Ich musste in den letzten zehn Jahren genug lernen, um gefährlich zu sein (wenn auch nur für mich selbst) und die Firewalls, Switches usw. für kleine Netzwerke zu verwalten. Ich weiß jedoch, dass es eine ziemlich große Lücke zwischen dem, was ich getan habe (Sicherheit als Hobby, wirklich) und der tatsächlichen Beherrschung des Themas gibt.
Die Forschung gibt mir Zertifizierungen von Security + bis CISSP und eine Reihe dazwischen. Gibt es Zertifizierungen, die Ihrer Meinung nach eine gute Roadmap für das Lernen darstellen?
Ich werde eine kurze Liste der Dinge herauswerfen, die notwendig erscheinen, falls ich irgendwo in der Nähe der Marke bin.
- Wireshark Virtuosität
- * nix Vertrautheit
- Cisco IOS (CCNA wäre ein "schneller" Weg, dies zu erfassen?)
Mir ist klar, dass dies ein gewaltiges Unterfangen ist, aber im Vergleich aus Sicht des Win-Administrators hätte ich mir eine Menge Zeit und Begegnungen zwischen Kopf und Wand sparen können, wenn ich zurückgreifen und meinem jüngeren Ich ein paar Hinweise geben könnte bestimmte Lernverknüpfungen. Ich hoffe, dass einige von Ihnen sicherheitsorientierten SFern ähnliche Ratschläge haben.
Antworten:
In welchem Teil der Sicherheit möchten Sie arbeiten? Sicherheit ist ein sehr weites Feld, umso mehr, wenn Sie alle Möglichkeiten zählen, wie Sie teilweise in anderen Bereichen arbeiten können. In der Regel gibt es einige allgemeine Sicherheitsbereiche
Beginnen Sie mit dem Erlernen von Frameworks, ISO / IEC 27001, Governance, Prüfung, Risiko / Nutzen, rechtlichen Rahmenbedingungen und ähnlichen Dingen. Sie werden gegen Ende Ihrer Karriere als CISO und vielleicht als CSO in einem Unternehmen enden. Bis Sie dort ankommen, müssen Sie viel Zeit damit verbringen, Richtliniendokumente zu schreiben.
Beginnen Sie mit dem Erlernen der allgemeinen Werkzeuge des Handels, Wireshark, IOS und dergleichen sind ein guter Anfang. Lernen Sie die spezielleren Fähigkeiten wie Forensik kennen, wenn Sie die Möglichkeit haben. Es gibt verschiedene Kurse. SANS hat zum Beispiel einen ziemlich guten Ruf. Cisco eine vernünftige. Leider ist es schwierig, weit zu kommen, wenn Sie diesen Weg gehen. Sie könnten nach einer Weile in das mittlere Management aufsteigen, aber dort sind die Fähigkeiten meistens nutzlos. In einigen Unternehmen beschäftigen Sie sich möglicherweise auch mit physischer Sicherheit, wodurch mehr Öffnungen nach oben entstehen. Wenn Sie zur Polizei gehen, werden Sie viel Zeit damit verbringen, sich böse Bilder anzusehen, wenn Sie diesen Weg wählen.
Beginnen Sie mit dem Erlernen fortgeschrittener Mathematik und anderer technischer Fähigkeiten. Wählen Sie einen Bereich und spezialisieren Sie sich. Und spezialisieren. Und spezialisieren. Wenn Sie Glück haben, befinden Sie sich in einem Gebiet mit hoher Nachfrage oder in einem Unternehmen, in dem Sie gerne arbeiten. Sie werden mehr oder weniger unmöglich zu ersetzen sein. Wenn Sie Ihre Karten richtig spielen, können Sie um die Welt reisen und viele sehr kluge Leute treffen.
Aus meiner Sicht ist das erste, was zu tun ist, zu lernen, Sicherheit zu denken. Lesen Sie Leute wie Schneier (Jenseits der Angst) und Ross (Sicherheitstechnik). Sobald Sie das grundlegende Denken im Sicherheitsbereich verstanden haben, können Sie Ihren Weg wählen, wenn Sie überhaupt in diesem Bereich graben möchten. Es ist nicht annähernd so glamourös, wie manche Leute es machen wollen. Sicherheit ist das erste Budget, das gekürzt wird, wenn die Dinge knapp werden, und erwartet, die Schuld für alles zu bekommen, was schief geht.
quelle
Ich bin seit 20 Jahren Administrator (15 Jahre beruflich), meistens Unix mit einem Schuss Windows nach Bedarf. Von Anfang an habe ich eher den paranoiden Administrator gespielt, hauptsächlich, weil es praktisch und lehrreich ist, und nicht, weil ich glaube, dass Hacker von der anderen Seite der Welt auf meine Server abzielen. ;-) Sicherheit ist wirklich eine De-facto- Systemadministrationsanforderung, die täglich geübt werden kann.
Sie geben nicht an, ob Sie das offizielle Abzeichen des "Sicherheitsspezialisten" tragen und Dinge wie Stifttests, PCI-Konformitätsprüfung, Reaktion auf Vorfälle (Forensik usw.) durchführen möchten oder ob Sie nur ein Administrator mit hoher Sicherheit sein möchten Creds, um Ihre Karriereoptionen zu erweitern und hochkarätige Systeme unter Ihrer Verantwortung zu verteidigen.
Von den wenigen Kollegen, die ich in der Kategorie "offiziell" kenne, war das CISSP-Zertifikat das erste, das sie in Angriff nahmen, und sie bekamen deswegen anständige Jobs (natürlich hatten sie mehr als 10 Jahre praktische Erfahrung, wie Sie selbst). um es zu sichern). Zusätzlich zu offiziellen Schulungsmaterialien und Kursen sind online unzählige Materialien verfügbar, mit denen Sie das Material besser verstehen können.
Obwohl die Konzepte auf jeder Plattform erlernt und angewendet werden können, empfehle ich Unix persönlich, da Sie einen so einfachen Zugriff auf alles erhalten, mit dem zusätzlichen Vorteil, dass Sie einfach über eine Remote-Shell auf diese Informationen zugreifen können: Live-TCPDump-Sitzungen, Syslog Einträge, Webserver-Protokolle, Snort-Dumps, Dumping des Live-Systemspeichers und eine Million anderer Open-Source-Tools zum Durchsuchen und Stöbern in den Innereien eines laufenden Systems.
Da Unix eine ideale Plattform ist, um solche Dinge zu lernen, folgt daraus leicht, dass eine gute Möglichkeit zum Lernen darin besteht, sich den sprichwörtlichen Wölfen zuzuwerfen. Holen Sie sich ein Linux- oder FreeBSD-VPS für Einsteiger, ein echtes virtualisiertes VPS (wie Xen) mit der gesamten "Hardware" und dem Administratorzugriff, die Sie benötigen, um das echte Geschäft in einer exponierten Live-Internetumgebung zu simulieren.
Richten Sie sich mit einem lebendigen, funktionierenden System ein. Starten Sie einen Live-SMTP-Server, beobachten Sie die Spam-Bots und suchen Sie nach Malware. Richten Sie einen Webserver ein und beobachten Sie, wie die Skriptkinder SQL-Injection-Angriffe in Ihren Web- und DB-Protokollen versuchen. Beobachten Sie Ihre SSH-Protokolle auf Brute-Force-Angriffe. Richten Sie eine gemeinsame Blog-Engine ein und haben Sie Spaß daran, Spam-Bots und Angriffe abzuwehren. Erfahren Sie, wie Sie verschiedene Virtualisierungstechnologien bereitstellen, um Dienste voneinander zu trennen. Erfahren Sie aus erster Hand, ob ACLs, MACs und die Überwachung auf Systemebene die zusätzliche Arbeit und den Aufwand gegenüber Standard-Systemberechtigungen wert sind.
Abonnieren Sie die Sicherheitslisten des von Ihnen ausgewählten Betriebssystems und der Softwareplattform. Wenn Sie einen Hinweis in Ihrem Posteingang erhalten, lesen Sie den Angriff nach, bis Sie verstehen, wie er funktioniert. Patchen Sie natürlich die betroffenen Systeme. Überprüfen Sie Ihre Protokolle auf Anzeichen dafür, dass ein solcher Angriff versucht wurde und ob einer erfolgreich war. Suchen Sie ein Sicherheitsblog oder eine Sicherheitsliste, die Ihren Wünschen entspricht, und halten Sie sich täglich oder wöchentlich auf dem Laufenden (je nachdem, was gilt). Nehmen Sie den Jargon auf und lesen Sie, was Sie nicht verstehen.
Verwenden Sie Tools, um Ihre eigenen Systeme anzugreifen und zu überwachen und versuchen Sie, Ihre eigenen Sachen zu zerstören. Dies gibt Ihnen Perspektive von beiden Seiten des Angriffs. Bleiben Sie auf dem neuesten Stand der "Black Hat" -Mentalität, indem Sie Artikel und Präsentationen von etablierten Konferenzen wie DEFCON lesen . Allein die Archive der letzten zehn Jahre sind ein Schatz an Informationen, der noch immer gültig ist.
Zugegeben, ich habe keine Zertifizierungen und rechne auch nicht mit "Sicherheitsspezialisten" ab. Ich mache es einfach zu einem Teil meiner täglichen Routine, mit diesem Zeug Schritt zu halten, um mich selbst zu einem besseren Administrator zu machen. Ob die Zertifikate für Ihre Ziele gewünscht oder erforderlich sind oder nicht, ist besser jemandem überlassen, der sie hat. Ich glaube jedoch, dass ein intensiver praktischer Ansatz der beste Weg ist, um dieses Zeug zu lernen, und ich hoffe, dass einige meiner Vorschläge einige Denkanstöße geben.
quelle
Was ich als sehr nützlich empfunden habe, ist das SANS-Institut . SANS ist ein herstellerneutraler InfoSec-Trainer und -Zertifizierer. Schauen Sie sich die SANS Certification Roadmap an . Ich habe mit der GSEC angefangen, mein GCIH genommen und arbeite jetzt an meinem GCIH Gold . Die GSEC ist ein guter Zwischenstartpunkt.
Hoffe das hilft.
Josh
quelle
Ich weiß, dass Sie dadurch keine spezifischen Kurse erhalten. Einige allgemeine Gedanken aus meinen Erfahrungen sind jedoch:
Ich weiß, dass es dort nicht viel Hilfe bei Einzelheiten gibt, aber hoffentlich hilft es vielleicht in Prioritäten oder Richtungen!
quelle
Abhängig davon, an welchem Ort Sie landen, kann es auch wichtig sein, nicht nur auf Ihrer technischen Seite zu arbeiten, sondern auch, welchen Gruppen, Netzwerken usw. Sie möglicherweise beitreten möchten.
Abhängig von Ihrer Region gibt es möglicherweise alle möglichen wichtigen Orte ( IETF , NANOG usw.). Vergessen Sie nicht die verschiedenen Antwortzentren wie DNS-OARC für DNS-bezogene Sicherheit.
Eines der größten Probleme bei der Sicherheitsarbeit besteht darin, dass Menschen dazu neigen, Dinge geheim zu halten, wenn sie ein Problem finden. Manchmal ist es besser, über Unternehmensgrenzen hinweg zu teilen und zusammenzuarbeiten, als in einem Vakuum zu arbeiten.
quelle
Nach meiner Erfahrung können Sie als Verteidiger erst dann kompetent sein, wenn Sie wissen, wozu das Vergehen in der Lage ist. Einige Konferenzen sind meiner Meinung nach von Vorteil:
http://www.blackhat.com/
http://www.defcon.org/
quelle
Machen Sie sich mit OWASP vertraut: http://www.owasp.org
Ein wesentlicher Teil der Sicherheit hängt auch mit dem Prozess / Betrieb zusammen.
OWASP bietet OpenSAMM an, aber es gibt Frameworks wie ISO 27000 (wie jemand anderes erwähnt), COBIT, SABSA usw.
Prost
quelle