В Swordfish Security назвали самые дорогие специальности в DevSecOps

Яков Шпунт 23 Октября 2024 - 19:43

...

В Swordfish Security назвали самые дорогие специальности в DevSecOps

Директор по талантам ГК Swordfish Security Дарья Фигрукина назвала самые редкие и дорогостоящие специальности для DevSeсOps. Это инженер по защите контейнерных сред, инженер машинного обучения, специалист по защите искусственного интеллекта, архитектор в области защиты искусственного интеллекта.

По данным сервиса hh.ru, Application Security инженеру предлагают в среднем 300 тысяч рублей, что на 20% выше, чем годом ранее. ML-инженеры, по данным hh.ru, стали более востребованными — на 53% в годовом выражении. Средний уровень их заработка — немногим менее 300 тысяч рублей в месяц.

Что касается вакансий специалистов по защите ИИ, их количество, по данным рекрутингового портала, снизилось на 11% по сравнению с прошлым годом. Эксперты связывают это с тем, что для российского рынка работа с MLSecOps пока новое явление. Тем не менее за каждого такого специалиста работодатели держатся.

«Если говорить о рынке ИБ в целом, по нашим данным зарплаты в сфере безопасной разработки ПО за последний год выросли на 20% (по сравнению с 2023). Но, разумеется, некоторые редкие специалисты растут в цене гораздо быстрее коллег за счет своих уникальных компетенций», — рассказала Дарья Фигуркина, директора по талантам ГК Swordfish Security.

По данным сервиса hh.ru	ВАКАНСИИ			ЗАРПЛАТА, предлагаемая, медиана по РФ
	янв-сен 2023	янв-сен 2024	Дин., г/г	янв-сен 2023	янв-сен 2024	Дин., г/г
Инженер по защите контейнерных сред или Application Security инженер (Container Security)	283	336	19%	250 000 ₽	300 000 ₽	20%
Инженер машинного обучения (ML инженер),	53	81	53%	200 000 ₽	285 000 ₽	43%
Специалист по защите искусственного интеллекта (MLSecOps) MLSecOps Architect	385	341	-11%	120 000 ₽	175 000 ₽	46%

По данным сервиса hh.ru	ВАКАНСИИ			ЗАРПЛАТА, предлагаемая, медиана по РФ
	янв-сен 2023	янв-сен 2024	Дин., г/г	янв-сен 2023	янв-сен 2024	Дин., г/г
Go	3 698	4 840	31%	223 600 ₽	258 500 ₽	16%
Java	10 770	12 635	17%	191 400 ₽	193 800 ₽	1%
C#	3 356	3 608	8%	151 800 ₽	164 300 ₽	8%
Python	6 150	6 576	7%	168 100 ₽	174 900 ₽	4%
Typescript	544	569	5%	179 100 ₽	189 500 ₽	6%
JavaScript	1 322	1 278	-3%	124 600 ₽	143 500 ₽	15%

Особенность рынка DevSecOps в том, что поиск кандидатов и работа с разработкой безопасного ПО возможна только внутри страны. Это снижает риски, связанные с релокацией, но не позволяет привлекать кадры за границей, даже если речь идет о гражданах стран СНГ или россиянах, которые работают за рубежом.

При этом зарплатный уровень в этой сфере не зависит от региона внутри РФ. Также почти со 100% вероятностью нужный специалист будет работать в удаленном режиме.

«Рынок разработки безопасного ПО в России— это рынок соискателей, и, если в большинстве других профессий есть региональная разница в зарплатах, для удаленных сотрудников в сфере информационной безопасности ее не существует. У нас очень много Сибири и Урала. Там сильная высшая школа. Томский, Омский университеты имеют хорошую образовательную базу. Инженеров на удаленке в прошлом году у нас было 40%, в этом году эта цифра чуть выше — 44% сотрудников работают удаленно», — рассказала директор по талантам ГК Swordfish Security Дарья Фигуркина.

Следующая главная новость »

Подписывайтесь на канал "Anti-Malware" в Telegram, чтобы первыми узнавать о новостях и наших эксклюзивных материалах по информационной безопасности.

Екатерина Быстрова 28 Октября 2024 - 09:03

Windows Уязвимости программ Домашние пользователи Корпорации Microsoft

Windows позволяет обойти проверку драйверов и установить руткит

Условные атакующие могут провести даунгрейд и понизить версию корневых компонентов Windows, что приведет к обходу проверки подписи драйверов — Driver Signature Enforcement и позволит установить в систему руткиты.

Этот вектор подразумевает получение контроля над механизмом обновления Windows, с помощью которого злоумышленники могут подсунуть полностью пропатченной системе устаревшие компоненты.

Исследователь из компании SafeBreach Алан Левиев попытался предупредить Microsoft о проблеме, однако в корпорации отреагировали холодно: дескать, это не нарушает текущих ограничений ОС и не выходит за рамки безопасности.

Тем не менее, по словам специалиста, с помощью этой бреши можно выполнить код на уровне ядра от лица администратора.

Левиев даже выложил инструмент под названием «Windows Downdate», позволяющий подсунуть системе уязвимые компоненты: DLL, драйверы и т. п.

«Мне удалось внедрить старые уязвимости в полностью пропатченные системы. В частности, речь идет об обходе Driver Signature Enforcement (DSE) и загрузке неподписанных драйверов уровня ядра», — пишет Левиев.

Эксперт назвал свой метод «ItsNotASecurityBoundary» и показал его на примере подмены файла ci.dll, отвечающей за работу DSE. Вместо нормальной библиотеки Левиев подсунул непропатченную версию, которая игнорировала подписи драйверов.