Kariera w IT security? Pytanie od Czytelnika

19 maja 2014, 10:02 | W biegu | komentarze 32
: oglądaj sekurakowe live-streamy o bezpieczeństwie IT.

Otrzymaliśmy od jednego z naszych Czytelników takiego maila:

Jestem uczniem technikum informatycznego i interesuję się od dłuższego czasu zabezpieczeniami. Szukam studiów, które dadzą mi tytuł oraz prace. Kieruję się do państwa z pytaniem czy macie jakieś godne polecenia studia na tym kierunku w Polsce.

PS. Będę bardzo wdzięczny za wszelką pomoc i pomysły na studia które warto iść.

No właśnie, podpowiecie są Wasze pomysły na karierę w IT security?

Z mojej strony – studia jako takie same bezpośrednio nie pomogą – tzn. raczej niewiele (jeśli w ogóle?) jest w Polsce sensownych kierunków, które oferują np. profesjonalne kursy pentestingu. Mogą za to dać niezłą bazę (programowanie, adminowanie, kombinowanie – to w IT security jest dość przydatne ;-)

Ważna jest oczywiście praktyka… ale nie warto tego robić hackując systemy w Internecie jak idzie. Tutaj polecam np. systemy, które są tworzone jako specjalnie podatne i służące właśnie do tego typu nauki.

Mam też wrażenie, że zdecydowana większość osób zajmujących się technicznym IT security, to osoby które same tworzą i szlifują swój warsztat. Czyli wymagana jest samodzielna praca, a materiałów w Internecie czy księgarniach nie brakuje.

No dobrze, ale nie chcę się za bardzo rozpisywać. Podpowiecie swoje sposoby na edukację? ;-)

–Michał Sajdak

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. m

    A może, http://www.imk.wat.edu.pl/ a równolegle w domowym zaciszu szlifować sieci+python. No i masę praktyki, tak jak to wspomniał Michał w tekście (http://sekurak.pl/trenowanie-testow-penetracyjnych-na-zywych-systemach/) prócz tego dorzuciłbym jeszcze:
    http://www.dvwa.co.uk/
    https://github.com/adamdoupe/WackoPicko
    http://sourceforge.net/projects/mutillidae/
    https://github.com/SpiderLabs/SQLol
    https://code.google.com/p/owasp-hackademic-challenges/
    http://code.google.com/p/webgoat/
    http://sourceforge.net/projects/hackxor/
    http://code.google.com/p/bodgeit/

    PS
    Co do systemów: nie słuchał bym większości super specjalistów w temacie OS czyli Windows jest beee, w security będziesz musiał znać minimum, minimum 3 systemy w stopniu nightmare :) oczywiście Linux tam się znajduję, a przykładowo M$ jest używany przez wielu userów, także prędzej czy później, trafisz na tą płaszczyznę

    Odpowiedz
  2. Marek

    Programowanie daje dobrą bazę startową. W zależności od uczelni może się okazać, że w ramach programowania są kierunku zajmujące się bezpieczeństwem softu. Na Politechnice Wrocławskiej, Wydział Informatyki i Zarządzania jeszcze parę lat temu coś takiego było.

    Nie znam niczego, co by się zajmowało kształceniem oficerów bezpieczeństwa. Pod tym względem dołączam się do pytania. :)

    Odpowiedz
  3. nbw

    Ja ze swojego doświadczenia powiem, że studia informatyczne nie dają nic, a nawet potrafią zniechęcić.
    Najlepiej pracować samemu.
    Istnieje też szeroka gama szkoleń i warsztatów gdzie można wiele się nauczyć.

    Pozdrawiam

    Odpowiedz
  4. janek

    Uczelnie w Polsce nic nie dają poza dyplomem. Fakt nauczysz się programować i innych podstawowych rzeczy, ale nic poważnego czego nie dało by się szybciej nauczyć samemu. Zdecydowanie bardziej polecam studia za granicą. Tam można nauczyć się rzeczy nowych i praktycznych, a nawet łatwo wziąć udział w badaniach lub projektach które dzieją się na pierwszej linii rozwoju dzisiejszej techniki.

    Odpowiedz
  5. Dan

    Jeśli chodzi o początki to dobrze zacząć od stronek typu:
    Enigmagroup.org czy hackthissite.org
    Jak już ktoś się lepiej czuje to programy typu bug bounty, np.:
    http://www.bugsheet.com/bug-bounties
    Jeśli chodzi to sensowne szkolenia to słyszałem, że certyfikaty Offensive Security (twórców Kali Linux) są takie wymagające, a ich szkolenia są niczego sobie.

    Odpowiedz
  6. Adam
    Odpowiedz
    • Andrzej

      Wydaje mi się, że mogę powiedzieć więcej na temat tego jak będzie wyglądał ten kierunek, mimo, że jeszcze nie wystartował – studiuję tam informatykę.

      Kierunek ten został otworzony pochopnie, jako reakcja na spadającą na łeb, na szyję liczbę studentów na wydziale cybernetyki. Właściwie samo kierownictwo instytutów nie wie dlaczego zgodziło się na utworzenie takiego tworu.W tej chwili obciążenie instytutów sięga ~150-170% i głośno się mówi w kręgach samorządowych, że była to zła decyzja.

      Pomijając wszelkie problemy administracyjne chciałbym napisać o słabym poziomie kształcenia. Prowadzący są teoretykami i bardzo niewielu miało styczność z „prawdziwym IT”, przez co wykładana wiedza jest bardzo słabej jakości oraz, w większości wypadków przeterminowana. Dodatkowo, przez cały tok studiów, siatka godzin jest szalona (acykliczny plan, częste zmiany, brak powiadamiania o zmianach), co znacząco utrudnia podjęcie jakiejkolwiek pracy / praktyk / nauki własnej.

      Moim zdaniem nie warto się w to babrać, ani w jakiekolwiek studia, podstawa to własna praca :)

      Odpowiedz
      • D3LLF

        Nie wiem jak wygląda kadra na WAT w tej chwili, ale pozwolę sobie niezgodzić się z przedmówcą w zakresie „praktyki”. Moje doświadczenia są nieco starsze, więc mogą być nieaktualne, jednak podzielę się nimi. Jest tam wiele wybitnych osobowości m.in. w zakresie kryptologii, (cały instytut: prof. Gawinecki, Kacprzyk, L. Kowalski i inni), bezpieczeństwa oprogramowania / systemów (duet Patkowski / Liderman). Z resztą jest już nieco gorzej. Co do jakości „administracji” w 100% się zgadzam – jest fatalna.

        W zakresie bardziej od strony „zarządzania bezpieczeństwem”, w szczególności narodowym jest jeszcze AON, ale niestety jedyne opinie jakie znam są przynajmniej pejoratywne.

        Zgadzam się z przedmówcą również w tym zakresie, że umiejętności w tym zakresie wynikają tylko i wyłącznie z własnej pracy. WAT może pokazać kierunek, pozwala złapać i później w trakcie rozwijania kariery korzystać z nabytych kontaktów, ale podstawą jest podjęcie właściwej decyzji. Parafrazując klasyka „najważniejsze, to wiedzieć co chce się robić i zacząć to robić”.

        Z tego co się ostatnio orientowałem PW wprowadza jakąś specjalizację zw. z bezpieczeństwem.

        Z uczelni zagranicznych mogę polecić Cranfield University w UK, które szkoli w zakresie forensic.

        Odpowiedz
      • Michał

        Wydział Cybernetyki WAT jest najstarszym wydziałem w Polsce, nie mogę się zgodzić z tymi rzeczami. Nie uczyli mnie żadni teoretycy a osoby, które mają duże doświadczenie np:
        https://www.linkedin.com/profile/view?id=9477959&authType=name&authToken=AyzH&trk=prof-sb-browse_map-name

        Wykładowcy są specyficzni, bo to wojsko. Informatyka na WAT też jest inna niż na innych uczelniach. Przedmiot np. Bazy danych na WAT jest przedmiotem niezwykle praktycznym gdzie nie nauczysz się tych rzeczy na uczelniach teoretycznych np. jak UW.
        WAT wymaga dużo samodzielnego uczenia się. Ma bardzo duży styk z biznesem IT.

        Ranking wg. pracodawców z 2015
        http://s24.postimg.org/w3t8hwrl1/ranking.png

        ranking wg klasyfikacji Imagine Cup:
        http://www.microsoft.com/pl-pl/student/imaginecup/ranking.aspx
        Ranking Uczelni
        Lista rankingowa imagine cup 2015

        1. Wojskowa Akademia Techniczna im. Jarosława Dąbrowskiego w Warszawie 2532
        2. Politechnika Białostocka 1814
        3. Uniwersytet Gdański 1287
        4. Wyższa Szkoła Informatyki i Zarządzania w Rzeszowie 1114
        5. Uniwersytet Jagielloński 1010
        6. Politechnika Gdańska 849
        7. Polsko-Japońska Akademia Technik Komputerowych 716
        8. Politechnika Warszawska 694
        9. Politechnika Rzeszowska im. Ignacego Łukasiewicza w Rzeszowie 687
        10. Politechnika Łódzka 666

        Wg wynagrodzenia
        http://pliki.pulshr.pl/i/02/36/47/023647_r0_620.jpg

        Odpowiedz
  7. Jacek
    Odpowiedz
    • nbw

      Właśnie kończę i szczerze drugi raz bym nie poszedł, co więcej nie poszedłbym na żadne studia

      Odpowiedz
  8. Marek

    I jeszcze dwa zdania. Nie za bardzo wiem, czy chodzi o studia w kierunku Info-, IT- czy AppSec. Jest coraz większy zestaw kursów MOOC z których można wybierać. Na Courserze są trzy bezpłatne kursy poświęcone InfoSec. Pierwszy z nich: https://www.coursera.org/course/inforiskman

    Poza tym otworzyli specjalizację cyberbezpieczeństwa – można dostać certyfikat. Jak to dobre i ile daje – trudno powiedzieć. To ich pierwszy przebieg będzie: https://www.coursera.org/specialization/cybersecurity/7

    Gorąco polecam kryptografię na Courserze prowadzoną przez profesora ze Stanfordu (tak, to z tej uczelni jest Diffie i Hellman, oraz Elgamal): https://www.coursera.org/course/crypto (taki akcent AppSec)

    Odpowiedz
  9. Oskar

    Warto też Cisco CCNA + ewentualnie CCNP skończyć. Jak się jest studentem i na uczelni działa akademia Cisco to można za całkiem sensowne pieniądze to ogarnąć.

    A co do studiów to skończyłem informatykę na Politechnice Poznańskiej i niestety z bezpieczeństwa IT niewiele tam materiału poza zupełnymi podstawami. No ale tak jest moim zdaniem z każdym kierunkiem IT na studiach. Tam dają ci podstawy, sprzęt i rozwijają myślenie a sam musisz się uczyć tego co cie szczególnie kręci.

    Odpowiedz
  10. Bartek

    Ja jestem po Teleinformatyce na Politechnice Krakowskiej (http://www.teleinformatyka.fmi.pk.edu.pl/). Strona WWW może nie zachęca, ale nie ma co się zniechęcać – ja przez 5 lat coś tam się dowiedziałem. Do tego znakomici nauczyciele akademiccy. Warto samodzielnie się dokształcać. Chodzić, bądź organizować konferencje, warsztaty (w Krakowie choćby Noc Informatyka, Techcampy, czy Studencki Festiwal Informatyczny). Polecam również e-lekturę (np. takiego sekuraka). No i przydał by się staż w jakiejś firmie najlepiej w dziale związanym z bezpieczeństwem.
    Podsumowując, najbardziej liczy się wiedza i ewentualne certyfikaty. Studia wydają się niepotrzebne, ale pozwolą poznać i nabyć niezbędną wiedzę podstawową. Poza tym, nie ma to jak życie studenckie. Warto tego doświadczyć przed rzuceniem w wir pracy zawodowej :)

    Odpowiedz
    • Uff, już myślałem że nikt nie poleci czytania sekuraka ;-)

      Odpowiedz
    • student

      Zgadzam się, że informatyka na Politechnice Krakowskiej dużo daje. Przede wszystkim uczy systematyczności i tego, że warto rozwijać swoją wiedzę także poza wykładami i ćwiczeniami. Wielu prowadzących to docenia, bo każdy ma świadomość, że żadne studia nie przygotują dobrego eksperta (programisty, administratora, grafika, itd.). Bardzo ważna jest praktyka, którą zdobywa się samemu. A jeszcze ważniejsza jest pasja. Stąd tak wiele głosów, że można sobie poradzić bez uczelni. I prawda, jednak studia to nie tylko wiedza ;)

      Odpowiedz
  11. IT to duży dział. Żeby być dobrym w jakiejś dziedzinie z IT trzeba poznać całe IT co najmniej po trochu. Od programowania, bazy, sieci kończąc na systemach. Znam programistów którzy nie wiedzą co to ping…

    To pytanie jest trochę naiwne. Ale kto przed studiami pacza szerzej. Trzeba trochę poznać zagadnień zanim się ukierunkuje.

    A studia? Jak dla mnie strata czasu.

    Odpowiedz
  12. Marcin Gryszkalis

    Nie jestem na bieżąco z aktualnymi programami kursów na studiach – więc jeśli w tej chwili studia to jest – jak niektórzy sugerują – taka „wyższa szkoła zawodowa” to może i faktycznie lepiej posiedzieć samemu i nie tracić czasu.

    15 lat temu na studiach z okolic informatyki trzeba było przejść solidną porcję matematyki w różnych odmianach tudzież przedmioty z pogranicza informatyki typu metody numeryczne czy kryptografia. Prawdę mówiąc denerwują mnie specjaliści od bezpieczeństwa, którzy świetnie hakują xssy ale nie potrafią oszacować ryzyka wykorzystania jakiejś podatności bo „zapomnieli czym się różni kombinacja od permutacji” ;)

    Oczywiście, jeśli ktoś bez studiów jest wystarczająco zmotywowany, żeby wziąć i przerobić samemu taką 1000-stronicową cegiełkę typu „Applied Cryptography” Schneiera czy „Podstawy systemów operacyjnych” Silberschatza (stron 1200) to super – obawiam się, że to jednak rzadkie przypadki…

    Odpowiedz
  13. Michał Margula

    Żadne studia nie uformują informatyka niestety. Jeśli ktoś się oprze tylko o uczelnię jako źródło wiedzy, to nie ma przyszłości w tym biznesie. Ale jeśli ktoś sam zdobywa wiedzę, sporo praktykuje, to da radę po każdych studiach.

    Odpowiedz
  14. Na WE Politechniki Poznańskiej jest specjalizacja Bezpieczeństwo Systemów Informatycznych. Zdecydowanie nie polecam, nie miało to żadnego związku z bezpieczeństwem.
    Ja zaczynałem od praktyk w firmie zajmującej się pentestami, podstawowe czynności mogą robić nawet żółtodzioby ;-)

    Odpowiedz
  15. kic

    Jestem absolwentem Teleinformatyki na PWr na wydziale Elektroniki. Popieram w pełni przedmówców, że studia w PL niewiele dają. Papierek ot co… Papierek, który okazuje się być ważny w sytuacji pracy w korpo gdzie nie ma możliwości, żeby ktoś niższy wykształceniem od Ciebie Tobą zarządzał (kierownik / manager / dyrektor ). Studia dają podstawy matematyczne tj. logarytmy i całki (które ostatnio były mi potrzebne na studiach). Algebraiczne operacje na macierzach i ich zastosowanie w programowaniu (z naciskiem na matlaba). Solidne podstawy. W programie studiów miałem przedmioty tj. bezpieczeństwo systemów informatycznych oraz kryptografię. Na pierwszym nie dowiedziałem się nic ponadto co wcześniej wiedziałem. Ten drugi wspominam bardzo słabo. Zarówno merytoryczne przygotowanie jak i stawiane później wymagania. Do tego kursy typy systemy operacyjne (patrz linux i podstawowa obsługa linii komend). Proste skrypty oparte na pętlach. pozatym pogramowanie C++, potem C# oraz mikrokontrolery przy których wmawiano nam, że nie możemy używać gotowych bibliotek. (led on – zapomnij ;)). Do tego dużo sieci: lan/wan/bezprzewodowe/satelitarne itp. Poza typowo „kierunkowymi” kursami było wiele takich do których zapewne nigdy nie wrócę ani też wiedza na nich zdobyta nigdy mi się nie przyda. Czas na nich poświęcony uważam za stracony, ponieważ z perspektywy czasu mogłem zamiast tego robić coś o wiele bardziej konstruktywnego. Identyczna sytuacja jest u mojego szwagra który jest na drugim roku Informatyki (też PWr i W4). Ogrom sprawozdań i zajęć nie pozwala na skupieniu się na pogłębianiu wiedzy, którą chciałoby się mieć (w jego wypadku Java). Szkoda, że ciekawsze były studia drugiego stopnia. Na pierwszym stopniu przez pierwsze dwa lata były moim zdaniem męczące mało potrzebne rzeczy… Niestety to nie te czasy kiedy studia gwarantowały pracę (nie mówię tylko o IT). Warto w tym miejscu poruszyć także kwestie szkoleń i dodatkowych certyfikatów. Ważne jest to co się po tym pamięta i rozumie a nie ilość „papierków”, którą się kolekcjonuje. Znam osoby, które podchodzą do różnego rodzaju certyfikacji i przerabiają w kółko znalezione w internecie bazy pytań. Oczywiście jest to jakaś metoda. Jednak w większości

    Odpowiedz
  16. SebaVegas

    Zgodzę się z kilkoma wcześniejszymi komentarzami, że nie ma sensownej szkoły ani kierunku w Polsce. Jeżeli myślisz na poważnie o IT Security to wybierz szkołę, aby była najbliżej domu, znajomych – szkołę, gdzie będzie Ci dobrze. Nie licz, że na uczelni nauczą Cię programować czy testować, jeżeli jeszcze nie zacząłeś, … – no cóż może już być za późno… Przecież studia są dla rozrywki.

    Odpowiedz
    • Tomek

      Nie zgadzam się tym, że jeśli przed studiami nie potrafi się programować, to jest już za późno. Na studia można iść kompletnie zielonym. Jeśli ma się chęci do pracy, to będzie dobrze.

      Odpowiedz
      • W sumie otóż to – chęci do pracy i trochę zdolności, to będzie dobrze :-)

        Odpowiedz
  17. valdi

    Wyjazd do Indii i studia po angielsku o specjalności Etchical Hacking jest tam możliwość nabycia wszystkich certyfikatów z EC Council.
    Drugi argument indyjska rupia czyli studia tańsze niż w Polsce.

    Odpowiedz
  18. Odpowiedz
  19. mati

    a po studiach polecam ATOS. Firma globalna, jest czym się chwalić, mój kuzyn pracuje tam 4 rok i naprawdę ma się dobrze. Wysokie zarobki, atmosfera pozazdrościć w przeciwieństwie do innych typowych korpo, a rozwój gwarantowany

    Odpowiedz
  20. Dagmara

    Witam,

    Chciałabym odświeżyć temat.
    Zamierzam się przebranżowić i – z racji zainteresowań – mój wybór padł na IT. Docelowo chciałabym wejść w cyberbezpieczeństwo, nie mam wykształcenia informatycznego, dlatego chciałabym się dowiedzieć, jakie są najlepsze sposoby na edukację? Mam trochę wolnego czasu na samodzielną naukę, z powyższych wpisów wynika, że studia nie są najlepszym rozwiązaniem (choć widziałam ciekawy kierunek „Cyberbezpieczeństwo” na AGH). Czy dobrym pomysłem jest np. rozpoczęcie pracy od testera oprogramowania, potem skupić się na testach bezpieczeństwa i skierować się w stronę IT security? Czy taki model nauki i wdrażania się w branżę może się sprawdzić? Czy może spróbować w inny sposób?
    Będę wdzięczna za odpowiedź.

    Odpowiedz

Odpowiedz