Mudança de carreira para segurança - faixas de aprendizado? [fechadas]

Eu tive que aprender o suficiente para ser perigoso (mesmo que seja para mim mesmo), gerenciando firewalls, switches etc. para pequenas redes nos últimos dez anos. No entanto, eu sei que há uma lacuna enorme entre o que venho fazendo (segurança como hobby, na verdade) para realmente perseguir o domínio do assunto.

A pesquisa me fornece certificações do Security + para o CISSP e uma grande variedade no meio. Existem certificações por aí que você acha que proporcionariam um bom roteiro de aprendizado?

Vou jogar uma pequena lista do que parece necessário, caso eu esteja perto da marca.

• Virtuosidade do Wireshark
• * familiaridade nix
• Cisco IOS (CCNA seria uma maneira 'rápida' de entender isso?)

Sei que essa é uma tarefa gigantesca, mas como uma comparação da perspectiva do administrador do Win, se eu pudesse voltar atrás e dar algumas dicas ao meu eu mais jovem, eu poderia ter poupado uma tonelada de tempo e de encontros frente a frente, perseguindo certos atalhos de aprendizado. É minha esperança que alguns de vocês, SFers com foco em segurança, tenham conselhos semelhantes.

Em que parte da segurança você deseja trabalhar? A segurança é um campo muito amplo, ainda mais se você contar todas as maneiras pelas quais você pode trabalhar sendo parcialmente em outros campos. Normalmente, existem algumas áreas gerais de segurança

• Segurança corporativa:

Inicie estruturas de aprendizado, ISO / IEC 27001, governança, auditoria, risco / benefício, estruturas legais e outras coisas semelhantes. Você acabará como CISO e talvez como CSO em uma empresa no final de sua carreira. Até chegar lá, espere gastar muito tempo escrevendo documentos de política.

• segurança de TI

Comece a aprender as ferramentas gerais do comércio, wireshark, IOS e similares são um bom começo. Adquira as habilidades mais especializadas, como forense, quando tiver a chance. Existem vários conjuntos diferentes de cursos. Os SANS têm uma boa reputação, por exemplo. Cisco um razoável. Infelizmente, é difícil chegar longe se você seguir esse caminho. Você pode passar para a gerência intermediária depois de um tempo, mas as habilidades são praticamente inúteis. Em algumas empresas, você também pode lidar com a segurança física, o que deixa mais aberturas para cima. Se você for à polícia, passará muito tempo olhando fotos desagradáveis ​​se escolher esse caminho.

• Segurança técnica

Comece a aprender matemática avançada e outras habilidades técnicas. Escolha uma área e se especialize. E se especialize. E se especialize. Se você tiver sorte, está em uma área onde há alta demanda ou encontra uma empresa onde gosta de trabalhar. Você se tornará mais ou menos impossível de substituir. Se você jogar bem suas cartas, poderá viajar pelo mundo e conhecer muitas pessoas brilhantes.

Na minha perspectiva, a primeira coisa a fazer é aprender a pensar em segurança. Comece a ler pessoas como Schneier (além do medo) e Ross (engenharia de segurança). Depois de entender o pensamento básico no campo de segurança, você pode escolher o seu caminho, se quiser cavar nesse campo. Não é tão glamours quanto algumas pessoas querem fazer. A segurança é o primeiro orçamento a ser cortado quando as coisas ficam difíceis e a expectativa é de que a culpa seja de tudo que der errado.

Sou administrador há 20 anos (15 anos profissionalmente), principalmente o Unix, com uma pitada de Windows, conforme necessário. Desde o começo, eu costumava ser o administrador paranóico, principalmente porque é prático e instrutivo, não porque acredito que hackers do outro lado do mundo estão mirando meus servidores. ;-) A segurança é realmente um requisito de administrador de sistema de fato , que pode ser praticado diariamente.

Você não especifica se deseja usar o emblema oficial de "Especialista em segurança" e realiza ações como testes com caneta, auditoria de conformidade com PCI, resposta a incidentes (forense etc.) ou apenas deseja ser um administrador com alguma segurança pesada. Creds para ajudar a ampliar suas opções de carreira e defender sistemas de alto perfil sob sua responsabilidade.

Dos poucos colegas que conheço na categoria "oficial", o certificado CISSP foi o primeiro que eles conseguiram e conseguiram empregos decentes por causa disso (é claro, eles tinham mais de 10 anos de experiência prática, como você, para fazer backup). Existem toneladas de materiais on-line, além de materiais e cursos oficiais de treinamento, para avaliar sua compreensão do material.

Embora os conceitos possam ser aprendidos e aplicados em qualquer plataforma, eu recomendo pessoalmente o Unix, já que você obtém acesso de baixo nível a tudo, com o benefício adicional de poder acessar essas informações facilmente via shell remoto: assistindo sessões ao vivo do tcpdump, syslog entradas, logs de servidores da web, snort dumps, descarga de memória do sistema ao vivo, para um milhão de outras ferramentas de código aberto para espiar e cutucar as entranhas de um sistema em execução.

Devido ao Unix ser uma plataforma ideal para aprender esse tipo de coisa, segue-se facilmente que uma ótima maneira de aprender é se jogar nos lobos proverbiais. Obtenha um VPS Linux ou FreeBSD básico, um VPS virtualizado verdadeiro (como o Xen) com todo o "hardware" e acesso de administrador que você precisará para simular o negócio real em um ambiente de Internet exposto ao vivo.

Prepare-se com um sistema ativo e de trabalho. Coloque um servidor SMTP ativo em execução, assista aos bots de spam e verifique se há malware. Configure um servidor da web e assista aos pequenos scripts tentarem ataques de injeção SQL nos logs da web e do banco de dados. Assista seus logs ssh para ataques de força bruta. Configure um mecanismo de blog comum e divirta-se combatendo bots e ataques de spam. Aprenda a implantar várias tecnologias de virtualização para particionar serviços um do outro. Aprenda em primeira mão se ACLs, MAC e auditoria no nível do sistema valem o trabalho extra e os aborrecimentos sobre as permissões padrão do sistema.

Assine as listas de segurança do sistema operacional e da plataforma de software que você escolher. Quando você receber um aviso em sua caixa de entrada, leia o ataque até entender como ele funciona. Corrija os sistemas afetados, é claro. Verifique seus logs quanto a sinais de que tal ataque foi tentado e se um foi bem-sucedido. Encontre um blog ou lista de segurança que seja do seu agrado e acompanhe-o diariamente ou semanalmente (o que for aplicável), pegando o jargão e lendo o que você não entende.

Use ferramentas para atacar e auditar seus próprios sistemas, tentando quebrar suas próprias coisas. Isso dá uma perspectiva dos dois lados do ataque. Mantenha-se atualizado com a mentalidade do "chapéu preto" lendo documentos e apresentações de conferências bem estabelecidas , como o DEFCON. Somente os arquivos dos últimos dez anos são um tesouro de informações, ainda muito válidas.

Concedido, não tenho certificações nem faturo por serviços "especialistas em segurança". Eu apenas faço parte da minha rotina diária acompanhar essas coisas para me tornar um administrador melhor. Se ou não os certificados são desejados ou necessários para seus objetivos, é melhor deixar para alguém que os possui. No entanto, acredito que uma abordagem prática pesada é a melhor maneira de aprender essas coisas, e espero que algumas das minhas sugestões forneçam algum pensamento.

Fazendo o mesmo tipo de coisa que você é, o que eu achei muito benéfico é o Instituto SANS . O SANS é um instrutor e certificador da InfoSec, neutro em fornecedores. Dê uma olhada no Roteiro de Certificação SANS . Comecei com o GSEC, peguei meu GCIH e agora estou trabalhando no meu GCIH Gold . O GSEC é um excelente ponto de partida intermediário.

Espero que isto ajude.

Josh

Sei que isso não está fornecendo cursos específicos. Alguns pensamentos gerais de minhas experiências, no entanto, são:

• Conheça TCP / IP e roteamento de dentro para fora. O IOS é bom, obviamente, onde há a Cisco envolvida.
• O curso Wireshark seria bom. A análise de pacotes é fundamental para o rastreamento de segurança.
• Conheça os protocolos de nível de aplicativo de dentro para fora. HTTP, FTP, SSH, SSL, SMTP
• A familiaridade * nix é definitivamente boa

Não sei muita ajuda com detalhes lá, eu sei, mas espero que ajude talvez em prioridades ou direção!

Dependendo do local específico em que você termina, também pode ser importante não apenas trabalhar no seu lado técnico, mas também em quais grupos, redes e assim por diante você pode participar.

Talvez haja todos os tipos de lugares importantes ( IETF , NANOG, etc.), dependendo da sua região. Não se esqueça dos vários centros de resposta, como o DNS-OARC para segurança relacionada ao DNS.

Um dos maiores problemas no trabalho de segurança é que as pessoas tendem a manter as coisas em segredo quando encontram um problema. Às vezes, é melhor compartilhar e trabalhar juntos além das fronteiras organizacionais do que trabalhar no vácuo.

Na minha experiência, você não pode ser proficiente como defensor até saber do que a ofensa é capaz. Eu acho que algumas conferências são benéficas:

http://www.blackhat.com/
http://www.defcon.org/

Familiarize-se realmente com o OWASP: http://www.owasp.org

Também uma parte significativa da segurança está relacionada ao processo / operacional.

O OWASP fornece OpenSAMM, mas existem estruturas como ISO 27000 (como outra pessoa mencionada), COBIT, SABSA, etc.

Felicidades