Join
REBRAIN
@rebrainme
Истории участников
February 28

Глеб: Самое главное — начать

В детстве Глебу в шутку «предсказали» будущую профессию. Магия это или нет, но предсказание сбылось! Сейчас Глеб работает специалистом по информационной безопасности в одном из крупных банков страны.

Путь к работе мечты был непростым, но очень интересным. Глеб проходил стажировку за границей, использовал креативный подход в резюме, успешно проходил собеседования, пробовал себя в разных областях IT и нашёл ту сферу, к которой лежит душа.

Мама сказала: «Будешь безопасником!»

Сейчас я работаю в сфере информационной безопасности. Мой интерес к ней возник в далёкие школьные времена. Я учился то ли в четвёртом, то ли в пятом классе, и по Первому каналу шёл репортаж о профессиях будущего. Мы в это время завтракали с родителями.

И вот по телеку говорят, что за сферой безопасности большие перспективы, и мама такая: «О, будешь безопасником!».

Тогда все посмеялись. Настал 11-ый класс, надо было решать, куда идти учиться дальше. И вот такое шуточное предложение стало нешуточным.

Компьютеры мне всегда давались хорошо, и когда пришло время выбирать, какие экзамены сдавать и куда поступать, то решение нашлось само собой. Так я поступил в один из московских университетов по специальности «информационная безопасность автоматизированных систем».

Вуз дал мне обширные знания по различным областям: компьютерная безопасность, техническая безопасность, базы данных, операционные системы и другие. Благодаря этому я смог определиться, что мне нравится в безопасности и в IT в целом.

Понял, что, допустим, на чистого программиста не пошёл бы — это не совсем моё. А администрирование серверов, обеспечение их безопасности, создание сайтов — тут я понял, что это мне интересно и подходит.

На стажировку я пошёл как программист

На пятом курсе у меня была стажировка в Европе. Туда я пошёл не как безопасник, а как программист: решал задачи по анализу алгоритмов, их быстродействию и программировал их.

Заметил, что местные студенты подходили более осознанно к обучению. Ощущается разница в подходе к образованию: студенты в вузе самостоятельно занимаются какой-то исследовательской задачей, а преподаватели курируют. Даже регулярные посещения университета для нас были необязательными.

Главное — приходить и показывать свои результаты.

К сожалению, эта стажировка не совсем помогла мне в будущем, потому что там я занимался в основном программированием на C#. Да, было интересно попробовать себя в этой роли, заниматься исследованием алгоритмов, но это всё же была больше теоретическая область, которая никак не связана ни с безопасностью, ни с прикладными науками, которые сейчас используются. Однако благодаря стажировке я окончательно для себя подтвердил, что в программисты идти не хочу.

Совет для учащихся вузов — если у вас есть возможность отправиться на стажировку за границу, рекомендую это сделать! Естественно, с учётом текущих реалий. Это совершенно другой мир, другой менталитет, другой опыт, другое всё.

Происходит этакий обмен знаниями: ты привносишь какие-то новые вещи в то место, где ты будешь жить, и людям, с кем общаться, а какие-то вещи, которые ты получаешь в ответ, могут поменять тебя и твою жизнь.

В резюме написал: «Люблю Linux и Windows, если подробнее — готов общаться лично»

Когда я вернулся со стажировки, то первым делом закрыл хвосты, которые накопились, и начал заниматься дипломом. А буквально через неделю-две устроился на работу. В эту компанию меня звали ещё до стажировки.

У меня на HH висело резюме на стажёра по информационной безопасности, сделал его очень быстро чисто по приколу. Нормальные люди пишут в разделе «О себе» свои навыки, серьёзно всё расписывают, а у меня было так, по-ребячески: «Люблю Linux и Windows, если подробнее, готов общаться лично». Может, рекрутёров тогда привлёк мой творческий подход. В начале карьеры без него никуда! Ведь про опыт и стаж на старте особо не расскажешь. Если резюме интересно оформлено или приложено портфолио, то, естественно, оно сильнее выделяется из массы других.

Мой совет — проявите смекалку 😉

Тогда я устроился в крупную компанию как стажёр инженера внедрения. Моими обязанностями были: анализ инфраструктуры заказчика, разработка архитектуры, где отображалось какие каналы и где можно контролировать с помощью продуктов компании для последующей защиты информации и непосредственно развёртывание и сопровождение этой системы, взаимодействие с безопасниками по техническим вопросам.

Через три месяца (вместо шести) я досрочно закрыл стажировку: был своего рода экзамен, где собрались все коллеги и начали задавать вопросы по продукту, по технике и так далее. На многие вопросы и практические кейсы я ответил, и мне сказали, что всё, молодец. Через пару недель мне закрыли стажировку и перевели на  должность младшего инженера. Потом я дорос до middle инженера, далее старшего, ведущего… В общем, задержался я в компании на пять лет.  Параллельно занимался обучением новых сотрудников, писал методические программы. Это помогло мне в будущем структурировать собственные знания.

О практикумах Rebrain узнал от коллеги, он тогда купил «пак DevOps» (прим. ред. DevOps + Kubernetes), и очень хорошо о нём отзывался, особенно о Kubernetes.

Тогда как раз часть продуктов компании начали заводить под Kubernetes, нужно было знать, с чем ты работаешь, а не просто по интуиции бездумно нажимать на клавиши 😁

Так что я послушал коллегу и тоже взял DevOps, куда входит ещё Docker, и Kubernetes. И когда прошёл два последних, понял, насколько это гибкие инструменты. Даже сам начал рассказывать коллегам, какие там есть фичи и что можно делать с помощью них.

В итоге эти навыки пригодились мне в работе с заказчиками, а это организации разного уровня и профиля работы.

Я могу 1000 раз прочесть, но если руками не сделаю, не запомню

Я пришёл на практикумы с целью развития своих компетенций и их улучшения, чтобы более комфортно и легко работать с тем стеком технологий, с которым уже взаимодействую.

Так получился целый набор программ:

  • Kubernetes и Docker активно использовались на моей работе в компании по информационной безопасности
  • PostgreSQL я взял, чтобы повысить навыки по базам данных
  • Networks — потому, что сейчас сети везде используются, и мне нужно было подтянуть по ним знания
  • Nginx и HAProxy — потому, что сами технологии мне понравились. Покурил документацию Nginx и понял, что он позволяет делать очень много разных вещей. Сейчас уже активно его использую. А HAProxy используется во многих компаниях, это ведь балансировщик нагрузки, без него сейчас никуда. Дальше и HighLoad взял по этой же причине!
  • Ну а там и Kafka вышел у Rebrain, который также используется во многих крупных компаниях

Я бы ещё для тех, кто хочет погрузиться в безопасность, параллельно с практикумами посоветовал книжки от издательства O'Reilly 📚

  • Лиз Райс «Безопасность Kubernetes»
  • Бетси Бейер, Крис Джоунс «Site Reliability Engineering. Надежность и безотказность, как Google»

Формат практикумов мне очень удобен, потому что я могу спокойно проходить их, когда на работе есть свободная минутка либо вечером на досуге. Даётся виртуалка, даётся задание, и ты сам в свободном темпе это всё изучаешь. То есть в один день я могу пройти теорию, поизучать ссылочки, посмотреть на задание, переварить, а сделать уже на следующий день с полным пониманием задачи. Если мне было сложно, то сначала использовал свои виртуалки, а потом, когда понимал, как это всё работает, делал уже на виртуалке Rebrain.

Мне нравится, что практических заданий много. Я могу 1000 раз прочесть, но если руками не сделаю, я не запомню.

Раньше, если у заказчика что-то не работало, я начинал дёргать более опытных коллег, пытаться читать логи в попытках понять что не так. А после практикумов я изменил подход, логи перестали казаться эльфийской магией, начал сам донастраивать кластер Кубера, делать какие-то доработки.

В Rebrain интересна система менторов. Они не говорят прямой ответ, если по заданию случился явный затык, а задают наводящие вопросы, делятся полезными ссылками, где может быть подсказка.

Тем, кто только приобрёл практикумы Rebrain или планирует, я бы посоветовал, самое главное — начать, потому что это тяжелее всего.

Ещё важно осознанно подходить к выбору программ. Когда я приобретал программы, то всегда держал в голове, чем они мне могут быть полезны, почему я их беру. Это помогало не сдаваться и доходить до конца, достигать цели.

Практикумы помогут хорошо погрузиться в продукт и впоследствии, при достаточной практике, пройти собеседования, но дальше всё будет зависеть от твоих навыков и того, как ты сам себя проявишь.

Если говорить про тот же Kubernetes, то на собеседованиях, в зависимости от специализации, спрашивают в основном про деплой, поды, контейнеры, принципы базовой контейнеризации. Это всё есть в практикуме. И тут уже другой вопрос, насколько глубоко ты сам потом полезешь во всём этом деле разбираться.

Главное то, как ты себя преподнесёшь

Я не знаю, насколько мой опыт поиска работы будет релевантен для других, но все мои собеседования проходили в режиме диалога. Если ты будешь сидеть в ожидании вопросов, значит, так и будет.

А если ты перехватишь инициативу в свои руки и начнешь рассказывать о себе и с чем работаешь, то создашь площадку для диалога, а не допроса.

Самое главное то, как ты себя преподнесёшь. Я рассказывал, чем занимаюсь, с каким стеком технологий работал. Говорил про свои хобби, увлечения, которые с этим связаны. Потому что если ты идёшь собеседоваться по Kubernetes, то рассказывать о том, что ты мастер спорта и играешь профессионально в Dota и CS:GO — не совсем релевантно будет 😁

Когда рассказывал о Kubernetes и Docker, меня спрашивали про контейнерную виртуализацию, и я спокойно на всё отвечал. Когда затрагивал PostgreSQL, то мне задавали вопросы по ней. То есть на какие моменты сам сделаешь акцент, о том тебя и спросят.

Очень важно также не врать на собеседовании. Допустим, меня спрашивали, знаю ли я Ansible. Я отвечал, что знаком с ним только на уровне установки и отправки команд на сервера, а в написании плейбуков был не силён и честно говорил об этом.

Не стоит приукрашивать свои навыки, иначе собеседование для вас станет очень тяжёлым и правда перейдёт в допрос.

Нужно понимать, что по ту сторону сидят такие же люди, как и ты, возможно, твои потенциальные коллеги. Важно смотреть на задачи, которые тебе предстоит решать и на людей, с которыми ты будешь работать. Потому что если тебе что-то из этого не нравится, то даже хорошая зарплата не поможет.

Днём подтягивал софт скиллы, ночью — матчасть

В какой-то момент работы в компании ты понимаешь, что достиг своего максимума, и тебе хочется идти дальше. Я «выкинул» резюме на разные площадки, начал смотреть, что есть на рынке. Думал пойти либо в DevOps, а потом в DevSecOps, либо как администратор Kubernetes в одну из крупных организаций.

У меня было по несколько собеседований в день, в итоге хватило 8. Из них по факту только один отказ. И вот тогда на меня вышел один крупный банк, мне предложили присоединиться к ним в отдел безопасности. Пообщался с ними, меня поспрашивали про Kubernetes и Docker, затронули вопросы безопасности.

Мне пригодился опыт с работы, прочтённые книжки от издательства O'Reilly про безопасность Kubernetes, которые я рекомендовал выше, навыки и знания из практикумов, включая практикум по PostgreSQL, который также расширил мои познания в некоторых аспектах БД.

Я достойно ответил на заданные вопросы, так как я это всё руками делал на своей домашней инфраструктуре и в работе. В итоге получил оффер 💪

Сейчас уже полгода работаю в этом банке в отделе безопасности. К нам приходят различные команды с вопросами по теме безопасности и кода в кластере Kubernetes. Все случаи анализируются с точки зрения безопасности: можно ли взломать какой-то кластер или через прикладной код что-то сделать. Если есть моменты, которые вызывают вопрос или являются явным нарушением требований безопасности, то это всё дело подсвечивается.

Что касается стеков и технологий, которые используются в работе, руками я практически ничего не трогаю, но смотрю на различные конвееры сборки, скрипты развёртывания ПО и пр. — Jenkins, Argo CD, Kubernetes, Zabbix, Prometheus, Grafana, Nginx, PostgreSQL и др.

Освоиться на новой работе первые месяц-полтора было очень тяжело, потому что это большой банк со своей долгой историей. Там много сокращений, аббревиатур и своих документов. Чтобы во всём этом разобраться, мне приходилось в интенсивном режиме проходить внутренние курсы. Параллельно я ещё ходил на встречи с контрагентами, командами разработки, подтягивал те знания и навыки, которые у меня «западали», чтобы нормально общаться.

После того, как внутренние курсы закончил, осталось только подтянуть навыки коммуникации. Мне помогло то, что я смотрел, как мои коллеги общаются.

По факту происходило эдакое наставничество, которое называется шедоуинг, когда ты как тень ходишь за кем-то и наблюдаешь, как он работает.

Это был полезный опыт, потому что в моей сфере нужны не только хард скиллы, но ещё и хорошие софт скиллы. Грубо говоря, днём подтягивал их, ночью матчасть или наоборот.

По ощущениям от работы — раньше было больно, потом терпимо, сейчас приятно

Любой банк — большая финансовая организация, где сильный бюрократизм. Любой чих проходит через 1500 бумажек и 1500 согласований, потому что все основные системы связаны с деньгами и простой какой-либо из них не позволителен. Некоторых специалистов это может сильно выбивать из колеи, потому что они пришли работать, а им нужно с бумажками возиться. Не все понимают, для чего это надо. Есть, конечно, избыточные процедуры, но они, я считаю, нужны, потому что критичность здесь высокая.

С точки зрения «плюшек» банк — это одно из таких мест, где и вознаграждение хорошее, и премии есть. Если, к примеру, говорить про разработчиков, то там прекрасные условия труда, в частности возможность полной удалёнки (по согласованию). У нас практически все безопасники работают в офисе.

Но, конечно, в любом случае многое зависит от сферы, в которую ты подашься. К примеру, в каких-то направлениях в банке высокая нагрузка: специалисты быстро выгорают, перегорают и уходят. А где-то человек пришёл и, как говорится, на 25 лет засел. У меня в направлении, я бы сказал, плотненько по нагрузке, соответственно не каждый сможет втянуться. А по ощущениям — раньше было больно, потом терпимо, сейчас приятно.

Не знаю, как в остальных компаниях, но у нас, если ты год проработал на каком-то направлении и понял, что тебе оно не очень нравится, или хочется попробовать себя в чём-то другом, то есть программы горизонтального перемещения. Это когда по согласованию с руководителем, если ты подходишь по требованию другого направления, можешь перейти в это направление. Соответственно, горизонтальные миграции допустимы, и, в принципе, приветствуется, чтобы человек на одном месте не сидел пять лет и не тух.

На прошлой работе мне этого не хватило. Я там достиг своего потолка, и дальше не нашлось вариантов для дальнейшего развития.

А здесь я понимаю, что если мне по какой-либо причине наскучит текущее направление или пойму, что достиг своего потолка, то я смогу перейти на какое-то другое.

Хотя задачи у меня сейчас динамические, поэтому не думаю, что это случится скоро 😁

В сфере безопасности востребованность будет только расти

Сейчас стек технологий активно расширяется, и одновременно появляется очень много возможностей для атак злоумышленников. Поэтому в сфере безопасности востребованность будет только расти, и без хлеба мы точно не останемся.

В частности, мне кажется, будут востребованы, к примеру специалисты по WAF-системам (Web Application Firewall), потому что сейчас злоумышленники активно пытаются взломать веб-приложения, местами даже успешно.

Также видно тендецию перехода в контейнерную виртуализацию. Всё больше приложений разрабатывается под контейнера. Соответственно, все эти вещи нужно уметь делать безопасными и защищать. Если говорить про российский рынок, то, мне кажется, будет появляться много своих продуктов на базе open-source решений или собственной разработки.

Тем, кто хочет работать в сфере безопасности, сразу скажу, что безопасность бывает разная. Есть техническая, компьютерная, есть безопасность баз данных, разработки и так далее.

Нужно смотреть, какое из направлений вам ближе.

А для того, чтобы это понять, нужно разобраться, какие направления есть и понемногу пробовать их. На занятиях в университете мы и жучки искали, и прослушивали сквозь стены, и много других вещей делали. Это помогло мне выбрать, что всё же по душе и куда двигаться.

Дальше я планирую продолжить развиваться по направлению безопасности. Есть практикумы, которые я приобрёл и хочу пройти. И которые, уверен, мне также помогут на текущем месте работы.

Спасибо Глебу, что поделился, как прошёл его путь от предсказания родителей до специалиста по информационной безопасности крупного банка. А также поделился полезными книгами по своей сфере, они никогда не будут лишними 🔥

Рады, что смогли помочь Глебу дойти до цели, и обещаем и дальше делать актуальные и полезные программы. Ваши достижения помогают нам развиваться и достигать и наших целей!

Благодаря практикумам Rebrain мы собрали большое комьюнити открытых к общению специалистов. Пообщаться с ребятами с наших программ, посмотреть вакансии и познакомиться с нами поближе можно в чате Rebrain DevOps Community

REBRAIN
February 28, 12:14
0 views
1 reaction