А вот и воскресный дайджест!
⚡ Отметили юбилей в канале по 👨🏫 Менторству ИБ – через нас прошло уже больше 100 менти!
⚡ Наш с вами 😂 Пакет Мемов пробил 10 000 подписчиков, а это значит, что настало время идти регистрировать его в РКН
⚡ В 🗓 Пакете Мероприятий послетали ссылки в моем любимом календаре из-за ограничений Телеграма (да, новости бывают не только хорошие). Так что теперь буду думать, как это чинить
⚡ В 😈 Культе Безопасности вышла крутая коллаба с оффлайн-фестивалем «Вкуса Лета»
⚡ Я наконец-то домонтировал и выложил ролик "Менторство VS Онлайн-образование", так что айда смотреть, если еще не видели
⚡ Тут у меня сгорело на очередной анонимный мессенджер – ссылка
⚡ А здесь мы узнали, что Gemini теперь будет анализировать наши открытки в Вотсапе – ссылка
⚡ Еще на этой неделе прошел наикрутейший и вайбовый митап Assume Birch, где фортуна в очередной раз решила мне подарить двойную победу в бинго (подтверждение на фото)
Вот как-то так прошла эта неделя🤨
Вот как-то так прошла эта неделя
Please open Telegram to view this post
VIEW IN TELEGRAM
❤18⚡3🤝3👍2🗿1
Как думаете, сможете ли вы отличить телефонных мошенников от "немошенников"?
Anonymous Poll
37%
Да, точно смогу, всегда сразу понимаю, что "пахнет жареным", уже всех по голосам там различаю
37%
Чаще всего сразу отличаю мошенников, но иногда закрадываются сомнения
11%
50/50, иногда ведусь на психологические манипуляции и только потом понимаю, что что-то не так
2%
Скорее нет, чем да. Уже не раз попадался на уловки и терял деньги или доступ к каким-нибудь сервисам
13%
Да я и сам своего рода мошенник
👍15🎃5❤3⚡1
А вы на парковке или в лифте?
Я честно сдерживал себя до последнего, чтобы не написать что-то про новый национальный мессенджер МАХ, но я уже просто не могу. Если коротко, то МАХ позиционируется как аналог WeChat (китайский гигамессенджер, в который встроены все экосистемы и сервисы страны), замена Телеграму и единое место как для общения, подачи заявок через Госуслуги, оплату парковки и вот это вот всё.
Так вот, я пережил рекламу от Инстасамки и запуск мемного тренда с парковкой. Рекламу от Дениса Дорохова, который вообще чуть ли не плачет, отыгрывая мемную концепцию улучшенной связи, продвигая MAX. Да и другие блогеры тоже не остались в стороне. При этом, распространяется реклама преимущественно через социальную сеть, официально запрещенную в РФ.
Параллельно с этим, по техническую сторону пиара форсируется тема того, что соткан новый мессенджер из библиотек, которые имеют отношение к недружественным странам. Кто-то пишет про то, что (вдохните) у них еще и SDK на дырявом и устаревшем Python 2 и Java 8 написаны (выдыхайте). Но это все ладно, сопротивление должно было быть – так уж у нас принято встречать всё новое и импортозамещаемое.
Финальным аккордом было то, что МАХ обвинили в слежке за пользователями. Но и тут я было уже сдержался. Но вдруг меня добило то, что новость об этом самом шпионаже была опубликована в Дзене, который, как и новый мессенджер, принадлежит VK🤔
Слежка кстати заключается в том, что при установке приложение запрашивает доступ к такой информации, как переписка, геолокация, история звонков, фотографии и буфер обмена. Ну а при установке через RuStore мессенджер может собирать и данные о других приложениях на устройстве.
Всё, я выговорился, вам все рассказал. Теперь держите мой любимый мем (пока что) на эту тему.
Я честно сдерживал себя до последнего, чтобы не написать что-то про новый национальный мессенджер МАХ, но я уже просто не могу. Если коротко, то МАХ позиционируется как аналог WeChat (китайский гигамессенджер, в который встроены все экосистемы и сервисы страны), замена Телеграму и единое место как для общения, подачи заявок через Госуслуги, оплату парковки и вот это вот всё.
Так вот, я пережил рекламу от Инстасамки и запуск мемного тренда с парковкой. Рекламу от Дениса Дорохова, который вообще чуть ли не плачет, отыгрывая мемную концепцию улучшенной связи, продвигая MAX. Да и другие блогеры тоже не остались в стороне. При этом, распространяется реклама преимущественно через социальную сеть, официально запрещенную в РФ.
Параллельно с этим, по техническую сторону пиара форсируется тема того, что соткан новый мессенджер из библиотек, которые имеют отношение к недружественным странам. Кто-то пишет про то, что (вдохните) у них еще и SDK на дырявом и устаревшем Python 2 и Java 8 написаны (выдыхайте). Но это все ладно, сопротивление должно было быть – так уж у нас принято встречать всё новое и импортозамещаемое.
Финальным аккордом было то, что МАХ обвинили в слежке за пользователями. Но и тут я было уже сдержался. Но вдруг меня добило то, что новость об этом самом шпионаже была опубликована в Дзене, который, как и новый мессенджер, принадлежит VK
Слежка кстати заключается в том, что при установке приложение запрашивает доступ к такой информации, как переписка, геолокация, история звонков, фотографии и буфер обмена. Ну а при установке через RuStore мессенджер может собирать и данные о других приложениях на устройстве.
Всё, я выговорился, вам все рассказал. Теперь держите мой любимый мем (пока что) на эту тему.
This media is not supported in your browser
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🤣52🫡23❤9🐳9💯5⚡3👍3😈2😭2
Security by Obscurity
Представьте: вы прячете ключ от офиса под цветочным горшком на этаже. Дверь закрыта на замок, и вы надеетесь, что никто не догадается искать ключ рядом. Другой пример: в поездке президента сопровождает несколько машин – так, никто не знает точно, в которой из них едет глава государства. Это и есть Security by Obscurity – попытка защитить что-то ценное не за счет надежных механизмов, а за счет секретности или сложности обнаружения. Собственно об этой кибербезопасной концепции мы сегодня и поговорим.
Принцип Security by Obscurity подразумевает, что любая информационная система безопасна до тех пор, пока уязвимости остаются скрытыми. Эти лазейки в безопасности системы должны оставаться неизвестными для всех, кроме определенного круга лиц, например, разработчиков и архитекторов или как в случае из первого абзаца поста – только для сотрудников офиса.
В практическом кибербезе этот подход может быть реализован по-разному. Можно использовать обфускацию кода, вместо понятных имен переменных использовать случайные символы, скрыть названия внутренних систем или использовать неочевидные пути доступа к данным, например, через промежуточные идентификаторы и системы-прокладки.
В обычной жизни мы тоже часто полагаемся на неочевидность: прячем файлы в папке с невинным названием☕ , используем псевдонимы и не указываем телефон в соцсетях (но используем ФИО и номер везде при регистрации, да).
Главная опасность Security by Obscurity – ложное чувство безопасности. Когда вы верите, что спрятанное = защищенное, вы можете игнорировать реальные меры: сложные пароли, двухфакторную аутентификацию или своевременное обновление ПО. Если злоумышленник целенаправленно ищет лазейку, Security by Obscurity его не остановит. Хакеры же используют автоматизацию, сканеры, ботов и социнжиниринг, чтобы быстро находить "спрятанные" слабости.
Из-за этого в среде ИБ давно сложилось мнение, что "безопасность через неясность – это плохо". Так ли это на самом деле? Если вы хотите защитить свою систему только с помощью Security by Obscurity, то, очевидно, что это плохая идея: если "секрет" раскроется (а это вопрос времени), защита рухнет мгновенно. Настоящая безопасность – это слои, как матрешка (ну вы поняли). Obscurity – лишь один из них, который помогает снизить вероятность взлома.
⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты
Представьте: вы прячете ключ от офиса под цветочным горшком на этаже. Дверь закрыта на замок, и вы надеетесь, что никто не догадается искать ключ рядом. Другой пример: в поездке президента сопровождает несколько машин – так, никто не знает точно, в которой из них едет глава государства. Это и есть Security by Obscurity – попытка защитить что-то ценное не за счет надежных механизмов, а за счет секретности или сложности обнаружения. Собственно об этой кибербезопасной концепции мы сегодня и поговорим.
Принцип Security by Obscurity подразумевает, что любая информационная система безопасна до тех пор, пока уязвимости остаются скрытыми. Эти лазейки в безопасности системы должны оставаться неизвестными для всех, кроме определенного круга лиц, например, разработчиков и архитекторов или как в случае из первого абзаца поста – только для сотрудников офиса.
В практическом кибербезе этот подход может быть реализован по-разному. Можно использовать обфускацию кода, вместо понятных имен переменных использовать случайные символы, скрыть названия внутренних систем или использовать неочевидные пути доступа к данным, например, через промежуточные идентификаторы и системы-прокладки.
В обычной жизни мы тоже часто полагаемся на неочевидность: прячем файлы в папке с невинным названием
Главная опасность Security by Obscurity – ложное чувство безопасности. Когда вы верите, что спрятанное = защищенное, вы можете игнорировать реальные меры: сложные пароли, двухфакторную аутентификацию или своевременное обновление ПО. Если злоумышленник целенаправленно ищет лазейку, Security by Obscurity его не остановит. Хакеры же используют автоматизацию, сканеры, ботов и социнжиниринг, чтобы быстро находить "спрятанные" слабости.
Из-за этого в среде ИБ давно сложилось мнение, что "безопасность через неясность – это плохо". Так ли это на самом деле? Если вы хотите защитить свою систему только с помощью Security by Obscurity, то, очевидно, что это плохая идея: если "секрет" раскроется (а это вопрос времени), защита рухнет мгновенно. Настоящая безопасность – это слои, как матрешка (ну вы поняли). Obscurity – лишь один из них, который помогает снизить вероятность взлома.
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥47❤18✍3🤣3🌭2💯2😭2🤯1🍌1
Я тут практически доделал мерч, поэтому ждите скоро большой розыгрыш чего-то интересного 🤩
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥52🎉12🍓8❤5🌭1🍌1🫡1
Секонд-хенд твоих данных
Когда слышите про очередную утечку, не думайте, что все заканчивается на «взломали – утекло». Это только завязка. Настоящее начинается потом, когда ваши данные превращаются в товар, получают ценник в Monero (это такая крипта, популярная у хакеров) и уходят в плавание по даркнету.
Вот интересная статья, показывающая, как выглядит жизнь украденных данных после утечки:
- как и где их продают (спойлер, не только в даркнете);
- кто скупает(иногда это сами жертвы утечки) ;
- какие механики доверия и безопасности существуют у киберпреступников;
- что оценивается обычно в $150, а что – в $20.
Забавно, но факт – у киберпреступников все по-честному. Есть отзывы, гаранты, репутация продавца. Только вот торгуют они не кроссовками, а вашими данными.
И да, так уж получилось, что даркнетами в наше время пользуются далеко не только преступники, но и спецслужбы, и даже жертвы преступлений.
⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты
Когда слышите про очередную утечку, не думайте, что все заканчивается на «взломали – утекло». Это только завязка. Настоящее начинается потом, когда ваши данные превращаются в товар, получают ценник в Monero (это такая крипта, популярная у хакеров) и уходят в плавание по даркнету.
Вот интересная статья, показывающая, как выглядит жизнь украденных данных после утечки:
- как и где их продают (спойлер, не только в даркнете);
- кто скупает
- какие механики доверия и безопасности существуют у киберпреступников;
- что оценивается обычно в $150, а что – в $20.
Забавно, но факт – у киберпреступников все по-честному. Есть отзывы, гаранты, репутация продавца. Только вот торгуют они не кроссовками, а вашими данными.
И да, так уж получилось, что даркнетами в наше время пользуются далеко не только преступники, но и спецслужбы, и даже жертвы преступлений.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤21🤔7🔥5🤯4⚡1👍1💔1😭1
Двухфакторка, которая смотрит в оба
Пока кто-то считает, что двухфакторка – это надежно, Lighthouse Reports выкатывают расследование. Они доказывают, что некоторые поставщики 2FA-решений связаны с разведками некоторых стран. И не просто где-то пересекаются на конференциях или анонимных квартирах, а встроены туда прямо на уровне системы.
И это уже далеко не первый подобный случай:
- Crypto AG – десятилетиями продавала своё полузащищенное оборудование, которое сливало всё, что только можно в сторону США и ФРГ.
- RSA когда-то за $10 млн внедрила слабый алгоритм от NSA прямо в свой криптомодуль.
- В 2024-м в XZ Utils заложили бэкдор, через который можно было удаленно запускать код на линукс-серверах. Библиотека, на секундочку, ставилась по умолчанию. Подозревают, само собой, разведку.
Это значит, что поставщик не обязательно ломает вас напрямую, да и не факт, что он в этом вообще заинтересован. Он просто делает так, чтобы при необходимости к вашим данным можно было удобно получить доступ.
Да, такова реальность. Такова обратная сторона удобства и оцифрованности нашего мира и быта. Так что нужно просто держать в голове то, что в любой момент кто-то может получить доступ к тому, что мы считаем приватным.
⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты
Пока кто-то считает, что двухфакторка – это надежно, Lighthouse Reports выкатывают расследование. Они доказывают, что некоторые поставщики 2FA-решений связаны с разведками некоторых стран. И не просто где-то пересекаются на конференциях или анонимных квартирах, а встроены туда прямо на уровне системы.
И это уже далеко не первый подобный случай:
- Crypto AG – десятилетиями продавала своё полузащищенное оборудование, которое сливало всё, что только можно в сторону США и ФРГ.
- RSA когда-то за $10 млн внедрила слабый алгоритм от NSA прямо в свой криптомодуль.
- В 2024-м в XZ Utils заложили бэкдор, через который можно было удаленно запускать код на линукс-серверах. Библиотека, на секундочку, ставилась по умолчанию. Подозревают, само собой, разведку.
Это значит, что поставщик не обязательно ломает вас напрямую, да и не факт, что он в этом вообще заинтересован. Он просто делает так, чтобы при необходимости к вашим данным можно было удобно получить доступ.
Да, такова реальность. Такова обратная сторона удобства и оцифрованности нашего мира и быта. Так что нужно просто держать в голове то, что в любой момент кто-то может получить доступ к тому, что мы считаем приватным.
Please open Telegram to view this post
VIEW IN TELEGRAM
🤯23👍9❤7💯6💔3🎃1
This media is not supported in your browser
VIEW IN TELEGRAM
Неделька, как и всегда, вышла весьма насыщенной, так что сразу погнали к нашему воскресному дайджесту 🎧
👨🏫 В Менторстве ИБ прошла неделя резюме, где мы даже успели разобрать один мемный пост из LinkedIn
🧠 В Пакете Знаний выложили список крутых Ютуб-каналов по кибербезу
📋 В Пакете Вакансий вас ждет крутая вакансия, связанная с построением личного бренда. А еще я там скоро выложу вакансию к себе в команду
📄 Ну а в Резюмешной выложено уже больше 20 проверенных резюме. В процессе проверки еще примерно столько же
⚡ Результаты опроса весьма воодушевляющие – надеюсь, все действительно так хорошо, как вы наголосовали)
⚡ Тут выговорился на тему моего нового любимого мессенджера – ссылка
⚡ Обсудили безопасность через неизвестность – ссылка
⚡ Выяснили, что происходит с нашими данными после их утечки – ссылка
⚡ Ну и узнали о том, почему двухфакторка – не панацея
⚡ А еще наш с вами канал стал инфопартнером конференции от крутых и атмосферных ребят из МКО – MOSCOW FORENSICS DAY, которая пройдет 11-12 сентября. Так что вэлкам на огонек.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤12🔥4🫡4⚡2🎅1
Please open Telegram to view this post
VIEW IN TELEGRAM
3🤣108❤9🔥6👏4😁4👎1🤩1🕊1💯1🙈1
У меня тут появилась идея – организовать и реализовать какой-нибудь ИБшный просветительский движ для ребят из детских домов. Нет, не ради пиара, продажи чего-то по типу менторства, и уж точно не ради поощрения или социальной валидации. Ради какого-то общего блага что-ли, не знаю, как описать, у меня в целом и нет ответа на этот вопрос.
Есть у кого-то из вас есть идеи, как это можно сделать, в каком формате это может быть полезно и какую информацию можно донести до ребят, то накидывайте идеи в комментариях или можете написать мне в личку – @romanpnn
Если у вас есть опыт подобного дела, какие-то связи или выходы на те самые детские дома, то тоже вэлкам, потому что у меня такого опыта нет.
Есть у кого-то из вас есть идеи, как это можно сделать, в каком формате это может быть полезно и какую информацию можно донести до ребят, то накидывайте идеи в комментариях или можете написать мне в личку – @romanpnn
Если у вас есть опыт подобного дела, какие-то связи или выходы на те самые детские дома, то тоже вэлкам, потому что у меня такого опыта нет.
👍39❤19❤🔥13🔥6🕊4⚡3🤣2
Я тут к вам сразу с несколькими чеклистами. Все же их любят? Правда ведь? 👻
📁 Первый тест-чеклист от ребят из F6 поможет вам и вашему бизнесу/работодателю понять, насколько хорошо вы готовы (или не готовы) к кибератакам – ссылка. Само собой, по-дороге вам попытаются продать несколько продуктов этой кибербезопасной компании, но я думаю, что вы и сами знаете, что вам нужно, а что – нет.
📁 Следующий набор чеклистов пригодится руководству (да и не только) компании для случаев взлома, шифрования, отказа сервисов и всего, что только может произойти в случае успешной атаки злоумышленников – ссылка
📁 Ну и последний – чеклист по быстрым шагам, чтобы защититься от вирусов-шифровальщиков. От них не защищен никто, так что будет полезно хотя бы разок пробежаться по базовым мерам реагирования.
Как говорится, сохраняем, распространяем, пользуемся.
⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты
Как говорится, сохраняем, распространяем, пользуемся.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
⚡17❤10🔥6👀4🤓2🙈1
Алло, это Позитив
Только недавно мы обсуждали новые схемы мошенничества через поддельные вакансии и вот на сцене СКАМа появилось что-то из этой же оперы. Сам я с таким пока не сталкивался, поэтому материал частично опирается на слова одного доброжелателя, который и поделился со мной своей историей. И важный момент – нацелена схема именно на безопасников.
Начинается все очень интересно – со звонка/сообщения/письма якобы от известных ИБ-компаний: Positive Technologies, Касперский, BIZОNE и т. д. Вежливо представляются и говорят, что проводят опрос для улучшения своего продукта Х. А дальше включается магия: «Вы ведь работали в N-компании в кибербезе? Занимались КИИ и сетями?».
И пока вы ловите теплый вайб признания от «коллег», вас уже раскручивают по методичке:
– какие стоят продукты;
– какие были атаки;
– как их отражали;
– где слабые места у вашей защиты (что бы вы хотели усилить или улучшить);
– какой бюджет был заложен.
Работает это просто: мошенники используют базы с резюме, прикрываются авторитетом бренда и не дают времени задуматься. Вы вроде просто делитесь мнением, а на самом деле кормите чужую разведку.
Что с этим делать (профдеформироваться !):
– не верьте на слово бренду, настоящие кастдевы/интервьюеры не задают вопросы про инфраструктуру и бюджеты;
– если чувствуете давление и слишком настойчивые вопросы, прочие манипулятивные техники – бросайте трубку без угрызений совести.
В общем, времена меняются и мошенники эволюционируют. Пока ИБ-отдел раздает наклейки «Никому не сообщай пароль», сам ИБ-специалист может слить архитектуру сети первому позвонившему «коллеге». А потом мы удивляемся, откуда у атакующих такая точность. А они просто вежливо спросили😐
⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты
Только недавно мы обсуждали новые схемы мошенничества через поддельные вакансии и вот на сцене СКАМа появилось что-то из этой же оперы. Сам я с таким пока не сталкивался, поэтому материал частично опирается на слова одного доброжелателя, который и поделился со мной своей историей. И важный момент – нацелена схема именно на безопасников.
Начинается все очень интересно – со звонка/сообщения/письма якобы от известных ИБ-компаний: Positive Technologies, Касперский, BIZОNE и т. д. Вежливо представляются и говорят, что проводят опрос для улучшения своего продукта Х. А дальше включается магия: «Вы ведь работали в N-компании в кибербезе? Занимались КИИ и сетями?».
И пока вы ловите теплый вайб признания от «коллег», вас уже раскручивают по методичке:
– какие стоят продукты;
– какие были атаки;
– как их отражали;
– где слабые места у вашей защиты (что бы вы хотели усилить или улучшить);
– какой бюджет был заложен.
Работает это просто: мошенники используют базы с резюме, прикрываются авторитетом бренда и не дают времени задуматься. Вы вроде просто делитесь мнением, а на самом деле кормите чужую разведку.
Что с этим делать (
– не верьте на слово бренду, настоящие кастдевы/интервьюеры не задают вопросы про инфраструктуру и бюджеты;
– если чувствуете давление и слишком настойчивые вопросы, прочие манипулятивные техники – бросайте трубку без угрызений совести.
В общем, времена меняются и мошенники эволюционируют. Пока ИБ-отдел раздает наклейки «Никому не сообщай пароль», сам ИБ-специалист может слить архитектуру сети первому позвонившему «коллеге». А потом мы удивляемся, откуда у атакующих такая точность. А они просто вежливо спросили
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥34🤯15🫡7❤6😁4👍3💯3🤝3
Если вдруг вам не хватает контента на тему ИБ, то поберегите свою психику держите годный подкаст – ссылка.
Я когда-то давно на него наткнулся и забыл. А тут мне про него напомнили и я втянулся. По крайней мере в выпуск про ИИ в ИБ.
И нет, это не реклама. Ребята, судя по всему, болтают там сугубо для души.
⚡ Пакет Безопасности
😎 Security Club
🛍 Наши проекты
Я когда-то давно на него наткнулся и забыл. А тут мне про него напомнили и я втянулся. По крайней мере в выпуск про ИИ в ИБ.
И нет, это не реклама. Ребята, судя по всему, болтают там сугубо для души.
Please open Telegram to view this post
VIEW IN TELEGRAM
Yandex Music
КапИБара. Подкаст нулевого дня. (Кибербезопаснос...
Подкаст "КапИБара" — это простой и увлекательный разговор на темы информационной безопасности, к... • Podcast • 110 subscribers
❤20🔥7👎4🤔3🤝2
Forwarded from Менторство ИБ | Пакет Безопасности
Новые реалии рынка найма или как повысить свою стоимость
Несмотря на то, что сезон найма немного притормаживается на летний период (отпуска, шашлыки и пляжи важнее), собеседоваться, как вы понимаете, никто не переставал. И вот, в чем я окончательно убедился. Рынок ИБ в СНГ уже достаточно развился и массовый найм начал сильно проседать. На его место пришел найм точечный. Что же это значит.
Суть в том, что специалисты, знающие, что такое WAF, из чего состоит модель OSI или OWASPtop10 – уже никому особо и не нужны. Причина банальная – их просто стало слишком много. Набирать себе команду из 5-10 безопасников, каждый из которых просто знает базу – перестало быть эффективным.
Теперь рынку нужны безопасники, повидавшие тяготы внедрений, траблшутинга, решения комплексных задач и имеющие опыт с нишевыми технологиями или процессами. Такое было с глобальным рынком IT, теперь эта волна дошла до нас, и это нормально, просто надо уметь с этим правильно работать. Причин тут много – от сокращения ресурсов и неэффективных продуктов/направлений в компаниях, до прогретости рынка джунами, которые уже зазубрили все типовые вопросы и ответы.
Таким образом давно живет и нанимает мировой бигтех (MAANG и иже с ним). Называется это либо точечным, либо бутиковым наймом. Он требует чуть больше ресурсов, но по итогу дает сильно больше эффективности, если компания знает, куда пристроить человека с конкретными навыками. Компании при этом готовы переплачивать за таких специалистов, а после этого и удерживать их всеми силами.
Как же, собственно, с этим работать. Если коротко, то нужно учиться решать узкопрофильные и сложносочиненные задачи. Но не любые, а те, которые болят у большинства игроков на рынке. Как о них узнать? Ну тут, как мне кажется, есть несколько путей:
- либо погрузиться в профильное инфополе и чаты, выуживая оттуда самые часто обсуждаемые и холиварные темы;
- либо покопаться на Хабре/Медиуме/формах/СтакОверфлоу/"свой вариант" и поискать там нерешаемые и волнующие сообщество проблемы;
- либо проходить собеседования и обращать внимание на то, о чем чаще всего спрашивают, какие кейсы дают, да и в целом задавать интервьюерам вопросы, которые смогут вывести на нужную информацию.
Что такого интересного заметил я. Рынку точно нужны люди, которые:
- знают, как строить безопасные приватные облака;
- умеют разговаривать с бизнесом на одном языке, доносить ценность ИБ и закрывать все эти вопросы "под ключ";
- понимают, как строить Х (это может быть SOC, безопасный конвейер, VM) внутри компании, чтобы слезть с дорогой иглы вендора;
- имеют опыт работы с узконаправленными или новыми технологиями – LLM, GenAI, обработка голоса и телеком-технологии, IoT, Cloud-native, XR (VR/AR/MR).
Какая же за это награда? За вас будут готовы переплачивать, и у вас практически не будет конкуренции в тот момент, когда вы попадёте своими навыками/опытом в боль потенциального работодателя. Вас буквально оторвут с руками.
Итого – сейчас на рынке котируется узкая специализация, а не широкая; массовый подбор потихоньку начинает уступать точечному; теперь нужно учиться решать сложные, конкретные и не самые очевидные задачи; искать работу за большие деньги стало чуть сложнее, но точно интереснее; рынок ИБ продолжает развиваться; зарплаты продолжают расти, но теперь уже не глобально, а точечно; будущее за специалистами, которые берутся за сложносочиненные задачи, а не просто осваивают общую базу.
Вот как-то так. Всем мир.
👨🏫 Менторство ИБ | Чат
Несмотря на то, что сезон найма немного притормаживается на летний период (отпуска, шашлыки и пляжи важнее), собеседоваться, как вы понимаете, никто не переставал. И вот, в чем я окончательно убедился. Рынок ИБ в СНГ уже достаточно развился и массовый найм начал сильно проседать. На его место пришел найм точечный. Что же это значит.
Суть в том, что специалисты, знающие, что такое WAF, из чего состоит модель OSI или OWASPtop10 – уже никому особо и не нужны. Причина банальная – их просто стало слишком много. Набирать себе команду из 5-10 безопасников, каждый из которых просто знает базу – перестало быть эффективным.
Теперь рынку нужны безопасники, повидавшие тяготы внедрений, траблшутинга, решения комплексных задач и имеющие опыт с нишевыми технологиями или процессами. Такое было с глобальным рынком IT, теперь эта волна дошла до нас, и это нормально, просто надо уметь с этим правильно работать. Причин тут много – от сокращения ресурсов и неэффективных продуктов/направлений в компаниях, до прогретости рынка джунами, которые уже зазубрили все типовые вопросы и ответы.
Таким образом давно живет и нанимает мировой бигтех (MAANG и иже с ним). Называется это либо точечным, либо бутиковым наймом. Он требует чуть больше ресурсов, но по итогу дает сильно больше эффективности, если компания знает, куда пристроить человека с конкретными навыками. Компании при этом готовы переплачивать за таких специалистов, а после этого и удерживать их всеми силами.
Как же, собственно, с этим работать. Если коротко, то нужно учиться решать узкопрофильные и сложносочиненные задачи. Но не любые, а те, которые болят у большинства игроков на рынке. Как о них узнать? Ну тут, как мне кажется, есть несколько путей:
- либо погрузиться в профильное инфополе и чаты, выуживая оттуда самые часто обсуждаемые и холиварные темы;
- либо покопаться на Хабре/Медиуме/формах/СтакОверфлоу/"свой вариант" и поискать там нерешаемые и волнующие сообщество проблемы;
- либо проходить собеседования и обращать внимание на то, о чем чаще всего спрашивают, какие кейсы дают, да и в целом задавать интервьюерам вопросы, которые смогут вывести на нужную информацию.
Что такого интересного заметил я. Рынку точно нужны люди, которые:
- знают, как строить безопасные приватные облака;
- умеют разговаривать с бизнесом на одном языке, доносить ценность ИБ и закрывать все эти вопросы "под ключ";
- понимают, как строить Х (это может быть SOC, безопасный конвейер, VM) внутри компании, чтобы слезть с дорогой иглы вендора;
- имеют опыт работы с узконаправленными или новыми технологиями – LLM, GenAI, обработка голоса и телеком-технологии, IoT, Cloud-native, XR (VR/AR/MR).
Какая же за это награда? За вас будут готовы переплачивать, и у вас практически не будет конкуренции в тот момент, когда вы попадёте своими навыками/опытом в боль потенциального работодателя. Вас буквально оторвут с руками.
Итого – сейчас на рынке котируется узкая специализация, а не широкая; массовый подбор потихоньку начинает уступать точечному; теперь нужно учиться решать сложные, конкретные и не самые очевидные задачи; искать работу за большие деньги стало чуть сложнее, но точно интереснее; рынок ИБ продолжает развиваться; зарплаты продолжают расти, но теперь уже не глобально, а точечно; будущее за специалистами, которые берутся за сложносочиненные задачи, а не просто осваивают общую базу.
Вот как-то так. Всем мир.
Please open Telegram to view this post
VIEW IN TELEGRAM
2❤30🫡10😱4👍3🔥2🥴2✍1💯1😭1
Давно наш воскресный дайджест не был таким регулярным и стабильным, так что не не будем нарушать эту хорошую традицию и пройдемся по самому интересному за прошедшую неделю ⌨️
⚡ Самое важное – я наконец-то взял себя в руки и запланировал огромный розыгрыш в канале, анонс которого выйдет уже на следующей неделе, так что ожидайте. Спойлер – там будет аж 16 годных призов.
⚡ А еще я тут на днях интервью ребятам из МТС Линк на тему того, какие есть угрозы использования SaaS-решений и как снизить риски – ссылка
📄 По нашей Резюмешной, где все также продолжают ежедневно публиковаться ваши проверенные резюме, начали приходить положительные отзывы. Уже несколько человек (само собой, в анонимном формате) поделились со мной тем, что рекрутеры находят их резюме и предлагаю свои вакансии. Кажется, что план работает, как и задумывалось.
📋 В Пакете Вакансий выложил ту самую вакансию к себе в команду. Некоторые уже даже успели понаприсылать свои резюме.
👨🏫 В Менторстве ИБ один небезызвестный специалист из мира ИБ поделился с подписчиками тем, как стать крытым криминалистом из мира кибербеза.
⚡ В основном канале обсудили активность по киберпросвещению ребят из детских домов. Оказалось, что мир не без добрых людей и у нас уже сколотилась неплохая такая компания, а еще свою поддержку решили оказать даже некоторые вендоры, за что им большое спасибо. Скоро я сделаю чатик, где мы все и будем обсуждать и прорабатывать – ссылка
⚡ Поделился с вами еще новостями с рынка найма и советами по тому, как оставаться на коне даже во время его изменений – ссылка
Вот как-то так и живем.
Вот как-то так и живем.
Please open Telegram to view this post
VIEW IN TELEGRAM
❤10🔥5🍾4👍3🌭2