W ciągu ostatnich dziesięciu lat musiałem nauczyć się być niebezpiecznym (choćby dla siebie), zarządzać zaporami ogniowymi, przełącznikami itp. W małych sieciach. Wiem jednak, że istnieje znaczna różnica między tym, co robiłem (naprawdę bezpieczeństwo jako hobby), a faktycznym opanowaniem tematu.
Badania dają mi certyfikaty od Security + do CISSP i między nimi. Czy są jakieś certyfikaty, które Twoim zdaniem byłyby dobrym planem uczenia się?
Wyrzucę krótką listę tego, co wydaje się potrzebne, na wypadek, gdyby zbliżyłem się do znaku.
- Wirtuozeria Wireshark
- * znajomość nix
- Cisco IOS (CCNA byłby „szybkim” sposobem na to?)
Zdaję sobie sprawę, że jest to ogromne przedsięwzięcie, ale w porównaniu z punktu widzenia administratora Win, gdybym mógł sięgnąć i dać swojemu młodemu ja kilka wskazówek, mógłbym zaoszczędzić MASĘ czasu i spotkań twarzą w twarz przez ściganie niektóre skróty do nauki. Mam nadzieję, że niektórzy z was skoncentrowani na bezpieczeństwie mają podobne porady.
Odpowiedzi:
W jakiej części bezpieczeństwa chcesz pracować? Bezpieczeństwo jest bardzo szeroką dziedziną, tym bardziej, jeśli weźmiesz pod uwagę wszystkie sposoby, w których możesz częściowo pracować w innych dziedzinach. Zazwyczaj istnieje kilka ogólnych obszarów bezpieczeństwa
Rozpocznij ramy uczenia się, ISO / IEC 27001, zarządzanie, audyt, ryzyko / korzyści, ramy prawne i inne podobne rzeczy. Skończysz jako CISO i być może jako CSO w firmie pod koniec swojej kariery. Dopóki tam nie dotrzesz, spędź dużo czasu na pisaniu dokumentów dotyczących polis.
Rozpocznij naukę ogólnych narzędzi handlu, Wireshark, IOS i tym podobnych to dobry początek. Podnieś bardziej wyspecjalizowane umiejętności, takie jak kryminalistyka, kiedy masz szansę. Istnieje kilka różnych zestawów kursów. Na przykład SANS ma dość dobrą reputację. Cisco rozsądny. Niestety, trudno pójść daleko, jeśli pójdziesz tą ścieżką. Po pewnym czasie możesz przejść do średniego kierownictwa, ale tam umiejętności są w większości bezużyteczne. W niektórych firmach możesz również zajmować się bezpieczeństwem fizycznym, co pozostawia więcej możliwości w górę. Jeśli pójdziesz na policję, spędzisz dużo czasu na oglądaniu paskudnych zdjęć, jeśli wybierzesz tę ścieżkę.
Rozpocznij naukę zaawansowanej matematyki i innych umiejętności technicznych. Wybierz obszar i specjalizuj się. I specjalizuję się. I specjalizuję się. Jeśli masz szczęście, znajdujesz się w obszarze o dużym popycie lub znajdujesz firmę, w której lubisz pracować. Będziesz mniej lub bardziej niemożliwy do zastąpienia. Jeśli dobrze zagrasz w swoje karty, możesz podróżować po całym świecie i spotykać wielu bardzo bystrych ludzi.
Z mojego punktu widzenia pierwszą rzeczą do zrobienia jest nauczenie się myślenia o bezpieczeństwie. Zacznij czytać osoby takie jak Schneier (Beyond strach) i Ross (Security Engineering). Po opanowaniu podstawowego myślenia w dziedzinie bezpieczeństwa możesz wybrać swoją ścieżkę, jeśli w ogóle chcesz kopać w tym polu. Nie jest tak glamour jak niektórzy ludzie chcą to zrobić. Bezpieczeństwo to pierwszy budżet, który zostanie zmniejszony, gdy sytuacja się skończy, i spodziewaj się, że poniesiesz winę za wszystko, co pójdzie źle.
źródło
Jestem administratorem od 20 lat (15 lat zawodowo), głównie Unix z odrobiną systemu Windows, zgodnie z wymaganiami. Od samego początku grałem w paranoicznego administratora, głównie dlatego, że jest praktyczny i pouczający, a nie dlatego, że uważam, że hakerzy z drugiej strony globu atakują moje serwery. ;-) Bezpieczeństwo naprawdę jest de facto wymaganiem administratora, które można praktykować codziennie.
Nie określasz, czy chcesz nosić oficjalną odznakę „Specjalisty ds. Bezpieczeństwa” i wykonywać takie czynności, jak testowanie pisaków, audyt zgodności PCI, reagowanie na incydenty (kryminalistyka itp.), Czy po prostu chcesz być administratorem z pewnym poziomem bezpieczeństwa kredyty, które pomogą Ci poszerzyć opcje kariery i obronić głośne systemy pod twoją opieką.
Z niewielu rówieśników, których znam w kategorii „oficjalnej”, certyfikat CISSP był pierwszym, z którym się zmierzyli i dzięki temu dostali godną pracę (z tego powodu mieli ponad 10 lat praktycznego doświadczenia, jak ty, kopię zapasową). Istnieje mnóstwo materiałów online, oprócz oficjalnych materiałów szkoleniowych i kursów, aby ocenić twoje zrozumienie materiału.
Chociaż można nauczyć się i stosować koncepcje na dowolnej platformie, osobiście polecam Unix, ponieważ masz tak niski poziom dostępu do wszystkiego, a dodatkową zaletą jest łatwy dostęp do tych informacji za pośrednictwem zdalnej powłoki: oglądanie sesji tcpdump na żywo, syslog wpisy, dzienniki serwera WWW, zrzuty snortu, zrzucanie pamięci systemowej na żywo, do miliona innych narzędzi open source do podglądania i szturchania wnętrzności działającego systemu.
Ponieważ Unix jest idealną platformą do uczenia się tego rodzaju rzeczy, łatwo wynika z tego, że świetnym sposobem nauki jest rzucenie się przysłowiowym wilkom. Zdobądź podstawowy system Linux lub FreeBSD VPS, prawdziwie zwirtualizowany VPS (taki jak Xen) z całym „sprzętem” i dostępem administracyjnym, którego potrzebujesz, aby symulować prawdziwą ofertę w środowisku internetowym na żywo.
Skonfiguruj system działający na żywo. Uruchom działający serwer SMTP i obserwuj roboty spamujące oraz skanuj w poszukiwaniu złośliwego oprogramowania. Skonfiguruj serwer WWW i obserwuj, jak dzieciaki skryptów próbują ataków SQL injection w sieci i dziennikach DB. Obserwuj dzienniki ssh pod kątem ataków siłowych. Skonfiguruj wspólny silnik blogów i baw się dobrze, zwalczając boty spamowe i ataki. Dowiedz się, jak wdrażać różne technologie wirtualizacji w celu dzielenia między sobą usług. Dowiedz się z pierwszej ręki, czy listy ACL, MAC i inspekcja na poziomie systemu są warte dodatkowej pracy i kłopotów ze standardowymi uprawnieniami systemowymi.
Subskrybuj listy zabezpieczeń wybranego systemu operacyjnego i oprogramowania. Po otrzymaniu porady w skrzynce odbiorczej czytaj dalej o ataku, dopóki nie zrozumiesz, jak to działa. Oczywiście załataj dotknięte systemy. Sprawdź swoje dzienniki pod kątem oznak, że próba takiego ataku została podjęta, a jeśli się to powiedzie. Znajdź blog bezpieczeństwa lub listę, która Ci się podoba i nadążaj za nim codziennie lub co tydzień (w zależności od tego, co dotyczy), zbierając żargon i czytając to, czego nie rozumiesz.
Używaj narzędzi do atakowania i kontrolowania własnych systemów, próbując zniszczyć własne rzeczy. To daje perspektywę z obu stron ataku. Bądź na bieżąco z najnowszymi trendami w „czarnym kapeluszu”, czytając artykuły i prezentacje z dobrze znanych konferencji, takich jak DEFCON. Archiwa z ostatnich dziesięciu lat są skarbnicą informacji, wciąż bardzo aktualną.
To prawda, że nie mam żadnych certyfikatów, ani nie rozliczam się za usługi „specjalisty ds. Bezpieczeństwa”. Po prostu włączam to do codziennej rutyny, aby nadążać za tymi rzeczami, aby stać się lepszym administratorem. To, czy certyfikaty są pożądane lub wymagane dla Twoich celów, lepiej pozostawić osobie, która je ma. Uważam jednak, że ciężkie podejście praktyczne jest najlepszym sposobem na nauczenie się tego, i mam nadzieję, że niektóre z moich sugestii dostarczą trochę do myślenia.
źródło
Robiąc to samo co ty, uważam, że bardzo korzystne jest SANS Institute . SANS jest niezależnym od dostawców trenerem i certyfikatem InfoSec. Zobacz mapę drogową certyfikacji SANS . Zacząłem od GSEC, wziąłem mój GCIH, a teraz pracuję nad moim GCIH Gold . GSEC jest doskonałym pośrednim punktem wyjścia.
Mam nadzieję że to pomoże.
Josh
źródło
Wiem, że to nie zapewnia konkretnych kursów. Niektóre ogólne przemyślenia z moich doświadczeń to:
Wiem, że nie ma dużej pomocy ze szczegółami, ale mam nadzieję, że może to pomaga w ustalaniu priorytetów lub kierunku!
źródło
W zależności od konkretnego miejsca, w którym się skończysz, może być również ważne, aby nie tylko pracować po stronie technicznej, ale także do jakich grup, sieci itd. Warto dołączyć.
Istnieje wiele różnych ważnych miejsc ( IETF , NANOG itp.) W zależności od regionu. Nie zapomnij o różnych centrach reagowania, takich jak DNS-OARC, dla bezpieczeństwa związanego z DNS.
Jednym z największych problemów w pracy związanej z bezpieczeństwem jest to, że ludzie mają tendencję do trzymania rzeczy w tajemnicy, gdy znajdą problem. Czasami lepiej jest dzielić się i współpracować ponad granicami organizacyjnymi niż pracować w próżni.
źródło
Z mojego doświadczenia wynika, że nie możesz być obrońcą, dopóki nie dowiesz się, do czego jest zdolne przestępstwo. Myślę, że niektóre konferencje są pożyteczne:
http://www.blackhat.com/
http://www.defcon.org/
źródło
Zapoznanie się z OWASP: http://www.owasp.org
Również znaczna część bezpieczeństwa jest związana z procesem / operacją.
OWASP zapewnia OpenSAMM, ale istnieją frameworki takie jak ISO 27000 (jak ktoś inny wspomniany), COBIT, SABSA itp.
Twoje zdrowie
źródło