Passaggio di carriera alla sicurezza - apprendimento delle tracce? [chiuso]

Negli ultimi dieci anni ho dovuto imparare abbastanza per essere pericoloso (anche solo per me stesso), gestendo firewall, switch, ecc. Per piccole reti. Tuttavia, so che c'è un divario piuttosto grande tra ciò che ho fatto (la sicurezza come hobby, davvero) nel perseguire effettivamente la padronanza della materia.

La ricerca mi offre certificazioni da Security + a CISSP e una serie intermedia. Esistono certificazioni che ritieni possano fornire una buona tabella di marcia per l'apprendimento?

Lancerò un breve elenco di ciò che sembra necessario, nel caso in cui mi trovassi ovunque vicino al segno.

• Il virtuosismo di Wireshark
• * nix familiarità
• Cisco IOS (CCNA sarebbe un modo 'veloce' per raccoglierlo?)

Mi rendo conto che questa è un'impresa enorme, ma come confronto dal punto di vista dell'amministratore di Win, se potessi tornare indietro e dare qualche suggerimento al mio io più giovane, avrei potuto risparmiarmi un sacco di tempo e incontri testa a testa perseguendo alcune scorciatoie per l'apprendimento. Spero che alcuni di voi esperti di sicurezza abbiano consigli simili.

In quale parte della sicurezza desideri lavorare? La sicurezza è un campo molto ampio, tanto più se si contano tutti i modi in cui si può lavorare trovandosi parzialmente in altri campi. In genere ci sono alcune aree generali di sicurezza

• Sicurezza aziendale:

Inizia a apprendere quadri di riferimento, ISO / IEC 27001, governance, audit, rischi / benefici, quadri legali e altre cose simili. Finirai come CISO e forse come CSO in un'azienda verso la fine della tua carriera. Finché non ci arrivi, aspettati di dedicare molto tempo alla scrittura di documenti sulle politiche.

• Sicurezza informatica

Inizia a imparare gli strumenti generali del commercio, WireShark, IOS e simili sono un buon inizio. Raccogli le abilità più specializzate come la medicina legale quando hai la possibilità. Esistono diversi set di corsi. SANS ha una reputazione abbastanza buona, per esempio. Cisco ragionevole. Purtroppo è difficile andare lontano se si prende questa strada. Potresti passare alla gestione intermedia dopo un po ', ma le competenze sono per lo più inutili. In alcune aziende potresti anche occuparti della sicurezza fisica, che lascia più aperture verso l'alto. Se vai alla polizia, passerai molto tempo a guardare le brutte foto se scegli questa strada.

• Sicurezza tecnica

Inizia a studiare matematica avanzata e altre abilità tecniche. Scegli un'area e specializzarsi. E specializzarsi. E specializzarsi. Se sei fortunato ti trovi in ​​un'area in cui vi è una forte domanda o trovi un'azienda in cui ti piace lavorare. Diventerai più o meno impossibile da sostituire. Se giochi bene le tue carte, puoi viaggiare in tutto il mondo e incontrare molte persone molto brillanti.

Dal mio punto di vista, la prima cosa da fare è imparare a pensare alla sicurezza. Inizia a leggere persone come Schneier (Beyond fear) e Ross (Security Engineering). Una volta che hai compreso il pensiero di base nel campo della sicurezza, puoi scegliere il tuo percorso, se vuoi scavare in questo campo. Non è così glamour come alcune persone vogliono farlo. La sicurezza è il primo budget a tagliare quando le cose si restringono e si aspettano di avere la colpa per tutto ciò che va storto.

Sono stato un amministratore per 20 anni (15 anni professionalmente), principalmente Unix con un pizzico di Windows, come richiesto. Fin dall'inizio, ho avuto la tendenza a giocare all'amministratore paranoico, principalmente perché è pratico e istruttivo, non perché credo che gli hacker dall'altra parte del globo stiano prendendo di mira i miei server. ;-) La sicurezza è in realtà un fatto obbligo di amministratore di sistema, quella che può essere praticato tutti i giorni.

Non specifichi se vuoi indossare il badge ufficiale di "Specialista della sicurezza" e fare cose come test con penna, controllo di conformità PCI, risposta agli incidenti (medicina legale, ecc.) O vuoi solo essere un amministratore con un po 'di sicurezza crediti per ampliare le opzioni di carriera e difendere i sistemi di alto profilo sotto la tua responsabilità.

Tra i pochi colleghi che conosco nella categoria "ufficiale", il certificato CISSP è stato il primo che hanno affrontato e hanno continuato a ottenere lavori dignitosi a causa di ciò (ovviamente, hanno avuto oltre 10 anni di esperienza pratica, come te, per eseguire il backup). Ci sono tonnellate di materiali online, oltre a materiali e corsi di formazione ufficiali, per valutare la tua conoscenza del materiale.

Mentre i concetti possono essere appresi e applicati su qualsiasi piattaforma, raccomando personalmente Unix, poiché hai un accesso così basso a tutto, con l'ulteriore vantaggio di poter accedere facilmente a tali informazioni tramite la shell remota: guardare sessioni tcpdump in diretta, syslog voci, registri di server Web, snort dump, scaricamento di memoria di sistema live, a un milione di altri strumenti open source per sbirciare e frugare nelle viscere di un sistema in esecuzione.

Dato che Unix è una piattaforma ideale per apprendere questo tipo di cose, ne consegue facilmente che un ottimo modo per imparare è gettarti nei proverbiali lupi. Procurati un VPS Linux o FreeBSD entry-level, un vero VPS virtualizzato (come Xen) con tutto l '"hardware" e l'accesso amministrativo necessari per simulare il vero affare in un ambiente Internet live ed esposto.

Preparati con un sistema attivo e funzionante. Ottieni un server SMTP live in esecuzione, guarda i robot spam e scansiona i malware. Configurare un server Web e guardare i kiddie degli script provare gli attacchi SQL injection nei registri Web e DB. Guarda i tuoi registri SSH per attacchi di forza bruta. Crea un motore di blog comune e divertiti a combattere robot e attacchi spam. Scopri come distribuire varie tecnologie di virtualizzazione per partizionare i servizi gli uni dagli altri. Scopri di prima mano se ACL, MAC e audit a livello di sistema valgono il lavoro extra e la seccatura rispetto alle autorizzazioni di sistema standard.

Iscriviti agli elenchi di sicurezza del sistema operativo e della piattaforma software che hai scelto. Quando ricevi un avviso nella posta in arrivo, leggi l'attacco fino a quando non capisci come funziona. Patch i sistemi interessati, ovviamente. Controlla i tuoi registri per eventuali segni che un simile attacco è stato tentato e se uno è riuscito. Trova un blog o un elenco di sicurezza che ti piace e tieniti aggiornato quotidianamente o settimanalmente (a seconda di quale sia applicabile), raccogliendo il gergo e leggendo ciò che non capisci.

Usa gli strumenti per attaccare e controllare i tuoi sistemi, cercando di rompere le tue cose. Questo ti dà una prospettiva da entrambi i lati dell'attacco. Tieniti aggiornato sulla mentalità del "cappello nero" leggendo articoli e presentazioni da conferenze consolidate come DEFCON. Solo gli archivi degli ultimi dieci anni sono un tesoro di informazioni, ancora molto validi.

Concesso, non ho certificazioni, né conto per i servizi di "specialista della sicurezza". Faccio solo parte della mia routine quotidiana tenere il passo con queste cose per farmi un amministratore migliore. Se i certificati sono richiesti o richiesti per i tuoi obiettivi, è meglio lasciarli a qualcuno che li ha. Tuttavia, credo che un approccio pratico sia il modo migliore per imparare queste cose e spero che alcuni dei miei suggerimenti forniscano spunti di riflessione.

Facendo la stessa cosa che sei, quello che ho trovato molto utile è l' Istituto SANS . SANS è un trainer e certificatore InfoSec indipendente dal fornitore. Dai un'occhiata alla Roadmap di certificazione SANS . Ho iniziato con il GSEC, ho preso il mio GCIH e ora sto lavorando sul mio GCIH Gold . Il GSEC è un ottimo punto di partenza intermedio.

Spero che sia di aiuto.

Josh

So che questo non ti fornisce corsi specifici. Alcuni pensieri generali delle mie esperienze, tuttavia, sono:

• Conoscere TCP / IP e il routing dentro e fuori. IOS è buono, ovviamente, in cui è coinvolto Cisco.
• Il corso di Wireshark sarebbe buono. L'analisi dei pacchetti è fondamentale per la traccia della sicurezza.
• Conoscere i protocolli a livello di applicazione al rovescio. HTTP, FTP, SSH, SSL, SMTP
• La familiarità * nix è decisamente buona

Non c'è molto aiuto con i dettagli lì, lo so, ma spero che aiuti forse nelle priorità o nella direzione!

A seconda del luogo specifico in cui ti trovi, potrebbe anche essere importante non solo lavorare sul tuo lato tecnico, ma a quali gruppi, reti e così via potresti essere saggio aderire.

Ci sono molti posti importanti dove andare (forse IETF , NANOG, ecc.) A seconda della tua zona. Non dimenticare i vari centri di risposta come DNS-OARC per la sicurezza relativa al DNS.

Uno dei maggiori problemi nel lavoro di sicurezza è che le persone tendono a mantenere le cose segrete quando trovano un problema. A volte è meglio condividere e lavorare insieme oltre i confini dell'organizzazione piuttosto che lavorare nel vuoto.

Nella mia esperienza, non puoi essere esperto come difensore fino a quando non sai di cosa è capace l'offesa. Alcune conferenze penso che siano di beneficio:

http://www.blackhat.com/
http://www.defcon.org/

Familiarità con OWASP: http://www.owasp.org

Anche una parte significativa della sicurezza è legata al processo / operativa.

OWASP fornisce OpenSAMM, ma ci sono framework come ISO 27000 (come qualcun altro menzionato), COBIT, SABSA, ecc.

Saluti