Sự nghiệp chuyển sang an ninh - học tập theo dõi? [đóng cửa]

Tôi đã phải học đủ để trở nên nguy hiểm (nếu chỉ với bản thân mình), quản lý tường lửa, công tắc, vv cho các mạng nhỏ trong mười năm qua. Tuy nhiên, tôi biết có một khoảng cách khá lớn giữa những gì tôi đã làm (bảo mật như một sở thích, thực sự) để thực sự theo đuổi chủ đề.

Nghiên cứu cung cấp cho tôi các chứng chỉ từ Security + đến CISSP và một loạt ở giữa. Có bất kỳ chứng chỉ nào ngoài đó mà bạn cảm thấy sẽ cung cấp một lộ trình học tập tốt không?

Tôi sẽ đưa ra một danh sách ngắn những thứ có vẻ cần thiết, trong trường hợp tôi ở bất cứ đâu gần nhãn hiệu.

• Tài năng của Wireshark
• * quen thuộc
• Cisco IOS (CCNA sẽ là một cách 'nhanh chóng' để nhận ra điều này?)

Tôi nhận ra đây là một công việc khổng lồ, nhưng khi so sánh từ góc độ quản trị viên Win, nếu tôi có thể quay lại và đưa cho bản thân mình một vài gợi ý, tôi có thể tiết kiệm cho mình một TON thời gian và gặp gỡ trực tiếp bằng cách theo đuổi một số phím tắt học tập. Tôi hy vọng rằng một số bạn SFers tập trung vào bảo mật có lời khuyên tương tự.

Phần nào của bảo mật mà bạn muốn làm việc? Bảo mật là một lĩnh vực rất rộng, thậm chí còn hơn thế nếu bạn đếm tất cả các cách bạn có thể làm việc là một phần trong các lĩnh vực khác. Thông thường có một vài lĩnh vực bảo mật chung

• Bảo mật doanh nghiệp:

Bắt đầu các khung học tập, ISO / IEC 27001, quản trị, kiểm toán, rủi ro / lợi ích, khung pháp lý và nhiều thứ tương tự. Bạn sẽ kết thúc với tư cách là CISO và có lẽ là CSO trong một công ty cho đến cuối sự nghiệp. Cho đến khi bạn nhận được ở đó mong đợi dành nhiều thời gian để viết tài liệu chính sách.

• Bảo mật CNTT

Bắt đầu học các công cụ chung của thương mại, wireshark, IOS và tương tự là một khởi đầu tốt. Chọn các kỹ năng chuyên sâu hơn như pháp y khi bạn có chanse. Có một số bộ khóa học khác nhau. Sans có một danh tiếng khá tốt, ví dụ. Cisco một cách hợp lý. Đáng buồn thay, thật khó để đi xa nếu bạn đi theo con đường này. Bạn có thể chuyển sang quản lý cấp trung sau một thời gian, nhưng ở đó các kỹ năng chủ yếu là vô dụng. Trong một số công ty, bạn cũng có thể đối phó với an ninh vật lý, điều này khiến nhiều cơ hội hơn. Nếu bạn đến cảnh sát, bạn sẽ mất rất nhiều thời gian để nhìn vào những bức ảnh khó chịu nếu bạn chọn con đường này.

• An ninh kỹ thuật

Bắt đầu học toán nâng cao và các kỹ năng kỹ thuật khác. Chọn một khu vực và chuyên. Và chuyên môn hóa. Và chuyên môn hóa. Nếu bạn may mắn, bạn đang ở trong một khu vực có nhu cầu cao, hoặc bạn tìm thấy một công ty nơi bạn thích làm việc. Bạn sẽ trở nên ít nhiều không thể thay thế. Nếu bạn chơi bài của bạn ngay, bạn có thể đi du lịch vòng quanh thế giới và gặp rất nhiều người rất thông minh.

Từ quan điểm của tôi, điều đầu tiên cần làm là học cách suy nghĩ bảo mật. Bắt đầu đọc những người như Schneier (Beyond sợ hãi) và Ross (Security Engineering). Một khi bạn đã nắm bắt được tư duy cơ bản trong lĩnh vực bảo mật, bạn có thể chọn con đường của mình, nếu bạn muốn tìm hiểu sâu về lĩnh vực này. Nó gần như không hào nhoáng như một số người muốn làm. Bảo mật là ngân sách đầu tiên để cắt giảm khi mọi thứ trở nên khó khăn và mong muốn nhận được sự đổ lỗi cho mọi thứ xảy ra.

Tôi đã là một quản trị viên trong 20 năm (15 năm chuyên nghiệp), chủ yếu là Unix với một chút Windows theo yêu cầu. Ngay từ đầu, tôi đã có xu hướng chơi một quản trị viên hoang tưởng, chủ yếu là vì nó thực tế và mang tính hướng dẫn, không phải vì tôi tin rằng các tin tặc từ bên kia địa cầu đang nhắm mục tiêu vào máy chủ của tôi. ;-) Bảo mật thực sự là một yêu cầu thực tế sysadmin, một yêu cầu có thể được thực hiện hàng ngày.

Bạn không chỉ định liệu bạn có muốn đeo huy hiệu chính thức của "Chuyên gia bảo mật" hay không và làm những việc như kiểm tra bút, kiểm tra tuân thủ PCI, ứng phó sự cố (pháp y, v.v.) hoặc bạn chỉ muốn trở thành quản trị viên với một số bảo mật nặng tín dụng để giúp mở rộng các lựa chọn nghề nghiệp của bạn và bảo vệ các hệ thống hồ sơ cao do bạn phụ trách.

Trong số ít đồng nghiệp mà tôi biết trong danh mục "chính thức", chứng chỉ CISSP là chứng chỉ đầu tiên họ giải quyết và họ đã tiếp tục công việc tốt vì điều đó (tất nhiên, họ có hơn 10 năm kinh nghiệm thực tế, như chính bạn, để sao lưu nó). Có hàng tấn tài liệu trực tuyến, ngoài các tài liệu và khóa học đào tạo chính thức, để khẳng định sự nắm bắt của bạn về tài liệu.

Mặc dù các khái niệm có thể được học và áp dụng trên bất kỳ nền tảng nào, cá nhân tôi khuyên bạn nên dùng Unix, vì bạn có quyền truy cập ở mức độ thấp như vậy vào mọi thứ, với lợi ích bổ sung là có thể truy cập thông tin đó một cách dễ dàng thông qua shell từ xa: xem các phiên tcpdump trực tiếp, syslog các mục, nhật ký máy chủ web, bãi rác, bỏ bộ nhớ hệ thống trực tiếp, đến một triệu công cụ nguồn mở khác để nhìn trộm và chọc vào các bộ phận của hệ thống đang chạy.

Do Unix là một nền tảng lý tưởng để học loại công cụ này, nó dễ dàng theo dõi rằng một cách tuyệt vời để học là bằng cách ném mình vào những con sói hoạt ngôn. Nhận cho mình một Linux Linux hoặc FreeBSD cấp nhập cảnh, một VPS ảo hóa thực sự (như Xen) với tất cả "phần cứng" và quyền truy cập quản trị viên mà bạn sẽ cần để mô phỏng giao dịch thực trong môi trường internet tiếp xúc trực tiếp.

Thiết lập bản thân với một hệ thống làm việc trực tiếp. Nhận một máy chủ SMTP trực tiếp đang chạy và xem các bot spam và quét phần mềm độc hại. Thiết lập một máy chủ web và xem các tập lệnh kịch bản thử các cuộc tấn công SQL SQL trong nhật ký web và DB của bạn. Xem nhật ký ssh của bạn cho các cuộc tấn công vũ phu. Thiết lập một công cụ blog phổ biến và vui vẻ chống lại các bot và các cuộc tấn công spam. Tìm hiểu cách triển khai các công nghệ ảo hóa khác nhau để phân vùng dịch vụ lẫn nhau. Tìm hiểu trực tiếp nếu ACL, MAC và kiểm toán cấp hệ thống đáng để làm thêm và rắc rối hơn các quyền hệ thống tiêu chuẩn.

Theo dõi danh sách bảo mật của hệ điều hành và nền tảng phần mềm bạn chọn. Khi bạn nhận được một lời khuyên trong hộp thư đến của mình, hãy đọc về cuộc tấn công cho đến khi bạn hiểu cách thức hoạt động của nó. Vá các hệ thống bị ảnh hưởng, tất nhiên. Kiểm tra nhật ký của bạn để biết bất kỳ dấu hiệu nào cho thấy một cuộc tấn công như vậy đã được thử và nếu một cuộc tấn công đã thành công. Tìm một blog hoặc danh sách bảo mật theo ý thích của bạn và theo kịp nó hàng ngày hoặc hàng tuần (tùy theo trường hợp nào), chọn biệt ngữ và đọc những gì bạn không hiểu.

Sử dụng các công cụ để tấn công và kiểm toán các hệ thống của riêng bạn, cố gắng phá vỡ nội dung của riêng bạn. Điều này cung cấp cho bạn quan điểm từ cả hai phía của cuộc tấn công. Theo kịp tư duy "mũ đen" bằng cách đọc các bài báo và bài thuyết trình từ các hội nghị được thành lập như DEFCON. Các tài liệu lưu trữ từ mười năm qua là một kho tàng thông tin, vẫn còn nhiều giá trị.

Cấp, tôi không có chứng nhận, tôi cũng không lập hóa đơn cho các dịch vụ "chuyên gia bảo mật". Tôi chỉ biến nó thành một phần của thói quen hàng ngày để theo kịp những thứ này để biến mình thành một quản trị viên tốt hơn. Cho dù có hay không các certs mong muốn hoặc được yêu cầu cho mục tiêu của bạn vẫn tốt hơn để dành cho người có chúng. Tuy nhiên, tôi tin rằng một cách tiếp cận thực hành nặng nề là cách tốt nhất để tìm hiểu công cụ này và tôi hy vọng một số đề xuất của tôi cung cấp một số thực phẩm để suy nghĩ.

Làm cùng một loại bạn đang làm, điều mà tôi thấy rất có lợi là Viện Sans . Sans là một nhà đào tạo và chứng nhận trung lập của nhà cung cấp. Hãy xem Lộ trình chứng nhận Sans . Tôi đã bắt đầu với GSEC, lấy bằng GCIH của mình và hiện đang làm việc với Vàng GCIH của tôi . Các GSEC là một điểm khởi đầu trung gian tuyệt vời.

Hi vọng điêu nay co ich.

Josh

Tôi biết điều này không cung cấp cho bạn các khóa học cụ thể. Tuy nhiên, một số suy nghĩ chung từ kinh nghiệm của tôi là:

• Biết TCP / IP và định tuyến từ trong ra ngoài. IOS là tốt, rõ ràng, nơi có Cisco tham gia.
• Khóa học Wireshark sẽ tốt. Phân tích gói là cơ bản để theo dõi bảo mật.
• Biết các giao thức cấp ứng dụng từ trong ra ngoài. HTTP, FTP, SSH, SSL, SMTP
• Sự quen thuộc * nix chắc chắn là một điều tốt

Không có nhiều trợ giúp với các chi tiết cụ thể ở đó, tôi biết, nhưng hy vọng nó có thể giúp trong các ưu tiên hoặc hướng!

Tùy thuộc vào địa điểm cụ thể mà bạn kết thúc, điều quan trọng không chỉ là hoạt động ở khía cạnh kỹ thuật của bạn, mà cả các nhóm, mạng, v.v. bạn có thể khôn ngoan tham gia.

Có tất cả các loại địa điểm quan trọng có lẽ ( IETF , NANOG, v.v.) tùy thuộc vào khu vực của bạn. Đừng quên các trung tâm phản hồi khác nhau, chẳng hạn như DNS-OARC để bảo mật liên quan đến DNS.

Một trong những vấn đề lớn nhất trong công tác bảo mật là mọi người có xu hướng giữ bí mật khi họ gặp vấn đề. Đôi khi, tốt hơn là chia sẻ và làm việc cùng nhau qua các ranh giới tổ chức hơn là làm việc trong môi trường chân không.

Theo kinh nghiệm của tôi, bạn không thể thành thạo như một người phòng thủ cho đến khi bạn biết khả năng phạm tội là gì. Một số hội nghị tôi nghĩ là có lợi:

http://www.blackhat.com/
http://www.defcon.org/

Làm quen thực sự với OWASP: http://www.owasp.org

Ngoài ra một phần đáng kể của bảo mật là quá trình / hoạt động liên quan.

OWASP cung cấp OpenSAMM, nhưng có các khung như ISO 27000 (như người khác đã đề cập), COBIT, SABSA, v.v.

Chúc mừng