toxa:
Печальный, но очевидный факт: "эксперты по ИБ" сегодня - такие же ремесленники, как кодеры или администраторы, работающие в своей прикладной профессии. Я хочу сейчас подчеркнуть эту очевидность для того, чтобы сделать шаг дальше и констатировать, что она является главной причиной деградации как отрасли целиком, так и личностей, ее представляющих.
Лет сто назад, когда автомобильная индустрия только делала робкие шаги в правильном направлении, будущие форды и порше собирали свои автомобили в гараже чуть ли не в одиночку - конструкции были весьма примитивны и талантливый механик мог построить автомобиль не из "кирпичиков", а буквально с нуля. Сегодня же, когда автомобиль - это сложное электромеханическое устройство, трудно представить человека, который в одиночку может перебрать всю машину, от электронных "мозгов" до двигателя и подвески. Поэтому понятия "специалист по ремонту автомобилей" в наши дни не существует - есть механики, электрики, мотористы, специалисты по компьютерной начинке и т.п.
В мире информационных технологий ситуация во многом схожая. Даже не беря в расчет все нетехнические аспекты ИБ (что само по себе уже неправильно), мы все еще имеем четыре уровня модели TCP/IP, на каждом из которых существуют сотни проблем безопасности. Логично предположить, что "эксперт по ИБ" должен комфортно себя чувствовать на любом из этих уровней.
Однако это не так. Так как security analyst сегодня - сугубо прикладная профессия, а дорог перед исследователем как никогда много, это приводит к узкой специализации и совершенствованию в заданных рамках. Получается забавная ситуация: человек довольно неплохо разбирается в узкой области, может быть даже зарабатывает себе имя среди коллег, но при этом в смежных вещах может быть полным нубом. И тем не менее, по неписанному стандарту он - все еще "эксперт по ИБ".
Это неправильно.
Я знаю полно примеров, когда человек неплохо разбирался, скажем, в безопасности web-приложений, но при этом совершенно не представлял, как работает DNS. Другой специалист с закрытыми глазами мог играть с хоткеями IDA Pro, но в то же время любые его попытки порассуждать на тему файрволов или сетевых атак не доставляли ничего, кроме огромной порции лулзов. Это совершенно типичная, к сожалению, картина: человек специализируется в своей узкой области, а в смежных не имеет объема знаний даже на уровне здравого смысла - потому что "для работы это не нужно". Практически каждому среднестатистическому "эксперту в области информационной безопасности" - не только в России - свойственны подобные черты.
Поэтому я выступаю за то, чтобы прекратить дискредитировать понятие. Называйтесь как хотите: "экспертами по безопасности web-приложений", "вирусными аналитиками", даже "специалистами в области безопасности протоколов канального уровня". Но только оставьте понятие "security expert" как state of art. Человек, называющийся "экспертом в области ИБ" может не быть гением, но он обязан иметь адекватный уровень знаний хотя бы во всех технических аспектах ИБ.