October 17
Хакер, у которого получилось.
Приветствуем Вас на канале AUTHORITY.
Сегодня у нас в гостях управляющий директор CyberEd, основатель компании Singleton Security - Егор Богомолов.
От первых шагов до больших достижений, эксперт рассказал нам свою историю успеха, как он преодолел трудности и нашел свой путь.
Привет! Первый вопрос такой - Почему ИБ?
Как ты пришел в сферу и почему выбрал именно “атакующую сторону”. Была ли это мечта с детства или просто случайное совпадение?
Вообще, именно ИБ я заинтересовался еще в школе. В 10-11 классе у меня появилась тяга к информатике, и практически сразу же передо мной встал выбор, на кого пойти учиться.
Куда обычно идут с информатикой? В программисты. Понял, что это не очень интересно, потому что программирование для меня – скорее, инструмент. Примерно в это же время я увидел, что можно учиться по направлению “Информационная Безопасность”, и подумал: “Круто! Хакеры, все дела. Это же вообще самое интересное”.
Поступил в ВУЗ и обнаружил, что это совсем не та ИБ, что я ожидал и все-таки пошел работать программистом. Так и работал программистом, пока абсолютно случайно не получил предложение от Positive Technologies прийти на позицию сигнатурного аналитика.
Именно в PT я увидел хакеров и начал набираться от них советов – как встать на путь хакера? В то время (примерно 2016 год) практически не было доступной информации, как и куда, расти, в основном ответ был таков – “Вот тебе pico.ctf (https://picoctf.org/), hacker.org, учувствуй в CTF и изучай материал. Что было, то и учил. Многое из того, что я тогда изучал, так мне и не пригодилось. В какой-то момент для меня это стало увлечением. В первую очередь, любопытство в самой теме, а потом, когда начал все трогать руками, понял, что и процесс тоже нравится. Некоторым процесс не нравится.
В итоге, я продолжил изучать технологии, и это переросло в работу.
Интересный путь. А как считаешь, нужно ли профильное образование в ИБ?
Говоря о необходимости профильного образования, можно сказать, что прямо сейчас нет, однако уже появляются хорошие предложения учиться различным комплементарным дисциплинам, которые тебя хорошо разовьют даже в теме кибербеза и IT в целом. Само собой, это направления разработческого толка, местами, возможно ML-ного. То есть, хорошая база в IT точно пригодится крутому хакеру, и если выбирать, в какой ВУЗ пойти учиться, нужно выбирать ВУЗы с такими специальностями: ML, прикладная математика, прикладная информатика и т.д. Главное, чтобы у тебя начал работать мозг, после чего ты сможешь направлять его ресурсы в темы, которые тебе интересны. Например, хакинг. Это хороший путь.
А если тебе все это неинтересно и тяжело дается, либо ты не можешь попасть в ВУЗ то твой выбор - профессиональные подготовки, которые, например, проводим и мы в CyberEd. Они позволят тебе быстро научиться выполнять профессиональные задачи и изучить индустрию. Это дает возможность развиться быстрее, чем это делал когда-то я.
То есть, грубо говоря, можно прийти с завода в 35, пройти какой-то хороший курс, порешать HackTheBox, набраться базовых знаний и получить оффер на позицию уровня Junior?
Да, такое тоже бывает. Я знаю случаи, когда люди, приходя даже в 45 лет, осваивали новую профессию и работали дальше хакером на хорошей позиции в хорошей компании. Такое тоже есть, просто нужно понимать, что если ты хочешь стать самым крутым хакером, то мгновенно не получится выйти на уровень известных людей, которые уже более 20 лет в индустрии. За год-два можно вкатиться в профессию, встать на какой-то собственный путь. Это можно считать хорошим гарантируемым результатом.
Как ты считаешь, важно ли наличие наставника в начале пути? Какой путь правильнее – самостоятельно набивать шишки и закапываться в литературу или все-таки стараться набираться опыта и просить советов у наставников?
Я так скажу. У меня были наставники, но довольно поздно. Я начинал с эникейщика, потом админил, что-то программировал, и только спустя три года деятельности, я встал на путь хакера. Это нормально.
Не то, что бы наставники прямо обязаны быть. Я встречал ребят, которые самостоятельно что-то изучали и становились хорошими специалистами, но и они рано или поздно попадали в окружение, которое само по себе их бустило, и это неизбежно.
Безусловно, такое окружение нужно. Тебе нужны люди, которые за тебя уже прошли сложный путь и могут куда-то направить.
Сейчас института наставничества в хакерстве нет, однако есть институт сообщества, которое готово ответить на вопрос. Эти сообщества можно по-разному найти, однако во многие не так просто влиться. Для начала нужно как-то заматереть, чтобы с тобой были готовы взаимодействовать. Иногда должны пройти месяцы и годы, чтобы стать не просто заметным клоуном, а полноценным участником. Здесь ты либо сам формируешь такое сообщество: на работе, в институте или еще где-то, либо присоединяешься к существующему сообществу.
Например, присоединяешься к искусственно создаваемым группам – чатам людей, которые учатся хакингу на каком-то курсе. Путь одинокого воина, все-таки, не особо работает.
Сообщества – да, наставники – большая редкость. Но у меня были ребята, кто очень помогал.
А какую роль в становлении сообщества играет CyberED?
CyberED, в первую очередь – это история про предоставление ищущему пути. Мы можем дать человеку траекторию, помочь обрасти институтами сообщества, наставничества, другими словами, мы занимаемся созданием пути.
Что касается сообщества - оно формируется само. Мы имеем некоторые посылы и культуру, но создание и контролирование сообщества – не сама суть CyberED. Мы даем интерфейс доступа к таким сообществам.
Про начальный путь понятно. Обычно далее идет рутинная работа. Как тебе удается не выгорать, находить мотивацию и быть всегда в тонусе? Чем стараешься заниматься в свободное время?
В практическом хакинге, по большей части, я сейчас участвую только на турнирах. Раньше, во время активного периода моего хакинга, приходилось отвлекаться на различные side-activities, как на что-то второстепенное, а теперь это моя основная работа. Я генеральный директор двух компаний и совладелец четырех, что порождает большое количество активностей вокруг – участие в мероприятиях на различных уровнях, в том числе и на международном. Поэтому, хакинг, наконец-то, снова стал моим хобби, и это прекрасно. Появилось время, которое я посвящаю изучению чего-то нового, занимаюсь развитием нашей хакерской команды True0xA3 и команд внутри коллективов.
Что касается мотивации, меня всегда драйвила соревновательная составляющая в хакинге, в первую очередь перед самим собой, когда доказываешь себе, что ты можешь решить такую-то задачку, найти к ней ответ.
Свободное время я уделяю спорту, постоянно им занимаюсь, потому что быстро начинаю чувствовать, что чахну. Не могу сказать, что занимаюсь каким-то конкретным видом, но раньше очень много времени уделял боксу. Очень жду, когда сниму брекеты, чтобы снова продолжить. Сейчас занимаюсь кроссфитом и бегом. В общем, хорош любой вид спорта, который нравится, он необходим для поддержания формы.
Как с таким количеством дел удается все успевать и планировать?
Тут нет особых секретов. Необходимо уделять время планированию дня, недели, это стало процедурой, которой я занимаюсь постоянно. Необходимы обзор результатов, коммуникация с людьми, которые могут посмотреть на тебя со стороны, например с наставниками и партнерами.
Теперь немного о том, что происходит сейчас.
Что думаешь о Bug Bounty, участвовал ли сам?
Участвовал. Довольно интересно, бага три я нашел, но мне по душе делать то, что непременно даст результат, делая что-то длительный промежуток времени, накапливая результат, чтобы появилось что-то весомое. А ББ – немного другой процесс, и мне тяжело дается делать что-то месяц, ничего не получить и идти в другое место начинать с нуля.
Конечно, можно преуспеть в поиске одного типа багов. Например, есть ребята, которые находятся в топе HackerOne, и они ищут только XSS. Так тоже можно. Но, получается, за что ты соревнуешься – за то, что ты топ-1 или, что ты реально классный хакер?
Мне больше подходят разносторонние исследования, расширение собственных скиллов и знаний, которые потом можно применить в новых местах – на турнире или на новом проекте. Вот это кайф, ты копишь свою экспертизу, базу. В ББ легко скатиться до поиска одного типа уязвимостей.
На этом можно зарабатывать деньги, но куда интереснее придумать способ, который будет зарабатывать за тебя. ББ – такое ремесло, что если ты заболел или умер, то после тебя ничего не осталось. Бизнес, построенный на собственной экспертизе, интереснее.
Но есть ребята, которые в этом классно преуспевают и являются крутыми специалистами, я очень рад за них.
Какой первый баг ты нашел сам?
Когда я только начинал работать, само собой, находил какие-то XSS, Path traversal и SQLI, но самое интересное начинается, когда ты уже прокачиваешься, приходишь и по костяшкам раскладываешь приложение, продукт или какой-то турнир. Это круто, потому что ты понимаешь, что накопил критическую массу опыта, которая позволяет тебе делать что-то веселое, а не просто “что есть”. Вот это самое интересное.
Начало у всех может быть не таким уж и впечатляющим, это цветочки, а ягодки появляются на высоте опыта четырех-пяти лет, и это классно.
В какой момент пришел к предпринимательству?
По своей натуре я не предприниматель. Предприниматель – тот, кто может на голой земле придумать что-то новое. Я, скорее, ремесленник - “Я что-то умею, этим занимаюсь и буду этим заниматься”. Это ремесло, которое обрело масштабирование и переросло в бизнес.
Так сложилось, что в какой-то момент мне пришлось взять на себя ответственность – сделать проект, взяв нескольких людей, которым я должен был дать работу. Позже это переросло в Singleton Security, который стал одним из самых заметных игроков среди хакерских команд, которых можно нанять. Параллельно с этим развивали набор сторонних активностей, например, создание образовательных программ и платформ. Это переросло в крупный проект, когда партнер предложил заняться образовательным бизнесом.
Какие советы можешь дать начинающим предпринимателям?
Кажется, что это что-то сложное и страшное. Стоит понимать, что как только ты выбираешь себе какую-то тему в России, если это какой-то продукт или что-то полезное, то ты, сразу же пятый или десятый. Сразу же у тебя появляется какая-то доля на рынке, которая даст тебе возможность жить этим. Дальше вопрос только в том, почему ты обгонишь остальных. Если ты взялся за то, что тебе понятно, и что ты готов долго развивать, тебя неизбежно ждет успех, например в виде топ-3 или топ-5.
Если ты думаешь о том, как делать бизнес в мире, это супер сложно, но в России ты просто начал, и уже сразу заметный. Главное - начать делать, выбрать нишу, которой ты сам готов заниматься годами, стать в ней лучшим.
Пара слов про стартапы. У стартапа всегда есть преимущества перед большими вендорами это дешевизна и вовлеченность - сделать что-то лучше, либо продукт, которого нет у вендора. У стартапов есть возможность конвертировать время в ценность клиенту. Просто нужно быть немного посмелее.
Немного о CyberEd. Говорят, будет ребилд платформы. Что это будет, какие планы?
CyberED – это экспертный центр, который собирает актуальные экспертизы и пытается различными доступными форматами транслировать их обратно в индустрию, развивая компетенции на рынке ИБ.
Действительно, мы ведем большую работу. Мы выстраиваем новый образовательный процесс, разрабатываем новые продукты, новые инструменты обучения, которые позволят работать с большей аудиторией и давать более качественный результат. Все это начнет работать уже в январе 2025 года.
Важно, наверное, что CyberEd взял фокус на работу с прикладными компетенциями и хакеров и специалистов по защите. И самое важное, во что мы сейчас целимся – не просто создание компетенции отдельного человека, а компетенции целой команды, которая будет отвечать сегодняшним требованиям и вызовам ИБ.
Будущее ИБ в мире ИИ и нейросетей. Какие специалисты под угрозой?
Внедрение ИИ – это новые возможности, либо скрытая угроза?
Я отвечу - посмотрим. Я провожу аналогию с компьютерами, которые тоже кардинально изменили мир. Сложно предсказать, какого размера будет масштаб изменений в этот раз.
И по традиции последний вопрос: "Пять советов для начинающих ИБ-специалистов".
1. Поощряйте свое любопытство.
3. Найдите свое окружение или создайте его сами
4. Делитесь знаниями и тогда вы получите их в ответ
5. Делайте что-то, чтобы мир стал лучше
Большое спасибо за уделенное время и интересную беседу!
Сегодня у нас в гостях был управляющий директор CyberEd, основатель компании Singleton Security - Егор Богомолов.
Желаем успехов и новый побед в твоем нелегком ремесле!
А на этом всё!! Спасибо за внимание...
Подписывайтесь на наш телеграмм - канал AUTHORITY.