Start w Cyber
Ekspert Start w Cyber

Michał Bednarczyk

Blue Team | Detekcja zagrożeń | Wazuh | Homelab | Cyberbezpieczeństwo praktyczne. Michał pokazuje, że rozwój w cyberbezpieczeństwie opiera się na praktyce, cierpliwości, konsekwencji i realnym budowaniu własnych umiejętności.

Blue Team Wazuh Detekcja zagrożeń Homelab Praktyka
Wróć do ekspertów LinkedIn

O ekspercie

Michał Bednarczyk od lat rozwija się w obszarze technologii i cyberbezpieczeństwa, a jego droga do branży zaczęła się od zwykłej ciekawości: rozbierania komputerów, poznawania ich budowy i samodzielnego rozwiązywania problemów technicznych.

Świadomą naukę cyberbezpieczeństwa rozpoczął w 2020 roku. Od początku szczególnie interesował go Blue Team, dlatego konsekwentnie rozwijał się w kierunku działań defensywnych, analizy zagrożeń, budowania detekcji i praktycznej pracy z narzędziami bezpieczeństwa.

W swojej codziennej pracy skupia się na analizie alertów, wykrywaniu zagrożeń, tworzeniu reguł detekcji oraz konfiguracji i rozwijaniu środowisk monitorowania bezpieczeństwa. Szczególnie bliski jest mu ekosystem Wazuh, z którym jest związany również edukacyjnie jako ambasador tego rozwiązania.

Dużą wagę przywiązuje do nauki praktycznej. Rozwija własny homelab, korzysta z platform takich jak TryHackMe, LetsDefend, CyberDefenders czy Hack The Box i pokazuje, że wejście do cyber wymaga cierpliwości, konsekwencji oraz realnego działania, a nie wyłącznie teorii.

Rozmowa z Michałem

Poniżej znajdziesz pełną rozmowę z Michałem o początku drogi w cyberbezpieczeństwie, Blue Teamie, nauce praktycznej, homelabie, narzędziach, AI oraz rozwoju w branży.

BIO

Kilka słów o sobie

Ze światem szeroko pojętych technologii i komputerów jestem związany już od ponad 17 lat. Gdy miałem 9 lat, zacząłem interesować się tym, jak zbudowany jest komputer, z jakich podzespołów się składa, i już wtedy sam zacząłem przy nim "grzebać" — lubiłem go rozbierać i składać na nowo. Sprawiało mi to ogromną frajdę. Jeśli coś nie działało, próbowałem samodzielnie robić troubleshooting — to były moje początki.

Naukę szeroko pojętego cyberbezpieczeństwa rozpocząłem w 2020 roku, w czasie pandemii. Był to moment, w którym po ukończeniu technikum o profilu informatycznym, a jeszcze przed rozpoczęciem studiów, podjąłem decyzję, że chcę iść właśnie w kierunku cyberbezpieczeństwa. Od początku najbardziej interesowała mnie ścieżka defensywna, czyli Blue Team, dlatego to na niej skupiłem największą uwagę.

Naukę zacząłem od rozwiązywania zadań na platformie TryHackMe oraz od korzystania z różnych kanałów na YouTubie, takich jak Kacper Szurek, Sekurak, Mateusz Chrobok, NetworkChuck czy David Bombal. Po pewnym czasie zbudowałem również własny homelab do nauki i do dziś uważam, że jest to świetny sposób na rozwijanie praktycznych umiejętności — zarówno w obszarze Blue Teamu, jak i Red Teamu.

Na co dzień pracuję jako analityk cyberbezpieczeństwa i specjalizuję się w detekcji zagrożeń, tworzeniu reguł detekcji oraz konfiguracji i zarządzaniu systemami monitorowania bezpieczeństwa — w szczególności Wazuh. Jestem również ambasadorem systemu Wazuh i w wolnych chwilach tworzę materiały edukacyjne dotyczące jego konfiguracji i zarządzania.

Poza pracą uczestniczę w wydarzeniach motoryzacyjnych, organizowałem również eventy motoryzacyjne i regularnie trenuję na siłowni. Jestem ogromnym fanem motoryzacji i treningu siłowego.

1. Rozgrzewka

Jaki był Twój pierwszy komputer i do czego najczęściej go używałeś?

Mój pierwszy komputer, o ile dobrze pamiętam, pojawił się, gdy miałem 8 lat. Był to komputer stacjonarny, wyposażony jeszcze w słynną stację dyskietek. Uciągnął między innymi takie tytuły jak "Star Wars Jedi Knight 2". Pamiętam, że była to moja ulubiona gra i przeszedłem ją co najmniej kilka razy. Byłem wtedy ogromnym fanem Star Wars i w zasadzie zostało mi to do dziś.

Pamiętasz moment, kiedy technologia albo internet naprawdę Cię wciągnęły?

Tak, bardzo dobrze pamiętam ten moment. Miałem wtedy 9 lat i właśnie w tym wieku zacząłem interesować się technologią. Najbardziej fascynowało mnie to, jak zbudowany jest komputer, z jakich komponentów się składa i jak one działają. Można więc powiedzieć, że swoją przygodę z technologią zacząłem od warstwy sprzętowej.

Czy od początku wiedziałeś, że chcesz iść w stronę IT lub cyberbezpieczeństwa, czy ta droga pojawiła się później?

Już jako nastolatek, mając około 15–16 lat, wiedziałem, że chcę iść w stronę branży IT. Nie wiedziałem jednak jeszcze, jaką specjalizację wybiorę. Dopiero w 2020 roku, w czasie pandemii, podjąłem decyzję, że chcę rozwijać się właśnie w cyberbezpieczeństwie.

2. Droga do cyberbezpieczeństwa

Jak wyglądała Twoja droga do branży cyberbezpieczeństwa?

Moja droga do cyberbezpieczeństwa zaczęła się w 2020 roku. Wtedy podjąłem decyzję, że chcę się uczyć właśnie tego obszaru i rozwijać się w tym kierunku. Miałem już jednak zbudowane fundamenty, ponieważ ukończyłem technikum o profilu informatycznym, więc posiadałem podstawową wiedzę na temat działania systemów operacyjnych, sieci komputerowych i podobnych zagadnień.

Naukę rozpocząłem od rozwijania swoich umiejętności na platformach takich jak TryHackMe oraz LetsDefend. Na TryHackMe znajduje się bardzo dużo zadań z różnych obszarów — zarówno Blue Team, jak i Red Team. Z kolei LetsDefend jest mocniej nastawione na działania defensywne, więc szczególnie dobrze wpisywało się w kierunek, który mnie interesował.

Spędziłem też wiele godzin na nauce z YouTube'a. Oglądałem sporo kanałów poświęconych cyberbezpieczeństwu, między innymi Kacpra Szurka, Mateusza Chroboka, SekurakTV, NetworkChucka, Davida Bombala czy Johna Hammonda. Oczywiście tych źródeł było znacznie więcej, ale wymieniłem te, które szczególnie dobrze wspominam.

Po około trzech latach nauki zdecydowałem się na zakup pierwszego międzynarodowego kursu certyfikującego — BTL1 (Blue Team Level One). To podstawowy certyfikat oferowany przez Security Blue Team, skierowany do początkujących analityków SOC i skupiony na praktycznych aspektach cyberbezpieczeństwa defensywnego. Obejmuje sześć kluczowych obszarów: podstawy bezpieczeństwa, analizę phishingu, threat intelligence, digital forensics, pracę z SIEM oraz reagowanie na incydenty.

Egzamin zdałem, jeśli dobrze pamiętam, na 95%, co dało mi ogromny zastrzyk motywacji do dalszej pracy. W moim przypadku regularna nauka i konsekwencja przyniosły naprawdę dobre efekty.

Co było dla Ciebie najtrudniejsze na początku kariery?

Dużym wyzwaniem było dla mnie wybranie odpowiedniej ścieżki nauki, czyli zdecydowanie, z jakich konkretnych źródeł czerpać wiedzę i w którą stronę chcę pójść — bardziej defensywną czy ofensywną. Na początku byłem też trochę przytłoczony ogromem wiedzy, którą wydawało mi się, że muszę przyswoić.

Wydaje mi się, że to bardzo częsty problem u osób, które chcą wejść w świat cyberbezpieczeństwa. Tego materiału do nauczenia się jest naprawdę sporo, ale to nie jest sprint ani wyścig. To raczej długi spacer albo maraton. Nie trzeba się spieszyć — warto uczyć się spokojnie, swoim tempem, regularnie rozwijając zarówno wiedzę teoretyczną, jak i praktyczne umiejętności.

Czy był jakiś moment, projekt albo wydarzenie, które mocno przyspieszyło Twój rozwój w branży?

Tak, zdecydowanie takim momentem było pomyślne ukończenie mojej pierwszej międzynarodowej certyfikacji BTL1 — Blue Team Level One.

Podczas kursu przygotowującego do egzaminu zdobyłem bardzo dużo praktycznych umiejętności, a sam egzamin pozwolił mi sprawdzić się w realnych zadaniach, ponieważ był w pełni praktyczny.

Uważam, że warto robić różnego rodzaju certyfikacje, ponieważ mogą one realnie przyczynić się do rozwoju danej osoby. Wielu pracodawców patrzy też pozytywnie na kandydatów, którzy posiadają certyfikaty, bo to pokazuje, że taka osoba się rozwija i ma w sobie głód zdobywania wiedzy.

3. Praca w cyber

Jak wygląda typowy dzień pracy w Twojej roli?

Na co dzień analizuję różnego rodzaju alerty bezpieczeństwa, klasyfikuję je jako false positive, true positive, false negative lub true negative, a także zajmuję się konfiguracją oraz rozwijaniem systemów monitorowania bezpieczeństwa i IDS. Tworzę również reguły detekcji. W tej roli naprawdę nie ma nudy — zawsze jest coś do zrobienia.

Co w tej pracy jest najbardziej wymagające, a co daje największą satysfakcję?

Z pewnością jednym z najbardziej wymagających aspektów jest administracja systemami monitorowania bezpieczeństwa, ponieważ są to rozwiązania bardzo rozbudowane pod względem funkcjonalności, architektury i sposobu działania. Odpowiednie skonfigurowanie takiego systemu pod potrzeby konkretnej organizacji jest zazwyczaj dość długim procesem. Obejmuje między innymi dobranie odpowiednich zasobów serwera, tworzenie i dostosowywanie reguł detekcji do konkretnego środowiska, budowę własnych dashboardów, konfigurację kanałów Syslog oraz instalację agentów.

Największą satysfakcję daje mi moment, w którym taki system zostaje poprawnie wdrożony i po czasie działa stabilnie oraz skutecznie. Jeszcze większą satysfakcję daje mi jednak dobrze przeprowadzona analiza incydentu bezpieczeństwa, ponieważ jest to zwykle dłuższy i wymagający proces. Kiedy taka analiza kończy się sukcesem, satysfakcja jest naprawdę duża.

Jakie umiejętności Twoim zdaniem są najbardziej niedoceniane w cyberbezpieczeństwie?

Moim zdaniem jedną z najbardziej niedocenianych umiejętności jest dobra komunikacja z innymi działami w firmie oraz ze współpracownikami. To na tyle złożona branża, że trzeba umieć rozmawiać z ludźmi, jasno tłumaczyć problemy i być otwartym na współpracę.

Taka umiejętność bardzo pomaga przy rozwiązywaniu skomplikowanych problemów technicznych. W praktyce właśnie komunikacja i umiejętność pracy zespołowej często okazują się równie ważne jak wiedza techniczna.

4. Warsztat i rozwój

Jakie narzędzia lub technologie są dziś najważniejsze w Twojej codziennej pracy?

W codziennej pracy korzystam z wielu rozwiązań, ale do tych najbardziej przydatnych i najczęściej używanych należą między innymi: Wireshark, Zui, Event Log Explorer, VirusTotal, AbuseIPDB, MXToolbox, Whois Lookup, pakiet Sysinternals od Microsoftu oraz narzędzia NirSoft.

Nie ukrywam też, że czasami korzystam z różnych modeli AI jako wsparcia przy rozwiązywaniu bardziej złożonych problemów technicznych. Uważam, że skoro żyjemy w czasach, w których AI rozwija się bardzo dynamicznie i mamy do niego dostęp, to warto się go uczyć i korzystać z niego rozsądnie jako z dodatkowego narzędzia.

Czy masz swój homelab lub środowisko do eksperymentów?

Tak, jak najbardziej mam własny homelab, chociaż na ten moment nie jest on jeszcze bardzo skomplikowany. Opieram go głównie na maszynach wirtualnych. Pracuję tam przede wszystkim na dystrybucjach Ubuntu Linux, Kali Purple oraz na różnych systemach Windows — 10, 11 i Windows Server.

Jakie projekty lub ćwiczenia poleciłbyś osobom, które chcą rozwijać się praktycznie w cyberbezpieczeństwie?

Przede wszystkim polecam ćwiczenia praktyczne połączone z teorią na platformach takich jak TryHackMe, LetsDefend, CyberDefenders oraz Hack The Box. Hack The Box będzie lepszym wyborem dla osób, które mają już podstawową wiedzę, więc to raczej etap na trochę później.

Jeśli ktoś chce rozwijać się praktycznie, to właśnie regularne rozwiązywanie zadań, budowanie własnego środowiska i sprawdzanie się na realnych scenariuszach daje bardzo dużo.

5. Przyszłość cyber

Jak Twoim zdaniem AI wpłynie na cyberbezpieczeństwo w najbliższych latach?

Technologia AI rozwija się bardzo dynamicznie i myślę, że za kilka lat wiele czynności będzie mocno zautomatyzowanych. Może to dotyczyć zarówno działań po stronie atakujących, na przykład automatyzacji wybranych etapów ataku czy testów penetracyjnych, jak i strony defensywnej — chociażby automatyzacji reakcji na incydenty bezpieczeństwa.

Piszę o tym dość ogólnie, bo trudno precyzyjnie przewidzieć, jak dokładnie będzie to wyglądało za kilka lat. Widać jednak wyraźnie, że zmierzamy w kierunku automatyzacji wielu zadań, które wcześniej musiał wykonywać ręcznie człowiek.

Jakie kompetencje będą Twoim zdaniem najbardziej potrzebne w branży za 5–10 lat?

Patrząc na bardzo dynamiczny rozwój AI, na pewno ważną kompetencją będzie szeroko rozumiana umiejętność korzystania z tej technologii — od dobrego pisania promptów, przez dobór odpowiednich modeli, aż po ich praktyczne wykorzystanie.

Równie ważne pozostaną jednak umiejętność pracy zespołowej i komunikatywność. Technologia będzie się zmieniać, ale kompetencje miękkie nadal będą miały bardzo duże znaczenie.

6. Perspektywa eksperta

Czy jest jakaś rzecz w cyberbezpieczeństwie, w którą wierzyłeś na początku swojej kariery, a dziś patrzysz na nią zupełnie inaczej?

Na początku kariery żyłem w przekonaniu, że rozwiązywanie problemów technicznych w cyberbezpieczeństwie jest stosunkowo proste i szybkie. Bardzo się myliłem. Kiedy przyszło mi mierzyć się z bardziej wymagającymi zagadnieniami, zdarzało się, że poświęcałem osiem godzin albo nawet więcej na sam troubleshooting i znalezienie właściwego rozwiązania.

Z drugiej strony właśnie to jest w tym bardzo wartościowe — rozwiązując takie problemy, uczysz się ogromnie dużo i w przyszłości znacznie lepiej radzisz sobie z podobnymi sytuacjami.

Jaka sytuacja zawodowa nauczyła Cię najwięcej o cyberbezpieczeństwie – nawet jeśli była trudna albo stresująca?

Bardzo dużo nauczyłem się podczas wdrożeń systemów monitorowania w różnych organizacjach. To były sytuacje, w których musiałem radzić sobie nie tylko z aspektami technicznymi, ale także ze stresem i presją. Nadal bywa to dla mnie wyzwaniem, ale właśnie takie doświadczenia uczą najwięcej.

Jeśli chodzi stricte o kompetencje techniczne, to dzięki tym wdrożeniom bardzo dobrze rozwinąłem znajomość wielu komend linuksowych, bo nieraz musiałem porządnie "pogrzebać" w różnych dystrybucjach Linuksa.

Co Twoim zdaniem najbardziej odróżnia naprawdę dobrych specjalistów cyberbezpieczeństwa od reszty branży?

Uważam, że dobry specjalista to przede wszystkim praktyk, który przeszedł przez wiele różnych sytuacji zawodowych, pracował z wieloma narzędziami i jednocześnie naprawdę pasjonuje się tym, co robi.

Mam wrażenie, że osoby, które autentycznie lubią swoją pracę i rozwijają się w cyber także z własnej ciekawości, prędzej czy później osiągają bardzo dobre rezultaty. To właśnie z nich często wyrastają świetni specjaliści i mentorzy dla innych.

7. Rady dla początkujących

Gdybyś miał dziś zaczynać od zera, jak wyglądałyby Twoje pierwsze miesiące nauki cyberbezpieczeństwa?

Zacząłbym od platformy TryHackMe. Wspominałem już o niej kilkukrotnie i nie bez powodu. To naprawdę świetne źródło wiedzy do rozwijania i poszerzania umiejętności z zakresu cyberbezpieczeństwa. Znajdziesz tam ćwiczenia zarówno z zakresu Blue Team, Red Team, jak i Purple Team.

Oprócz rozwiązywania zadań na TryHackMe polecałbym również korzystanie z YouTube'a jako dodatkowego źródła wiedzy. Z polskich kanałów mogę śmiało polecić SekurakTV, Niebezpiecznik, Zaufaną Trzecią Stronę, Mateusza Chroboka oraz Kacpra Szurka.

Z anglojęzycznych źródeł bardzo polecam Johna Hammonda, Davida Bombala oraz NetworkChucka.

Jaką jedną rzecz powiedziałbyś osobie, która dopiero rozważa wejście do cyber?

Powiedziałbym, że to niezwykle ciekawa branża, która cały czas się rozwija, więc na pewno nie da się w niej nudzić. Dodałbym też, żeby nie poddawać się na początku, tylko spokojnie, we własnym tempie i krok po kroku przyswajać wiedzę.

Czy pamiętasz moment, w którym pomyślałeś: "to była dobra decyzja, że wszedłem w cyberbezpieczeństwo"?

Tak, bardzo dobrze pamiętam ten moment. Pojawił się wtedy, gdy zostałem zatrudniony w branży cyberbezpieczeństwa i z czasem zacząłem brać udział w projektach komercyjnych. Wtedy pomyślałem sobie, że to jest właśnie to, co naprawdę chciałem robić, i że sprawia mi to ogromną satysfakcję.

Szybka runda 🔥

Linux czy Windows?

Rozumem Linux, w sercu Windows. :D

Blue Team czy Red Team?

Blue Team.

Książka czy kurs online?

Kurs online.

Automatyzacja czy ręczna analiza?

To zależy od przypadku, ale na ten moment nadal ręczna analiza.

Jedna rada dla osoby, która dziś zaczyna w cyber?

Iść po swoje i się nie poddawać.