Привет, Хабр! На связи снова команда uFactor. Я — Кирилл Тушков, InfoSec uFactor UserGate. Сегодня я расскажу вам о нашем опыте взаимодействия с будущими специалистами в сфере информационной безопасности — пришедшими на практику студентами, стажерами.
Руководителю SOC или тимлиду знакома эта ситуация: в компанию приходит выпускник с дипломом по кибербезопасности, в его в глазах уличного котенка горит огонь, но он не понимает базовых практических вещей, с которыми отделу приходится работать каждый день. Это не единичный случай, а системная проблема отрыва теории от практики. Проблема, главным образом связанная с тремя дефицитами:
· Отсутствие практических навыков — нет опыта работы с реальными инструментами, анализа логов и решения реальных задач в области кибербеза.
· Недостаток «насмотренности» — неумение связать абстрактные угрозы с конкретными индикаторами в системе.
· Неактуальность знаний — учебные программы отстают от быстро меняющихся тактик и инструментов злоумышленников в «дикой природе».
Выпускник с дипломом формально хочет работать в ИБ и, допустим, может сдать экзамен по теории. Но сможет ли он ответить на ключевые для работы вопросы: что именно искать в этом потоке событий SIEM от различных источников? по каким признакам отличить нормальную активность от атаки? каков будет следующий шаг злоумышленника? Как правило, к сожалению, нет.
Мы столкнулись с этой проблемой не как с точечной задачей найма, а как с глобальным вызовом — на который можно ответить системно. Рассказываем на конкретных примерах, как курирование дипломных работ студентов одного из вузов превратилось из социальной инициативы в стратегический проект по подготовке кадров.
Осенью к нам обратились с предложением стать в качестве внешних экспертов полноценными кураторами дипломных работ для выпускников технического вуза. Академия UserGate выступила связующим звеном между студентом и техническим экспертом. Вузом-партнером стал известный московский университет — что само по себе показательно: даже в учебных заведениях с сильнейшей технической базой и фундаментальной подготовкой существует тот самый пресловутый разрыв между теорией и практикой в такой динамичной области, как информационная безопасность.
За экспертизой обратились к техническим специалистам, в том числе и отдел SOC — это не только операционный центр, но и команда, где ценят развитие. В нашем подразделении разработан обширный и наполненный внутренний курс по развитию специалистов L1 SOC, в штате есть практик с опытом преподавания в МГУ, а наставничество для новых специалистов сформировано на основании многолетнего опыта построения команды. Благодаря этому у нас есть наработанная база по обучению и адаптации новых сотрудников, а запрос от вуза не только возложил на нас социальную ответственность, но и предоставил возможность подготовить будущих профессионалов и улучшить менторскую базу. Одной из наших задач стало ответить на вопрос: может ли бизнес, взявшись за дело всерьез, не просто «прочитать лекцию», а реально помочь сформировать специалиста, готового к работе, и что для этого потребуется?
Часть 1. От абстрактных тем к прикладным задачам — первый шаг к мотивации
Изначальный список тем для дипломов был классическим: «Защита ИТ-инфраструктуры на уровне каналов связи», «Методы обнаружения атак на веб-приложения» и т. п. —стандартизированные, но невероятно широкие формулировки, за которыми студент может спрятать год пересказа теории из учебников.
Мы решили отойти от общих формулировок и сосредоточиться на практических кейсах. Вместе со студентами сузили и переформулировали темы, связав их с реальными инцидентами и процессами, с которыми работаем ежедневно. Например, отвлеченная исходная тема «Методы обнаружения и предотвращения атак на веб-приложения» превратилась в конкретную: «Разработка системы обнаружения и предотвращения веб-атак на основе анализа журналов тестового веб-сервера». Это был первый и критически важный момент: заменили абстрактную учебную задачу на прикладную проблему. Ранее замечали, что отсутствие мотивации у многих студентов коренится именно в этом: их учат решать задачи по алгоритму, а не искать решение для реальной, не стандартной ситуации и адаптироваться к новой задаче.
На этом этапе было решено сначала понять, с каким уровнем знаний к нам пришел студент. Для этого мы провели краткое тестирование: смотрели на знания OC, веб-технологий, понимание действий злоумышленников и коммуникативные навыки. Результаты оказались разные, чаще всего дипломник имел пробелы в понимании актуальных технологий, но обладал общей базой, на основе которой можно было продолжать работу. Для восполнения пробелов предложили ознакомиться с такими материалами, как «Сети для самых маленьких», «Blue Team Cookbook», книгами «Активное выявление угроз с Elastic Stack. Построение надежного стека безопасности» Эндрю Пиза, «Реагирование на компьютерные инциденты. Прикладной курс» Стива Энсона и другими.
Отдельно стоит отметить soft-skills: ребята были общительными, но не умели презентовать себя и терялись при каверзных вопросах. Именно в таких стрессовых ситуациях, имитирующих реальное расследование или собеседование, и проявилась ключевая разница между «быть общительным» и «быть эффективным коммуникатором в условиях инцидента».
Вывод № 1. Мотивация рождается не из темы, а из понимания того, зачем эта тема нужна. Дайте студенту реальную проблему, а не абстрактную, дайте прикладные средства решения — и включится совсем другой уровень вовлеченности.
Часть 2. Из академии в «операционку» — самый болезненный этап
Самой большой сложностью оказалось не передать знания, а «вытащить» мышление студентов из академического русла в производственное. Им пришлось в сжатые сроки осваивать не просто теории, а инструменты и фреймворки, необходимые для решения каждодневных задач ИБ, искать информацию из открытых источников и делать собственные выводы. Ниже рассказываем, что именно предложили изучить студентам.
Ресурсы: VirusTotal, Shodan, ANY.RUN, Hybrid Analysis (и другие песочницы), URLhaus, abuse.ch (различные базы вредоносных URL), AbuseIPDB, GreyNoise (различные репутационные ресурсы).
Это «внешние датчики», аналитика в открытом доступе. Они нужны для быстрой проверки файлов (VirusTotal), поиска открытых сетевых сервисов (Shodan) и получения контекста угроз (TI-порталы). Без этих ресурсов анализ инцидента — это работа вслепую.
Модели: MITRE ATT&CK и cyber kill chain для структурирования мышления об атаках. Здесь также стоит отметить Diamond Model (анализ ядра атаки), Pyramid of Pain (понимание, какие индикаторы сложнее сменить злоумышленнику).
Это карта и компас в расследовании. Они переводят хаос логов в понятную последовательность действий злоумышленника. С их помощью можно понять, на какой стадии атаки мы находимся, что уже произошло и что, вероятно, будет дальше.
Процессы: жизненный цикл инцидента (incident response) от алерта до отчета, chain of custody (процесс полной документации всех этапов реагирования).
Это «скрипт» для слаженной работы команды. Процесс гарантирует, что ни один инцидент не будет упущен, все действия задокументированы, а извлеченные уроки улучшат безопасность. Это основа операционной дисциплины.
Все это наши технические специалисты в доступной и краткой форме доносили до своих подопечных: разбирали инструменты, используемые злоумышленниками, смотрели аналитические отчеты об APT и старались перевести информацию из умозрительного пространства в реальное.
Именно здесь мы диагностировали вторую большую проблему — отсутствие навыков самостоятельного обучения и решения нестандартных задач. Студенты ждали четкой инструкции, «домашнего задания». Но в реальном SOC инструкции к уязвимостям zero-day или новому инструменту в атаке нет. Пришлось параллельно учить студентов аналитическому мышлению и навыку адаптации к новым условиям: как абстрагироваться от частного случая, как проецировать задачу на бумаге, как искать информацию не в учебнике, а в техдокументации, форумах, статьях.
«Первым этапом такого обучения неизбежно стал курс „кейс-терапии“: изучение реальных и потенциальных случаев из ИБ, актуальных отчетов и стандартных производственных сценариев. Мы ставили вопросы: каковы были бы действия студента? Какие действия были приняты по факту и какие действия следовало принять? В случае если кейсы правильно подобраны под тематику работы, студент не просто погружается в индустрию, но и начинает видеть недостающие элементы в пазле выстроенного процесса — это и задает вектор дальнейшей работы над дипломной работой.
С осознанием того, что нужно сделать и почему, студент задается вопросом „как?“, и здесь в ход идет библиотека ресурсов педагога. На этом этапе у студента есть все необходимое для работы (в рамках обучения, конечно, можно пойти студентам навстречу и сделать подборку конкретных статей), и уже через месяц-два напряженной работы можно встречать студента с пилотным решением, ожидающим тестирования в рабочих условиях», — делится один из наших экспертов-кураторов.
И тут произошла метаморфоза: когда студенты увидели, как их усилия рождают что-то осязаемое, появился азарт. Наиболее показателен кейс одного из дипломников, который интегрировал API VirusTotal в свой инструмент для цифровой криминалистики. Он не просто изучил теорию, а нашел способ применить новый для себя инструмент для решения конкретной задачи.
Вывод № 2. Передача опыта использования инструментов и построения процессов — это лишь 30% работы. Остальные 70% — это перестройка мышления с исполнительного на исследовательское и аналитическое. Это поможет из талантливого выпускника сделать сильного специалиста.
Часть 3. Почему кураторство диплома эффективнее стандартной практики
Часто проблему «теория vs. реальные кейсы» пытаются решить через производственные практики. Это хороший инструмент, но у него есть системный изъян: практика часто остается в том же академическом русле. Есть абстрактные цели, формальные отчеты, и главное — у студента нет глубокой личной заинтересованности в результате.
Академическая теория не просто оторвана от практики — она зачастую говорит на другом языке. Вузы вынуждены преподавать консервативные, устоявшиеся технологии: классические сетевые протоколы, основы криптографии на устаревших стандартах, теорию сборки и развертывания приложений, которая в эпоху контейнеров и инфраструктуры как кода больше напоминает археологию. А в это время бизнес-среда живет в иной реальности. Новые технологи и методы, внутренние разработки и инструкции, постоянно развивающийся мир больших технологий, где то, что было актуально сегодня, завтра может стать безнадежно устаревшим.
В итоге студент приходит на стажировку, вооруженный теорией о том, как тушить костер в лесу, а ему показывают горящий небоскреб со сложной системой вентиляции и дают в руки не ведро, а пульт от умной системы пожаротушения, которую он видит впервые. Его академические знания фундаментальны, но немедленно применить их он не может. Более того, его могут попросить забыть половину изученных «идеальных» подходов, потому что в конкретной компании десятилетиями все работало на старом, но жизнеспособном стеке.
Кураторство дипломной работы — это история, в которой студент вовлечен в долгую и кропотливую работу, а результатом будет не отметка в зачетке, а его личная визитная карточка для будущего работодателя. Это меняет все. Студент заинтересован в том, чтобы глубже разобраться в теме, задавать неудобные вопросы, пробовать и ошибаться. Он получает не разовую лекцию, а регулярную обратную связь от практика по ходу выполнения задач и индивидуальные разборы.
Мы использовали формат практических кейсов, на учебном стенде разбирали смоделированные инциденты (те самые DDoS-атаки и атаки на веб-серверы). Но фокус был не на том, «как нажать кнопку», а на том, как думать в процессе: какую гипотезу построить, какие данные собрать, как интерпретировать артефакты.
Для студента с дипломом по веб-атакам мы рассмотрели следующие типовые кейсы:
· command injection;
· CRSF (cross-site request forgery);
· file upload;
· SQL injection;
· XSS (cross-site scripting).
С нашей стороны были задействованы специалисты, проработавшие в сфере несколько лет и способные расписать и объяснить каждую атаку как со стороны атакующего, так и со стороны защитника. Благодаря этому выстраивание коммуникации и составление плана по техническому обучению было быстрым. Ключевым оказалось то, что наши кураторы выступали в роли переводчиков, посредников между двумя мирами: они брали крепкий, но абстрактный вузовский фундамент и проецировали на него реалии коммерческого SOC. Студенты не чувствовали себя потерянными — у них был четкий маршрут от теории к работающему прототипу или аналитическому отчету.
Вывод № 3. Кураторство студенческих работ дает возможность сократить дистанцию между академической базой и реальной практикой. Задача — не только поделиться с учащимися знаниями, но и мотивировать их на долгосрочную работу, результаты которой позволят двигаться дальше по карьерной лестнице.
Часть 4. Чего не хватает выпускнику на собеседовании (взгляд изнутри)
Наш опыт кураторства позволил четко определить пробелы, которые мы как индустрия должны закрывать сами во время работы со студентами.
Устаревший стек знаний. Выпускник может знать теорию шифрования, но не понимать, как работают логи в ОС — базовый источник данных для аналитика. Редко кто может связно рассказать о современных семействах вредоносного ПО и тактиках злоумышленников.
Провал в soft skills. Навык самопрезентации и публичного выступления как правило, к сожалению, совершенно отсутствует. Защита диплома — не в счет, это часто формальность. А на собеседовании нужно продать себя, свой проект, свои мысли.
Корень проблемы наглядно иллюстрирует диалог с одним из студентов: на вопрос «кто вас этому учил?» он ответил лаконично — «дядька с кафедры». Зачастую это профессор, обладающий обширными фундаментальными знаниями, но, к сожалению, его понимание реальной ИБ осталось в прошлом десятилетии. Бизнес жалуется на качество кадров, но продолжает ждать, что вуз сделает всю работу за него.
Однако в этой ситуации есть путь к win-win для всех сторон, и ключ к нему — не ждать, а активно сроить взаимовыгодный обмен с теми, кто заинтересован больше всех: со студентами.
Win для бизнеса. Вместо пассивного ожидания — активное формирование пула лояльных и практически подготовленных кандидатов «завтрашнего дня». Это стратегическая инвестиция в кадровый резерв, которая сокращает время и стоимость адаптации нового сотрудника с месяцев до недель. Бизнес получает специалистов, которые уже понимают его процессы, инструменты и, что критически важно, его культуру и контекст.
Win для студентов. Это шанс выйти за рамки учебника. Взамен на мотивацию и вовлеченность они получают не абстрактную «практику», а репетицию реальной карьеры. Они видят, как их академические знания оживают в конкретных бизнес-задачах, строят профессиональную сеть контактов и получают неоценимое конкурентное преимущество на рынке труда — релевантный опыт, который сразу можно указать в резюме.
Win для отрасли в целом. Разрывается порочный круг «нет опыта — не возьмем на работу». Индустрия начинает сама воспитывать для себя кадры, повышая общий уровень готовности новичков и ускоряя развитие всей сферы безопасности.
Наш опыт с дипломниками — это пример построения именно такой модели. Мы не ждали, пока вузы перепишут программы. Мы стали тем самым мостом между актуальными потребностями бизнеса и искренним желанием студентов применить свои знания. Они получили не просто новые навыки, а понимание актуального контекста и уверенность в своем потенциале, а мы — возможность увидеть будущих коллег в действии и внести прямой вклад в развитие сообщества, частью которого являемся. Это и есть та самая устойчивая экосистема, где выигрывают все.
Вывод № 4. Бизнес не имеет права просто ждать готовых специалистов. Он должен идти в вузы и активно участвовать в образовательном процессе. Иначе мы будем бесконечно объяснять одни и те же базовые вещи.
Заключение: не благотворительность, а прагматичная инвестиция
Наш проект с известным московским вузом — не история про «помогли студентам». Мы инвестировали время наших экспертов не из альтруизма — мы задали себе четкий и неизбежный вопрос: если не мы, то кто? кто научит будущих аналитиков думать, работать с актуальными угрозами и презентовать результаты?
На собственном примере мы убедились в простой истине: бизнес должен идти учить себе кадры. И начинать нужно не с поиска готовых senior-специалистов, а с работы со студентами последних курсов, пока их мышление еще гибкое, а мотивация — высокая.
Формат кураторства дипломов — это мощный, глубокий и взаимовыгодный инструмент. Он требует затраты времени, но дает на выходе не просто «человека с дипломом», а специалиста, уже понимающего контекст и язык вашего бизнеса.
В результате нашего взаимодействия с академической средой мы получили ценный осязаемый опыт и доказали, что построить мост между теорией и практикой — возможно. Мы увидели, как «насмотренность» и уверенность появляются не после месяцев работы, а в ходе нескольких интенсивных дней, сосредоточенных на реальных инструментах и инцидентах.
Но главный вывод в том, что эта работа только начинается. Мы нашли эффективный подход, но понимаем, что задач на этом пути может быть больше: от масштабирования методики до вовлечения большего числа экспертов и компаний.
Мы хотим доработать эту модель, сделать ее сильнее и доступнее. И открыты к диалогу со всеми, кто сталкивался с той же проблемой «дядьки с кафедры» и готов на практике менять подготовку будущих специалистов. Потому что сильное сообщество строится не из жалоб, а из конкретных действий.
* uAcademy, Академия UserGate — образовательное подразделение компании UserGate, специально созданное для ведения деятельности по обучению и сертификации как практикующих, так и молодых специалистов ИБ.
ссылка на оригинал статьи https://habr.com/ru/articles/1040562/