Estagiários uAcademy*: Por que a experiência em orientação de projetos de conclusão de curso é mais eficaz que estágios

32K+ Alcance em 30 dias UserGate 80,38 Classificação 137 Assinantes Assinar UserGate Há 46 minutos Estagiários uAcademy*: Por que a experiência em orientação de projetos de conclusão de curso é mais eficaz que estágios 11 min 1.8K Blog da empresa UserGate Segurança da Informação * Caso de uso Olá, Habr! A equipe uFactor está de volta. Eu sou Kirill Tushkov, InfoSec uFactor UserGate. Hoje, vou falar sobre nossa experiência de interação com futuros especialistas em segurança da informação - estudantes que vieram para estágio, estagiários.

Um chefe de SOC ou um líder de equipe está familiarizado com esta situação: um graduado com um diploma em segurança cibernética chega à empresa, o fogo queima em seus olhos como um gatinho de rua, mas ele não entende as coisas práticas básicas com as quais o departamento tem que trabalhar todos os dias. Este não é um caso isolado, mas um problema sistêmico de separação da teoria da prática. O problema está principalmente associado a três deficiências: · Falta de habilidades práticas — não há experiência de trabalho com ferramentas reais, análise de logs e solução de problemas reais no campo da segurança cibernética. · Falta de "experiência visual" — incapacidade de relacionar ameaças abstratas com indicadores específicos no sistema. · Conhecimento irrelevante — os currículos estão atrasados em relação às táticas e ferramentas em rápida mudança dos invasores na "natureza selvagem".

Um graduado com um diploma formalmente quer trabalhar em SI e, digamos, pode passar em um exame teórico. Mas ele poderá responder às questões-chave para o trabalho: o que exatamente procurar neste fluxo de eventos SIEM de várias fontes? Por quais sinais distinguir a atividade normal de um ataque? Qual será o próximo passo do invasor? Via de regra, infelizmente, não.

Enfrentamos esse problema não como uma tarefa pontual de contratação, mas como um desafio global - que pode ser respondido sistematicamente. Contamos com exemplos específicos de como a orientação de trabalhos de conclusão de curso de alunos de uma universidade se transformou de uma iniciativa social em um projeto estratégico para treinar pessoal.

No outono, fomos abordados com uma proposta para nos tornarmos especialistas externos em tempo integral para orientar trabalhos de conclusão de curso para graduados de uma universidade técnica. A Academia UserGate serviu como um elo entre o aluno e o especialista técnico. A universidade parceira foi uma famosa universidade de Moscou - o que em si é indicativo: mesmo em instituições educacionais com uma forte base técnica e treinamento fundamental, existe a mesma lacuna entre teoria e prática em uma área tão dinâmica como a segurança da informação.

A experiência foi solicitada a especialistas técnicos, incluindo o departamento de SOC - este não é apenas um centro operacional, mas também uma equipe que valoriza o desenvolvimento. Nosso departamento desenvolveu um curso interno extenso e completo para o desenvolvimento de especialistas L1 SOC, há um profissional com experiência em ensino na Universidade Estadual de Moscou, e a orientação para novos especialistas é formada com base em muitos anos de experiência na construção de uma equipe. Graças a isso, temos uma base estabelecida para treinar e adaptar novos funcionários, e o pedido da universidade não apenas nos impôs responsabilidade social, mas também nos deu a oportunidade de preparar futuros profissionais e melhorar a base de mentoria. Uma de nossas tarefas era responder à pergunta: se os negócios levarem o assunto a sério, podem não apenas "ler uma palestra", mas realmente ajudar a formar um especialista pronto para trabalhar, e o que isso exigirá?

Parte 1. De temas abstratos a tarefas aplicadas - o primeiro passo para a motivação A lista inicial de temas para diplomas foi clássica: "Proteção da infraestrutura de TI no nível dos canais de comunicação", "Métodos para detectar ataques a aplicativos da web", etc. - formulações padronizadas, mas incrivelmente amplas, sob as quais um aluno pode esconder um ano de recontar a teoria dos livros didáticos.

Decidimos nos afastar das formulações gerais e nos concentrar em casos práticos. Juntamente com os alunos, estreitamos e reformulamos os temas, conectando-os a incidentes e processos reais com os quais trabalhamos diariamente. Por exemplo, o tema original abstrato "Métodos para detectar e prevenir ataques a aplicativos da web" se transformou em um específico: "Desenvolvimento de um sistema para detectar e prevenir ataques da web com base na análise de logs de um servidor web de teste". Este foi o primeiro e crucial momento: substituímos uma tarefa acadêmica abstrata por um problema aplicado. Anteriormente, notamos que a falta de motivação em muitos alunos reside precisamente nisso: eles são ensinados a resolver problemas de acordo com um algoritmo, e não a procurar uma solução para uma situação real, não padrão e se adaptar a uma nova tarefa.

Nesta fase, foi decidido primeiro entender com que nível de conhecimento o aluno veio até nós. Para isso, realizamos um breve teste: observamos o conhecimento de OC, tecnologias da web, compreensão das ações dos invasores e habilidades de comunicação. Os resultados foram diferentes, na maioria das vezes o diplomado tinha lacunas na compreensão das tecnologias atuais, mas tinha uma base geral, com base na qual era possível continuar o trabalho. Para preencher as lacunas, foi oferecido para se familiarizar com materiais como " Redes para os mais pequenos ", " Livro de receitas da equipe azul ", livros "Detecção ativa de ameaças com Elastic Stack. Construindo uma pilha de segurança confiável" por Andrew Piza, "Resposta a incidentes de computador. Curso aplicado" por Steve Anson e outros.

Separatamente, vale a pena notar as habilidades sociais: os caras eram sociáveis, mas não sabiam se apresentar e se perdiam em perguntas capciosas. É em tais situações estressantes, imitando uma investigação real ou uma entrevista, que a principal diferença entre "ser sociável" e "ser um comunicador eficaz em um incidente" se manifestou.

Conclusão nº 1. A motivação nasce não do tema, mas da compreensão do porquê esse tema é necessário. Dê ao aluno um problema real, e não um abstrato, dê ferramentas aplicadas para a solução - e um nível completamente diferente de envolvimento será incluído.

Parte 2. Da academia para a "operação" - a fase mais dolorosa A maior dificuldade não foi transmitir conhecimento, mas "retirar" o pensamento dos alunos do canal acadêmico para o produtivo. Eles tiveram que dominar em um curto espaço de tempo não apenas teorias, mas também ferramentas e estruturas necessárias para resolver tarefas diárias de SI, procurar informações de fontes abertas e tirar suas próprias conclusões. Abaixo, dizemos exatamente o que foi oferecido aos alunos para estudar.

Recursos : VirusTotal, Shodan, ANY.RUN , Hybrid Analysis (e outras sandboxes), URLhaus, abuse.ch (várias bases de dados de URLs maliciosos), AbuseIPDB, GreyNoise (vários recursos de reputação).

Estes são "sensores externos", análises em acesso aberto. Eles são necessários para verificar rapidamente arquivos (VirusTotal), procurar serviços de rede abertos (Shodan) e obter contexto de ameaças (portais TI). Sem esses recursos, a análise de incidentes é um trabalho às cegas.

Modelos : MITRE ATT&CK e cyber kill chain para estruturar o pensamento sobre ataques. Aqui também vale a pena notar o Modelo Diamante (análise do núcleo do ataque), Pirâmide da Dor (compreensão de quais indicadores são mais difíceis para o invasor mudar).

Este é um mapa e uma bússola na investigação. Eles traduzem o caos dos logs em uma sequência compreensível de ações do invasor. Com sua ajuda, você pode entender em que estágio do ataque estamos, o que já aconteceu e o que provavelmente acontecerá a seguir.

Processos : ciclo de vida do incidente (resposta a incidentes) do alerta ao relatório, cadeia de custódia (o processo de documentação completa de todas as etapas de resposta).

Este é um "script" para o trabalho coordenado da equipe. O processo garante que nenhum incidente seja perdido, todas as ações sejam documentadas e as lições aprendidas melhorem a segurança. Esta é a base da disciplina operacional.

Tudo isso foi transmitido por nossos especialistas técnicos a seus pupilos de forma acessível e concisa: eles analisaram as ferramentas usadas pelos invasores, analisaram relatórios analíticos sobre APTs e tentaram traduzir informações do espaço especulativo para o real.

Foi aqui que diagnosticamos o segundo grande problema - a falta de habilidades de autoaprendizagem e solução de problemas não padronizados. Os alunos esperavam instruções claras, "tarefas de casa". Mas no SOC real, não há instruções para vulnerabilidades zero-day ou uma nova ferramenta em um ataque. Tivemos que ensinar os alunos simultaneamente a pensar analiticamente e a se adaptar a novas condições: como abstrair de um caso particular, como projetar uma tarefa no papel, como procurar informações não em um livro didático, mas em documentação técnica, fóruns, artigos.

"A primeira etapa de tal treinamento inevitavelmente se tornou um curso de 'terapia de casos': o estudo de casos reais e potenciais de SI, relatórios atuais e cenários de produção padrão. Fizemos perguntas: quais seriam as ações do aluno? Quais ações foram tomadas de fato e quais ações deveriam ser tomadas? Se os casos forem selecionados corretamente para o tema do trabalho, o aluno não apenas mergulha na indústria, mas também começa a ver os elementos que faltam no quebra-cabeça do processo construído - isso define o vetor para o trabalho posterior no trabalho de conclusão de curso.

Com a consciência do que precisa ser feito e por quê, o aluno se pergunta 'como?', e aqui a biblioteca de recursos do professor entra em jogo. Nesta fase, o aluno tem tudo o que precisa para trabalhar (no âmbito do treinamento, é claro, você pode ir ao encontro dos alunos e fazer uma seleção de artigos específicos), e em um ou dois meses de trabalho intenso você pode conhecer o aluno com uma solução piloto, aguardando testes em condições de trabalho", — compartilha um de nossos especialistas em orientação.

Aqui ocorreu uma metamorfose: quando os alunos viram como seus esforços estavam gerando algo tangível, houve entusiasmo. O caso mais indicativo é o de um dos alunos de graduação que integrou a API VirusTotal em sua ferramenta de perícia digital. Ele não apenas estudou a teoria, mas encontrou uma maneira de aplicar uma nova ferramenta para si mesmo para resolver um problema específico.

Conclusão nº 2. A transferência da experiência de usar ferramentas e construir processos é apenas 30% do trabalho. Os outros 70% são a reestruturação do pensamento do executivo para o pesquisador e analítico. Isso ajudará a transformar um graduado talentoso em um especialista forte.

Parte 3. Por que a orientação de diplomas é mais eficaz que a prática padrão Frequentemente, o problema da "teoria vs. casos reais" tenta ser resolvido por meio de práticas de produção. Esta é uma boa ferramenta, mas tem uma falha sistêmica: a prática muitas vezes permanece no mesmo canal acadêmico. Existem objetivos abstratos, relatórios formais e, o mais importante, o aluno não tem um profundo interesse pessoal no resultado.

A teoria acadêmica não está apenas separada da prática - muitas vezes fala em uma linguagem diferente. As universidades são forçadas a ensinar tecnologias conservadoras e estabelecidas: protocolos de rede clássicos, os fundamentos da criptografia em padrões desatualizados, a teoria da montagem e implantação de aplicativos, que na era de contêineres e infraestrutura como código se assemelha mais à arqueologia. E, ao mesmo tempo, o ambiente de negócios vive em uma realidade diferente. Novas tecnologias e métodos, desenvolvimentos e instruções internas, o mundo em constante desenvolvimento de grandes tecnologias, onde o que era relevante hoje pode se tornar irremediavelmente obsoleto amanhã.

Como resultado, o aluno chega ao estágio, armado com a teoria de como apagar uma fogueira na floresta, e ele é mostrado um arranha-céu em chamas com um sistema de ventilação complexo e não recebe um balde, mas um controle remoto de um sistema inteligente de combate a incêndios, que ele vê pela primeira vez. Seu conhecimento acadêmico é fundamental, mas ele não pode aplicá-los imediatamente. Além disso, ele pode ser solicitado a esquecer metade das abordagens "ideais" estudadas, porque em uma empresa específica, tudo funcionou por décadas em uma pilha antiga, mas viável.

A orientação de um trabalho de conclusão de curso é uma história em que o aluno está envolvido em um trabalho longo e meticuloso, e o resultado não será uma nota no livro de registro, mas seu cartão de visita pessoal para um futuro empregador. Isso muda tudo. O aluno está interessado em entender o assunto mais profundamente, fazer perguntas desconfortáveis, tentar e cometer erros. Ele recebe não uma palestra única, mas feedback regular de um profissional durante a execução de tarefas e análises individuais.

Usamos o formato de casos práticos, em um estande de treinamento analisamos incidentes simulados (os mesmos ataques DDoS e ataques a servidores web). Mas o foco não era em "como apertar o botão", mas em como pensar no processo: qual hipótese construir, quais dados coletar, como interpretar artefatos.

Para um aluno com um diploma em ataques da web, consideramos os seguintes casos típicos: ·       injeção de comando; ·       CRSF (falsificação de solicitação entre sites); ·       upload de arquivo; ·       injeção de SQL; ·       XSS (scripting entre sites).

Do nosso lado, especialistas que trabalharam na área por vários anos foram envolvidos e capazes de descrever e explicar cada ataque tanto do lado do atacante quanto do lado do defensor. Graças a isso, a construção da comunicação e a elaboração de um plano de treinamento técnico foram rápidas. O principal foi que nossos orientadores atuaram como tradutores, intermediários entre dois mundos: eles pegaram uma base universitária forte, mas abstrata, e a projetaram sobre as realidades do SOC comercial. Os alunos não se sentiram perdidos - eles tinham uma rota clara da teoria para um protótipo de trabalho ou relatório analítico.

Conclusão nº 3. A orientação de trabalhos estudantis permite reduzir a distância entre a base acadêmica e a prática real. A tarefa não é apenas compartilhar conhecimento com os alunos, mas também motivá-los para um trabalho de longo prazo, cujos resultados lhes permitirão avançar na carreira.

Parte 4. O que falta a um graduado em uma entrevista (uma visão de dentro) Nossa experiência de orientação nos permitiu identificar claramente as lacunas que nós, como indústria, devemos fechar nós mesmos ao trabalhar com alunos.

Pilha de conhecimento desatualizada. Um graduado pode conhecer a teoria da criptografia, mas não entender como os logs funcionam no sistema operacional - a fonte básica de dados para um analista. Poucas pessoas podem falar de forma coerente sobre as famílias modernas de malware e as táticas dos invasores.

Falha nas habilidades sociais. A habilidade de autopromoção e fala em público, infelizmente, geralmente está completamente ausente. A defesa do diploma não conta, muitas vezes é uma formalidade. E em uma entrevista, você precisa se vender, seu projeto, seus pensamentos.

A raiz do problema é claramente ilustrada por um diálogo com um dos alunos: à pergunta "quem te ensinou isso?" ele respondeu laconicamente - "um tio da cadeira". Muitas vezes, este é um professor com amplo conhecimento fundamental, mas, infelizmente, sua compreensão da SI real permaneceu na década passada. As empresas reclamam da qualidade do pessoal, mas continuam esperando que a universidade faça todo o trabalho por elas.

No entanto, nesta situação, há um caminho ganha-ganha para todas as partes, e a chave para isso é não esperar, mas construir ativamente uma troca mutuamente benéfica com aqueles que estão mais interessados: com os alunos.

Ganha para os negócios. Em vez de esperar passivamente - a formação ativa de um pool de candidatos leais e praticamente treinados do "amanhã". Este é um investimento estratégico na reserva de pessoal, que reduz o tempo e o custo de adaptação de um novo funcionário de meses para semanas. As empresas recebem especialistas que já entendem seus processos, ferramentas e, o que é fundamental, sua cultura e contexto.

Ganha para os alunos. Esta é uma chance de ir além do livro didático. Em troca de motivação e envolvimento, eles recebem não uma "prática" abstrata, mas um ensaio de uma carreira real. Eles veem como seu conhecimento acadêmico ganha vida em tarefas comerciais específicas, constroem uma rede profissional de contatos e recebem uma vantagem competitiva inestimável no mercado de trabalho - experiência relevante que pode ser imediatamente indicada no currículo.

Ganha para a indústria como um todo. O círculo vicioso "sem experiência - não vamos contratar" é quebrado. A indústria começa a educar o pessoal para si mesma, aumentando o nível geral de prontidão dos novatos e acelerando o desenvolvimento de toda a esfera de segurança.

Nossa experiência com alunos de graduação é um exemplo da construção de tal modelo. Não esperamos que as universidades reescrevessem os programas. Tornamo-nos a ponte entre as necessidades atuais dos negócios e o desejo sincero dos alunos de aplicar seus conhecimentos. Eles receberam não apenas novas habilidades, mas também uma compreensão do contexto atual e confiança em seu potencial, e nós - a oportunidade de ver futuros colegas em ação e fazer uma contribuição direta para o desenvolvimento da comunidade da qual fazemos parte. Este é o mesmo ecossistema sustentável onde todos ganham.

Conclusão nº 4. As empresas não têm o direito de apenas esperar por especialistas prontos. Ele deve ir para as universidades e participar ativamente do processo educacional. Caso contrário, explicaremos as mesmas coisas básicas indefinidamente.

Conclusão: não caridade, mas um investimento pragmático Nosso projeto com uma famosa universidade de Moscou não é uma história sobre "ajudamos os alunos". Investimos o tempo de nossos especialistas não por altruísmo - nos fizemos uma pergunta clara e inevitável: se não nós, quem? Quem ensinará os futuros analistas a pensar, trabalhar com ameaças atuais e apresentar resultados?

Em nosso próprio exemplo, estávamos convencidos de uma verdade simples: os negócios devem ir ensinar seu pessoal. E você precisa começar não procurando especialistas seniores prontos, mas trabalhando com alunos de cursos superiores, enquanto seu pensamento ainda é flexível e a motivação é alta.

O formato de orientação de diplomas é uma ferramenta poderosa, profunda e mutuamente benéfica. Requer uma despesa de tempo, mas produz não apenas uma "pessoa com um diploma", mas um especialista que já entende o contexto e a linguagem de seus negócios.

Como resultado de nossa interação com o ambiente acadêmico, obtivemos uma experiência valiosa e tangível e provamos que é possível construir uma ponte entre teoria e prática. Vimos como a "experiência visual" e a confiança aparecem não após meses de trabalho, mas durante vários dias intensivos, focados em ferramentas e incidentes reais.

Mas a principal conclusão é que este trabalho está apenas começando. Encontramos uma abordagem eficaz, mas entendemos que pode haver mais tarefas neste caminho: desde a escalabilidade da metodologia até o envolvimento de um número maior de especialistas e empresas.

Queremos refinar este modelo, torná-lo mais forte e mais acessível. E estamos abertos ao diálogo com todos que enfrentaram o mesmo problema do "tio da cadeira" e estão prontos para mudar a preparação de futuros especialistas na prática. Porque uma comunidade forte é construída não a partir de reclamações, mas de ações concretas.

• uAcademy, UserGate Academy - uma unidade educacional da UserGate, criada especificamente para conduzir atividades de treinamento e certificação para profissionais de SI e jovens especialistas.

Tags: segurança da informação academia usergate ufactor