Куда податься бедному хакеру?

Давайте себе представим представителя темной стороны киберсилы, то есть хакера, которого гнетет его противоправная деятельность и он жаждет поскорее покинуть свое поприще и начать зарабатывать себе на хлеб законными методами. Куда ему податься? На первый взгляд у него всего один путь (если не рассматривать уход из “профессии” в фермеры или таксисты) - пойти в пентестеры. Это достаточно распространенный вариант трудоустройства - человек продолжает заниматься тем же, только меняет знак с минуса на плюс. Кто-то даже работает сразу в двух мирах - в рабочее время, с 9-ти до 6-ти, человек трудится во благо кибербезопасности, защищая сети своих клиентов. А вот в вечернее и ночное время он возвращается к своей прошлой жизни, работая по своей прежней “специальности”, зачастую ломая тех, кого днем он защищает. Есть у ряда российских пентестерских контор такие люди, которые “и нашим и вашим”. Но речь пойдет не о них и даже не о пентестерах вообще, хотя, повторюсь, это один из самых очевидных путей будущего трудоустройства. Особенно ввиду роста востребованности тестов на проникновение после попадания их в нормативные документы ФСТЭК.

На прошедшей недавно выставке RSAC (да и вообще в последнее время) я заметил, что на Западе создание небольших стартапов по ИБ - очень популярная тема. И создают их часто те ребята, кто еще недавно ходил по грани (а то и за ней). Мне довелось пообщаться с несколькими из них, а также я походил по стендам таких "новичков" и у меня сложился следующий перечень направлений, которыми могут заниматься бывшие хакеры:

• Фишинговые симуляции. Эти люди хорошо знают, как ломать разные компании. А так как одним из самых популярных способов до сих пор остается фишинг, то логично, что бывшие хакеры уходят именно в это направление security awareness и по заказу создают фишинговые кампании и оценивают их эффективность. 
• Обучение. При наличии предрасположенности и знаний, нередко "хакеры" начинают разрабатывать курсы и преподавать их. Часто это направление offensive, но бывают и смешанные программы, объединяющие в себе нападение и защиту.
• Киберучения. Имея немалый опыт участия в реальных пентестах и смоделированных CTF, бывшие кибербойцы начинают заниматься очень интересной темой киберучений, в рамках которых не просто эмулируются искусственные уязвимости, а прокачиваются навыки защиты и нападения, работы в Red и Blue Team. 
• Консалтинг. Ну тут вроде все понятно. 
• ПО для симуляции атак. Консалтинг, обучение, фишинговые симуляции - это все не очень масштабируемые вещи. И хотя на хлеб с маслом на них можно заработать, на черную икру уже может и не хватить. Поэтому нередко "хакерские" команды пытаются создавать ПО, которое затем предлагается рынку. Достаточно новым направлением на рынке сегодня можно назвать ПО для симуляции атак. Это не Metasploit, а решения именно корпоративного уровня, ориентированные на защитников, а не атакующих. Про этот класс решений мы поговорим завтра - там немало интересных новинок появилось за последний год.

Однако стоит отметить, что описанные выше 5 направлений приложения своих сил, "списаны" с западного рынка - в России и странах СНГ могут быть свои нюансы. Например, в государственной программе Казахстана "Киберщит" прописано, что все "хакеры" должны быть взяты на учет и внесены в специальный реестр. Россия не отстает от своего азиатского "коллеги" - Наталья Касперская с мужем высказывали схожие идеи - от ведения учета всех хакеров, безопасников и айтишников до запрета их выезда за границу и отказа от признания отечественных дипломов зарубежом (чтобы никто не убежал). Но даже если эти одиозные идеи не выйдут за рамки воспаленного сознания отдельных представителей нашей отрасли, то для того, чтобы начать свой бизнес в России, надо приложить немало усилий (гораздо больше, чем на Западе) и не факт, что они увенчаются успехом. Очень уж у нас закрытый рынок ИБ - лицензирование деятельности, сертификация ПО, подтверждение квалификации, сертификация специалистов...

Препон на пути к созданию своей компании очень много. Вот и получается, что на словах у нас все готовы развивать малый бизнес и поддерживать стартапы, а не деле все оборачивается пшиком. И поэтому не идут "хакеры" в белую зону, продолжая заниматься своим черным делом, попадая на карандаш спецслужб (наших или чужих), и потом занимаясь уже своей деятельностью под государственной крышой со всеми вытекающими отсюда и плюшками и рисками. Ну или идти в пентестеры...