Категорія: Кібербезпека

Кожного разу після події типу Nonamecon чи OWASP Kyiv в мою поштову скриньку та месенджери надходить багато повідомлень приблизно такого змісту: чи є у вас вакансії? як потрапити до вас в компанію? ось моє резюме. А отримавши відповідь, найчастіше питають, як його покращити.

Так, на жаль, відкритого набору в Berezha Security не існує: ми не настільки великі, щоб тримати вакансії відкритими та оголошувати на них “конкурс”. Коли ми ростемо, про це перш за все дізнаються наші підписники в Facebook, LinkedIn та Twitter, ну і звісно ж наші друзі та партнери по суспільно-професійній діяльності. Але резюме я все одно читаю, і ось що я мушу вам про це сказати.

Написання “ефективного” резюме – це окрема навичка, яку треба прокачувати. Я не вірю в “кар’єрних коучів”, хоча не виключаю, що деякі з них вартують свого гонорару. Як на мене, то для спеціаліста з кібербезпеки такий засіб підготовки резюме це занадто. Вимоги до текстів в нашій галузі зараз невисокі, адже людей критично не вистачає. Але CV все одно мати треба, і скласти його вам допоможуть такі прості поради.

1. Пишіть про досягнення, а не про досвід. Дуже часто доводиться читати пачку булетів по кожному місцю роботи, зміст яких зводиться до того, що автор мав справу з тими чи іншими методиками та інструментами. Ця інформація може бути корисна, але її краще десь узагальнити в одному розділі документу, а в описі місць роботи вказати досягнення, які демонструють вашу траєкторію в конкретній компанії. Прийшов першим ІБшником, за два роки побудував нормальні операції та автоматизував процеси. Або розпочав молодшим пентестером, а за рік виріс в автономну одиницю та виступив лідом в надцяти проєктах. Щось таке, що характеризує вас як працівника, який прогресує та росте, а не просто отримує досвід.

2. Уникайте списків. Булети розстрілюють ваше резюме. Хочете навести приклади – робіть це через кому або крапку з комою. І ніколи не перетворюйте розділ в вичерпний опис. Адже мозок сприймає інформацію дуже своєрідно: з усіх перерахованих пунктів він залишить в пам’яті середнє враження. Тому краще навести два найкрутіші приклади, ніж вичерпний список. Наприклад, не варто перераховувати усі ваші професійні сертифікати, починаючи з CCNA та адміністратора Windows 2012 Server. Звісно ж, краще перерахувати найбільш релевантні та найсвіжіші здобутки.

3. Слідкуйте за граматикою. Багатьом відома така штука як Grammarly, але й MS Word з ввімкненими параметрами граматики відпрацьовує досить ефективно. Уникайте зайвих та складних термінів. Якщо слово можна спростити або видалити без суттєвої зміни змісту – це варто зробити.

4. Навчання без сертифікації нікому не цікаве. Якщо пройшли протягом трьох років 5 найкрутіших та найтоповіших навчальних програм, але не склали іспит – краще не вказуйте їх в резюме. Поки не складете іспит. Натрапляючи на назву курсу без відповідного сертифікату, читач почне розпитувати вас про причини такої незавершеної дії. І якими б вони не були, це не на вашу користь.

5. Рекомендації. Якщо маєте дозвіл вказувати імена, позиції та контакти в резюме – зробіть це. Але спробуйте обмежити список людьми, з якими працювали в останні рік-два. Адже інакше вони матимуть дуже загальне уявлення про вашу ситуацію та вагатимуться робити припущення. Найкраще в резюме виглядають рекомендації прямого керівника або внутрішнього чи зовнішнього “замовника”, який безпосередньо отримував користь від вашої роботи.

6. Волонтерський досвід та суспільна активність. Навіть Forrester та Gartner беруть до уваги ці критерії, коли оцінюють компанії, а про конкретних професіоналів годі й казати. Якщо ви здатні підняти п’яту точку та піти зробити щось для спільноти – це обов’язково треба вказувати в резюме. По-перше, це унікальний досвід, а по-друге, так ви засвідчуєте, що на вас можна покластися не лише тому, що вам за це платять гроші.

7. Медіа-активність. Якщо маєте блог, акаунт на GitHub, фейсбук-сторінку чи ще десь ведете професійну або колопрофесійну діяльність – не соромтеся вказувати це в резюме. Просвітницька діяльність, коміти в опенсорс проекти, виступи на конференціях тощо – все це може бути цікаво потенційному роботодавцю. Адже цілком можливо, що він шукає не просто працівника, а ще й представника компанії в медіа та на профільних заходах.

Якщо маєте питання на тему складання резюме – тепер для цього є спеціальний канал #career-advice в Discord-сервері Ukrainian Cybersecurity. Молодші колеги можуть ставити там питання, а досвіченіші – відповідати, в тому числі приватно, або навіть голосом.

Своєю чергою, я спробую допомогти покращити якомога більше ваших резюме. Досвід відбору більше сотні спеціалістів з безпеки треба якось використовувати. Але зважайте, що останній раз я писав CV років зо 10 тому, отже розцінюю цей процес виключно з точки зору роботодавця. Тому моє власне резюме не є зразковим прикладом.

Трохи дивна новина, поясню чому.

Спочатку про CISSP для тих, хто не в курсі. Це така загальна сертифікація з кібербезпеки. Щоб її отримати, треба або пройти складний квест та заплатити трохи грошей, або заплатити трохи більше грошей і витратити понад тиждень часу.

В сценарії з квестом ви готуєтесь самі, для цього знадобиться трохи часу у тиші щотижня протягом декількох місяців. Треба буде опанувати близько тисячі сторінок літератури, продивитися трохи відео уроків, та потренуватися складати екзамен на спеціальному тренажері. Після цього ви складаєте іспит і якщо все успішно, то ви майже CISSP. У старі часи процедура була дещо ускладнена тим, що іспит приймався очно й на папері, тому треба було кудись їхати. Але тепер це можна зробити на компі в авторизованому екзаменаційному центрі, який завжди поруч.

Другий шлях простіший – ви записуєтесь на один з безлічі «таборів з підготовки» (CISSP boot camp), проводите в ньому близько тижня, там вам в голову «заливають» необхідний для здачі мінімум знань, після чого садять за комп і через дві години ви майже CISSP. А через чотири – вже майже нічого з того не пам‘ятаєте.

Пишу майже, бо в обох сценаріях вам тепер треба знайти хто б з дійсних CISSP-ів підписав вам рекомендацію (endorsement), але це вже бюрократія. Після успішного ендорсменту вам надходить сертифікат, і тепер ви – раб лампи, адже щороку мусите його продовжувати за гроші.

Сподіваюся, я склав враження про те, скільки зусиль та знань треба, щоб отримати CISSP. А, ще одне – обов‘язковою вимогою є 5 років практичного досвіду в професії кібербезпеки за деякими знижками по типу профільної освіти.

І ось це тепер в Європі – еквівалент магістра. Чи справедливо це, вирішуйте самі. Моя справа – дати вам вхідні дані.

Ось чому спеціалісти з кібербезпеки змушують вас шифрувати жорсткі диски та не залишати лептопи там, де ви їх не можете бачити. Атака типу «evil maid» (зла покоївка) це сувора реальність, хоча здійснює її скоріше не персонал готелів, а працівники занадто цікавих спецслужб та інші збоченці.

Звісно, що в нормальному режимі використання ноутбуків хвилини вашого розставання нечисленні. Виключення складають ті з нас, хто часто подорожує у справах. Якщо ви згадаєте типову сучасну мандрівку, то зможете легко уявити близько 10 разів коли різні незнайомці можуть отримати неконтрольований доступ до вашого лептопу ще до поселення в готель в місті прибуття.

Історія фізичних атак на сучасні комп’ютери цікава та повна технічних деталей. Якщо дуже спрощувати, є така технологія, Direct Memory Access (DMA). Назва в неї буквальна: вона реалізує доступ зовнішнього пристрою до пам’яті комп’ютера напряму – оминаючи втручання центрального процесора. Це суттєво прискорює роботу системи та, як це буває у разі різкого підвищення продуктивності, створює колосальну ваду безпеки.

Читачі, знайомі з базовими принципами побудови безпечних систем, можуть побачити в цій фічі пряме порушення принципу повної медіації. Щоб у системі була безпека, її треба десь розмістити. Чесно, треба визначити якесь місце (монітор посилань або Reference Monitor), через яке будуть проходити всі стосунки між суб‘єктами (користувачі, процеси, пристрої тощо) та об‘єктами (файли, дані, інші пристрої) системи, та застосувати в ньому політику безпеки – чіткі правила, які змушують систему працювати безпечно.

Це може здаватися непростим завданням, – так і є. А те, що вийде, буде жахливо гальмувати та знижувати продуктивність та зручність. В цьому легко переконатися: в перших рядках пошукової видачі по запиту «Kernel DMA Protection» не лише посилання на опис цієї функції, а й докладні інструкції з її вимкнення. Баланс між безпекою та зручністю – надзвичайно складна інженерна задача, яка здійснюється згідно з іншим принципом безпечної архітектури – принципом психологічної прийнятності (Psychological Acceptability). Але це вже інша історія.

Підсумовуючи, це дуже гарний приклад, як «зрізаючи навпростець», ми можемо забити на важливі та принципові речі та наразити себе на небезпеку. В цьому випадку мова йде про персональні комп‘ютери, сконструйовані до 2019 року, коли з‘явилася технологія Kernel DMA Protection. Докладніше про нову атаку Thunderspy можна прочитати в матеріалі Wired.

Які заходи безпеки можна порекомендувати для захисту лептопів від атак «фізичної близькості»? Поряд із придбанням сучаснішого пристрою з підтримкою Kernel DMA Protection, можу порадити налаштувати систему для повної гібернації під час неактивності та запит автентифікації перед продовженням роботи. Звісно, що із застосуванням повного шифрування диску. Користувачі macOS можуть також поекспериментувати із програмою Do Not Disturb, яка зв’язує ваші макбук та смартфон і надає вам змогу отримувати на телефон повідомлення, коли хтось намагається скористатись вашим ноутбуком. В програми є функція фотографування потенційного нападника, яка не раз покращить настрій вам та вашим близьким.

Бережіться.