Changement de carrière vers la sécurité – apprentissage des pistes? [fermé]

J'ai dû apprendre assez pour être dangereux (si seulement pour moi-même), gérer les pare-feu, les commutateurs, etc. pour les petits réseaux au cours des dix dernières années. Cependant, je sais qu'il y a un écart énorme entre ce que je faisais (la sécurité comme hobby, vraiment) pour mener à bien la maîtrise du sujet.

La recherche me donne des certifications de Security + à CISSP et de nombreuses interférences. Y a-t-il des certifications qui, selon vous, fourniraient une bonne feuille de route d'apprentissage?

Je vais jeter une courte liste de ce qui semble nécessaire, au cas où je serais près de la marque.

  • La virtuosité de Wireshark
  • * Nix familiarité
  • Cisco IOS (CCNA serait un moyen «rapide» de le récupérer?)

Je me rends compte que c'est une entreprise massive, mais comme une comparaison à partir d'une perspective d'administration de Win, si je pouvais revenir en arrière et donner à mes jeunes plus jeunes quelques conseils, j'aurais pu me sauver une TONIÈME fois et des rencontres tête-à-tête en poursuivant Certains raccourcis d'apprentissage. J'espère que certains de vos SFers axés sur la sécurité ont des conseils similaires.

Dans quelle partie de la sécurité souhaitez-vous travailler? La sécurité est un domaine très large, encore plus si vous comptez toutes les façons dont vous pouvez travailler en partie dans d'autres domaines. Généralement, il existe quelques domaines généraux de sécurité

  • Sécurité de l'entreprise:

Commencez les cadres d'apprentissage, ISO / IEC 27001, la gouvernance, l'audit, les risques / bénéfices, les encadrements juridiques et d'autres choses similaires. Vous finirez en tant que CISO et peut-être comme CSO dans une entreprise vers la fin de votre carrière. Jusqu'à ce que vous y arriviez, prévoyez consacrer beaucoup de temps à rédiger des documents sur les politiques.

  • Sécurité informatique

Commencez à apprendre les outils généraux du commerce, wireshark, IOS et les similaires sont un bon début. Prenez les compétences plus spécialisées telles que la médecine légale lorsque vous avez le chanse. Il existe plusieurs ensembles de cours différents. SANS a une très bonne réputation, par exemple. Cisco est raisonnable. Malheureusement, il est difficile d'aller loin si vous prenez ce chemin. Vous pouvez passer à la gestion intermédiaire après un certain temps, mais les compétences sont généralement inutiles. Dans certaines entreprises, vous pouvez également faire face à la sécurité physique, ce qui laisse plus d'ouvertures à la hausse. Si vous allez à la police, vous passerez beaucoup de temps à regarder des images méchantes si vous choisissez ce chemin.

  • Sécurité technique

Commencez à apprendre les mathématiques avancées et d'autres compétences techniques. Choisissez une zone et spécialisez-vous. Et spécialisé. Et spécialisé. Si vous avez de la chance, vous êtes dans une région où vous avez une forte demande, ou vous trouvez une entreprise où vous aimez travailler. Vous allez devenir plus ou moins impossible à remplacer. Si vous jouez à vos cartes, vous pouvez voyager à travers le monde et rencontrer beaucoup de gens très brillants.

De mon point de vue, la première chose à faire est d'apprendre à réfléchir à la sécurité. Commencez à lire des gens comme Schneier (Beyond fear) et Ross (Security Engineering). Une fois que vous avez compris la pensée de base dans le domaine de sécurité, vous pouvez choisir votre chemin, si vous voulez creuser dans ce domaine. Ce n'est pas autant de glamour que certains veulent le faire. La sécurité est le premier budget à couper lorsque les choses se resserrent et s'attendent à en être responsables pour tout ce qui ne va pas.

J'ai été administrateur pendant 20 ans (15 ans professionnellement), principalement Unix avec un coup de Windows selon les besoins. Dès le début, j'ai tendance à jouer l'administrateur paranoïaque, principalement parce que c'est pratique et instructif, non pas parce que je crois que les pirates de l'autre côté du globe ciblent mes serveurs. 😉 La sécurité est vraiment une exigence sysadmin de facto , qui peut être pratiquée tous les jours.

Vous ne spécifiez pas si vous souhaitez porter le badge officiel du «Spécialiste de la sécurité» et faire des choses telles que les tests de stylo, l'audit de conformité PCI, la réponse aux incidents (forensics, etc.) ou vous voulez simplement être un administrateur avec une forte sécurité Pour aider à élargir vos options de carrière et à défendre des systèmes de haut niveau sous votre responsabilité.

Parmi les quelques pairs que je connais dans la catégorie "officielle", le cerf de CISSP a été le premier à aborder et ils ont décroché des emplois décents à cause de cela (bien sûr, ils avaient plus de 10 ans d'expérience pratique, comme vous, Pour le sauvegarder). Il y a des tonnes de matériaux en ligne, en plus du matériel de formation et des cours officiels, afin d'évaluer votre compréhension du matériel.

Bien que les concepts puissent être appris et appliqués sur n'importe quelle plate-forme, je recommande personnellement Unix, car vous obtenez un tel accès de bas niveau à tout, avec l'avantage supplémentaire d'être en mesure d'accéder facilement à cette information via un shell distant: en regardant les sessions en direct tcpdump, syslog Les entrées, les journaux du serveur Web, les buées de buée, le déchargement de la mémoire du système en direct, à un million d'autres outils open source pour faire peer et piquer les entrailles d'un système de course.

Étant donné que Unix est une plate-forme idéale pour apprendre ce genre de choses, il suit facilement que l'excellent moyen d'apprendre consiste à se jeter aux loups proverbes. Obtenez un VPS virtuel ou FreeBSD d'entrée de gamme, un véritable VPS virtualisé (tel que Xen) avec tous les accès "matériels" et administratifs, vous devrez simuler la vraie affaire dans un environnement Internet vivant et exposé.

Installez-vous avec un système de travail en direct. Obtenez un serveur SMTP en direct en cours d'exécution et regardez les robots spam et recherchez les logiciels malveillants. Configurez un serveur Web et regardez les kiddies de script essayer des attaques d'injection SQL dans vos journaux Web et DB. Regardez vos journaux ssh pour les attaques de force brute. Configurez un moteur de blog commun et amusez-vous à lutter contre les robots spam et les attaques. Découvrez comment déployer diverses technologies de virtualisation dans les services de partition les uns des autres. Apprenez de première main si les ACL, le MAC et l'audit au niveau du système vaut le travail supplémentaire et les tracas sur les autorisations standard du système.

Abonnez-vous aux listes de sécurité de l'OS et de la plate-forme logicielle que vous choisissez. Lorsque vous recevez un avis dans votre boîte de réception, lisez l'attaque jusqu'à ce que vous compreniez comment cela fonctionne. Relâchez les systèmes affectés, bien sûr. Vérifiez vos journaux pour tous les signes indiquant qu'une telle attaque a été tentée et si vous avez réussi. Trouvez un blog ou une liste de sécurité qui est à votre goût et continuez-le quotidiennement ou chaque semaine (selon le cas), en reprenant le jargon et en lisant ce que vous ne comprenez pas.

Utilisez des outils pour attaquer et auditer vos propres systèmes, en essayant de briser vos propres éléments. Cela vous donne une perspective des deux côtés de l'attaque. Continuez avec la pointe de l'état d'esprit du «chapeau noir» en lisant des articles et des présentations de conférences bien établies comme DEFCON. Les archives des dix dernières années seulement sont un trésor de l'information, encore plus valable.

Certes, je n'ai pas de certifications, et je ne facture pas non plus les services de «spécialiste de la sécurité». Je fais simplement partie de ma routine quotidienne pour suivre ces choses pour devenir un meilleur administrateur. Que le ou les certs soient souhaités ou requis pour vos objectifs, il vaut mieux laisser à quelqu'un qui les a. Cependant, je crois qu'une approche pratique lourde est la meilleure façon d'apprendre ces choses, et j'espère que certaines de mes suggestions fournissent de la nourriture à penser.

Faire le même type de chose que vous êtes, ce que j'ai trouvé très bénéfique, c'est l' Institut SANS . SANS est un formateur et un certificateur InfoSec neutre du fournisseur. Jetez un oeil à la feuille de route de certification SANS . J'ai commencé avec le GSEC, j'ai pris mon GCIH, et maintenant je travaille sur mon GCIH Gold . Le GSEC est un excellent point de départ intermédiaire.

J'espère que cela t'aides.

Josh

Je sais que cela ne vous fournit pas de cours spécifiques. Certaines idées générales de mes expériences sont cependant:

  • Connaissez TCP / IP et roulez à l'envers. IOS est bon, évidemment, où Cisco implique.
  • Le cours Wireshark serait bon. L'analyse par paquets est essentielle au suivi de sécurité.
  • Connaissez les protocoles de niveau d'application à l'envers. HTTP, FTP, SSH, SSL, SMTP
  • La familiarité * nix est certainement une bonne

Pas beaucoup d'aide avec des détails là-bas, je sais, mais j'espère qu'il aide peut-être dans les priorités ou la direction!

En fonction de l'endroit précis où vous vous retrouvez, il peut également être important de travailler non seulement sur le plan technique, mais aussi sur les groupes, les réseaux, etc., vous êtes peut-être sage de vous joindre.

Il y a toutes sortes d'endroits importants pour aller peut-être ( IETF , NANOG, etc.) selon votre région. N'oubliez pas les différents centres de réponse tels que DNS-OARC pour la sécurité liée au DNS.

L'un des plus grands problèmes dans le travail de sécurité est que les gens ont tendance à garder les choses en secret lorsqu'ils trouvent un problème. Parfois, il est préférable de partager et de travailler ensemble à travers les limites de l'organisation que de travailler dans le vide.

D'après mon expérience, vous ne pouvez pas maîtriser le défenseur jusqu'à ce que vous sachiez de quoi l'infraction est capable. Certaines conférences, je pense, sont bénéfiques:

http://www.blackhat.com/
http://www.defcon.org/

Familiarisez-vous avec OWASP: http://www.owasp.org

De plus, une partie importante de la sécurité est liée au processus / opérationnel.

OWASP fournit OpenSAMM, mais il existe des frameworks comme ISO 27000 (comme quelqu'un d'autre mentionné), COBIT, SABSA, etc.

À votre santé