Одна из таких программ — Computer Security Group Калифорнийского университета в Санта-Барбаре, известная как SecLab. Команда SecLab реализует различные инициативы, связанные с «проектированием, созданием и проверкой безопасных программных систем». Характер ее деятельности на первый взгляд может показаться теоретическим, однако она имеет вполне практическое значение. Ее участники анализируют программное обеспечение с открытым исходным кодом, чтобы проверить, нет ли в нем уязвимостей. Обнаружив слабое место, они сообщают о нем не только специалисту, отвечающему за сопровождение этого ПО, но и отраслевым организациям, которые в итоге доносят информацию до всего ИБ-сообщества. Таким образом, работа SecLab помогает сделать программное обеспечение более безопасным.

Другие программы ориентированы на сотрудничество с отраслевыми организациями, работающими над разнообразными проектами и исследованиями. Например, MITRE управляет различными исследовательскими центрами в США, финансируемыми за счет средств федерального бюджета. В рамках исследований она регулярно сотрудничает с университетами и другими академическими учреждениями. Ей это дает доступ к исследователям, а студентам — возможность приобрести практические навыки, которые им пригодятся при поиске первой работы.

При выборе учебного заведения и программы для получения степени важно разобраться в доступных возможностях. В частности, при получении степени, не связанной с кибербезопасностью, участие в такого рода исследованиях позволит выделить свое резюме на фоне остальных. Если же выбранная вами школа не предлагает таких программ, не отчаивайтесь, Вы можете наработать практические навыки в сфере кибербезопасности другими, менее формальными способами, которые тоже будет нелишним указать в резюме.

Активный обмен информацией и высокий спрос на квалифицированных специалистов по кибер без опасности создают множество возможностей для обучения. Это, конечно, не формальные программы для получения ученой степени, но они часто позволяют обрести актуальные и практические навыки, которые нельзя развить в рамках академического образования.

Проблема здесь в том, что подобные варианты сложно представить в резюме как доказательство наличия тех или иных способностей. Далее мы рассмотрим наиболее распространенные неформальные методы обучения и развития дополнительных профессиональных навыков.

Сообщество специалистов по кибербезопасности уже давно проводит конференции, позволяющие участникам обменяться информацией, развить навыки и наладить деловые связи. В ходе этих конференций опытные специалисты обычно делятся идеями, результатами последних исследований, исчерпывающими обзорами технологий и другими сведениями из области кибербезопасности.

Кроме того, участники часто могут посещать формальные тренинги или мастерские. В рамках многих мероприятий организуют так называемые «деревни» — центры практического обучения определенной технологии или технике. Например, как отмечалось в главе 3, большой популярностью на многих конференциях пользуется «деревня взлома замков»: ее посетители могут узнать о конструкции физических замков и поучиться у опытных инструкторов их взламывать. Кроме замков в «деревнях» можно научиться взламывать все что угодно, начиная с автомобилей и промышленных систем управления и заканчивая системами голосования.

Существует множество различных типов конференций. Понимание целевой аудитории и тематики поможет вам выбрать ту, что наиболее интересна и ценна именно для вас. Отличные возможности для обучения предоставляют не только практические и специализированные конференции конкретно для ИБ-специалистов, но и конференции, напрямую не связанные с информационной безопасностью.

Практические конференции, как правило, ориентированы на тех, кто уже работает или хочет работать в организации, помогая создавать и поддерживать средства защиты. Их темы могут быть самыми разнообразными. Обычно основное внимание на них уделяется действиям, связанным с управлением безопасностью внутри организации. На ИБ-специалистов ориентированы, например, RSA, Black Hat и InfoSec World. Благодаря тому, что на них рассматривается широкий спектр тем, участники могут выбрать тренинги и выступления себе по интересам.

Кроме того, ежегодно проводится ряд специализированных конференций, посвященных обычно конкретному направлению сферы кибербезопасности. Одна из самых популярных и старейших — конференция хакеров DEF CON, учрежденная в 1993 году в Лас-Вегасе. За время своего существования она превратилась из неформальной встречи хакеров в одну из крупнейших конференций по кибербезопасности в мире. Изначально основное внимание здесь уделяли хакерскому сообществу и соответствующим темам. Однако со временем стали организовывать все больше различных «деревень», благодаря чему спектр рассматриваемых тем расширился. Другие известные хакерские конференции, такие как BSides, SchmooCon и THOTCON, посвящены наступательной безопасности.

Помимо хакерских, существует еще одна известная специализированная конференция — Layer 8. Понятие Layer 8 («Восьмой уровень») относится к человеку как к элементу системы безопасности, поэтому конференция посвящена темам, связанным с социальной инженерией и сбором разведданных. Несмотря на то что организованные в ее рамках «деревни» и мастерские охватывают более широкий круг тем, фокус внимания самой конференции сосредоточен на человеческом факторе и соответствующих тактиках нападения и защиты.