КиберБезОскара
КиберБезОскара
Читать в Telegram

CTF и перекос в сторону offensive в кибербезопасности

КиберБезОскара

Я - Оскар, эксперт в ИБ. Пишу о рынке кибербезопасности с техническими деталями, средствах защиты и управлении командой в ИБ. Более 15 лет опыта, MBA CSO. Канал отражает личное мнение. Для связи @goscars

Открыть в TelegramДругие публикации
ctfкибербезопасностьпентест

Принимал участие в пресс-конференции, посвящённой проведению открытого турнира Республики Татарстан по защите информации для школьников и студентов «GO CTF 2025». Это натолкнуло меня на размышления в двух частях.

  • ➕Первая часть популярная. Несомненно, соревнования формата CTF - это кузница качественных кадров и правильный вход в отрасль для молодых специалистов.

Реальную защищенность компании и систем можно проверить только через непрерывное проведение тестов на проникновение - пентестов, red teaming, багбаунти. Подготовку персонала следует тренировать через регулярные киберучения, в том числе в формате CTF, и киберполигонов - это позволяет отработать реагирование на инциденты и не совершать очевидных ошибок.

*️⃣Решая задачи турниров участники изучают необходимые технологии в среде, приближенной к реальности. Одновременно развивают важные навыки (софт-скилы), которые я, как руководитель, всегда отмечаю в своих сотрудниках и кандидатах.

  1. 1️⃣Решение задач в сжатые сроки. Если случился инцидент или просто горят сроки - нужно собраться и быстро действовать на результат.
  2. 2️⃣ Командная работа. Сложная проблема затрагивает множество компетенций и подразделений, важно уметь решать задачу сообща.
  3. 3️⃣Самостоятельный поиск путей решения. ИТ-технологии стремительно развиваются, важно уметь разбираться, искать информацию, пробовать её применить, а не ждать готовых инструкций и документации.

Кажется, что из участника CTF получается идеальный сотрудник кибербезопасности?

  • ➖Теперь вторая непопулярная. Конечно, чтобы оптимально защищать, нужно знать уязвимости и методы атак, но вижу сильный перекос в сторону Offensive безопасности, особенно у молодых специалистов.

Чрезмерная геймификация и популяризация/романтизация пентестов приводит к тому, что ИБ для молодого спеца начинает восприниматься как игра и отдельная субкультура (почитайте профильные чаты).

Рядовой ИБ-специалист, "бумажник", методолог-аудитор начинают восприниматься как нечто "не крутое". У меня несколько перспективных молодых спецов уходили с формулировкой "хочу быть пентестером - там признание и деньги".

*️⃣При этом построение ИБ в компании - это не только технологии, но ещё и люди, и процессы. В противовес пентесту во время внедрения СЗИ главное не навредить действующей инфраструктуре. Тяжело будет юному пентестеру в штате ИБ средней компании взаимодействовать со смежными ИТ/АСУ, регуляторами, строить процессы и писать регламенты, а без этого не получится эффективно работать.

❗️Поэтому, во-первых важно избежать сильного перекоса в популяризации offensive, иначе только пентестерами не закрыть дефицит ИБ-специалистов, о котором говорят представители отрасли, во-вторых важно формировать и популяризировать имидж "обычного" ИБшника-защитника.

Фотография пресс‑конференции GO CTF 2025: четыре участника за столом с микрофонами, на стене проектор со слайдом и логотипом
Пресс‑конференция GO CTF 2025 — панель спикеров и демонстрационный слайд