()

Wstęp

Dzisiejszym gościem wywiadu będzie Adam Gola. Adam przeszedł drogę od QA do Specjalisty Bezpieczeństwa. Jeśli ktoś kiedykolwiek się przebranżawiał, to wie, jaki to trudny proces. Dziś zapytam Adama, na co trzeba zwrócić uwagę podczas przebranżowienia się z QA do Security. Adam posiada również kurs dla QA. Jeśli chcesz poszerzyć wiedzę w tym temacie, to zapraszam Cię na stronę https://szkoleniedlaqa.pl/, gdzie znajdziesz więcej na temat tego kursu. A jeśli chcesz się dowiedzieć więcej, kim jest Adam, informacje te znajdziesz tu.

Wywiad

Pytanie: Cześć Adam! Powiedz nam, co spowodowało, że zapragnąłeś przebranżowić się z QA?

ODP. Adam.G: Cześć Rafał! Bardzo Ci dziękuję za zaproszenie do tego wywiadu, przyznam, że było to dla mnie zaskoczeniem – oczywiście bardzo pozytywnym! 🙂 Na początek wyjaśnię jak to ze mną było – pracując jako QA, prawie od razu zwracałem uwagę na aspekty bezpieczeństwa. Interesowało mnie to, lubiłem drążyć temat i poszukiwać kolejnych podatności w swoich aplikacjach. Dlatego z jednej strony możemy mówić tu o przebranżowieniu. Obecnie zajmuję się cyberbezpieczeństwem na większą skalę, ale z drugiej strony nadal mocno trzymam się Quality Assurance, zapewniając (niezmiennie) jakość w aspekcie bezpieczeństwa. Zamiast słowa „przebranżowienie”, chyba trafniej opisałbym to jako „rozszerzenie” 🙂

Co spowodowało, że chciałem jeszcze mocniej wejść w bezpieczeństwo? Ciekawość. I ambicje.

Pytanie: Powiedz, dlaczego akurat bezpieczeństwo, a nie inna dziedzina IT?

ODP. Adam.G: Od dzieciństwa lubiłem temat bezpieczeństwa. Wiesz, te dziecięce wymysły „chcę być hakerem, włamać się komuś na epulsa (kojarzysz jeszcze ten serwis?) i wzbudzać podziw u koleżanek”. Dziś oczywiście podchodzę do tematu nieco inaczej, pobudki również są inne (no dobra, ten podziw możemy pozostawić). Nadal kieruje mną właśnie wspomniana wcześniej ciekawość oraz ambicje.

Ciekawość, bo to siła napędowa tej dziedziny – bez tego ciężko zostać bezpiecznikiem w jakiejkolwiek działce (czy to zajmując się webówkami, czy infrastrukturą czy też audytami organizacji). Ambicje pozwalają z kolei przezwyciężyć trudy nauki i poznawania coraz to nowszych rozwiązań – ta branża rozwija się w niewiarygodnie szybkim tempie, poziom trudności wzrasta (przynajmniej z moich obserwacji, ale pewnie przyznasz mi rację), wyzwań jest coraz więcej – i ta ambicja to coś co pozwoli nam przetrwać w tym wszystkim.

Bezpieczeństwo ma jeszcze jedną wielką zaletę – możemy się oczywiście specjalizować w konkretnej wąskiej działce, ale jeśli się zmęczymy, możemy na moment odetchnąć realizując jakieś inne wyzwanie czy rozmawiając w zupełnie innym temacie. Czyli webowy bezpiecznik może po godzinach rozwalić sobie jakąś maszynkę z podatnymi serwerami Windowsowymi, a w weekend porozmawiać ze znajomymi o OSINT’cie. Ogrom różnych tematów na pewno nie pozwoli nam się znudzić („na szczęście”, chyba żaden bezpiecznik się nie nudzi).

Pytanie: Co było dla Ciebie najtrudniejsze, gdy już podjąłeś decyzję o zmianie?

ODP. Adam.G: Czy podołam – dosłownie to pytanie do dziś za mną podąża. Wcześniej realizowałem sobie swoje własne tematy związane z bezpieczeństwem w projektach, gdy miałem chwilę wolnego czasu. Mogłem odetchnąć od klasycznego zapewniania jakości czy testów i zająć się przez moment jakimiś testami bezpieczeństwa. Tu się czegoś nauczyłem, tam coś zrobiłem i było to fajne i wartościowe. Obecnie realizuję dużo więcej trudniejszych wyzwań (audyty zespołów, standardy bezpieczeństwa w organizacji, procedury), a tego czasu na naukę jest zdecydowanie mniej. I ten przeskok był chyba najtrudniejszy.

Pytanie: Czy wiedziałeś, od czego zacząć, jak już padła decyzja?

ODP. Adam.G: Gdy przechodziłem z QA do roli Security Specialist, wiedziałem od czego zacząć, bo miałem już zbudowane pewne fundamenty. Ale gdy jako QA zacząłem realizować tematy bezpieczeństwa – było zupełnie inaczej. Trochę tak, jakbym wyskoczył z bezpiecznego statku do nieznanego oceanu i płynął na oślep, szukając jakiejkolwiek wyspy 😉 Brak praktycznej wiedzy (to co wiedziałem, dawno było nieaktualne – uroki branży cybersec), brak jasno określonego celu – znałem kierunek, ale bez jakichś szczegółów. I w końcu brak planu nauki. To znaczy wiedziałem czego się uczyć, ale nie wiedziałem z jakich źródeł warto to robić.

Pytanie: Co uważasz za najtrudniejsze podczas przebranżowienia?

ODP. Adam.G: Właśnie brak jasnego i zdefiniowanego planu był największym wyzwaniem. Uczyłem się, na przykład, o XSSach. Nagle pojawił się temat Path Traversal, więc w sumie przerzuciłem się na niego i zacząłem już czytać i o jednym, i o drugim. Za moment wpadł jakiś fragment o podatnościach związanych z logiką biznesową, czy termin SAST – ale co to jest? Może trzeba to wiedzieć? Przeczytajmy… Koniec końców uczyłem się o wszystkim… czyli o niczym. Ten plan ułożyłem sobie dopiero po kilku miesiącach – gdy poznałem kilku ludzi z branży i zacząłem z nimi rozmawiać. Gdy zacząłem rozumieć z jakich narzędzi korzysta się na rynku, co jest warte polecenia, co jest słabe lub w granicach „ciekawostki”.

Kontakt z ludźmi, udział w konferencjach, szkolenia i kursy (ale tylko te sprawdzone i polecane przez innych – na samym początku drogi wziąłem udział w pewnym szkoleniu i niestety nie przyniosło mi to żadnej wartości, a chyba tylko zagmatwało bardziej. Wbrew pozorom, szkolenia i kursy są mega ważne – dostajemy ugruntowany proces, któremu musimy zaufać. I równie ważne jest to zaufanie – warto zweryfikować kto poprowadzi takie szkolenie i najlepiej z tą osobą chwilę porozmawiać).

Pytanie: Czy na aktualnym stanowisku zostałeś zatrudniony jako QA + Security? Czy też pracodawca zatrudnił cię jako QA, a później dał Ci możliwość rozwijania się w bezpieczeństwie?

ODP. Adam.G: Na samym początku byłem QA, który chciał nauczyć się automatyzacji monotonnych czynności. Powiem szczerze – ta automatyzacja nie szła mi jakoś specjalnie dobrze. Niby wychodziło, ale nie czułem z tego większej frajdy. Zdecydowanie wolałem rozwiązywać konflikty, stawiać czoła problemom i zapewniać jakość, niż automatyzować testy. Po kilku miesiącach ówczesny head otworzył specjalizacje i jedną z nich było właśnie bezpieczeństwo. Los chciał, że z garstki zapisanych osób, już po dwóch miesiącach zostałem sam (nie wiedzieć czemu mało kto chce iść w tym kierunku, chociaż mogę się domyślać powodów). I tak to się wtedy zaczęło. Z QA stałem się QASec, a po kilku latach – Security Specialist.

Pytanie: Jaką umiejętność uważasz za najważniejszą dla początkującego bezpiecznika?

ODP. Adam.G: Cierpliwość (szukanie podatności wygląda intrygująco tylko na YouTube lub konferencjach, gdzie prelegenci usuwają 99% nudnej otoczki), dokładność (niezależnie czy idziemy w webówki, infrę czy bezpieczeństwo organizacji, warto podchodzić do tego z zachowaniem pewnych procesów, które sami możemy też zbudować, bazując na sprawdzonych rozwiązaniach) i chyba najważniejsza kwestia – chęć do nauki. Do nauki naprawdę wielu intrygujących, ale również nierzadko trudnych tematów. Również do nauki teorii – fajnie, że wiemy jak szukać słynnych już XSSów, ale bez teorii daleko nie zajdziemy i możemy pominąć kluczowe miejsca w aplikacji, które tę podatność będą miały. Podobnie jest z każdą podatnością, aplikacją czy procesem – musimy poznać teorię, by skutecznie wyprowadzić praktykę.

Programowanie, znajomość obsługi Linuxa, kontakt z zarządem firmy, umiejętność obsługi Burpa czy innych narzędzi – to wszystko jest przydatne, ale bez solidnych fundamentów opisanych wyżej, z samymi tymi umiejętnościami daleko nie zajdziemy.

PS. Przydaje się też angielski – większość materiałów z cybersec jest po angielsku, choć tych polskich i wartościowych na szczęście też nie brakuje – jak choćby Twój blog, który ostatnio pomógł mi rozgryźć pewien problem, podcast Andrzeja Dyjaka, blog Wojtka Ciemskiego, na którym co jakiś czas coś fajnego się też pojawia, czy webinary od Macieja Kofela. To tylko garstka ludzi, których warto posłuchać, zwłaszcza jeżeli dopiero myślimy o cyberbezpieczeństwie i jeszcze nie wiemy w którą stronę chcielibyśmy iść.

Pytanie: Czy uważasz, że dla QA będzie łatwiej przejść na bezpiecznika niż osobie spoza IT?

ODP. Adam.G: Hmm, ciekawe pytanie. To zależy o jakim kawałku bezpieczeństwa mówimy. QA na pewno ma jedną wielką przewagę względem osoby spoza IT – obszerna znajomość działania aplikacji (webowych czy mobilnych). Zapewniając jakość w projektach IT oraz testując, taka osoba zaczyna rozumieć pewne technikalia, wie jak działają przeglądarki, zna już DevToolsy czy Postmana (testy API) i nierzadko też testuje kwestie związane z bezpieczeństwem. Czasami nawet o tym nie wiedząc 😉

Bo jeżeli sprawdzamy, czy będąc na koncie A mamy dostęp do plików z konta B, to zdecydowanie mówimy tu już o horyzontalnych czy wertykalnych testach uprawnień, czyli całkiem ciekawym case’ie z bezpieczeństwa. Gdy sprawdzamy czy da się pobrać jakieś dane z serwera, również możemy przypadkiem (lub nie) pobrać coś, czego nie powinniśmy widzieć – i tu znów mamy case związany z podatnością. I tak dalej. Także tak, jeżeli mówimy o działce webowej czy mobilnej, QA na pewno ma większe szanse. To czego QA nie wykorzystuje (albo wykorzystuje rzadko) to tematy związane z sieciami – i to będzie zapewne jego pierwszy punkt w planie nauki.

Jeżeli mówimy o bezpieczeństwie organizacji (dobre praktyki, standardy, procedury dla firm) – tu QA ma o tyle lepiej, że ma już doświadczenie w takiej organizacji. Osoba spoza IT wielu rzeczy nie będzie w stanie zrozumieć i na pewno nie polecałbym tej dziedziny bezpieczeństwa jako pierwszej pracy w IT.

Pytanie: Powiedz, skąd najczęściej czerpiesz wiedzę i jakie materiały polecasz do nauki dla początkujących?

ODP. Adam.G: Polskie blogi (np. Twój) oraz wpisy ludzi z branży na LinkedIn to skarbnica wiedzy. Warto sobie czasami poczytać to do poduchy. Jeżeli mówimy o praktyce – jestem wielkim fanem TryHackMe (swoją drogą, można tu znaleźć kompletne moduły do nauki podstaw) oraz Burp Academy od PortSwigger (twórców Burpa). Od czasu do czasu zaglądam również na HackTheBox, ale to polecam raczej osobom nieco bardziej doświadczonym i nastawionym na pentesty.

Dużo wartości można wyciągnąć z konferencji branżowych – TheHackSummit czy WDI – mocno polecam, jeżeli ktoś poważnie myśli o cybersec. Można nie tylko posłuchać fajnych prelekcji, ale też poznać ludzi i porozmawiać z nimi.

No i oczywiście podcasty czy webinary na YouTube, o których też już wcześniej wspominałem.

W ogóle bardzo mnie cieszy, że materiałów w języku polskim powstaje tak wiele – i mam nadzieję, że będzie ich jeszcze więcej. W tej branży raczej ciężko mówić o przesycie, zwłaszcza że jest tak wiele różnych kierunków.

Podsumowanie

Dziś od Adama poznałeś wiele ciekawych zagadnień, związanych jak to Adam ujął rozwinięciem do Sec. Warto przeczytać ten wywiad i wyciągnąć wnioski. Np. bardzo mi się spodobała odpowiedź Adama o braku konkretnego planu i jak to mu utrudniało. Jest to ważna umiejętność w każdej dziedziny Sec nie ważne, na jakim stanowisku jesteś, czy to pentester, czy to SOC, czy zajmujesz się infosec w każdym z nich ważne jest planowanie. Jest to umiejętność, o której się nie mówi, a warto się jej nauczyć jako pierwszej ponieważ pomoże Ci ona na każdym etapie Twojego rozwoju kariery, czy prywatnie jest to uniwersalna umiejętność, a bardzo wartościowa.

Wszystkim się wydaje, że umieją planować (np. umiem sobie zaplanować wakacje to i zaplanuje inne tematy) ale w sec jest wiecej zależności i jak przychodzi do realnego planowania, to często im to nie wychodzi. Warto więc poświecić czas by szlifować tę umiejętność. Fajnie też opisał on zalety w cyber, czyli możliwość ciągłego rozwoju i zmiany branży. Uważam, że ten artykuł będzie ciekawy dla osoby, która się przebranżawia i to nie tylko ze stanowiska QA do Sec ale ogółem. Zapraszam Cię też na profil Adama na LinkedIn wrzuca często tam ciekawe rzeczy wiec warto zaglądać.

Prezent od Adama

Adam przygotował również dla Ciebie prezent zapisz się poniżej, a otrzymasz go w mailu.

Jak przydatny był ten Artykuł

Kliknij gwiazdke by zagłosować

Średni / 5. Liczba głosów

Doceń naszą prace

Przepraszam że ten post nie był dla Ciebie przydatny

Popraw ten post!

Napisz mi co mogę poprawić