Güvenlikte kariyer değişimi - öğrenme yolları? [kapalı]

10

Son on yıl içinde küçük ağlar için güvenlik duvarlarını, anahtarları vb. Yönetebilmem için (yalnızca kendime) tehlikeli olacak kadar öğrenmem gerekiyordu. Bununla birlikte, konunun ustalığını sürdürmek için yaptığım şey (gerçekten bir hobi olarak güvenlik) arasında oldukça büyük bir boşluk olduğunu biliyorum.

Araştırma bana sertifikalar veriyor Security + ' dan CISSP' ye ve aralarında bir değişim var. İyi bir öğrenme yol haritası sağlayacağınızı düşündüğünüz sertifikalar var mı?

İşaretin yakınında herhangi bir yerde olmam gerekirse, neyin gereksiz göründüğüne dair kısa bir liste hazırlayacağım.

  • Wireshark ustalığı
  • * nix aşinalık
  • Cisco IOS (CCNA bunu almanın 'hızlı' bir yolu olur mu?)

Bunun büyük bir girişim olduğunun farkındayım, ancak Win yönetici perspektifinden bir karşılaştırma olarak, geri dönüp daha genç kendime birkaç işaret verebilirsem, kendimi takip ederek bir TON zaman ve kafa-duvar karşılaşması kurtarabilirdim bazı öğrenme kısayolları. Umarım bazı güvenlik odaklı SFer'lerin benzer tavsiyeleri vardır.

security 
Kara Marfia
kaynak
Mesleki eğitim ile ilgili sorular , gözden geçirilen SSS'ye göre konu dışıdır .
sysadmin1138

Yanıtlar:

9

Hangi güvenlik bölümünde çalışmak istiyorsunuz? Güvenlik çok geniş bir alandır, daha da fazlası, eğer tüm yolları sayarsanız, diğer alanlarda kısmen çalışabilirsiniz. Genellikle birkaç genel güvenlik alanı vardır

  • Kurumsal güvenlik:

Çerçeveleri, ISO / IEC 27001, yönetişim, denetim, risk / fayda, yasal çerçeveler ve daha pek çok şeyi öğrenmeye başlayın. Bir şirkette kariyerinizin sonuna doğru CISO ve belki de STK olarak sonuçlanacaksınız. Oraya kadar politika belgeleri yazmak için çok zaman harcayacağınızı düşünün.

  • bilgi Teknolojileri Güvenliği

Ticaretin genel araçlarını öğrenmeye başlayın, wireshark, IOS ve benzeri iyi bir başlangıçtır. Chanse'ınız olduğunda adli tıp gibi daha özel yetenekleri alın. Birkaç farklı ders seti vardır. Örneğin, SANS'ın oldukça iyi bir ünü var. Cisco makul. Ne yazık ki bu yolu izlerseniz uzaklaşmak zor. Bir süre sonra orta yönetime geçebilirsiniz, ancak beceriler çoğunlukla işe yaramaz. Bazı şirketlerde daha fazla açıklık bırakan fiziksel güvenlikle de ilgilenebilirsiniz. Polise giderseniz, bu yolu seçtiyseniz kötü resimlere bakmak için çok zaman harcayacaksınız.

  • Teknik güvenlik

İleri matematik ve diğer teknik becerileri öğrenmeye başlayın. Bir alan seçin ve uzmanlaşın. Ve uzmanlaşın. Ve uzmanlaşın. Şanslıysanız, yüksek talebin olduğu bir alandasınız veya çalışmayı sevdiğiniz bir şirket buluyorsunuz. Değiştirmek için neredeyse imkansız hale geleceksiniz. Kartlarınızı doğru oynarsanız, dünyayı dolaşır ve çok parlak insanlarla tanışırsınız.

Benim bakış açımdan yapılacak ilk şey güvenliği düşünmeyi öğrenmek. Schneier (Korkunun Ötesi) ve Ross (Güvenlik Mühendisliği) gibi insanları okumaya başlayın. Güvenlik alanındaki temel düşünceyi kavradığınızda, bu alanı kazmak istiyorsanız, yolunuzu seçebilirsiniz. Bazı insanların yapmak istediği kadar cazibe değil. Güvenlik, işler sıkılaştığında kesilecek ilk bütçe ve yanlış giden her şey için suçlanmayı bekliyor.

pehrs
kaynak
InfoSec'teki farklı nişler için +1. "InfoSec" geniş bir alandır, tıpkı "IT" gibi SANS için +.
Josh Brower
Tam olarak araştırmam gereken sorular, teşekkürler! Zaferle geçeceğim ve genel olarak kabul edilmeye alışkınım - en çok keyif aldığım tüm esnaf işimin parçası.
Kara Marfia
8

20 yıldır (profesyonel olarak 15 yıl) yönetici oldum, çoğunlukla Unix, Windows'un gerektiği gibi bir çizgi ile. Başından beri, paranoyak yöneticiyi oynama eğilimindeydim, çoğunlukla pratik ve öğretici olduğu için, dünyanın diğer tarafındaki bilgisayar korsanlarının sunucularımı hedeflediğine inanmadığım için değil. ;-) Güvenlik gerçekten de fiili sysadmin gereksinimidir, günlük olarak uygulanabilir.

"Güvenlik Uzmanı" nın resmi rozetini giymek isteyip istemediğinizi ve kalem testi, PCI uygunluk denetimi, olay yanıtı (adli tıp vb.) kariyer seçeneklerinizi genişletmenize ve yüksek profilli sistemleri sizin sorumluluğunuzda savunmanıza yardımcı olacak krediler.

"Resmi" kategoride tanıdığım birkaç akran arasından, CISSP sertifikası ilk mücadele ettikleri ve onlardan dolayı iyi işlere devam ettiler (elbette, sizin gibi 10 yıldan fazla süren bir deneyime sahiplerdi, yedeklemek için). Resmi eğitim materyallerine ve kurslarına ek olarak, materyali kavradığınızı değerlendirmek için çevrimiçi olarak tonlarca materyal var.

Kavramlar herhangi bir platformda öğrenilip uygulanabilse de, kişisel olarak Unix'i öneririm, çünkü her şeye bu kadar düşük seviyeli erişim elde edersiniz, ayrıca bu bilgilere uzak kabuk yoluyla kolayca erişebilmenin yararı: canlı tcpdump oturumlarını izleme, syslog girişler, web sunucusu günlükleri, snort dökümleri, canlı sistem belleğini boşaltma, çalışan bir sistemin iç kısımlarına bakmak ve alay etmek için bir milyon açık kaynak aracına.

Unix'in bu tür şeyleri öğrenmek için ideal bir platform olması nedeniyle, öğrenmenin harika bir yolunun kendini atasözü kurtlara atmak olduğunu kolayca takip eder. Kendinize giriş düzeyinde bir Linux veya FreeBSD VPS, gerçek bir sanallaştırılmış VPS (Xen gibi) tüm "donanım" ve yönetici erişimine sahip olun ve canlı, açık bir internet ortamında gerçek anlaşmayı simüle etmeniz gerekir.

Kendinizi canlı, çalışan bir sistemle kurun. Çalışan bir SMTP sunucusu edinin ve spam botlarını izleyin ve kötü amaçlı yazılım arayın. Bir web sunucusu kurun ve komut dosyalarının web ve DB günlüklerinizde SQL enjeksiyon saldırılarını denemelerini izleyin. SSH günlüklerinizi kaba kuvvet saldırılarına karşı izleyin. Ortak bir blog motoru kurun ve spam botları ve saldırılarıyla savaşın. Hizmetleri birbirinden bölümlemek için çeşitli sanallaştırma teknolojilerini nasıl dağıtacağınızı öğrenin. ACL, MAC ve sistem düzeyinde denetimin ekstra çalışma ve standart sistem izinleri üzerinde uğraşmaya değip değmeyeceğini ilk elden öğrenin.

Seçtiğiniz işletim sistemi ve yazılım platformunun güvenlik listelerine abone olun. Gelen kutunuza bir danışma geldiğinde, nasıl çalıştığını anlayana kadar saldırıyı okuyun. Etkilenen sistemleri elbette yamalayın. Günlüklerinizde böyle bir saldırının denendiğini ve başarılı olup olmadığını gösteren herhangi bir işaret olup olmadığını kontrol edin. Beğendiğiniz bir güvenlik blogu veya listesi bulun ve günlük veya haftalık (hangisi geçerliyse) takip edin, jargonu alın ve anlamadığınız şeyleri okuyun.

Kendi sistemlerinizi kırmaya çalışırken kendi sistemlerinize saldırmak ve denetlemek için araçlar kullanın. Bu size saldırının her iki tarafından da bakış açısı kazandırır. DEFCON gibi köklü konferanslardan bildiriler ve sunumlar okuyarak "siyah şapka" zihniyetinin üstünlüğünü yakalayın. Sadece son on yıldaki arşivler hala geçerli olan bir hazine bilgisidir.

Verilen sertifikalarım yok, ne de "güvenlik uzmanı" hizmetler için faturalandırıyorum. Kendimi daha iyi bir yönetici yapmak için bu şeylere ayak uydurmayı günlük rutinimin bir parçası yapıyorum. Hedeflerinizin hedeflerinin istenip istenmediği veya gerekip gerekmediği, onlara sahip olan birine daha iyi bırakılır. Bununla birlikte, ağır bir uygulamalı yaklaşımın bu şeyleri öğrenmenin en iyi yolu olduğuna inanıyorum ve umarım bazı önerilerim düşünce için yiyecek sağlar.

Geoff Fritz
kaynak
6

Sizinle aynı türden şeyleri yapmak, çok faydalı bulduğum şey SANS Enstitüsü . SANS satıcıdan bağımsız InfoSec eğitmeni ve sertifikalıdır. SANS Sertifikasyon Yol Haritasına bir göz atın . GSEC ile başladım, GCIH'ımı aldım ve şimdi GCIH Gold'um üzerinde çalışıyorum . GSEC büyük bir ara bir başlangıç noktasıdır.

Bu yardımcı olur umarım.

alay etmek

Josh Tarayıcı
kaynak
Satıcı tarafsızlığı bu durumda iyi bir bahis gibi görünüyor.
Kara Marfia
2

Bunun size özel kurslar sağlamadığını biliyorum. Yine de deneyimlerimden bazı genel düşünceler:

  • TCP / IP ve iç-dış yönlendirme özelliklerini bilir. IOS, açıkça, Cisco'nun bulunduğu yerde iyidir.
  • Wireshark kursu iyi olurdu. Paket analizi güvenlik izlemesi için esastır.
  • İçten dışa uygulama seviyesi protokollerini bilir. HTTP, FTP, SSH, SSL, SMTP
  • * Nix aşinalık kesinlikle iyi bir tanesidir

Oradaki ayrıntılarla pek yardımcı değil, biliyorum, ama umarım belki öncelikler veya yönlerde yardımcı olur!

squillman
kaynak
Gördüğüm gibi, alanın içindeki birinden gelen herhangi bir yorum kendi tahminimden daha iyi. Teşekkürler!
Kara Marfia
1

Ne tür bir yere ulaştığınıza bağlı olarak, sadece teknik tarafınızda değil, hangi grupların, ağların vb.

Bölgenize bağlı olarak gidilecek her türlü önemli yer ( IETF , NANOG, vb.) Vardır. DNS ile ilgili güvenlik için DNS- OARC gibi çeşitli yanıt merkezlerini unutmayın .

Güvenlik çalışmasındaki en büyük sorunlardan biri, insanların bir sorun bulduğunda işleri gizli tutma eğiliminde olmalarıdır. Bazen örgütsel sınırlar boyunca paylaşmak ve birlikte çalışmak, boşlukta çalışmaktan daha iyidir.

Michael Graff
kaynak
1

Benim tecrübelerime göre, suçun neler yapabileceğini bilinceye kadar bir defans oyuncusu olamazsınız. Yararlı olduğunu düşündüğüm bazı konferanslar:

http://www.blackhat.com/
http://www.defcon.org/

paxos1977
kaynak
Bunları her yıl okumaktan zevk alıyorum. Bu günlerden birine katılarak kendimi tedavi etmek isterdim, ancak dizüstü bilgisayarımı bu kadar uzun süre geride bırakmak zor olurdu. ;)
Kara Marfia
@ "Kara Marfia" tamamen dizüstü bilgisayarınızı Black Hat'a götürebilirsiniz, endişelenmeyin. DefCon başka bir hikaye. ;) İşletim sisteminizin sertleştiği, kablosuz ve bluetooth ve kızılötesi cihazların devre dışı bırakıldığı ve DefCon ağına asla bağlanmadığınız varsayılarak dizüstü bilgisayarınızı DefCon'a getirebilirsiniz. Veya getirin ve sadece gece kullanarak otel odanızda bırakın;)
paxos1977
0

OWASP hakkında gerçekten bilgi sahibi olun: http://www.owasp.org

Ayrıca güvenliğin önemli bir kısmı süreç / operasyonla ilgilidir.

OWASP OpenSAMM sağlar, ancak ISO 27000 (adı geçen başka biri gibi), COBIT, SABSA vb. Gibi çerçeveler vardır.

Şerefe

HTTP500
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.