Станьте сначала специалистом начального уровня в первую очередь. Не потейте слишком много для того, чтобы стать экспертом. Цените путешествия и не преуменьшайте ценность своего опыта.

Я начал свой путь с самого низа, работаю компьютерным техником, сетевым администратором, веб-программистом и системным администратором. Спустя много лет я занялся безопасностью. Я не жалею о том времени, которое я провел на прежних позициях, поскольку это сформировало мой кругозор. Мой опыт позволяет мне понять проблемы, с которыми сталкиваются многие сотрудники и принимать более эффективные решения для компаний и компаний, с которыми я работаю. Я считаю, что индустрия безопасности может извлечь большую пользу из большего разнообразия.

Однако, если под нулевым уровнем вы подразумеваете нулевой опыт в области безопасности (не обязательно в области IT), то я рекомендую стать экспертом в другой области. Начните применять концепции безопасности в своей специализации. Это сработало для стольких талантливых профессионалов, которых я знаю. Слишком много людей хотят попасть в безопасность без предварительного опыта, потому что они склонны принимать близорукие решения, не учитывая бизнес-контекст. Безопасность - это просто дополнение к бизнес-операциям, призванное поддерживать их долговечность. Она не существует сама по себе.

Вы можете читать блоги про пентестинг и баг баунти, но исполнение случайных пейлоадов без глубокого понимания не позволит вам внести большой вклад в ваше развитие. Погрузитесь глубоко во все, что вы узнаете, сохраняйте любопытство и наслаждайтесь статусом эксперта через несколько лет.

Теперь давайте предположим, что вы новичок и с нуля хотите достичь вершины компьютерной безопасности. Вот несколько вариантов развития карьеры:

Тестировщик безопасности веб-приложений - научитесь кодировать. Это не обязательно, но полезно и обычно это то, что отделяет желающих стать экспертами от реальных экспертов. Узнайте как работают программные стеки и получите представление о таких языках программирования как Java, PHP и их соответствующих фреймворках. Чтобы сломать что-то, вы должны понимать как все это работает. После того как вы изучите все ресурсы OWASP, то узнаете что делать дальше.

Сетевая безопасность - создайте локальную лабораторию, состоящую из различных компонентов. Разверните службы вроде стека LAMP (Linux, Apache, MySQL, PHP) и изучите как защитить каждый элемент. Во время сборки изучите какие проблемы могут возникнуть во время настройки и обслуживания, чтобы вы знали чего избегать и как их тестировать, когда у системных администраторов нет времени, интереса или знаний для этого. Затем сосредоточьтесь на технических рекомендациях PTE (Penetration Testing Execution Standart), чтобы узнать пути по которым хакеры могут атаковать вашу сеть. Зареверсите их методы, чтобы выстроить надлежащую защиту от будущих атак.

Стандарты и аудит - узнайте о базовых технологиях и бизнес-моделях. Вы должны понять как работает бизнес, чтобы защитить его и гарантировать, что новые правила не будут препятствовать инновациям компании. Возьмите несколько хороших бизнес-книг и получите деловую экспозицию у руководителей и менеджеров с реальным опытом. Изучите лучшие отраслевые практики, такие Center for Internet Security и стандарты HIPAA, PCI-DSS, DISA STIG, ISO 27001, SOC2, чтобы понять как сделать вашу организацию совместимой без влияния на производительность.

Криптограф/Криптоаналитик - если вы хотите стать экспертом в этой области, я рекомендую посещать университет с сильными математическими и криптографическими программами. Это увлекательная область, которая требует предварительных и существенных математических знаний.

Консультант по безопасности - эта должность поможет вам приобрести опыт работы в IT или IT безопасности, чтобы вы могли понять бизнес и расширить свой кругозор. Если вы решите, что вы хотите остаться в консалтинге, исследуйте, что делают крупные компании, какие технологии они используют и как они регулируются.

Исследователь уязвимостей - эта узкая специализация требует сосредоточенного внимания по крайней мере в одной области. Вы должны овладеть хотя бы одним языком программирования, платформой и операционной системой. Затем сосредоточьтесь на узком наборе функций в данном продукте или услуге, Примеры включают изучение ассемблера, языка программирования С, изучение работы видео кодеков и выявление слабых мест такой библиотеке как FFmpeg.

Эксперт по компьютерной безопасности - разработчики часто становятся экспертами по безопасности. Получите опыт в одном стеке технологий, а затем примените все соответствующие знания безопасности, чтобы сделать продукты безопаснее. Укрепите безопасность в организации в соответствии с требованиями коллег и клиентов.

Хотите ускорить этот процесс? Выберите технологию, которая действительно вас интересует и узнайте о ней как можно больше. Таким образом, вместо того, чтобы стать тестировщик веб-приложений, станьте экспертом по безопасности Node.JS. Будьте узким специалистом, а не специалистом широкого профиля. Найдите что-то, что разжигает ваше любопытство и сохраняйте страсть. Несколько лет дадут вам должность и опыт, которых вы хотите.

Помните, что нет точного графика, когда вы станете экспертом по безопасности, поскольку возможность обучения и опыт меняются от человека к человеку, но если вы действительно хотите быть в этой области, то проводите свои исследования и не сдавайтесь.