Jak wybrać pierwszy język do kariery w cyberbezpieczeństwie i audycie IT

Przez
Daniel Borkowski
-
0
13
2/5 - (1 vote)

Nawigacja:

Dylemat na starcie: czego właściwie potrzebuje początkujący w cyberbezpieczeństwie i audycie IT

Scenka – trzy różne porady, zero spójnego kierunku

Wyobraź sobie, że mówisz znajomym, że chcesz wejść w cyberbezpieczeństwo albo audyt IT i szukasz pierwszego języka programowania. Jeden mówi: „Ucz się C, bez tego nie zrozumiesz systemów”. Drugi: „Bierz Pythona, wszyscy teraz jadą na Pythonie”. Trzeci: „Po co kod? Rób certyfikaty, audyt to dokumentacja i procesy”. Po dwóch godzinach researchu w sieci czujesz tylko większy chaos.

Źródło problemu jest proste: ludzie odpowiadają z perspektywy swojej roli, nie Twojego startu. Pentester, inżynier SOC, audytor IT i specjalista GRC robią zupełnie różne rzeczy, chociaż wszyscy „siedzą w bezpieczeństwie”. Jeżeli nie wiesz jeszcze, w którą stronę chcesz iść, rady będą się wykluczać.

Żeby wybrać pierwszy język do kariery w cyberbezpieczeństwie i audycie IT, trzeba najpierw zrozumieć, czym tak naprawdę różnią się te role i jak korzystają z programowania: czy jak developer, czy raczej jak z narzędzia pracy – do analizy, automatyzacji, dowodów z systemów.

Najczęstsze role: SOC, pentester, analityk, audytor IT, GRC

Pod jednym parasolem „cyberbezpieczeństwo i audyt IT” kryje się kilka typów ról, które zupełnie inaczej wykorzystują języki programowania.

  • SOC Analyst (Security Operations Center) – monitoruje zdarzenia bezpieczeństwa, reaguje na alerty, analizuje logi, buduje reguły w systemach typu SIEM. Tu dominuje praca z logami, zapytaniami, filtrami, prostymi skryptami i automatyzacją.
  • Pentester / Red Teamer – „symuluje ataki”, szuka podatności, pisze i modyfikuje exploity, tworzy własne narzędzia. To najbardziej programistyczna rola po stronie ofensywnej.
  • Analityk bezpieczeństwa / Blue Team – projektuje i wzmacnia zabezpieczenia, współtworzy reguły detekcji, integruje narzędzia. Kod to często glue code, automatyzacja i analiza danych.
  • Audytor IT – bada, czy systemy i procesy IT działają zgodnie z wymaganiami (wewnętrznymi, prawnymi, standardami, np. ISO 27001). Dla niego programowanie to głównie praca z zapytaniami, arkuszami, czasem prostymi skryptami do pobierania i analizowania dużych zbiorów danych.
  • GRC (Governance, Risk, Compliance) – skupia się na ryzyku, zgodności, politykach, regulacjach. Kod pojawia się tu rzadziej, ale znajomość języków zapytań i narzędzi do analityki danych staje się coraz cenniejsza.

Każda z tych ról styka się z kodem inaczej. SOC-owiec raczej nie będzie pisał jądra systemu, ale proste skrypty do automatyzacji obsługi alertów – już tak. Audytor IT nie tworzy aplikacji, ale musi umieć wyciągnąć dane z systemu, często za pomocą SQL i narzędzi skryptowych.

Kodowanie jak developer vs programowanie jako narzędzie pracy

Kodowanie jak developer to budowanie aplikacji: projektowanie architektury, pisanie modułów, testów jednostkowych, utrzymywanie kodu latami. W klasycznym software dev programowanie jest centrum pracy.

Programowanie jako narzędzie pracy to coś innego. W cyberbezpieczeństwie i audycie IT kod zazwyczaj służy do:

  • szybkiego wyciągnięcia danych z kilku źródeł,
  • przefiltrowania logów pod kątem konkretnego zdarzenia,
  • zautomatyzowania powtarzalnych czynności (np. codziennych testów czy kontroli),
  • przerobienia wyników skanów na czytelny raport,
  • drobnej modyfikacji istniejącego narzędzia, dopasowania go do środowiska klienta.

Dla wielu osób w security/audycie programowanie to „śrubokręt i kombinerki”, nie pełnoetatowa praca przy tworzeniu aplikacji. Z tego powodu ważniejsze jest, żeby język był szybki do opanowania i praktyczny w automatyzacji, niż żeby dawał wszystkie możliwości typowe dla dużych projektów developerskich.

Kiedy język jest naprawdę potrzebny, a kiedy wystarczy rozumieć cudzy kod

Pierwszy język do cyberbezpieczeństwa i audytu IT nie zawsze musi prowadzić do samodzielnego pisania dużych narzędzi. Czasem wystarczy umiejętność:

  • przeczytania skryptu i zrozumienia, co robi (np. czy nie jest złośliwy),
  • zmiany kilku linii w istniejącym narzędziu, by działało w Twoim środowisku,
  • dostosowania parametru, ścieżki, formatu danych,
  • szybkiego napisania kilkunastu linii kodu, które filtrują lub agregują dane.

Poważniejsze pisanie od zera, takie jak tworzenie własnych skanerów pod specyficzne środowisko czy eksploitów, przydaje się głównie w rolach typu pentester, malware analyst czy threat researcher. Jeżeli celujesz w audyt IT, SOC albo GRC, bardziej prawdopodobne jest, że będziesz modyfikować, łączyć i automatyzować, niż projektować narzędzia od zera.

Mini-wniosek: jeśli Twoim celem jest wejście w cyberbezpieczeństwo lub audyt IT, wybór pierwszego języka powinien wynikać przede wszystkim z typu roli (ofensywna/defensywna/analityczna/audytowa) i tego, czy chcesz bardziej tworzyć narzędzia, czy z nich efektywnie korzystać i je automatyzować.

Kobieta z kodem binarnym na twarzy, symbol kariery w cyberbezpieczeństwie
Źródło: Pexels | Autor: cottonbro studio

Krótkie rozeznanie: jak działa świat cyberbezpieczeństwa i audytu IT

Techniczni łowcy dziur vs analitycy procesów i zgodności

W uproszczeniu, cały ekosystem można rozrysować na dwóch osiach: techniczność oraz nastawienie na proces vs. incydenty. Na jednym końcu są ludzie, którzy „grzebią w bitach”, na drugim ci, którzy upewniają się, że organizacja trzyma się standardów i prawa.

W cyberbezpieczeństwie często używa się pojęć:

  • Red Team – strony ofensywnej (pentesterzy, specjaliści od exploitu, symulacje ataków),
  • Blue Team – strony defensywnej (SOC, inżynierowie bezpieczeństwa, detekcja i reagowanie),
  • Purple Team – połączenia red i blue, wspólna praca nad poprawą detekcji na bazie ofensywnych technik.

Obok tego działa świat audytu IT i compliance, który dba o zgodność z normami, regulacjami, wymaganiami biznesowymi. Te światy coraz bardziej się przenikają, ale wciąż wymagają trochę innych zestawów umiejętności technicznych.

Przykładowy dzień pracy: SOC analyst, junior pentester, początkujący audytor IT

Żeby zobaczyć, gdzie faktycznie przydaje się programowanie, warto przejść przez typowe scenariusze dnia pracy.

SOC Analyst (blue team)

Rano przegląda tablicę alertów w systemie SIEM. Musi:

  • przefiltrować określone zdarzenia po adresach IP, użytkownikach, typie incydentu,
  • napisać lub poprawić zapytanie (często w „pseudojęzyku” danego SIEM, zbliżonym do SQL),
  • wysłać dane do dalszej analizy lub automatycznego playbooka.

Jeśli umie Python lub inny język skryptowy, może:

  • zapisać prosty skrypt, który codziennie wyciąga logi dla konkretnego klienta,
  • przefiltrować zdarzenia według niestandardowych reguł,
  • połączyć API SIEM z systemem ticketowym, by automatycznie zakładać zadania.

Junior pentester (red team)

Dzień zaczyna od rozpoznania (recon): skanuje zakres adresów, sprawdza wersje serwerów, szuka podatnych usług. Korzysta z gotowych narzędzi (np. nmap, Burp, metasploit), ale często:

  • modyfikuje istniejące skrypty (Python, Bash, PowerShell),
  • dopisuje własne małe narzędzia do specyficznych testów,
  • gdy wejdzie na niższy poziom – patrzy w kod C/C++ aplikacji czy modułu, który bada.

Umiejętność programowania jest tu realnym wyróżnikiem: ktoś, kto potrafi napisać własne narzędzie lub exploit, jest dla zespołu o wiele cenniejszy niż osoba ograniczona tylko do klikania w GUI istniejących aplikacji.

Początkujący audytor IT

Audytor zaczyna od zrozumienia systemu: jak wygląda architektura, jakie są kluczowe procesy, jakie dane są krytyczne. Z programowaniem styka się tak, że:

  • musi poprosić o wyciąg danych z systemów (często w SQL),
  • weryfikuje, czy logi zawierają odpowiednie informacje,
  • analizuje próbki danych pod kątem kompletności i jakości.

Jeżeli potrafi napisać proste zapytania SQL i użyć Pythona do analizy danych (np. pandas, csv), może samodzielnie:

  • pobrać dane i policzyć wskaźniki (np. ile kont nieużywanych jest aktywnych),
  • sprawdzić, czy logi zawierają wymagane pola,
  • zbudować raport z wykresami, które trafiają prosto do prezentacji dla zarządu.

Jak często naprawdę pisze się kod, a jak często tylko „dokręca śrubki”

W większości ról entry-level w cyberbezpieczeństwie i audycie IT nie pisze się dużego kodu od zera każdego dnia. Zazwyczaj wygląda to tak:

  • 80% – używanie istniejących narzędzi (skanery, SIEM, systemy GRC, arkusze kalkulacyjne, bazy danych),
  • 15% – dostosowywanie, łączenie, automatyzowanie (proste skrypty, zapytania, drobne poprawki),
  • 5% – tworzenie czegoś bardziej złożonego od podstaw.

Ta proporcja zmienia się wraz ze wzrostem doświadczenia i przechodzeniem w bardziej techniczne role, ale na starcie najczęściej chodzi o ułatwienie sobie życia językiem skryptowym, nie o budowę systemu klasy enterprise.

Dlaczego prosty skrypt często rozwiązuje najwięcej problemów

Wspólny mianownik ról security i audytowych to praca z danymi: logi, konfiguracje, listy użytkowników, incydenty, wyniki testów, wskaźniki ryzyka. Problemem nie jest brak narzędzi, ale:

  • liczba źródeł danych (różne systemy, różne formaty),
  • powtarzalność czynności (ciągle te same kontrole lub zestawienia),
  • konieczność wyciągnięcia z tego konkretnej, biznesowej informacji.

Dlatego pierwszy język do cyberbezpieczeństwa i audytu IT powinien umożliwiać:

  • szybkie łączenie się z API, bazami danych, plikami CSV/Excel,
  • proste filtrowanie, grupowanie i wizualizację danych,
  • uruchamianie automatycznych zadań (np. codzienny raport).

Mini-wniosek: nie każdy w cyberbezpieczeństwie musi być programistą, ale prawie każdy skorzysta z jednego uniwersalnego języka skryptowego, który pozwoli zautomatyzować żmudne zadania i lepiej wyciągać informacje z danych.

Co musi dawać pierwszy język: kryteria wyboru z perspektywy security i audytu

Sito decyzyjne – jak odsiać „fajne” od „praktycznych”

Mnóstwo osób wybiera pierwszy język programowania pod cyberbezpieczeństwo i audyt IT, sugerując się modą: „wszyscy mówią o Rust”, „widziałem memy o JavaScript, to chyba ważny język”. Tymczasem praktyczny wybór można sprowadzić do kilku kryteriów, które działają jak sito decyzyjne.

  • Próg wejścia – jak szybko napiszesz pierwsze proste, przydatne skrypty?
  • Ekosystem security/audit – czy istnieją biblioteki, narzędzia, przykłady pod bezpieczeństwo i audyt?
  • Uniwersalność – czy język przyda się zarówno w SOC, pentestach, jak i w audycie danych?
  • Transferowalność – na ile łatwo później przeskoczysz na inne języki i technologie?
  • „Time to value” – ile czasu minie od pierwszego tutoriala do pierwszego skryptu, który realnie coś usprawni w Twojej pracy?

Kiedy patrzysz na język przez ten pryzmat, część modnych wyborów odpada. Nie dlatego, że są złe, ale dlatego, że na start będą po prostu nieopłacalne względem tego, co robi się w typowych rolach bezpieczeństwa i audytu.

Czytelność i niski próg wejścia: szczególnie ważne dla osób „nietypowo technicznych”

Do cyberbezpieczeństwa i audytu IT wchodzi coraz więcej osób spoza klasycznej informatyki: z finansów, księgowości, controllingu, prawa. Dla nich pierwszy język programowania jest dodatkowym narzędziem, nie głównym zawodem.

Dlatego tak istotne są:

  • czytelna, intuicyjna składnia – żeby nie walczyć z przecinkami, średnikami, nawiasami w każdym wierszu,

    • Dostępność materiałów i społeczności: czy ktoś już rozwiązał Twój problem

    Wyobraź sobie, że siedzisz o 23:00 nad logami z nowego systemu i walczysz z błędem w skrypcie, który ma je łączyć. Menedżer chce rano raport, a Ty szukasz desperacko rozwiązania na forach. W takim momencie nie liczy się „nowoczesność” języka, tylko to, czy ktoś już miał podobny problem i opisał rozwiązanie.

    Dlatego przy pierwszym języku priorytetem jest żywa społeczność i liczba przykładów. Im więcej gotowych snippetów, tutoriali i odpowiedzi na Stack Overflow czy GitHubie, tym szybciej przeskoczysz przez typowe miny:

  • łączenie się z API konkretnego narzędzia SIEM lub EDR,
  • parsowanie niefortunnych formatów logów (dziwne CSV, JSON w JSON-ie, logi tekstowe z niestandardowym separatorami),
  • obsługa autoryzacji, tokenów, proxy, certyfikatów klienta.

W praktyce oznacza to, że pierwszy język nie musi być najnowocześniejszy, ale powinien mieć dużo kodu „pod bezpieczeństwo” i „pod audyt” – skrypty do pracy z logami, z API chmurowymi, z Excelami, z bazami danych. To właśnie ten ekosystem zabiera z Twojej drogi masę przeszkód.

Mini-wniosek: przy wyborze języka pytaj nie tylko „co potrafi”, ale też „ile osób równie zagubionych jak ja już go używa i zostawiło po sobie ślady w sieci”.

Integracje z narzędziami security i audytowymi

Nowicjusze często myślą o języku jak o czymś oderwanym od codziennych narzędzi. Tymczasem w cyberbezpieczeństwie i audycie kluczowe jest, z czym ten język łatwo się dogada. Przykład z życia: SOC ma świetny system SIEM, ale raporty dla klienta trzeba przepisywać do Excela. Ktoś, kto umie spiąć jedno z drugim prostym skryptem, staje się nieformalnym bohaterem zespołu.

Na starcie liczy się, czy język ma wygodne biblioteki do:

  • pracy z API (REST, GraphQL) – większość nowoczesnych systemów bezpieczeństwa i GRC ma API, tylko trzeba umieć po nie sięgnąć,
  • obsługi baz danych (SQL Server, PostgreSQL, Oracle, czasem NoSQL),
  • manipulacji plikami biurowymi (CSV, XLSX, PDF),
  • automatyzacji w systemach operacyjnych (Windows – PowerShell/WinAPI, Linux – Bash/Python, macOS – podobnie).

Jeżeli Twoja rola kręci się wokół chmury, przydaje się też porządne wsparcie dla AWS/Azure/GCP: SDK, gotowe przykłady do pobierania konfiguracji, logów, polityk i ich porównywania z benchmarkami (CIS, NIST).

Mini-wniosek jest twardy: pierwszy język ma sens tylko wtedy, gdy faktycznie da się nim ruszyć Twoje narzędzia. Im mniej „klejenia taśmą”, tym szybciej odczujesz realną korzyść z nauki.

Bezpieczeństwo samego języka – kiedy ma znaczenie na początku

Część osób, zwłaszcza po paru kursach z secure codingu, od razu pyta: „czy ten język jest bezpieczny?”. To słuszne pytanie, ale na samym początku kariery priorytety są inne. Na starcie ważniejsze jest, żebyś rozumiał(a) jak powstają błędy bezpieczeństwa, niż żeby sam język był kryptograficznie nieskazitelny.

Bezpieczny wybór na pierwsze lata oznacza raczej:

  • język z automatycznym zarządzaniem pamięcią (brak manualnych malloc/free),
  • spory nacisk społeczności na dobre praktyki (sanityzacja danych wejściowych, bezpieczne biblioteki kryptograficzne),
  • narzędzia do statycznej analizy, lintingu, testów.

Dopiero później, gdy wchodzisz w exploit development, reversing czy analizę malware’u, wchodzą w grę języki niskopoziomowe, w których brak opieki nad pamięcią jest… pożądany, bo pozwala zrozumieć naturę podatności.

Mini-wniosek: początkujący w bezpieczeństwie rzadko „psuje świat” błędnym kodem produkcyjnym, częściej analizuje skutki cudzych błędów. Pierwszy język ma pomóc zrozumieć te błędy, a niekoniecznie od razu ich unikać na poziomie asemblera.

Kolorowy kod programistyczny na monitorze w kontekście cyberbezpieczeństwa
Źródło: Pexels | Autor: Muhammed Ensar

Python jako domyślny wybór: kiedy ma sens, a kiedy nie wystarczy

Dlaczego tyle osób w security i audycie kończy z Pythonem

Obrazek z biura: analityk SOC, pentester i audytor siedzą przy jednym stole i narzekają na zupełnie różne problemy. Jeden na szum w logach, drugi na nudne ręczne testy formularzy, trzeci na przepisywanie raportów. Każdy z nich ma gdzieś w folderze „scripts” kilka plików .py, które ratują mu dzień.

Python stał się w cyberbezpieczeństwie i audycie czymś w rodzaju „szwajcarskiego scyzoryka” z kilku powodów:

  • ma bardzo niski próg wejścia – kod jest czytelny nawet dla osób po finansach czy prawie,
  • posiada gigantyczny ekosystem bibliotek: od pracy z siecią (requests, scapy), przez dane (pandas), po integracje chmurowe,
  • mnóstwo narzędzi security jest w nim pisanych lub przynajmniej ma interfejsy/SDK dla Pythona,
  • świetnie sprawdza się jako „klej” między różnymi systemami: SIEM, bazy danych, API chmurowe, Excel, systemy ticketowe.

W kontekście pierwszego języka oznacza to, że w relatywnie krótkim czasie możesz napisać skrypt, który:

  • ściągnie logi z SIEM/EDR, przefiltruje je i policzy konkretne metryki,
  • zautomatyzuje prosty recon sieciowy (np. masowy ping, sprawdzenie otwartych portów, analizę banerów usług),
  • połączy wyniki skanu podatności z listą właścicieli systemów z Excela i wygeneruje listę zadań.

Dla początkujących to różnica między „umiem coś napisać” a „mogę realnie skrócić swoją robotę o godzinę dziennie”.

Typowe use case’y Pythona w cyberbezpieczeństwie i audycie IT

Żeby nie mówić ogólnikami, dobrze jest zobaczyć, gdzie Python faktycznie pojawia się w codziennej pracy. Oto kilka scenariuszy, które regularnie przewijają się w zespołach:

  • Automatyzacja zadań SOC – pobieranie incydentów z SIEM, wzbogacanie ich danymi z zewnętrznych baz (GeoIP, reputacja IP, informacje WHOIS) i dopisywanie ich do ticketów,
  • Prosty threat hunting – budowanie ad hoc’owych reguł wyszukiwania anomalii w logach (np. nietypowe godziny logowań, rzadkie kombinacje agent–serwer),
  • Wsparcie pentestów – pisanie małych narzędzi do fuzzingu, customowych payloadów HTTP, sprawdzania misconfiguration w prosty sposób po API,
  • Analiza wyników skanów – łączenie wyplutek z różnych skanerów (nmap, Nessus, OpenVAS) i budowanie z nich jednego raportu technicznego,
  • Audyt dostępu i uprawnień – pobieranie list kont z AD/Azure AD/Okty, porównywanie z HR-owym wykazem pracowników, oznaczanie kont nieaktywnych lub bez właściciela,
  • Kontrole zgodności w chmurze – skrypty, które pobierają konfiguracje z AWS/Azure/GCP i porównują je z zestawem reguł (np. czy wszystkie bucket’y są zaszyfrowane, czy logowanie jest włączone).

Każdy z tych przykładów można zrealizować innym językiem, ale Python łączy przy tym czytelność z ogromem gotowych fragmentów kodu, które można bez wstydu „pożyczyć” i dostosować.

Gdzie Python zaczyna być niewygodny lub zbyt wolny

W pewnym momencie, zwłaszcza gdy wchodzisz w bardzo techniczne obszary, Python przestaje wystarczać. Nie chodzi tylko o wydajność rozumianą jako „milisekundy”, ale też o poziom kontroli nad systemem.

Problemy pojawiają się między innymi, gdy:

  • potrzebujesz pisać moduły jądra, sterowniki lub bardzo wydajne agenty do zbierania telemetryki,
  • tworzysz exploit, który musi precyzyjnie zarządzać pamięcią i rejestrami,
  • analizujesz malware, które działa na bardzo niskim poziomie (hooki w kernelu, rootkity),
  • musisz zintegrować się z istniejącym, legacy kodem w C/C++ lub interfejsami systemowymi dostępnymi wyłącznie w tych językach.

Python bywa też kłopotliwy, gdy:

  • musisz wdrożyć narzędzie na hostach z bardzo ograniczonymi zasobami (wbudowane urządzenia, stare systemy),
  • klient nie chce instalować dodatkowego interpretera lub bibliotek,
  • liczy się minimalny overhead i pełna przewidywalność wydajności (np. w krytycznych komponentach monitoringu).

Mini-wniosek: Python świetnie sprawdza się jako pierwszy język i jako „warstwa automatyzacji” wokół narzędzi niskopoziomowych, ale nie zastąpi w pełni języków systemowych tam, gdzie trzeba zejść naprawdę blisko sprzętu i jądra systemu.

Kiedy Python nie jest najlepszym pierwszym wyborem

Zdarzają się sytuacje, w których postawienie na Pythona jako pierwszy język może nie być najkorzystniejsze. Dotyczy to kilku dość konkretnych scenariuszy kariery.

Możesz rozważyć inny start, jeśli:

  • od początku wiesz, że chcesz iść w kierunku reverse engineeringu, exploit developmentu, low-level security – wtedy szybciej „oswoisz się” z C i asemblerem, a Python może być dodatkiem,
  • interesuje Cię przede wszystkim bezpieczeństwo aplikacji webowych po stronie frontendu – wtedy JavaScript/TypeScript są bardziej naturalnym pierwszym wyborem, a Python staje się narzędziem do backendu i automatyzacji,
  • celujesz głównie w administrację systemami Windows i hardening środowisk AD – tutaj PowerShell jako pierwszy język bywa bardziej praktyczny, bo od razu pracujesz w natywnym środowisku,
  • wchodzisz w audyt IT od strony zaawansowanej analityki danych finansowych – wtedy Python konkuruje mocno z R, a czasem nawet z rozszerzeniami SQL czy narzędziami BI.

W tych przypadkach Python i tak będzie użyteczny, ale niekoniecznie jako pierwszy krok. Czasem lepiej jest zacząć od języka, który jest ściśle związany z Twoim głównym środowiskiem pracy, a Pythona dołożyć, gdy zaczniesz automatyzować szerszy zakres zadań.

Jak sensownie uczyć się Pythona „pod security i audyt”, a nie ogólnie

Najczęstszy błąd początkujących to kursy „Python od zera do bohatera”, w których 80% czasu zajmuje pisanie gier tekstowych i zgadywanek. Taki materiał może być przydatny dla czystych programistów, ale dla osób idących w security i audyt lepiej zadziała nauka oparta na realnych zadaniach.

Praktyczne podejście może wyglądać tak:

  1. Nauczenie się podstaw składni, typów danych, pętli, funkcji – ale od razu na przykładach z logami, CSV, prostymi zapytaniami HTTP.
  2. Przejście na biblioteki przydatne w pracy:
    • requests – do API i integracji z narzędziami SaaS,
    • pandas – do analiz danych z logów, eksportów z systemów,
    • openpyxl/xlrd – do pracy z Excelami, jeśli audyt/biznes tego wymaga,
    • paramiko – do automatyzacji po SSH, jeśli dotykasz infrastruktury.
  3. Zbudowanie kilku małych, ale konkretnych projektów:
    • skrypt, który łączy się z SIEM/API i generuje dzienny raport incydentów,
    • narzędzie do sprawdzania, czy konta z listy HR istnieją w AD/Azure AD i mają poprawne statusy,
    • mały „hunting script” szukający nietypowych wzorców w logach logowań.

Taki sposób nauki od razu osadza język w kontekście zawodowym. Nie uczysz się Pythona „dla Pythona”, tylko jako narzędzia do zmniejszania tarcia w Twojej pracy.

Języki systemowe i niskopoziomowe: C, C++, czasem Rust – kiedy je realnie potrzebujesz

Scenka z życia: dlaczego ktoś w SOC nagle uczy się C

W pewnym zespole SOC od miesięcy używano agenta EDR, który „czasem coś gubił”. Logi z hostów nie zawsze dochodziły, procesy ginęły bez śladu, a vendor rozkładał ręce. Jeden z inżynierów, znudzony czekaniem na poprawki, zaczął sam grzebać w dokumentacji Windows API i kodzie przykładowego agenta… napisanego w C. Po pół roku potrafił już nie tylko zrozumieć, gdzie leży błąd, ale też napisać własny lekki sensor testowy.

Po co w bezpieczeństwie i audycie ten cały „low level”

Podczas przeglądu incydentu ktoś rzucił hasło: „to wygląda jak kernel exploit”. W pokoju zapadła cisza. Trzech analityków umiało świetnie pisać zapytania w SIEM, ale nikt nie czuł się na tyle pewnie w mechanizmach jądra systemu, żeby od ręki ocenić, czy to faktycznie możliwe.

Ten typ sytuacji pokazuje, dlaczego w pewnym momencie ścieżki „security” i „audyt IT” zahaczają o języki systemowe. Chodzi nie tylko o samo programowanie w C czy C++, ale o zrozumienie, co tak naprawdę dzieje się „pod maską”:

  • jak procesy zarządzają pamięcią i wątkami,
  • jak aplikacje komunikują się z jądrem przez syscalle i API,
  • w jaki sposób działają przerwania, obsługa błędów, mechanizmy ochrony pamięci (DEP, ASLR),
  • co faktycznie oznacza „przepełnienie bufora” poza slajdem z prezentacji.

Dla pentestera aplikacji webowych to może być niszowe. Dla osoby, która ocenia bezpieczeństwo agentów, rozwiązań EDR, VPN-ów, sterowników czy systemów przemysłowych – to codzienność.

Mini-wniosek: „Low level” nie jest po to, żeby móc pisać jądro systemu. Jest po to, żeby przestać traktować system operacyjny jak czarne pudełko, którego zachowanie można tylko zgadywać.

Najczęstsze scenariusze, w których C/C++ stają się nieuniknione

Jeśli dzień pracy polega głównie na Excelu i narzędziach chmurowych, kontakt z C może wydawać się odległy. Są jednak obszary, gdzie bez tego kroku trudno awansować dalej.

  • Reverse engineering i analiza malware’u – większość poważniejszych szkodników, loaderów, dropperów jest pisana w C/C++ (czasem z domieszką asemblera). Umiejętność czytania takiego kodu i rozumienia, jak korzysta z API systemowego, jest kluczowa przy:
    • analizie zachowania malware’u bez polegania wyłącznie na sandboxie,
    • budowaniu sygnatur opartych na zachowaniu, a nie tylko hashach plików,
    • ocenie, jak łatwo daną rodzinę oprogramowania da się zmodyfikować lub ukryć.
  • Exploit development i testy odporności – przy pisaniu proof-of-conceptów dla podatności typu buffer overflow, use-after-free, format string vulnerabilities:
    • trafiasz na fragmenty kodu w C, które trzeba „rozbroić”,
    • musisz zrozumieć layout stosu i sterty w danej implementacji kompilatora,
    • łatasz lub demonstracyjnie modyfikujesz istniejące programy.
  • Tworzenie i ocena agentów bezpieczeństwa – EDR, antywirusy, agenty monitoringu, moduły do zbierania logów często działają jako:
    • usługi systemowe pisane w C/C++,
    • moduły jądra (sterowniki) na Windowsie lub moduły kernela na Linuksie,
    • komponenty integrujące się bezpośrednio z API systemu plików, sieci, procesów.
  • Bezpieczeństwo systemów wbudowanych i IoT – routery, kontrolery PLC, czujniki przemysłowe, kamery IP:
    • zwykle korzystają z bardzo okrojonych systemów (mini-Linux, RTOS),
    • mają ograniczoną pamięć i CPU, więc Python bywa zbyt „ciężki”,
    • oprogramowanie firmware jest w ogromnej części tworzone w C.
  • Audyt bezpieczeństwa systemów krytycznych – obszary takie jak energetyka, medycyna, transport:
    • mają aplikacje i biblioteki rozwijane przez lata w C/C++,
    • często bazują na legacy kodzie nieposiadającym nowoczesnych zabezpieczeń,
    • wymagają zrozumienia, czy proponowane zmiany nie „zabiją” wydajności lub stabilności.

Mini-wniosek: jeżeli Twoja praca kręci się wokół aplikacji bliskich sprzętowi, firmware’u i rozwiązań „agentowych”, spotkanie z C/C++ to nie kwestia „czy”, tylko „kiedy”.

Co konkretnie daje Ci nauka C w kontekście security

Wielu osobom C kojarzy się z archaicznym językiem z wykładów akademickich. Z perspektywy bezpieczeństwa i audytu daje kilka bardzo praktycznych klocków, które później „widzi się” wszędzie.

  • Zrozumienie zarządzania pamięcią – wskaźniki, stos, sterta, ręczne alokowanie i zwalnianie pamięci:
    • szybko zaczynasz widzieć, gdzie może dojść do przepełnienia bufora,
    • rozpoznajesz błędy typu use-after-free i double free nie tylko w teorii,
    • łatwiej analizujesz raporty z narzędzi typu AddressSanitizer czy Valgrind.
  • Bliskość API systemowego – w C bardzo często odwołujesz się bezpośrednio do funkcji systemowych:
    • na Windowsie: CreateProcess, VirtualAlloc, ReadProcessMemory,
    • na Linuksie: open, read, write, fork, execve, socket.

    Dla analityka malware’u lub inżyniera SOC te nazwy przestają być magią w logach – wiesz, co oznaczają i jakie ryzyko ze sobą niosą.

  • Solidne podstawy do rozumienia asemblera – debugując exploit lub szkodliwy kod, często lądujesz w widoku instrukcji maszynowych. C jest naturalnym „mostem” między wysokopoziomową logiką a tym, co widzisz w debuggerze.
  • Lepsza ocena ryzyka technicznego – czytając fragment kodu w C w aplikacji, którą audytujesz, jesteś w stanie:
    • realistycznie ocenić, jak trudne jest wykorzystanie danej podatności,
    • oszacować, czy poprawka faktycznie zamyka lukę, czy tylko ją maskuje,
    • wyłapać dodatkowe błędy bezpieczeństwa, których nie pokazał skaner.

Mini-wniosek: C to nie jest „język do jakichś sterowników”, tylko okulary, przez które nagle widać, skąd biorą się całe klasy podatności i dlaczego nie znikną tylko dlatego, że ktoś użył frameworka.

C++ w bezpieczeństwie: kiedy kod obiektowy naprawdę ma znaczenie

W jednym z projektów oceny bezpieczeństwa produktu EDR okazało się, że główny silnik detekcji jest napisany w C++, z intensywnym użyciem szablonów i programowania obiektowego. Analitycy, którzy zatrzymali się na czystym C, czytali ten kod jak literaturę w obcym języku – rozumieli pojedyncze słowa, ale nie widzieli sensu całości.

C++ do bezpieczeństwa przydaje się zwłaszcza wtedy, gdy:

  • audytujesz większe projekty typu endpoint security, VPN, proxy – wiele komercyjnych produktów korzysta z C++ ze względu na wydajność i lepszą strukturę projektu,
  • analizujesz malware o wyższym stopniu złożoności – z klasami, dziedziczeniem, wirtualnymi metodami, które utrudniają śledzenie przepływu wykonania,
  • uczestniczysz w rozwoju własnych narzędzi bezpieczeństwa – np. szybkich skanerów, agentów, brokerów komunikacyjnych.

Nie zawsze potrzebujesz całej głębi C++ (szablony metaprogramujące, zaawansowane wzorce projektowe). W praktyce bezpieczeństwa dużo daje:

  • rozumienie klas, dziedziczenia i polimorfizmu – czyli jak różne komponenty współpracują,
  • świadomość kosztów dynamicznej alokacji pamięci i obsługi wyjątków,
  • umiejętność pracy z bibliotekami standardowymi (STL), kontenerami, iteratorami.

Mini-wniosek: jeżeli Twoje zadania zahaczają o analizę dużych, komercyjnych narzędzi bezpieczeństwa lub chcesz w nich współtworzyć kod, C++ staje się naturalnym rozwinięciem C, a nie zupełnie osobnym światem.

Rust – moda czy realne narzędzie w arsenale security?

W jednym z projektów hardeningu infrastruktury sieciowej wyszło, że firma planuje pisać nowe komponenty proxy w Ruście. Starsi inżynierowie byli sceptyczni („kolejny modny język”), ale po pierwszych testach okazało się, że liczba typowych błędów pamięci spadła praktycznie do zera, zanim kod trafił na testy bezpieczeństwa.

Rust pojawia się coraz częściej w kontekście bezpieczeństwa, bo:

  • łączy wydajność zbliżoną do C/C++ z silnym systemem typów i zarządzaniem pamięcią bez garbage collectora,
  • wymusza bezpieczne wzorce pracy z pamięcią – wiele klas błędów jest po prostu niemożliwa do zapisania w kompilującym się kodzie,
  • ma coraz bogatszy ekosystem narzędzi, w tym związanych z kryptografią, siecią, parsowaniem protokołów.

Gdzie Rust ma sens jako język „pod security”:

  • nowe narzędzia linii komend i skanery – lekkie, szybkie, łatwe w dystrybucji jako pojedyncze binarki,
  • komponenty wymagające wysokiej odporności na błędy pamięci – np. parsowanie nieufnych danych sieciowych, protokoły binarne, parsery plików,
  • projekty open source nastawione na bezpieczeństwo – część nowych bibliotek kryptograficznych, serwerów proxy, tuneli VPN powstaje w Ruście.

Trzeba jednak dodać łyżkę dziegciu:

  • krzywa uczenia Rusta jest wyraźnie bardziej stroma niż w przypadku Pythona czy nawet C,
  • wciąż mniej kodu legacy jest w Ruście, więc rzadziej potrzebujesz go do analizy, częściej do nowych implementacji,
  • na wielu stanowiskach „Rust w security” to nadal przewaga konkurencyjna, a nie absolutny wymóg.

Mini-wniosek: jeśli budujesz narzędzia od zera i zależy Ci na bezpieczeństwie pamięci bez utraty wydajności, Rust to sensowny wybór. Jako pierwszy język do wejścia w security bywa jednak zbyt ciężki – lepiej traktować go jako etap „2.0” po opanowaniu podstaw w Pythonie i/lub C.

Jak podejść do nauki C/C++ bez utopienia się w szczegółach

Podczas jednego z wewnętrznych szkoleń inżynier SOC powiedział: „Próbowałem uczyć się C z klasycznego podręcznika i utknąłem na wskaźnikach do funkcji w trzecim tygodniu”. Problem nie był w braku zdolności, tylko w tym, że materiał był kompletnie oderwany od zadań, które wykonuje na co dzień.

Bardziej sensowne podejście polega na skupieniu się tylko na tym, co naprawdę przełoży się na Twoją pracę:

  1. Najpierw mechanika podstaw – prosty kod konsolowy, ale z naciskiem na:
    • tablice i wskaźniki (adresy, dereferencja, wskaźniki na tablice),
    • podział pamięci na stos i stertę (malloc/free, new/delete w C++),
    • operacje na łańcuchach znaków, funkcje biblioteki standardowej (strcpy, strncpy, strcat, snprintf).
  2. Potem małe projekty „podszyte” security:
    • mini-serwer TCP/UDP nasłuchujący na porcie i logujący dane – świetny materiał do ćwiczeń z parsowania wejścia,
    • prosty parser własnego formatu pliku, który później świadomie „psujesz”, aby zobaczyć, gdzie łatwo o przepełnienie,
    • klient API korzystający bezpośrednio z gniazd (bez wysokopoziomowych bibliotek).
  3. Następnie rozsądna dawka praktyki z narzędziami:
    • kompilator (gcc/clang, MSVC) z różnymi flagami bezpieczeństwa (-fstack-protector, -D_FORTIFY_SOURCE itp.),
    • debugger (gdb, lldb, WinDbg) – podstawowe komendy, śledzenie stosu, podgląd pamięci,
    • proste testy z użyciem sanitizerów i narzędzi do analizy pamięci.
  4. Na końcu dopiero głębszy C++ – klasy, RAII (Resource Acquisition Is Initialization), podstawowe kontenery STL, wyłuskiwanie i logika wyjątków.

Ważne, żeby każdy krok wiązać z realną sytuacją, którą widzisz w pracy: log z EDR, raport z testów penetracyjnych, fragment kodu z aplikacji audytowanej. Wtedy „sucha teoria” nagle podpina się pod konkretny problem.

Mini-wniosek: C/C++ nie muszą być studiami drugiego kierunku. W kontekście bezpieczeństwa bardziej liczy się umiejętność czytania i lekka modyfikacja istniejącego kodu niż pisanie wielkich systemów od zera.

Kiedy w karierze faktycznie przychodzi moment na C/C++/Rust

Nowa osoba w zespole, która przyszła z działu audytu finansowego, zapytała: „Czy ja muszę nauczyć się C, żeby być dobra w cyberbezpieczeństwie?”. Odpowiedź była szczera: „Nie od razu. Ale jeśli za kilka lat będziesz celować w bardziej techniczne stanowiska, prędzej czy później do tego dojdziesz”.

Ten „moment” zwykle pojawia się, gdy:

Najczęściej zadawane pytania (FAQ)

Jaki pierwszy język programowania wybrać do cyberbezpieczeństwa i audytu IT?

Typowy scenariusz: odpalasz kilka forów, każdy poleca coś innego, a Ty dalej nie wiesz, od czego zacząć. Kluczowe pytanie nie brzmi „jaki język jest najlepszy”, tylko „do jakiej roli chcę wejść w security/audyt?”.

W większości przypadków najbezpieczniejszym startem jest Python – szybko daje efekty, świetnie nadaje się do automatyzacji, analizy logów, pracy z API i prototypowania narzędzi. Jeżeli myślisz bardziej o audycie IT, SOC lub GRC, do Pythona koniecznie dołóż SQL (lub język zapytań konkretnego SIEM), bo bez tego trudno będzie pracować z danymi i logami.

Czy muszę umieć programować, żeby zacząć karierę w cyberbezpieczeństwie?

Wiele osób startuje w security od certyfikatów i konfiguracji narzędzi, omijając kod szerokim łukiem. To działa na samym początku, ale bardzo szybko dochodzisz do ściany: nie jesteś w stanie samodzielnie przetworzyć danych, zautomatyzować zadań ani zrozumieć do końca narzędzi, z których korzystasz.

Do ról typu pentester, malware analyst czy threat hunter programowanie jest faktycznym „must have”. W SOC, audycie IT czy GRC możesz zacząć z minimalną znajomością kodu, ale umiejętność czytania skryptów, prostego ich modyfikowania i pisania krótkich automatyzacji szybko staje się przewagą konkurencyjną nad osobami, które tylko „klikają w narzędzia”.

Jaki język programowania jest najlepszy dla pentestera / Red Teamu?

Początkujący pentester zwykle zaczyna od gotowych narzędzi, ale szybko dochodzi do momentu, w którym trzeba coś zmodyfikować lub dopisać. Tu sprawdza się kombinacja: Python (skrypty, automatyzacja, własne narzędzia), Bash/PowerShell (praca na systemach Linux/Windows) oraz podstawy C/C++ do zrozumienia niższego poziomu i exploitów.

Dobry model jest prosty: najpierw mocny Python i skrypty powłoki (Bash/PowerShell), później – gdy zaczynasz wchodzić w analizy binarne, exploity czy reverse engineering – dokładanie C/C++. Daje to elastyczność: umiesz zarówno szybko „sklecić” narzędzie pod klienta, jak i wejść głębiej w to, jak działa aplikacja, którą atakujesz.

Jaki język przyda się w SOC (Security Operations Center)?

Typowy SOC-owiec większość dnia spędza w SIEM, filtrując alerty i logi. Kluczowe narzędzie to język zapytań danego systemu (np. coś zbliżonego do SQL lub KQL w Microsoft Sentinel), bo od tego zależy, czy wyłapiesz właściwe zdarzenia czy utoniesz w szumie.

Do tego dochodzi lekki, praktyczny język skryptowy – najczęściej Python – żeby:

  • automatycznie wyciągać i filtrować logi,
  • łączyć się z API (SIEM, system ticketowy, skaner podatności),
  • budować proste playbooki automatyzujące powtarzalne czynności.

    • Krótko: język zapytań SIEM + Python dają zestaw, który realnie przyspiesza pracę w SOC i pozwala wyjść poza „ręczne klikanie”.

Czy w audycie IT i GRC programowanie w ogóle ma sens?

Na pierwszy rzut oka audytor IT i specjalista GRC siedzą głównie w dokumentach, regulacjach i procedurach. W praktyce coraz częściej muszą podeprzeć się twardymi danymi: logami, zrzutami z systemów, raportami z narzędzi bezpieczeństwa.

W audycie IT i GRC najbardziej przydaje się:

  • SQL lub język zapytań raportowych – do pobierania danych z systemów,
  • proste skrypty (np. Python) – do czyszczenia, łączenia i analizy dużych zestawów danych,
  • rozumienie kodu – żeby ocenić, czy prezentowane przez IT „dowody z systemów” faktycznie pokazują to, co powinny.

    • Dzięki temu audytor nie jest zdany wyłącznie na łaskę zespołu IT i potrafi samodzielnie zweryfikować część kluczowych założeń.

Czy na start lepiej uczyć się „prawdziwego” programowania jak developer, czy traktować kod jako narzędzie?

Osoba wchodząca do security często ma pokusę, żeby najpierw „nauczyć się programować porządnie jak dev”, a dopiero potem iść w bezpieczeństwo. Problem w tym, że może to zająć lata i nie zawsze jest potrzebne na pierwszym etapie.

Dużo lepsze efekty daje podejście: „programowanie jako śrubokręt”. Uczysz się tyle, ile trzeba, żeby:

  • zrozumieć i lekko modyfikować cudze skrypty,
  • napisać własne małe automatyzacje i filtry do danych,
  • sprawnie korzystać z API i narzędzi w ekosystemie security/audytu.

    • Jeśli później stwierdzisz, że chcesz tworzyć większe narzędzia albo wejść w development, wtedy dokładanie „pełnego” warsztatu developerskiego ma już konkretny sens i kontekst.

Jak szybko sprawdzić, czy dany język programowania przyda mi się w wybranej roli?

Dobry test wygląda prosto: znajdź kilka ogłoszeń o pracę na stanowisko, które Cię interesuje (SOC, pentester, audytor IT, GRC) i zobacz, przy jakich technologiach ten język rzeczywiście występuje. Jeśli w większości ofert pojawia się Python i język zapytań do logów, a C tylko w bardzo specjalistycznych rolach, masz jasny sygnał, od czego zacząć.

Drugi krok to spojrzenie na typowe zadania w tej roli i zadanie sobie pytania: „Czy tym językiem da się je zautomatyzować lub ułatwić?”. Jeśli odpowiedź kilka razy z rzędu brzmi „tak” – to dobry kandydat na pierwszy język. Jeśli nie – może to język „fajny”, ale niekoniecznie praktyczny na start w Twojej ścieżce.

Co warto zapamiętać

  • Chaos porad („ucz się C”, „tylko Python”, „rób certyfikaty”) wynika z tego, że każdy doradza ze swojej perspektywy zawodowej, więc bez określenia kierunku (red/blue/audyt/GRC) trudno dostać sensowną rekomendację języka.
  • Różne role w cyberbezpieczeństwie i audycie IT zupełnie inaczej korzystają z kodu: SOC i analitycy bezpieczeństwa piszą głównie skrypty i zapytania, pentesterzy tworzą i modyfikują narzędzia, a audytorzy i GRC częściej wyciągają dane (SQL, arkusze, proste automatyzacje).
  • Większość osób w security nie programuje „jak developer” – nie buduje dużych aplikacji, tylko używa kodu jak narzędzia: do analizy logów, klejenia narzędzi, automatyzacji powtarzalnych czynności czy obróbki wyników skanów.
  • W wielu rolach wystarczy umiejętność czytania i lekkiej modyfikacji istniejących skryptów (zmiana kilku linii, parametrów, ścieżek, formatu danych), a pełne pisanie narzędzi od zera jest kluczowe głównie w ofensywie (pentest, malware, threat research).
  • Przy wyborze pierwszego języka ważniejsza jest szybkość wejścia w praktyczne użycie (automatyzacja, analityka, integracje) niż „moc” do budowania złożonych systemów, bo w codziennej pracy kod ma rozwiązywać konkretne problemy, a nie być celem samym w sobie.

Co jeszcze warto przeczytać: