Pergeseran karir ke jalur pembelajaran yang aman? [Tutup]

Saya harus belajar cukup untuk menjadi berbahaya (jika hanya untuk diri saya sendiri), mengelola firewall, switch, dll untuk jaringan kecil selama sepuluh tahun terakhir. Namun, saya tahu ada kesenjangan yang cukup besar antara apa yang telah saya lakukan (keamanan sebagai hobi, benar-benar) untuk benar-benar mengejar penguasaan subjek.

Penelitian memberi saya sertifikasi dari Security + ke CISSP dan pembunuhan di antaranya. Apakah ada sertifikasi di luar sana yang menurut Anda akan memberikan peta jalan pembelajaran yang baik?

Saya akan membuang daftar pendek dari apa yang tampaknya perlu, kalau-kalau saya mendekati tanda.

• Keahlian Wireshark
• * nix keakraban
• Cisco IOS (CCNA akan menjadi cara 'cepat' untuk mengambil ini?)

Saya menyadari ini adalah tugas besar, tetapi sebagai perbandingan dari perspektif Win admin, jika saya bisa meraih kembali dan memberi diri saya yang lebih muda beberapa petunjuk, saya bisa menyelamatkan diri saya TON waktu dan pertemuan head-vs-wall dengan mengejar cara pintas belajar tertentu. Ini harapan saya bahwa beberapa dari Anda SFers yang berfokus pada keamanan memiliki saran serupa.

Di bagian keamanan apa Anda ingin bekerja? Keamanan adalah bidang yang sangat luas, terlebih lagi jika Anda menghitung semua cara Anda dapat bekerja menjadi sebagian di bidang lain. Biasanya ada beberapa area keamanan umum

• Keamanan perusahaan:

Mulai kerangka kerja pembelajaran, ISO / IEC 27001, tata kelola, audit, risiko / manfaat, kerangka hukum dan hal-hal serupa lainnya. Anda akan berakhir sebagai CISO dan mungkin sebagai CSO di sebuah perusahaan menjelang akhir karir Anda. Sampai Anda tiba di sana berharap menghabiskan banyak waktu menulis dokumen kebijakan.

• Keamanan TI

Mulai belajar alat umum perdagangan, wireshark, IOS dan yang sejenisnya adalah awal yang baik. Ambil keahlian yang lebih khusus seperti forensik ketika Anda memiliki chanse. Ada beberapa rangkaian kursus yang berbeda. SANS memiliki reputasi yang cukup baik, misalnya. Cisco yang masuk akal. Sayangnya sulit untuk pergi jauh jika Anda mengambil jalan ini. Anda mungkin naik ke manajemen menengah setelah beberapa saat, tetapi di sana keterampilannya kebanyakan tidak berguna. Di beberapa perusahaan Anda mungkin juga berurusan dengan keamanan fisik, yang meninggalkan lebih banyak bukaan ke atas. Jika Anda pergi ke polisi, Anda akan menghabiskan banyak waktu melihat foto-foto yang buruk jika Anda memilih jalan ini.

• Keamanan teknis

Mulai belajar matematika tingkat lanjut dan keterampilan teknis lainnya. Pilih area dan berspesialisasi. Dan berspesialisasi. Dan berspesialisasi. Jika Anda beruntung, Anda berada di daerah di mana ada permintaan tinggi, atau Anda menemukan perusahaan tempat Anda suka bekerja. Anda akan menjadi lebih atau kurang mustahil untuk diganti. Jika Anda memainkan kartu Anda dengan benar, Anda bisa berkeliling dunia dan bertemu banyak orang yang sangat cerdas.

Dari sudut pandang saya, hal pertama yang harus dilakukan adalah belajar berpikir keamanan. Mulailah membaca orang-orang seperti Schneier (Beyond fear) dan Ross (Security Engineering). Setelah Anda memahami pemikiran dasar di bidang keamanan, Anda dapat memilih jalur Anda, jika Anda ingin menggali di bidang ini sama sekali. Ini hampir tidak glamour seperti beberapa orang ingin membuatnya. Keamanan adalah anggaran pertama yang harus dipotong ketika segala sesuatunya menjadi ketat, dan berharap untuk disalahkan atas semua yang salah.

Saya telah menjadi admin selama 20 tahun (15 tahun secara profesional), sebagian besar Unix dengan sedikit Windows yang diperlukan. Sejak awal, saya cenderung memainkan admin paranoid, terutama karena itu praktis dan instruktif, bukan karena saya percaya peretas dari sisi lain dunia menargetkan server saya. ;-) Keamanan benar-benar merupakan persyaratan sysadmin de facto , yang dapat dilakukan setiap hari.

Anda tidak menentukan apakah Anda ingin mengenakan lencana resmi "Spesialis Keamanan" dan melakukan hal-hal seperti pengujian pena, audit kepatuhan PCI, respons insiden (forensik, dll.) Atau Anda hanya ingin menjadi admin dengan keamanan yang berat. kredit untuk membantu memperluas pilihan karir Anda dan mempertahankan sistem profil tinggi di bawah biaya Anda.

Dari beberapa rekan yang saya kenal dalam kategori "resmi", sertifikat CISSP adalah yang pertama kali mereka tangani dan mereka melanjutkan pekerjaan yang layak karena hal itu (tentu saja, mereka memiliki 10+ tahun pengalaman langsung, seperti Anda sendiri, untuk mendukungnya). Ada banyak materi online, selain materi pelatihan resmi dan kursus, untuk menilai pemahaman Anda tentang materi tersebut.

Sementara konsep dapat dipelajari dan diterapkan pada platform apa pun, saya pribadi merekomendasikan Unix, karena Anda mendapatkan akses tingkat rendah ke semuanya, dengan manfaat tambahan karena dapat mengakses informasi itu dengan mudah melalui shell jarak jauh: menonton sesi tcpdump langsung, syslog entri, log server web, dump mendengus, membuang memori sistem langsung, ke satu juta alat sumber terbuka lainnya untuk mengintip dan menyodok jeroan sistem yang sedang berjalan.

Karena Unix menjadi platform yang ideal untuk mempelajari hal-hal semacam ini, dengan mudah mengikuti bahwa cara terbaik untuk belajar adalah dengan melemparkan diri Anda ke serigala yang terkenal. Dapatkan sendiri Linux entry-level atau FreeBSD VPS, VPS tervirtualisasi sejati (seperti Xen) dengan semua "perangkat keras" dan akses admin yang Anda perlukan untuk mensimulasikan transaksi nyata dalam lingkungan internet langsung yang terbuka.

Atur diri Anda dengan sistem langsung yang berfungsi. Dapatkan server SMTP aktif berjalan, dan saksikan bot spam dan pindai malware. Menyiapkan server web dan menonton skrip kiddies mencoba serangan injeksi SQL di web Anda dan log DB. Perhatikan log ssh Anda untuk serangan brute force. Menyiapkan mesin blog umum dan bersenang-senang melawan bot dan serangan spam. Pelajari cara menggunakan berbagai teknologi virtualisasi ke layanan partisi satu sama lain. Belajar langsung jika ACL, MAC, dan audit tingkat sistem layak untuk kerja ekstra dan kerepotan atas izin sistem standar.

Berlangganan ke daftar keamanan platform OS dan perangkat lunak yang Anda pilih. Ketika Anda mendapatkan penasihat di kotak masuk Anda, baca serangan itu sampai Anda memahami cara kerjanya. Menambal sistem yang terpengaruh, tentu saja. Periksa log Anda apakah ada tanda-tanda bahwa serangan seperti itu telah dicoba dan jika ada yang berhasil. Temukan blog atau daftar keamanan yang sesuai dengan keinginan Anda dan ikuti setiap hari atau setiap minggu (mana saja yang berlaku), ambil jargonnya dan baca apa yang tidak Anda mengerti.

Gunakan alat untuk menyerang dan mengaudit sistem Anda sendiri, mencoba memecahkan barang-barang Anda sendiri. Ini memberi Anda perspektif dari kedua sisi serangan. Ikuti perkembangan pola pikir "topi hitam" dengan membaca makalah dan presentasi dari konferensi mapan seperti DEFCON. Arsip dari sepuluh tahun terakhir saja adalah harta karun informasi, banyak yang masih valid.

Memang, saya tidak memiliki sertifikasi, saya juga tidak menagih untuk layanan "spesialis keamanan". Saya hanya menjadikannya bagian dari rutinitas harian saya untuk mengikuti hal-hal ini untuk menjadikan saya admin yang lebih baik. Apakah sertifikat diinginkan atau dibutuhkan untuk tujuan Anda lebih baik diserahkan kepada seseorang yang memilikinya. Namun, saya percaya bahwa pendekatan langsung yang berat adalah cara terbaik untuk mempelajari hal-hal ini, dan saya harap beberapa saran saya menyediakan beberapa bahan untuk dipikirkan.

Melakukan hal yang sama seperti Anda, apa yang menurut saya sangat bermanfaat adalah SANS Institute . SANS adalah pelatih & pemberi sertifikat InfoSec netral. Lihatlah peta jalan sertifikasi SANS . Saya mulai dengan GSEC, mengambil GCIH saya, dan sekarang saya mengerjakan Gold GCIH saya . The GSEC adalah titik awal menengah besar.

Semoga ini membantu.

Josh

Saya tahu ini tidak memberi Anda kursus khusus. Namun, beberapa pemikiran umum dari pengalaman saya adalah:

• Kenali TCP / IP dan perutean keluar-masuk. IOS bagus, jelas, di mana ada Cisco yang terlibat.
• Kursus Wireshark akan bagus. Analisis paket sangat penting untuk penelusuran keamanan.
• Ketahui protokol level aplikasi luar-dalam. HTTP, FTP, SSH, SSL, SMTP
• Keakraban * nix jelas bagus

Tidak banyak membantu dengan spesifik di sana, saya tahu, tapi mudah-mudahan ini membantu mungkin dalam prioritas atau arah!

Bergantung pada tempat spesifik Anda berakhir, mungkin juga penting untuk tidak hanya bekerja di sisi teknis Anda, tetapi kelompok apa, jaringan, dan sebagainya, Anda mungkin bijaksana untuk bergabung.

Mungkin ada berbagai tempat penting untuk dikunjungi ( IETF , NANOG, dll.) Tergantung wilayah Anda. Jangan lupa berbagai pusat respons seperti DNS-OARC untuk keamanan terkait DNS.

Salah satu masalah terbesar dalam pekerjaan keamanan adalah bahwa orang-orang cenderung merahasiakannya ketika mereka menemukan masalah. Terkadang lebih baik berbagi dan bekerja bersama melintasi batas-batas organisasi daripada bekerja di ruang hampa.

Dalam pengalaman saya, Anda tidak bisa menjadi defender sampai Anda tahu apa yang mampu dilakukan oleh pelanggaran. Beberapa konferensi yang saya pikir bermanfaat:

http://www.blackhat.com/
http://www.defcon.org/

Menjadi sangat akrab dengan OWASP: http://www.owasp.org

Sebagian besar keamanan juga terkait proses / operasional.

OWASP menyediakan OpenSAMM, tetapi ada kerangka kerja seperti ISO 27000 (seperti orang lain yang disebutkan), COBIT, SABSA, dll.

Bersulang