Модель компетенций для специалиста по управлению уязвимостями

Продолжаю планомерно двигаться по обозначенным точкам роста 📈 кибербез образования в стране 🫡

🔥 Завершил черновик модели компетенций для специалиста по управлению уязвимостями в терминологии NICE Framework.

По ссылке в гугл-таблице для рабочей роли VM на вкладках перечислены задачи, знания и навыки, составленные на основе анализа вакансий отечественного рынка труда 🇷🇺

Знания сгруппировал по областям компетенций. Навыки — в процессе. Идея тут простая🧐

✍️ Принимаются экспертные пожелания и предложения по структуре компетенций в виде комментариев к гугл-таблице 🤝

#модель_компетенций

Про образ будущего из рефлексивной позиции

Бессмыслица — искать решение, если оно и так есть. Речь идет о том, как поступить с задачей, которая решения не имеет (Братья Стругацкие)

Поговорим про образ будущего, к которому, как мне видится, мы идем (рисунок 1, путь 1) 🚀

Сегодня отечественный рынок труда и кибербез образования одновременно живут в двух мирах (системах): мире профстандартов и мире рабочих ролей (реальных вакансий на рынке труда) ‼️

Почему, спросите вы, так происходит? 🤔

Профстандарты меняются раз в шесть лет (раз-в-шесть-лет!) 🤯, рынок труда в кибербезе меняется чаще. В ближайшие год появятся новые профессии, которые не войдут в профстандарт, а значит мы не получим по ним необходимые кадры 😔

Структура рабочих ролей, о которой я пишу, более гибкий инструмент, т.к. представляет из себя конструктор профессий, а не утвержденный на всех инстанциях документ. К примеру, она позволяет гибко проектировать программы ДПО (об этом расскажу отдельно) 👨‍🏫

В определенный момент мы увидим столкновение💥 двух систем, скорее всего, когда придется выбирать, на основе чего формировать отечественную структуру сертификации по кибербезу 🇷🇺 В результате столкновения появится новая сущность (рисунок 2), возможно, профстандарты станут гибче и научатся замечать новые профессии (рисунок 1, путь 2).

Будущее уже наступило. Просто оно еще неравномерно распределено (Уильям Гибсон)

#методология #образ_будущего

Возможные навыки в кибербезе, представленные на диаграмме Венна

С интересом изучаю блог Яна Шауманна, архитектора по ИБ, преподавателя системного администрирования и программирования в Технологическом институте Стивенса (Нью-Джерси) 👨‍🏫

Ян много пишет о навыках кибербез специалистов через визуализацию на диаграмме Венна. Посмотрим на его схему, в оригинале (рисунок 1, 2).

Ян подчеркивает, что в зависимости от направления (Red Teamer, Blue Teamer) происходит специализация, но общее количество навыков на рисунке 2 все равно вызывает растерянность 😱

Получается, что модель компетенций обязательно должна учитывать уровень усвоения, т.к. изучать все темы для разных кибербез направлений на одном уровне не имеет смысла: администратор СЗИ должен помнить про типы ICMP-сообщений, а специалист по безопасной разработке владеть только основами TCP/IP 🤔

Интересно, что на рисунке 1 помимо технических, "мягких" навыков показан также опыт работы и "нечто другое", включающее хакерское мышление 🥷

#модель_компетенций

Карьерный путь в кибербезе в 2024 году

На просторах Интернета появился документ (Dr. Christine Izuakor) с описанием профессий в кибербезе на 2024 год 🤔

Очевидный тренд на инженерные специальности 🥷

#путь_в_ИБ

Видео про модель компетенций и схему развития карьеры в кибербезе

По многочисленным просьбам записал видео про модель компетенций и ее связь со схемой развития кибербез специалиста 👨‍🏫

Жду отзывы, комментарии и предложения 🤝

#модель_компетенций

Учебные киберполигоны в вузах

Правильный вектор наметился в высшем образовании, на который также хочется обратить внимание 🧐

📎 В НГТУ НЭТИ начал работу собственный киберполигон. Индустриальным партнером выступила компания «Системы информационной безопасности».

📎 КНИТУ по программам «Приоритет 2030» и «Передовые инженерные школы» развернул «Ampire».

📎 Университет «Иннополис» при поддержке программы «Передовые инженерные школы» создал собственный учебный тренажер «Иннокиберполигон».

📎 ГУАП открыл «Центр киберучений» в рамках «Приоритета 2030», развернул «Ampire» и также развивает собственный студенческий киберполигон на основе open source продуктов.

📎 Innostage развернула межвузовский SOC на базе четырех вузов (КНИТУ-КАИ, КФУ, КГЭУ и Университета «Иннополис») и провела на KDW студенческую кибербитву.

📎 ИТМО открыл международный центр по кибербезопасности на Национальном киберполигоне, созданном «Ростелекомом» в рамках программы «Цифровая экономика». Похожая новость была про СПбГУТ. О судьбе этого грандиозного проекта, к сожалению, мало писали в 2023 году.

📎 В ИТМО также есть собственная LMS 2.0, которая позиционируется, как киберполигон.

📎 При ТГТУ в технопарке «Вернадский» открыли региональный киберполигон.

📎 В МЭИ киберполигон существует более 5 лет. Реализована киберфизическая модель части энергосистемы, в том числе с возможностью проведения киберучений и анализа возможных последствий.

1️⃣ Видим, что термин «киберполигон» четко не определен, поэтому используется по-разному.

2️⃣ Мало купить готовый или построить с нуля собственный полигон, далее он нуждается в обновлении и технической поддержке: расширении функционала, написании методических руководств для обучения преподавателей и студентов. Об этом тоже не следует забывать 👨‍🏫

3️⃣ Синергетический эффект получается только от совместной работы вузов с компаниями-партнерами. Покупка железа, установка ПО от разных вендоров, зарплаты DevOps'ам и программистам - это все дорогое удовольствие в наше время 🤔

#киберполигон #аналитика

Анонс вебинара про кибербез профессии совместно с МФТИ

Я бы в ИБэшники пошел, пусть меня научат! (по мотивам творчества Владимира Маяковского)

Друзья, сегодня (22 января) в 19:00 совместно с командой ФПМИ МФТИ проведем вебинар про карьерный путь ИБ-специалиста 🥷

В конце вебинара расскажем, как войти в ИТ ИБ через получение навыков администрирования информационных систем и систем защиты информации 👨‍💻

До встречи на вебинаре 😎

#PositiveEducation #анонс

Как определить границу научного знания по ИБ?

Алексей Лукацкий 🤠 в своем посте обратил внимание на качественный прогресс отечественной науки за 10 лет 🤔

У меня вопрос в продолжение: а можно ли определить актуальную границу научного знания по кибербезу? То есть очертить зону неизведанного? Тут мы знаем, а тут - уже нет 🤔

Тогда научный прогресс мы сможем оценить, как приближение к этой границе и ее перемещение 🤓

Проще всего, наверное, с криптографией, там есть набор нерешенных проблем 🧐

А есть ли такой список нерешенных научных проблем в области кибербезопасности? 🤓

#наука

Почему компании создают университеты?

Наблюдаю за развитием двух новых учебных заведений: Центрального университета (г. Москва) и Института iSpring, "Русского университета метатехнологий" (г. Йошкар-Ола) 🧐

Причины создания:
1️⃣ вузы готовят специалистов, не соответствующих рынку труда (фокус на фундаментальной теории, молодых специалистов все равно приходится доучивать в компании);
2️⃣ вузы выпускают недостаточно ИТ-специалистов для потребностей экономики;
3️⃣ ИТ-исследования уходят из вузов и спонсируются компаниями.

Центральный STEM (Science, Technology, Engineering, Mathematics) университет (магистратура, бакалавриат), очевидно, конкурирует за абитуриентов с Физтехом, Вышкой, МГУ, ИТМО, хотя подчеркивается, что это не так 👀

🔥На базе Центрального университета (ЦУ) создана Академия информационной безопасности в партнерстве с ведущими игроками ИБ-рынка 🥷

Подборка интересных ссылок.
📎 Интервью с ректором ЦУ о целях создания вуза.
📎 Лекция Евгения Ивашкевича, ректора ЦУ, "Управление рисками с целью принятия решений".
📎 День открытых идей в Центральном университете.
📎 Как правильно учиться на программиста от Юрия Ускова. Юрий Викторович, основатель компании iSpring, Института iSpring, погружен во все процессы, преподает программирование в институте.

#аналитика

Как АНБ создала в США экосистему учебных заведений по кибербезопасности

В 1999 году АНБ для поиска будущих кадров запустило программу Национальных центров академического мастерства в области кибербеза (NCAE-C), чтобы отобрать учебные заведения с высоким качеством подготовки. Таким заведениям присваивали статус CAE-IAE. Позже программу поддержало Министерство внутренней безопасности и к программе подключили колледжи (CAE-2Y) 🤔

Сегодня в программе NCAE-C участвуют более 400 учреждений США, имеющих статус в области 1️⃣ кибербез образования (CAE-CD), 2️⃣ киберисследований (CAE-R) и 3️⃣ преподавания киберопераций (CAE-CO).

Учебные заведения, которые готовят специалистов по кибербезу, указывают на сайте (Рисунок 2), какой статус программа получила у АНБ.

Все региональные аккредитованные двухгодичные, четырехгодичные и последипломные учебные заведения в США имеют право подать заявку на получение статуса CAE-C (каждые пять лет). Про требования к учебным заведениям напишу отдельную заметку.

Хотя АНБ не финансирует CAE-C учреждения, но такие школы имеют право бороться за гранты Министерства обороны по кибербезопасности (DoD CySP).

Дополнительные материалы:
📎 оригинал схемы на Рисунке 1;
📎 перечень учебных заведений, имеющих статус CAE-C;
📎 образовательные инициативы учебных заведений, имеющих статус CAE-C.

#аналитика

Требования АНБ к образовательным программам для получения статуса CAE-CD

В прошлый раз мы рассмотрели экосистему учебных заведений США, которую формирует АНБ через отбор по собственным образовательным стандартам. Теперь поговорим про сами требования 🧐

На Рисунке 1 показаны блоки знаний от младшего специалиста до докторанта: основные, технические, не-технические и по выбору. Уровни отличаются по числу единиц знаний (дисциплин), которые входят в блок (например, 3 по выбору для младших специалистов, 14 - для бакалавров). Все дисциплины перечислены в документе.

Структура единицы знаний (дисциплины): имя, идентификатор, описание, цель, результаты, список тем, терминология, связанные блоки знаний, специализации, категории NICE Framework.

Подчеркну, что результат обучения напрямую связывается с NICE Framework, т.е. рынком труда 🤔

Как это связано с отечественными образовательными стандартами?

Мне это напомнило недавнюю историю. В процессе принятия ФГОС 3++ по ИБ шли активные обсуждения, чтобы вместе с примерным учебным планом утвердить примерный перечень тем для каждой дисциплины. Идею не поддержали.

📎 Плюсы идеи: преподавателю не надо каждый раз сочинять рабочую программу дисциплины; возникает унификация, единые учебники, стандартные лаб. работы.

📎 Минусы: неявные критерии отбора тем для дисциплин; образовательные стандарты изменяются раз в пять-шесть лет, поэтому фиксированные темы могут устареть; также появляется сложность с поиском преподавателя на заранее утвержденные темы.

#аналитика

Временная диаграмма для ФГОСов и профстандартов по ИБ

Собрал на одной схеме (люблю рисовать схемы) для наглядности ФГОСы и профстандарты по ИБ 🤔

Некоторые (спорные) тезисы:
📎 профстандарты раз в шесть лет фиксируют устоявшиеся ИБ-профессии;
📎 существует разрыв межу профстандартами и рынком труда;
📎 утверждение ФГОС 4 добавит бумажную работу преподавателям и зав. кафедрами (переписать десятки РПД под новые шаблоны), но не повлияет на качество подготовки ИБ-специалистов (даже с появлением новых специализаций);
📎 под новые специализации во ФГОС 4 потребуются методические разработки (стенды, полигоны) с учетом текущих угроз и курсы повышения квалификации для преподавателей;
📎 необходимо усилить мониторинг рынка труда по кибербезу, чтобы фиксировать новые востребованные (!) специализации (профессии), т.к. все решения лучше принимать на основе актуальных данных;
📎 необходимо, с учетом появления новых СЗИ и трендов в ИТ, строить прогноз рынка труда, чтобы формировать образовательные программы, исходя из потребностей завтрашнего дня.

#аналитика

Анализ американской системы кибербез образования

Пойдем по порядку 👨‍🏫

В США существует Национальная стратегия по подготовке кадров в области кибербеза 🤔

Основу стратегии составляют четыре направления: 1️⃣ обеспечить каждого американца базовыми кибернавыками (цифровая грамотность), 2️⃣ преобразовать киберобразование (сделать его доступным), 3️⃣ расширить и улучшить кадры на основе профессиональных навыков, 4️⃣ укрепить федеральные кадры. В документе много ссылок и разной статистики.

На Рисунке 1 собраны федеральные инициативы и отдельно рекомендации Конгрессу в области подготовки ИБ-кадров: про NICE Framework (1) уже неоднократно писал, про экосистему вузов (2) АНБ тоже.

Но федеральных проектов оказывается недостаточно. Американские техногиганты также активно подключились к этим процессам.

📎 В 2021 году Microsoft запустили национальную кампанию совместно с колледжами❕США, чтобы подготовить 250 000 специалистов по кибербезопасности к 2025 году, что составит половину дефицита рабочей силы в США.
📎 В 2021 году Google выделил 10 млрд долларов на развитие кибербеза и обещал в течение следующих трех лет помочь 100 000 американцев получить карьерные сертификаты Google.
📎 В 2022 году Microsoft расширяет усилия в 23 странах, чтобы устранить дефицит навыков в области кибербеза.
📎 В 2022 году IBM решает проблему нехватки кадров с помощью новых партнерских отношений.

Активности техногигантов, скорее, напоминают красивую PR-кампанию по продвижению облачных продуктов через образование 🤔

Подождите, а что у нас?

Алексей Лукацкий 🤠 написал в блоге, что "за развитие ИБ у нас не отвечает никто из регуляторов", наверное, поэтому у нас до сих пор (с 2013 года) не принята Стратегия кибербезопасности и не поднимается вопрос об отдельной Стратегии по развитию ИБ кадров в стране 🇷🇺

#аналитика

Курс «Python для специалистов по кибербезу» в вузах 🐍👨‍💻

В каждом вузе, где осуществляется подготовка ИБ-кадров, есть семестровые курсы по программированию. Обычно они проводятся без привязки к специальности 😔

Хочется изменить эту ситуацию, чтобы студенты обладали актуальными знаниями и навыками по кибербезопасности, начиная с младших курсов 👩‍💻🧑‍💻

У меня накопилось достаточно материалов и опыта за семь лет преподавания Python 🐍 в разных аудиториях, чтобы предложить ИБ-сообществу преподавателей идею курса «Python для специалистов по кибербезу» (на Рисунке показаны основные тезисы) 👆

Курс находится в процессе формирования, но уже хочется понять интерес со стороны преподавателей (заведующих ИБ-кафедрами) и далее выстраивать работу с пилотными вузами 🫡

#python

Программируемый формат лабораторных работ по кибербезу

Давайте признаемся себе честно, что современные студенты не читают учебные пособия, которые мы (преподаватели) так усиленно издаем каждый год 😩

Зачем тогда мы их пишем? Исключительно для прохождения конкурса и отчетов по методической работе ("второй половине дня") 🧐

Методические указания для выполнения лабораторных по кибербезу ежегодно устаревают, т.к. для их обновления приходится перечитывать doc-файлы и находить (проверять) неработающие (устаревшие) главы 😩

Тонны устаревших лабораторных и методических указаний копятся на кафедрах 😱

К чему я веду? 🤔

Существует альтернативный формат хранения лабораторных и теории - программируемые блокноты. Первоначально этот формат зарекомендовал себя в экосистеме Wolfram Notebooks, потом перекочевал в Jupyter Notebook, где стал стандартом для обучения ML-специалистов 🤓

А причем тут кибербез? 🤔

Вот пример нечеткого хеширования, обработки YARA-правил и PE (ELF)-файлов в блокнотах. Эти интерактивные файлы можно запускать, ими можно обмениваться, делиться, обновлять и дополнять 😍

Программируемые блокноты меняют мышление преподавателя: каждый тезис теперь можно подкрепить работающим кодом, каждую формулу (из криптографии) - примером реализации алгоритма в блокноте 🔥

#настоящее_будущее #Jupyter_Notebook

Аналитический отчет "Об образовании специалистов по информационной безопасности в Российской Федерации"

Центр компетенций "Кибербезопасность" НТИ Энерджинет опубликовал аналитический отчет про кадры в ИБ 🤔

Краткие выводы 👇

📎 "Почти в 1,5 раза выросло число людей, готовых участвовать в разработке и совершенствовании профессиональных стандартов в области информационной безопасности (с 40% в 2021 году до 57% в 2023 году)".

📎 "Почти в два раза возросла удовлетворенность работодателей подготовкой выпускников вузов (с 15% в 2021 году до 27% в 2023 году)".

📎 "Помимо этого, если в 2021 году основной интерес в качестве направления для повышения профессионального мастерства вызывали курсы по техническим мерам защиты, то в 2023 году спрос на технические, организационные меры и требования законодательства распределен практически поровну (31,8%, 23,3% и 27,1% соответственно)".

📎 "Также изменился приоритет в методологической базе. Он стал ориентирован на российские базы знаний и практик. Это отражает активные изменения подходов в обучении в связи с импортозамещением. Растет спрос на имеющиеся российские методологии, технические решения и практики их применения".

📎 "Опрошенные стабильно, почти в равных долях, считают, что узкоспециализированные кадры нужны и не нужны (примерно по 50%)".

📎 "При это остается высоким число тех, кто считает, что необходима отраслевая специфика в ИБ (75% в 2021 году и 89% в 2023 году)".

Источник

#аналитика

Как построить учебную дисциплину по кибербезу?

Ранее писал про педагогику тут и тут 👨‍🏫

Теперь подготовил видео:
1️⃣ о важности дидактики в процессе обучения ИБ-специалистов;
2️⃣ о схеме построения учебной дисциплины по кибербезу;
3️⃣ что такое лабораторная работа, лекция, практическая работа и контрольная работа;
4️⃣ с примером построения учебной дисциплины по реверс-инжинирингу.

Научная публикация, которая легла в основу видео, тут 🤓

#педагогика #наука

Инфофорум онлайн 🇷🇺

Тема: Кадровое обеспечение в области информационной безопасности ТЭК – требования к специалистам с учетом отраслевой потребности

Вопросы для обсуждения:

1️⃣ «Нас атакуют!» - «Учить тому, что необходимо на войне» (А.В. Суворов). Что нужно знать для практической работы специалисту по информационной безопасности в топливно-энергетическом комплексе.
2️⃣ Проблемы рынка труда, дефицит специалистов по информационной безопасности. Недостаток практического опыта у претендентов на должности. Смещение вектора выпускных квалификационных работ в практическую плоскость. Как удержать высококвалифицированного специалиста по кибербезопасности.
3️⃣ Тенденции изменения нормативной базы в области информационной безопасности, безопасности критической информационной инфраструктуры Российской Федерации. Профессиональная переподготовка в рамках реализации требований Указа Президента Российской Федерации от 1 мая 2020 г. № 250.
4️⃣ Инвестиции в информационную безопасность. Штатное подразделение кибербезопасности или аутсорсинг услуг информационной безопасности. Плюсы и минусы.
5️⃣ Аккредитация центров мониторинга и аттестация сотрудников таких центров в топливно-энергетическом комплексе. Проблемы и пути их решения.

#кадры

Влияние образования на карьеру в кибербезе

Лаборатория Касперского провела международное исследование о влиянии образования на карьеру в кибербезе 👨‍🏫

Из отчета не понял, сколько же человек было опрошено, поэтому сложно говорить о репрезентативности выборки 🤓

📎 Видим, что уменьшается 🔽доверие к высшему образованию в области кибербеза в мире.
📎 В России высокий 🔺процент специалистов с высшим образованием. По историческим причинам высшее образование у нас ценится.
📎 В отчете также говорится про отсутствие практики в вузах и преподавателей по кибербезу с практическим опытом.

#аналитика