Mudança de carreira para faixas de segurança - aprendizagem? [fechadas]

Navegue suas respostas
10

Eu tive que aprender o suficiente para ser perigoso (se apenas para mim), gerenciando firewalls, switches, etc. para pequenas redes nos últimos dez anos. No entanto, eu sei que há uma diferença enorme entre o que eu venho fazendo (a segurança como um hobby, na verdade) em realmente buscar o domínio do assunto.

A pesquisa me dá certificações de Security + para CISSP e uma mudança intermediária. Há alguma certificação por aí que você acha que daria um bom roteiro de aprendizado?

Vou lançar uma pequena lista do que parece necessário, caso eu esteja perto da marca.

  • virtuosidade Wireshark
  • * nix familiaridade
  • O Cisco IOS (o CCNA seria um modo 'rápido' para obter isso?)

Eu percebo que este é um empreendimento gigantesco, mas como uma comparação da perspectiva de um administrador do Win, se eu pudesse voltar atrás e dar algumas dicas a mim mesmo, eu poderia ter economizado uma tonelada de tempo e head-vs-wall encontros seguindo certos atalhos de aprendizagem. É minha esperança que alguns de vocês, SFers focados em segurança, tenham conselhos semelhantes.

    
por Kara Marfia 11.03.2010 / 11:59

7 respostas

9

Em qual parte da segurança você deseja trabalhar? A segurança é um campo muito amplo, ainda mais se você contar todas as maneiras de trabalhar parcialmente em outros campos. Normalmente existem algumas áreas gerais de segurança

  • Segurança corporativa:

Inicie os frameworks de aprendizagem, ISO / IEC 27001, governança, auditoria, risco / benefício, framworks legais e coisas mais semelhantes. Você vai acabar como CISO e, talvez, como CSO em uma empresa no final de sua carreira. Até chegar lá, espere gastar muito tempo escrevendo documentos de políticas.

  • Segurança de TI

Comece aprendendo as ferramentas gerais do comércio, wireshark, IOS e similares são um bom começo. Pegue as habilidades mais especializadas, como forense quando você tem o chanse. Existem vários conjuntos diferentes de cursos. SANS tem uma boa reputação, por exemplo. Cisco um razoável. Infelizmente, é difícil chegar longe se você seguir esse caminho. Você pode subir para o middle management depois de um tempo, mas as habilidades são praticamente inúteis. Em algumas empresas, você também pode lidar com segurança física, o que deixa mais aberturas para cima. Se você for à polícia, passará muito tempo olhando para fotos desagradáveis se escolher esse caminho.

  • Segurança técnica

Comece a aprender matemática avançada e outras habilidades técnicas. Escolha uma área e especialize-se. E especialize-se. E especialize-se. Se você tiver sorte, você está em uma área onde há alta demanda, ou você encontra uma empresa onde você gosta de trabalhar. Você se tornará mais ou menos impossível de substituir. Se você jogar suas cartas corretamente, poderá viajar pelo mundo e conhecer muitas pessoas brilhantes.

Da minha perspectiva, a primeira coisa a fazer é aprender a pensar em segurança. Comece a ler pessoas como Schneier (além do medo) e Ross (engenharia de segurança). Uma vez que você tenha uma compreensão do pensamento básico no campo da segurança, você pode escolher o seu caminho, se você quiser se aprofundar nesse campo. Não é tão fascinante quanto algumas pessoas querem fazer. A segurança é o primeiro orçamento a ser cortado quando as coisas ficam apertadas, e espera ser culpado por tudo que dá errado.

    
por 18.01.2010 / 23:21
8

Sou administrador há 20 anos (15 anos profissionalmente), principalmente Unix, com um pouco do Windows, conforme necessário. Desde o começo, eu costumava interpretar o administrador paranoico, principalmente porque é prático e instrutivo, não porque eu acredite que hackers do outro lado do mundo estejam mirando em meus servidores. ;-) A segurança é realmente um requisito de sysadmin de fato, que pode ser praticado diariamente.

Você não especifica se deseja usar o selo oficial de "Especialista em segurança" e fazer coisas como teste de caneta, auditoria de conformidade com PCI, resposta a incidentes (forense etc.) ou apenas deseja ser um administrador com alguns creds pesados de segurança para ajudar a ampliar suas opções de carreira e defender sistemas de alto perfil sob sua responsabilidade.

Dos poucos que eu conheço na categoria "oficial", o CISSP cert foi o primeiro a ser abordado e eles conseguiram empregos decentes por causa disso (é claro, eles tinham mais de 10 anos de experiência prática, como você, para fazer backup). Há toneladas de materiais on-line, além de materiais e cursos oficiais de treinamento, para avaliar sua compreensão do material.

Embora os conceitos possam ser aprendidos e aplicados em qualquer plataforma, eu pessoalmente recomendo o Unix, pois você tem acesso de baixo nível a tudo, com o benefício adicional de poder acessar essas informações facilmente via shell remoto: assistindo tcpdump ao vivo sessões, entradas do syslog, logs do servidor da web, snort dumps, despejo da memória do sistema ao vivo, para um milhão de outras ferramentas de código aberto para espreitar e cutucar as entranhas de um sistema em execução.

Devido ao Unix ser uma plataforma ideal para aprender esse tipo de coisa, segue-se facilmente que uma ótima maneira de aprender é se jogar nos lobos proverbiais. Obtenha um VPS Linux ou FreeBSD de nível básico, um verdadeiro VPS virtualizado (como o Xen) com todo o "hardware" e acesso administrativo que você precisará para simular o negócio real em um ambiente de Internet ao vivo e exposto.

Prepare-se com um sistema ativo em funcionamento. Obtenha um servidor SMTP ativo em execução e observe os bots de spam e procure por malware. Configure um servidor da Web e observe as crianças do script tentarem ataques de injeção SQL em seus logs da Web e do DB. Assista seus logs ssh para ataques de força bruta. Configure um mecanismo de blog comum e divirta-se lutando contra ataques e bots de spam. Aprenda a implantar várias tecnologias de virtualização para particionar os serviços uns dos outros. Aprenda em primeira mão se as ACLs, o MAC e a auditoria no nível do sistema valerem o trabalho extra e os problemas com as permissões padrão do sistema.

Assine as listas de segurança do SO e da plataforma de software que você escolher. Quando você receber um aviso em sua caixa de entrada, leia o ataque até entender como ele funciona. Corrigir os sistemas afetados, é claro. Verifique se há indícios de que tal ataque foi tentado em seus registros e se foi bem-sucedido. Encontre um blog ou lista de segurança que seja do seu agrado e acompanhe-o diariamente ou semanalmente (o que for aplicável), captando o jargão e lendo o que você não entende.

Use ferramentas para atacar e auditar seus próprios sistemas, tentando quebrar suas próprias coisas. Isso lhe dá uma perspectiva de ambos os lados do ataque. Mantenha-se atualizado com a mentalidade de "chapéu preto" lendo artigos e apresentações de conferências bem estabelecidas, como DEFCON . Os arquivos dos últimos dez anos, por si só, são um tesouro de informações, ainda muito válidas.

Concedido, não tenho certificações nem cobro serviços de "especialista em segurança". Eu só faço parte da minha rotina diária para acompanhar essas coisas para me tornar um melhor administrador. Se ou não os certs são desejados ou exigidos para seus objetivos, é melhor deixar para alguém que os tenha. No entanto, acredito que uma abordagem prática é a melhor maneira de aprender essas coisas, e espero que algumas das minhas sugestões sirvam de base para reflexão.

    
por 18.01.2010 / 23:23
6

Fazendo o mesmo tipo de coisa que você é, o que eu descobri ser muito benéfico é o Instituto SANS . O SANS é um treinador & certificador. Dê uma olhada no Roteiro de certificação da SANS . Comecei com o GSEC, peguei meu GCIH e agora estou trabalhando no meu GCIH Gold . O GSEC é um excelente ponto de partida intermediário.

Espero que isso ajude.

Josh

    
por 19.01.2010 / 02:14
2

Eu sei que isso não está fornecendo cursos específicos. Alguns pensamentos gerais de minhas experiências, no entanto, são:

  • Conheça o TCP / IP e o roteamento de dentro para fora. O IOS é bom, obviamente, onde há a Cisco envolvida.
  • O curso Wireshark seria bom. A análise de pacotes é fundamental para o rastreamento de segurança.
  • Conheça os protocolos de nível de aplicativo de dentro para fora. HTTP, FTP, SSH, SSL, SMTP
  • A familiaridade * nix é definitivamente uma boa

Não há muita ajuda com detalhes lá, eu sei, mas espero que ajude talvez em prioridades ou direção!

    
por 18.01.2010 / 21:57
1

Dependendo do local específico em que você está, também pode ser importante não apenas trabalhar em seu lado técnico, mas em quais grupos, redes e assim por diante você pode participar.

Existem todos os tipos de lugares importantes para ir ( IETF , NANOG, etc) dependendo da sua área. Não se esqueça dos vários centros de resposta, como DNS-OARC , para segurança relacionada ao DNS.

Um dos maiores problemas no trabalho de segurança é que as pessoas tendem a manter as coisas em segredo quando encontram um problema. Às vezes é melhor compartilhar e trabalhar juntos além dos limites organizacionais do que trabalhar no vácuo.

    
por 18.01.2010 / 23:22
1

Na minha experiência, você não pode ser proficiente como defensor até saber do que a ofensa é capaz. Algumas conferências que penso são benéficas:

link
link

    
por 19.01.2010 / 01:42
0

Familiarize-se com o OWASP: link

Além disso, uma parte significativa da segurança é relacionada ao processo / operacional.

O OWASP fornece o OpenSAMM, mas existem frameworks como o ISO 27000 (como alguém mencionou), COBIT, SABSA, etc.

Felicidades

    
por 18.01.2010 / 23:25

Tags

É melhor ter mais pequenos chips de memória ram ou menos chips grandes? Por que os usuários criados no controlador de domínio são sempre parte do domínio?