שיקולים להכשרה מקצועית בענף הסייבר והמלצות לקורסים ללא עלות בתחום אבטחת מידע, הגנת סייבר והאקינג אתי

אני אתחיל בבעיה (סליחה לא "בעיה" אלא "אתגר") , אותם אנשים בתחילת דרכם המקצועית בענף המקצועי הנקרא "סייבר", אלו שהכי זקוקים למידע וההכוונה שבמאמר הזה, כנראה לא ישקיעו 10 דקות לקרוא אותו, משום שבעידן בו יש כאלה המחפשים "קיצורי דרך" ונוטים לחשוב שכדאי "לעבוד בסייבר" אך ורק בגלל שהם שמעו "שעושים פה טונה כסף" , הם אותם אנשים שנוטים לחשוב (בטעות) שידע נרכש אך ורק ב כ.א ולא בתהליך הכשרה מקצועית שמטבע העיסוק נדרשים בו לאורך שנים רבות לפתח ולטפח התמדה, נחישות ויותר מכל "אהבת המקצוע". אבל ישבתי לכתוב את המאמר הזה לאותם אלו שכן משקיעים מחשבה בתכנון הקריירה שלהם ובהתפתחות המקצועית שלהם בעידן הלמידה לאורך החיים (LLL) , כך שזה חלק מהשליחות המקצועית שלי לשתף את הניסיון שצברתי ב-24 שנה האחרונות קודם כל כתלמיד בעצמי בכמה עשרות רבות של קורסים פיזיים ווירטואליים, אחרי שעברתי מעל 100 מבחני הסמכה מתישים שעלו לי המון כסף (ולא תמיד החזירו את ההשקעה), ומאידך כמדריך טכנולוגי של כמה מאות הדרכות וכמה עשרות אלפי סטודנטים שפגשתי בדרכי המקצועית וגם היה לי הזכות ללמד אותם לאורך השנים במסגרות שונות.

בשנת 2015 הקמתי ומאז אני מנהל ומוביל קהילת פייסבוק הנושאת את השם "הפורום ללימודי סייבר | אבטחת מידע | תקשורת | ענן | וירטואליזציה | סיסטם" הקהילה אד פעילה , ומשתפים בה ידע על קורסים , חומרי למידה , כתבות טכניות , עזרה טכנית בעיקר בתחום הסיסטם , אבל בעיקר הקבוצה היא "זירה" (ולא סתם בחרתי את המילה "זירה" ) בה אפשר להתייעץ לגבי צעדים ראשונים בתחום ההכשרה המקצועית "בענף הסייבר". בשנתיים האחרונות "השותפים שלי"ומי שלוקח חלק בנטל ניהול הקהילה הם ערן שחם מהיחידה ללימוד סייבר ודאטה באוניברסיטת בר-אילן (שם אני בעצמי מלמד) ו אבי וייסמן מנכ"ל המכללה See-Security , שניהם וותיקים מעל עשרות שנים בתחום ההדרכה, ושניהם בעלי מחויבות אישית לשמור על אתיקה מקצועית גבוהה. בנוסף גם חברתי הטובה, מיי (מיטל) ברוקס-קמפלר עוזרת ותורמת רבות לניהול הקבוצה, בעיקר כדי לקדם ולעודד נשים צעירות להיכנס ולעסוק בתחום. ענף הסייבר מורכב מאד , קיימים בו מעל 50 סיווגים של "מקצועות ראשיים" ראו לינקים מצורפים (מיפוי של האתר Cybersn , מיפוי של האתר CyberSecurityVentures ) וזה מעבר למסמך שפורסם ב 31 בדצמבר 2015, על ידי מטה הסייבר הלאומי , מסמך כוונות בשם "מדיניות אסדרה מקצועות הגנת סייבר במדינת ישראל" (מצ"ב עותק ממצגת של רפאל פרנקו לשעבר ר' אגף בכיר אסדרה והכשרת המשק, אוקטובר 2017) , מסמך שכבר בוצעו בו מספר שינויים לאורך השניים, כדי להדביק את הקצב המהיר של דרישות המעסיקים והשוק , אולם לפחות מהצד , לדעתי האישית נראה כי הוא לא ממש הצליח להשפיע ולשנות משהו מהותי בשוק התעסוקה בישראל.

אם יש הסכמה אחת בתחום ההכשרה המקצועית בענף הסייבר \ אבטחת מידע היא שכדי להתחיל בכלל לעסוק בתחום, אתה חייב ידע וניסיון רב-תחומי. גם אם בחרתם לעסוק ,להתמחות ולהתמקד בדיסציפלינה מסוימת ("סייבר הגנתי" \ "סייבר התקפי" ) עליכם לרכוש ידע וניסיון מעשי (כלומר לתרגל) במספר תחומי ידע שמהווים בסיס מקצועי חובה שאי אפשר לוותר עליהם בינהם: רקע לפחות בסיסי בחומרה של שרתים\תחנות קצה , היכרות לעומק עם פרוטוקולי תקשורת TCP/IP , הבנה בסיסית בציוד תקשורת (FireWall/UTM, נתבים , מתגים , ממשקי רשת , רשתות אלחוטיות , 5G ) , הבנה לפחות בסיסית מה תפקידם של מערכות הגנת סייבר (EDR , AV , WAF , NAC , SEIM , DLP , NLB ) , "מערכות הפעלה של שרתים" בדגש על Win Server (בגרסתו האחרונה ולפחות 2 גרסאות קודמות) ושרתי Linux (בישראל בשימוש תדיר מספר הפצות Ubunto , CentOS , Red Hat : Debian ועוד) , היכרות עם סביבת "שרת-לקוח" , הכירות עם נושא "מודעות עובדים" והאתגרים בניהול משתמשים והרשאות גישה , ידע בסיסי בהבנה של אפליקציות , ידע בסיסי והבנה של איך עובדים שרתי בסיסי נתונים (Data Base) , ידע הכרחי ובסיסי בסביבות של וירטואליזציה והדאטה סנטר , הכרות עם מושגים בסיים בתחום הגנת הסייבר \ האקינג (סדר גודל של כ-500 מושגים בסיסיים ) , ידע בסיסי בנושא Data Protection (גיבויים , רפליקציה של דאטה , הצפנת מידע , מערכות למניעת זליגת מידע ) , ידע בסיסי במודלים של ענן ציבורי לפחות בהבנה של תצורות ויישום , ואם במקרה חשקה נפשכם להתקדם טיפה יותר במקצוע , בחלק מהמקצועות אתם תהיו גם חייבים ידע בסיסי בתכנות ובכתיבת סקריפטים , בד"כ Python (במיוחד כאשר התחום "שועט" למקצועות מולטידיסיפלינריים כגון DevSecOps ו- DevNet ומאידך אם אתה רוצה להבין את הבסיס של כלי פריצה ותקיפה הניתנים להתאמה אישית כדוגמת כלי התקפה ב Kali Linux ). בנוסף איך שכחתי חייבים להכיר גם את מערכות ההפעלה של "תחנות הקצה" החל מהשנה אז במינימום צריך להכיר את Win 11 החדשה (ו-לפחות 2 גרסאות אחורה Win 7/10) , ברוב הסטרטאפים בישראל עובדים עם MAC OS או Ubunto אז גם אותן חייבים להכיר, במקרים מסוימים כמומחי סייבר תדרשו גם לתת מענה והגנה (או תחקור אירועים) גם "להתקני קצה" עם מערכות הפעלה של Android או IOS של אפל , ובסוף איך אפשר לשכוח את כל התקני הקצה שהם IOT או IIOT (התקנים תעשייתיים) ורשתות SCADA \ ICS (עולם ה OT Security) , ובסוף בתפקידים מסוימים חייבים להכיר גם בסיס של "אבטחת מידע קלאסית" - סקרי סיכונים , בדיקות חוסן , נהלים , מדיניות ארגונית לאבטחת מידע , ורגולציה בתחום אבטחת מידע והגנת הפרטיות. אם זה נראה לכם מוגזם כידע בסיסי הכרחי, אז באמת שהשתדלתי לרשום את המינימום ההכרחי.

כדי לקבל הבנה בסיסית כמה המקצועות בענף הסייבר מורכבים, כדוגמא צירפתי 4 שקפים ממצגת שאני מעביר בתחילה של כל מסלול הכשרה למנהלי אבטחת מידע ארגונים - CISO ומנהלי הגנת הפרטיות - DPO מהם "דרישות התפקיד" המצופות מ CISO בשנת 2021 ?

אבל לא משנה באיזה דרך תבחרו המלצתי הראשונית היא לפני שקיבלתם החלטה להירשם למסלול הכשרה מסודר וארוך של מספר חודשים \ קורס ממוקד פרונטלי בנושא ספציפי (בשפה מקצועית זה נקרא Micro-Training) או החלטתם לרכוש קורס אונליין בתהליך למידה עצמית (בשפה מקצועית זה נקרא MOOC) בעשרות הפלטפורמות שיש היום, קודם כל לפני כל קבלת החלטה, תנסו להתמודד לבד מול המחשב לפחות 10-20 שעות בקורסים בסיסיים אונליין כפי שמצורפים ברשימות בסוף המאמר. הסיבה למה להשקיע כמה שעות בתהליך של למידה עצמית בבית לפני קבלת החלטה לעשות הסבה מקצועית, היא מאוד פשוטה, זה ייתן לכם תחושה ראשונית במה התחום עוסק, יכול להיות שתגלו שזה מאוד מעניין אותכם ומסקרן אותכם להיכנס וללמוד את התחום לעומק ומאידך יכול להיות שתגלו בדיוק ההיפך. למרות הבלבול הרב שיש בתחום ה-IT , "סייבר" זה לא המקצוע היחידי בתחום "טכנולוגיות המידע" ולכן כאשר היצע המקצועות וההתמחויות הוא כל כך רחב (מפתחי תוכנה, דאטה אנאליסטים, דאטה סיינס , מיישמי BI \ CRM \ ERP , מנתחי מערכות מידע ועוד רשימה ארוכה של מקצועות ) לא חייבים לעסוק ב "סייבר" כאשר בעצם רוצים לעסוק בתחום של IT (מערכות מידע) , בחלק מהמקרים לפחות לכל אלו שעברו את גיל 45 , יש להם סיכוי גבוהה יותר "למקסם" ידע קיים ולעשות הסבה לתחום אחר "במרחב המקצועות של טכנולוגיות המידע" , התמחות מקצועית איתה יהיה להם קל יותר בשוק העבודה, במיוחד כאשר לא נעים לגלות אחרי שהשקעת כמה עשרות אלפי שקלים וחודשים רבים של לימודים לא קלים בכלל , ששוק התעסוקה בישראל (במיוחד בתחום הסייבר שהדרישות בו גבוהות במיוחד) סובל קשות מ "גִּילָנוּת" (אייג'יזם - דעה קדומה כנגד אדם , הנובעת אך ורק בשל גילו של אותו אדם) ומי שטוען אחרת שאין אפליה לרעה שמונעת ממגזרים שונים בישראל להשתלב בתחום הסייבר כנראה ולא עזר מימיו לחברים או סטודנטים שלו בתחום למצוא עבודה אחרי גיל 40 , אבל רק על הנושא הזה אני יכול לכתוב , בכאב לב גדול , מאמר שלם.

בנוסף לפני קבלת החלטה , תתייעצו ודברו (כן ,כן שיחה בין 2 בני אנוש, בטלפון כמו פעם, שיחה רצינית של שעה לפחות) עם מישהו שאתם סומכים עליו שגם עוסק בתחום כמה שנים, ההמלצה שלי היא לדבר לפחות עם 2-3 אנשים (לנשים לא פחות חשוב לדבר גם נשים וותיקות בתחום, בדרך כלל מערכת השיקולים יותר מורכבת ולנשים יש בהחלט זווית ראייה אחרת ניהול קריירה בתחום) , אני לא מכיר אנשי IT ובמיוחד בענף הסייבר שלא ישמחו לדבר איתכם , אני יכול לשתף שיש רבים מהקולגות שלי בתחום שלמרות שהזמן שלהם יקר מאוד , הם באופן תדיר עונים ועוזרים למי שפונה אליהם בלינקדאין או דרך הפייסבוק , ללא שום תמורה , אך ורק מתוך "אהבת המקצוע".

לעצם העניין, לקח כמה שעות, אבל הכנתי לכם 2 רשימות שיעזרו לכם לקבל "חוויה" והתנסות ראשונית בתחום , בנוסף לכל אלו שרוצים לעשות "שדרוג מקצועי" מתחום הסיסטם \ תקשורת ומחפשים הכשרה מקצועית שתעזור להם בדרך לשם. יש פה עשרות קורסים בחינם זמינים ללמידה עצמית בכל עת , כך שהתירוץ "אין לי זמן \ אין לי כסף" לא תופס פה , זה רק תירוץ שאתם לא רציניים מספיק . הרשימה הראשונה כוללת אתרים או פלטפורמות למידה עצמית בהם יש קורסים בחינם או בעלות נמוכה. הרשימה השנייה כוללת לינקים ישירות לקורסים שאפשר להצטרף אליהם ולהתחיל ללמוד ללא עלות ובאופן מידי.

אני מבקש סליחה מראש אם היה מישהו שנעלב מדבריי בתחילת המאמר, הכול נכתב "מדם ליבי" ומתוך השליחות והאהבה הרבה שיש לי למקצוע, ולדרך החיים שהעיסוק הזה מחייב אותך לבחור בו. שהמאמר כתוב בלשון זכר יחיד, אך הוא הוא בהחלט פונה גם אל נשים שיש ברצונן לבחון כניסה לתחום, אנחנו (הוותיקים והוותיקות בתחום) בהחלט מעודדים זאת ומנסים לסייע בדרכים שונות וכמה שיתר להגדיל משמעותית את אחוז הנשים שעוסקות בתחום הסייבר.

כרגיל אצלי שום מסמך לא נשאר קבוע , אז שווה לבדוק מידי פעם, אני מתכנן לעדכן את הרשימות במשך הזמן.

כמו תמיד אני תמיד לשירותכם בכל שאלה, בקשה, או הארות\ הערות

בבקשה פניות קצרות וממוקדות, אני שמח לעזור , ואין צורך בשאלות מיותרות כמו "מה נשמע" \ "אפשר להפריע" וכו...

עדיף תמיד לפנות בווצאפ כי אני לא מספיק לקרוא את ההודעות הרבות בתיבת הדואר של חשבונות הפייסבוק שלי.

בברכה, הילל קוברובסקי

תאריך אחרון של הטבלה: 29.10.2021

פלטפורמות מומלצות ללמידה אונליין

1. קמפוס IL - המיזם הלאומי ללמידה דיגיטלית - אתר ישראלי לפי פורמט של edX העולמית, בניהול והובלה של מיזם "ישראל דיגיטלית" , אין מה להגיד מלבד מחמאות, נכון להיום יש מעל 300 קורסים (והמספר הולך וגדל) , כל הקורסים בחינם , קורסים שהופקו באיכות גבוהה על ידי מיטב המוסדות להשכלה גבוהה בישראל , בתחומים מגוונים : מדעי החברה , חינוך והוראה , הכנה לבגרויות , מדעים מדויקים , ובכלל "הרחבת אופקים" , הקורסים בעברית עם כתוביות באנגלית \ עברית \ ערבית , ברשימה למטה יש מספר קורסים מומלצים בתחום הרשתות , אבטחת מידע ותכנות המתאימים לעוסקים בתחום הסייבר. בחלק מהקורסים לאחר הגשת עבודה, מבחן ותשלום סימלי אפשרי גם לקבל תעודת הסמכה מסודרת ומוכרת על ידי משרד העבודה.

2. חברת Lynda - נמצאת תחת המותג LinkedIn Learning בבעלות חברת Microsoft , באתר מאות קורסים בתחומים שונים (IT, תקשורת שרתים, ענן, סייבר, תכנות, האקינג, מנהלים) בפלטפורמה יש מגוון רחב של קורסים איכותיים וממוקדים מטווח של שעות בודדות ועד "מיקרו-הדרכה" של עשרות שעות, בסוף ההדרכה אפשר להדפיס תעודה וגם לצרף אותה לפרופיל לינקדאין שלכם , הגישה לערוץ הלמידה של לינקדאין פתוח באופן מלא לכלל ההדרכות וללא תשלום רק למי שיש מנוי פרמיום ומעלה.

3. חברת Udemy - אחד האתרים היותר מהמפורסמים בתחום, קורסים בתשלום נמוך יחסית) , מבחר גבוהה של קורסים בתחומים רבים (צילום, עיצוב, מדעים, שפות) ולא רק בתחומי ה-IT , אבל למרות המחיר הזול שנע בדרך כלל בין 60 ל 100 ש"ח לקורס בודד , מומלץ ביותר להתחבר ולהקשיב לשיעור ניסיון לפני הרכישה בפועל, היות וחלק ממי שמציע את הקורסים שלו בפלטפורמה הזאת, לא תמיד בעל אנגלית עם מבטא קל להבנה. בד"כ בחגים הנוצריים או באירועי מכירות בסוף שנה המחירים באתר זולים באופן ניכר מהרגיל.

4. חברת Cybary - אתר וותיק שעבר מספר גילולים ומודלים עסקים, כיום ניתן להתחבר לחלק מהקורסים וללא עלות לקבל כמה שעות של חלקים בודדים מתוך אותו מסלול גדול, בנוסף יש מסלול בו ב 19$ לחודש בו אתה מקבל גישה חופשית לכל התכנים באתר, יש פה מבחר גדול וממוקד גם בתחומים של אבטחת מידע, רגולציה ותקינה, הכנה למבחני הסמכה CISSP , סייבר התקפי באופן כללי ולימוד מעמיק על Kali Linux , הכנה למבחן ההסמכה רשמי של Ethical Hacking , פלטפורמות שונות של Public Cloud , מדע הנתונים, ופיתוח מאובטח \ DevSecOps.

5. מיזם Coursera - אחד המיזמים הגדולים בעולם ללמידה מתוקשרת מרובת משתתפים (MOOC) אין קורס טכנולוגי שאתם יכולים לשאוף ללמוד ואין פה (מעל 5,000 קורסים ומסלולי לימוד) , בהשתתפות של מעל 200 מוסדות האקדמיה המובילות בעולם (Stanford, MIT , טכניון , אוני' ת"א ) ויצרנים מובילים בתחומם , הקורסים בד"כ באנגלית (אבל יש גם בשפות נוספות , אין קורסים בעברית) עם המרצים המובילים בעולם בכל תחום , חלק מהקורסים אלו ממש קורסים המקנים נקודות זכות אקדמיות , ויש אפשרות גם ללימודים אקדמיים מלאים , בקיצור מי שרוצה ללמוד אונליין והאנגלית שלו טובה+ כדאי להתחיל את החיפוש כאן , במיוחד בגלל שרוב הקורסים "למתחילים" הם ללא עלות.

6. מיזם edX - אחד מהמיזמים פורצי הדרך בתחום ה MOOC, מעל 3,000 קורסים של המוסדות האקדמיים המובילים בעולם כדוגמת MIT, Harvard , Berkely ועוד, בכל תחום שעולה על דעתכם (מדעים, ניהול, עיצוב, מערכות מידע, פיננסים, שפות, פילוסופיה, מוזיקה, ועוד) כמה אלפי קורסים בחינם, כאשר אם רוצים לקבל תעודה בסיום, יש לשלם עלות שדרוג לקורס ואז אפשר לקבל גם תעודה מסודרת עם פירוט והיקף שעות הדרכה.

7. יצרנים בתחום הגנת סייבר - במהלך שנת 2020 מספר יצרנים גדולים בתחום הענן ואבטחת סייבר כדוגמת חברת Fortinet פתחו גישה חופשית לעשרות קורסים ברמות שונות (תוכנית הסמכה NSE של חברת פורטינט כוללת 29 הדרכות אונליין להכשרת מנהלים ועד מומחים ומיישמי הגנת סייבר בכירים) ללא עלות וללא הגבלה. המגמה הזאת באמת מבורכת , ואני מקווה שעוד יצרנים בעולם יאמצו גישה זאת.

קורסים ללא עלות - חשיפה ראשונית בתחום הסייבר \ תקשורת

1. קמפוס IL | מרושתים – איך עובד האינטרנט? | 8 שעות | מערך הסייבר הלאומי | אין תעודה | עברית

2. קמפוס IL | סוד קסם האינטרנט – תקשורת מחשבים | כ-36 שעות | אוניברסיטת אריאל בשומרון | אין תעודה | עברית

3. קמפוס IL | צעדים ראשונים באבטחת מידע | כ-50 שעות | אוניברסיטת ת"א | אין תעודה | אנגלית עם כתוביות בעברית \ ערבית \אנגלית

4. קמפוס IL | לזהות חולשות , לבנות הגנה - חולשות באפליקציות ווב | כ-24 שעות | מערך הסייבר הלאומי | כולל תעודת קמפוס IL | עברית

5. קמפוס IL | קורס פייתון למתחילים | כ-50 שעות | מערך הסייבר הלאומי | תעודה בתוספת תשלום | עברית

6. קמפוס IL | קורס פייתון למתקדמים | כ-36 שעות | מערך הסייבר הלאומי | תעודה בתוספת תשלום | עברית

7. Fortinet - NSE-1 - Information Security Awareness | 3 Hours | EN

8. Fortinet - NSE-2 - The Evolution of Cybersecurity | 5 Hours | EN 9. Fortinet - NSE 4 FortiGate Security 7.0 Self-Paced | 15 Hours | EN

10. Fortinet - NSE 4 FortiGate Infrastructure 7.0 Self-Paced | 15 Hours | EN

11. Fortinet - FortiGate Essentials 7.0. Self-Paced | 6 Hours | EN

12. Fortinet - NSE 5 FortiEDR 4.2 Self-Paced | 10 Hours | EN

13. Fortinet - NSE 6 FortiNAC 9.1 Self-Paced | 13 Hours | EN

14. Fortinet - NSE 7 OT Security 6.4. Self-Paced | 6 Hours | EN 15. Fortinet - 29 Free Advanced Training for Security Professionals | EN

16. Cisco Networking Academy | Introduction to Cybersecurity | 6 Hours | EN

17. Cisco Networking Academy| Networking Essentials | 70 Hours | EN

18. Cisco Networking Academy | Cybersecurity Essentials | 30 Hours | EN

19. edX - Unlocking Information Security I: From Cryptography to Buffer Overflows | 30 Hours | EN | Tel-Aviv University

20. edX - Unlocking Information Security II: An Internet Perspective | 42 Hours | EN | Tel-Aviv University

21. Amazon Cloud - AWS Security Fundamentals (2nd Edition) | 2 Hours | EN

22. Google Cloud - Security in Google Cloud Specialization | 50 Hours | EN

23. Microsoft Azure - Secure your cloud applications in Azure | 6 Hours | EN

24. Coursera - Cybersecurity and the Internet of Things | 11 Hours | EN

25. edX - Cybersecurity: The CISO's View | 30 Hours | EN | Washington Uni

26. edX - Penetration Testing - Discovering Vulnerabilities |50 Hours | EN | NYU

27. edX - Penetration Testing - Exploitation | 50 Hours | EN | NYU

28. edX - Penetration Testing - Post Exploitation | 50 Hours | EN | NYU

29. UDACITY - Cyber-Physical Systems Security | OT Sec & ICS | Georgia Tech

30. Coursera - Cyber Incident Response | 6 Hours | EN | INFOSEC

31. Cybrary - DevSecOps Fundamentals | 6 Hours | EN

32. Cybrary - Fundamentals of Cybersecurity Architecture | 3.5 Hours | EN

33. edX - Mobile Payment Security | 20 Hours | EN | NYU 34. SANS - SANS Cyber Aces Online Tutorials | EN | CyberAces

#HillelKobrovski #Podcast #CyberSecurity #InformationSecurity #NetworkSecurity #Privacy #CISO #DPO