на наши ценности и ориентиры.

    Наши люди WE:

  • Наш Человек стремится создавать то, что улучшает жизнь людей

  • Наш Человек в общении с окружением честен и справедлив, порядочен и верен

  • Вы доверяете ему и уверены в его искренности

  • Наш Человек живет полной жизнью: любимая семья, достойное окружение, любимое дело, интересное хобби

  • Наш Человек всегда идет вперед и развивается

  • Наш Человек неравнодушен и готов вместе с нами создавать добрые дела

Далее
Порекомендовать героя

Выберете одну или нескольо рубрик, в которую вы рекомендуете человека


Закрыть поиск
ВАША ЗАЯВКА ПРИНЯТА

Спасибо за неравнодушие!
Нам важно узнавать о достойных людях, чтобы рассказывать о них городу!

Вернуться на главную

Подписаться на рассылку

Array
(
    [SRC] => /upload/resize_cache/iblock/df0/400_450_240cd750bba9870f18aada2478b24840a/df088990838f0a3fb44853f7ffaa5188.png
    [WIDTH] => 400
    [HEIGHT] => 450
)
kiberbezopasnost-specialisty-o-neobhodimosti-informacionnoy-gigieny-i-razvitii-sfery-v-kazahstane
Кибербезопасность. Специалисты о необходимости информационной гигиены и развитии сферы в Казахстане
1820

10.03.2022

Кибербезопасность. Специалисты о необходимости информационной гигиены и развитии сферы в Казахстане

Сегодня личные данные миллионов людей находятся в интернете. Их защищают пентестеры — специалисты по кибербезопасности. Мы поговорили с представителями индустрии про их деятельность и спросили, где можно обучиться необходимым навыкам.

Лев Шмелев, 22 года, Специалист по информационной безопасности, @lev.avolume

IMG_0451.JPG

О выборе профессии

В 16 лет друг пригласил меня на обучение в компьютерную академию «Шаг». Там я учился по направлению «разработка», погружался в сферу IT. Во время учебы, кибербезопасность казалась загадочной, неизведанной областью, где крутые специалисты взламывают сайты, проникают туда, куда не могут попасть остальные.

Профессионально заинтересовался сферой после окончания академии. Тогда я открыл ИП и создавал сайты на заказ. Разработка меня не привлекала, и поэтому я читал в интернете статьи по кибербезопасности. В какой-то момент у меня накопились достаточные для junior-специалиста знания, и я подал заявление на работу в Центр анализа и расследования кибер атак.

О деятельности

В ЦАРКА я занимаюсь пентестом или penetration test — тестированием на проникновения. Моя обязанность — поиск уязвимостей на сайтах заказчиков и написание отчетов, по которым в дальнейшем идет исправление. Занимаюсь взломом и аудитом беспроводных сетей.

Считаю, что работа киберспециалистов важна для каждого


Также провожу нагрузочное тестирование — проверяю, какую нагрузку может выдержать сайт клиента. Крупные бизнес и информационные порталы имеют риск оказаться под DDoS-атакой — когда в один промежуток времени проводится большое количество запросов. Они могут «положить» сайт — довести до отказа в обслуживании пользователя.

Считаю, что работа киберспециалистов важна для каждого. Все наши данные находятся в интернете, даже государство перешло на информационные системы вроде eGov. Существует возможность оказаться под атакой. Если это произойдет, мы не сможем воспользоваться услугами, а наши данные окажутся под угрозой. К примеру, мошенники смогут оформить на ваше имя кредит.

О развитии сферы в Казахстане

С 2015 года сфера кибербезопасности в Казахстане активно развивается. ЦАРКА запустила программу Bug Bounty, которая позволяет любой компании разместить свои информационные системы в открытый доступ на проверку. За найденные уязвимости выплачивается денежное вознаграждение.

IMG_0452.JPG

На государственном уровне принимаются законы, которые обязуют сферы и компании, относящиеся к критической инфраструктуре — это больницы, банки, заводы, проходить через пентест, искать уязвимости и исправлять их.

Советы начинающим

Всегда стоит попробовать то, что вас интересует. Я рекомендую начать с тренировок на платформе HackTheBox. В заданиях там имитируются реальные сайты, которые нужно взломать и получить «флаг» — набор символов в текстовом формате. Он хранится на файловом сервере предоставленного сайта. Это оптимальный вариант для новичков. Также к популярным площадкам относятся TryHackMe и Root-me.

Когда у вас будет минимальный набор знаний для проведения пентеста, можно переместиться на платформу Bug Bounty, где можно наработать опыт на реальных системах за вознаграждение.

При этом главное — попасть в комьюнити, познакомиться с людьми, которые уже работают в сфере. Так обучение пойдет быстрее.

О планах

В планах — получение новых сертификаций, развитие как специалиста в техническом плане.

Компания ЦАРКА нацелена на международное развитие. К примеру, недавно несколько банков в Кыргызстане подключились к системе Bug Bounty.


Елдос Нурекен, 25 лет, пентестер, @eldosnureken


WhatsApp Image 2022-03-09 at 09.38.25.jpeg

О выборе профессии

Я с детства любил видеоигры, но в какой-то момент компьютер перестал «тянуть» новинки. Решил, что нужно накопить на новый, но оказалось, что покупать готовый дороже, чем просто собрать его. Так я изучил, как работают компьютеры и втянулся в сферу IT, позже даже переустанавливал Windows за плату.

Хакерская культура всегда была мне интересна. Поэтому, когда на момент сдачи ЕНТ появилась новая специальность: «Системы информационной безопасности», поступил туда. Позже, попал на конференцию KazHackStan, где выступают специалисты со всего мира. Ее проводит Центр анализа и расследования кибер атак, компания, в которой я сейчас работаю.

О деятельности

Я работаю на позиции пентестера. Penetration Testing — это тестирование на проникновение, анализ системы на наличие уязвимостей. Заказывая наши услуги, клиенты выделяют набор доменов и серверов, где мы можем проводить тестирование. Устанавливается срок, за который мы должны протестировать систему с позиции атакующего хакера.

В конце выдается отчет с детальным описанием уязвимостей: как нашли, повтор процесса по шагам, рекомендации по устранению. Также даем оценку уровню защищенности системы.

Среди специалистов есть деление на red team — атакующих и blue team — защитников. Я отношу себя к первым.

Рутины почти нет, и в этом главный плюс. Каждый проект по-своему интересен, у всех различный стек технологий.

Сегодня большое количество личной информации проходит через интернет, и ее необходимо защищать. Взлом сайта или банка приведет к репутационным и финансовым убыткам.

По правилам кибергигиены нельзя использовать одинаковые пароли на разных аккаунтах — так вас проще взломать. Также желательно оставлять минимум информации о себе, так как сейчас атаки проводятся с помощью социальной инженерии. Хакеры собирают данные о пользователе и на основе интересов отправляют письмо на почту с ссылкой на условную скидку от AliExpress. Переход по ней приведет к потере аккаунта.

О развитии сферы в Казахстане

Многие компании в Казахстане понимают, что нужно проводить пентесты, некоторые даже набирают хакеров для тестирования своих систем на постоянной основе. Популярное сегодня направление — безопасная разработка кода.

Советы начинающим

Для специалиста web-pentester необходимо знание принципов протокола HTTP, умение пользоваться основными функциями Burp Suite и других популярных сканеров: ZAP, Acunetix, Netsparker, Arachni. Понадобятся навыки OSINT и багхантерской разведки, владение каким-либо популярным стеком веб-технологий, умение читать и понимать код. Также требуется знание сути багов из OWASP Top 10 — как их обнаружить, эксплуатировать и фиксить.

В нашей сфере недостаточно просто изучить уязвимость, нужно сделать что-то своими руками


Для INFRA-Pentester потребуются следующие Hard skills: знание Linux на уровне продвинутого пользователя, навыки OSINT и корпоративной разведки, основ сетевых технологий — понимание сути TCP, IP, настройки маршрутизации, умение пользоваться Kali Linux, Metasploit, Nmap, Wireshark, Nessus, OpenVAS, masscan, понимание практичных атак на Wi-Fi, умение писать простые скрипты для работы с сетью, знание регулярных выражений.

Начинающие могут использовать платформу Root.me — это площадка, где по каждому направлению есть набор задач, решая которые, вы можете набирать баллы. Также можно посмотреть на решения других пользователей и взять для себя что-то.

После можно пойти на HackTheBox и TryHackMe — это крутые платформы, которые позволяют практиковаться. Результаты можно привязывать на страницу в LinkedIn и указывать в резюме. Как наберете знания, можно попробовать участие в программах Bug Bounty или Hacker One. Закрепление в топе гарантирует трудоустройство даже за границей.

В нашей сфере недостаточно просто изучить уязвимость, нужно сделать что-то своими руками, только тогда знания усвоятся.

О планах

Недавно ЦАРКА проводила кибер-учения, куда привлекались школьники. Им объясняли, что такое информационная безопасность на практике. В ближайшие месяцы стартует новый курс — для тех, кто уже имеет знания в сфере. Будут выдаваться сертификаты по всем направлениям информационной безопасности.

Узнайте первыми:

Подписаться на рассылку WE project!

Мы пишем о том, что помогает сориентироваться в новом мире и выбрать то, что нужно именно вам.

Подписаться

Мы пишем о том, что помогает сориентироваться в новом мире и выбрать то, что нужно именно вам.