Методология TryHarder популяризированная компанией Offensive Security – это одновременно и мощный мотиватор (как edit с мистером роботом под фонк), и издевательство в мире информационной безопасности. Когда ты остаёшься один на один с забагованным эксплойтом в три часа ночи, этот девиз начинает звучать как троллинг.
В этой статье мы попробуем разобраться в причинах почему ученики бросают курсы, создадим тактики планирования нагрузки, проработаем моменты с выгоранием и составим личный план действий.
Почему курсы бросают?
Информационная безопасность специфична. Здесь уже не веб-разработка, где ввёл console.log() и сразу увидел, где и что сломалось. Здесь имеет место неопределённость.Изначально концепция “Try Harder” призывала к do research: «Если не работает, читай вики». Однако зачастую это превращается в битьё головой об стену. Реальность такова, что студент часами перебирает одни и те же флаги в тулзе, не понимая базовой логики процесса. Как следствие – быстрое выгорание и ощущение профнепригодности. Нужно отбросить иллюзию, что «Я должен дойди до всего сам, иначе я не тру-хакер». Ты уже хакер, если попытался, а если ты не просто продолжил, но и начал изучать как работает всё под капотом – то ты уже Тру-хакер.
Будь готов к тому, что на курсах по веб-безопасности, чтобы разобрать, например SSRF тебе (оказывается!) нужно знать:
- Понимать основы маршрутизации и IPv6
- Знать, как парсятся URL в конкретной библиотеке на Python
- Понимать особенности настройки cURL
Касательно мозга, в ИБ фаза разведки и подготовки (Reconnaissance/Enumeration) занимает до 80% времени. Ты можешь целых 2 дня сканировать порты, фаззить директории и читать исходники, не продвинувшись ни на миллиметр. Из-за такого отсутствия видимого прогресса ты лишаешь мозг дофаминовой подпитки. В моменте, тебе кажется, что ты тратишь время в пустую. Это пораженческие мысли, сразу изгоняй их, будь obsession(одержим), падай и поднимайся, и уничтожай
на войне все оружия хороши
Много кто заходил в ИБ на motivation(мотивации). Но реальность очень суровая и сталкивает их с необходимостью компилировать старый C-код под конкретную версию ядра Linux, править «поплывшие» оффсеты вручную и часами разбираться в чужих Bash-скриптах, motivation(мотивация) быстро испаряется.
Тактики планирования нагрузки
Очень важно спланировать нагрузку при прохождении ИБ-курса. Без чёткой тактики методология Try Harder быстро превращается в выгорание. Специфика ИБ в том, что ты никогда не знаешь заранее, займёт ли лаба 15 минут или 6 часов. Поэтому тайм-менеджмент здесь часто даёт сбой.Давайте разберём тактику «Time-boxing versus Rabbit Holes». Главный враг студента это Rabbit Hole(Кроличья нора), когда ты уходишь в ложный вектор атаки и Try Hardишь его. Лучше использовать такую модель: «Вместо планирования результата (сегодня пройду 3 лабы), ты планируешь время (сегодня занимаюсь 2 2 блока по 1.5 часа)».
Разделяй время на жёсткие Time-box’ы. Например, 45 минут на фаззинг. Если за 45 минут ничего – моментальный дроп, сменить вектор или вернуться к теоретической базе. Спасение от ментального истощения.
Модель «Теория - Практика» (20 / 80). В ИБ-курсах объём методичек может составлять 800+ страниц, а количество видео – десятки часов. Попытка сначала всю теорию понять и уложить в голове, а потом войти в лабы – ментальное самоубийство. Ты на этапе разведки забудешь начало теории. Важно нарезать материал на минимально жизнеспособные порции (MVP знаний). Прочитал главу про уязвимость (20% времени) и сразу побежал в лабу и закрепил ручками (80% времени).
Тактика «Буферных зон». Если в обычном обучении можно запланировать курс на 3 месяца, то в ИБ такой график гарантировано ломается. Бери время с запасом, если автор курса говорит, что на прохождение нужно 10 часов, планируй 15.
Работа с откатами и выгоранием
Откат – это состояние, когда после недели продуктивного «хакинга» ты открываешь терминал и понимаешь, что не можешь написать и 2 команд в bash, а синтаксис nmap кажется эльфийским. Важно помнить, что откат != деградация. Это естественная реакция нервной системы на перегрузку. Мозг просто временно блокирует доступ к сложным когнитивным функциям, чтобы защитить себя от расплавления.Тактика «заземления». Если при виде терминала ты чувствуешь тошноту совет «Try Harder» нужно завернуть в трубочку и выбросить.
Правило «Zero-Code/Zero-Shell» (минимум 48 часов!): Полный запрет на чтение ИБ каналов в ТГ, и просмотр видео на YT про CTF или хакеров. Мозгу нужно очистить контекст.
Выгорание часто усугубляется чувством вины «я отдыхаю, а мог бы уже ресёрчить уязвимости и стать сильнее». Отдых – это часть тренировочного процесса.
Дозируй «WriteUp-терапию». Существует тупое мнение, что чтение WriteUp’а – это фу и кринж. Бредятина. Если ты застрял и чувствуешь, что злость сменяется апатией – открой WriteUp. Но читай его дозировано.
Личный план действий
Прежде чем вписывать в календарь «хакеинг 4 часа», нужно трезво оценить свои силы. Завышенные обязательства – выгорание.- Определяем «Green zone»: Сколько часов ты гарантировано можешь выделить без ущерба основной работе, сна и личной жизни(при её наличии)? Для рабочего класса реальная цифра - 8-12 часов в неделю.
- Определяем «Red zone»: Выдели дни, когда ты железно не прикасаешься к курсу.
- Неправильно: «Пройти курс по Privilege escalation».
- Правильно: «За 4 недели изучить 5 основных векторов повышения привелегий (SUID, sudo rights, Cron jobs, Kernel exploits, Capabilities), задокументировать их в своей базе знаний и успешно закрыть 10 лаб».
| Monday | Tuesday | Wednesday | Thursday | Friday | Saturday | Sunday |
| T | P | C | T | P | DW | Cl |
T – теория
P – практика (1.5 часа)
С – chill (отдых)
DW – (Deep Work) Штурм лабораторий 3-4 часа.
Cl – clean Очищение рабочего пространства (заметок, перенос скриптов в гит, фиксация побед).
