Passage de carrière à la sécurité - pistes d'apprentissage? [fermé]

10

J'ai dû apprendre suffisamment pour être dangereux (ne serait-ce que pour moi), en gérant les pare-feu, les commutateurs, etc. pour les petits réseaux au cours des dix dernières années. Cependant, je sais qu'il y a un écart assez énorme entre ce que je faisais (la sécurité comme passe-temps, vraiment) pour poursuivre réellement la maîtrise du sujet.

La recherche me donne des certifications de Security + à CISSP et un balayage entre les deux. Existe-t-il des certifications qui, selon vous, fourniraient une bonne feuille de route d'apprentissage?

Je vais jeter une courte liste de ce qui semble nécessaire, au cas où je serais n'importe où.

  • Virtuosité de Wireshark
  • * familiarité nix
  • Cisco IOS (CCNA serait un moyen «rapide» de comprendre cela?)

Je me rends compte que c'est une entreprise énorme, mais à titre de comparaison d'un point de vue administrateur Win, si je pouvais revenir en arrière et donner à mon jeune moi quelques conseils, j'aurais pu me sauver une tonne de temps et de rencontres tête-à-mur en poursuivant certains raccourcis d'apprentissage. J'espère que certains d'entre vous axés sur la sécurité ont des conseils similaires.

Kara Marfia
la source
Les questions relatives à la formation professionnelle sont hors sujet selon la FAQ révisée .
sysadmin1138

Réponses:

9

Dans quelle partie de la sécurité souhaitez-vous travailler? La sécurité est un domaine très large, d'autant plus si vous comptez toutes les façons dont vous pouvez travailler en étant partiellement dans d'autres domaines. Il existe généralement quelques domaines généraux de sécurité

  • Sécurité d'entreprise:

Commencez les cadres d'apprentissage, ISO / IEC 27001, la gouvernance, l'audit, le risque / bénéfice, les cadres juridiques et plus de choses similaires. Vous vous retrouverez comme CISO et peut-être comme CSO dans une entreprise vers la fin de votre carrière. Jusqu'à ce que vous y arriviez, attendez-vous à passer beaucoup de temps à rédiger des documents de politique.

  • sécurité informatique

Commencez à apprendre les outils généraux du commerce, WireShark, IOS et similaires sont un bon début. Procurez-vous les compétences plus spécialisées telles que la médecine légale lorsque vous avez la chance. Il existe plusieurs ensembles de cours différents. Les SANS ont une assez bonne réputation, par exemple. Cisco est raisonnable. Malheureusement, il est difficile d'aller loin si vous prenez ce chemin. Vous pourriez passer à la gestion intermédiaire après un certain temps, mais là, les compétences sont pour la plupart inutiles. Dans certaines entreprises, vous pouvez également gérer la sécurité physique, ce qui laisse plus d'ouvertures vers le haut. Si vous allez à la police, vous passerez beaucoup de temps à regarder des photos désagréables si vous choisissez ce chemin.

  • Sécurité technique

Commencez à apprendre les mathématiques avancées et d'autres compétences techniques. Choisissez un domaine et spécialisez-vous. Et se spécialiser. Et se spécialiser. Si vous avez de la chance, vous êtes dans une région où la demande est forte ou vous trouvez une entreprise où vous aimez travailler. Vous deviendrez plus ou moins impossible à remplacer. Si vous jouez bien vos cartes, vous pouvez voyager à travers le monde et rencontrer beaucoup de gens très brillants.

De mon point de vue, la première chose à faire est d'apprendre à penser la sécurité. Commencez à lire des gens comme Schneier (Beyond fear) et Ross (Security Engineering). Une fois que vous avez compris la pensée de base dans le domaine de la sécurité, vous pouvez choisir votre chemin, si vous voulez creuser dans ce domaine. Ce n'est pas aussi glamour que certaines personnes veulent le faire. La sécurité est le premier budget à réduire lorsque les choses deviennent difficiles, et attendez-vous à être blâmé pour tout ce qui ne va pas.

pehrs
la source
+1 pour différentes niches dans InfoSec. "InfoSec" est un domaine large, tout comme "IT" également + pour SANS.
Josh Brower
Exactement le genre de questions que je dois rechercher, merci! Je transmettrai la gloire, et j'ai l'habitude d'être considéré comme des frais généraux - c'est la partie de mon travail de touche-à-tout que j'aime le plus.
Kara Marfia
8

Je suis administrateur depuis 20 ans (15 ans professionnellement), principalement Unix avec un tiret de Windows comme requis. Depuis le début, j'ai tendance à jouer à l'administrateur paranoïaque, principalement parce que c'est pratique et instructif, pas parce que je pense que des pirates informatiques de l'autre côté du globe ciblent mes serveurs. ;-) La sécurité est vraiment une exigence d'administrateur système de facto , qui peut être pratiquée quotidiennement.

Vous ne spécifiez pas si vous souhaitez porter le badge officiel de "spécialiste de la sécurité" et faire des choses telles que des tests de stylo, un audit de conformité PCI, une réponse aux incidents (criminalistique, etc.) ou si vous voulez simplement être un administrateur avec une sécurité élevée des crédits pour vous aider à élargir vos possibilités de carrière et défendre les systèmes de haut niveau sous votre responsabilité.

Parmi les rares pairs que je connais dans la catégorie "officielle", le certificat CISSP a été le premier à être abordé et ils ont décroché des emplois décents à cause de cela (bien sûr, ils avaient plus de 10 ans d'expérience pratique, comme vous, pour le sauvegarder). Il y a des tonnes de matériel en ligne, en plus du matériel et des cours de formation officiels, pour évaluer votre compréhension du matériel.

Bien que les concepts puissent être appris et appliqués sur n'importe quelle plate-forme, je recommande personnellement Unix, car vous obtenez un accès de bas niveau à tout, avec l'avantage supplémentaire de pouvoir accéder facilement à ces informations via un shell distant: regarder des sessions tcpdump en direct, syslog entrées, journaux de serveur Web, snort dumps, vidage de la mémoire système en direct, vers un million d'autres outils open source pour jeter un œil et fouiller dans les entrailles d'un système en cours d'exécution.

Étant donné qu'Unix est une plate-forme idéale pour apprendre ce genre de choses, il s'ensuit facilement qu'un excellent moyen d'apprendre est de se jeter auprès des loups proverbiaux. Procurez-vous un VPS Linux ou FreeBSD d'entrée de gamme, un vrai VPS virtualisé (comme Xen) avec tout le "matériel" et l'accès administrateur dont vous aurez besoin pour simuler la vraie affaire dans un environnement Internet en direct et exposé.

Installez-vous avec un système vivant et fonctionnel. Lancez un serveur SMTP en direct, surveillez les robots de spam et recherchez les logiciels malveillants. Configurez un serveur Web et regardez les script kiddies essayer des attaques par injection SQL dans vos journaux Web et DB. Regardez vos journaux ssh pour les attaques par force brute. Créez un moteur de blog commun et amusez-vous à combattre les robots collecteurs de spam et les attaques. Découvrez comment déployer diverses technologies de virtualisation pour partitionner les services les uns des autres. Apprenez de première main si les ACL, MAC et l'audit au niveau du système valent le travail supplémentaire et les tracas par rapport aux autorisations système standard.

Abonnez-vous aux listes de sécurité du système d'exploitation et de la plate-forme logicielle que vous choisissez. Lorsque vous recevez un avis dans votre boîte de réception, lisez l'attaque jusqu'à ce que vous compreniez comment elle fonctionne. Corrigez les systèmes affectés, bien sûr. Vérifiez vos journaux pour tout signe qu'une telle attaque a été tentée et si elle a réussi. Trouvez un blog ou une liste de sécurité à votre goût et suivez-le quotidiennement ou hebdomadairement (selon le cas), en prenant le jargon et en lisant ce que vous ne comprenez pas.

Utilisez des outils pour attaquer et auditer vos propres systèmes, en essayant de casser vos propres trucs. Cela vous donne une perspective des deux côtés de l'attaque. Tenez-vous à la pointe de la mentalité du "chapeau noir" en lisant des articles et des présentations de conférences bien établies comme DEFCON. Les archives des dix dernières années à elles seules sont un trésor d'informations, encore valable.

Certes, je n'ai aucune certification et je ne facture pas les services de "spécialiste de la sécurité". Je fais simplement partie de ma routine quotidienne de suivre ce genre de choses pour devenir un meilleur administrateur. Que ce soit ou non les certs sont souhaités ou requis pour vos objectifs est mieux laissé à quelqu'un qui les a. Cependant, je crois qu'une approche pratique lourde est la meilleure façon d'apprendre ce genre de choses, et j'espère que certaines de mes suggestions donneront matière à réflexion.

Geoff Fritz
la source
6

En faisant la même chose que vous, ce que j'ai trouvé très bénéfique, c'est l' Institut SANS . SANS est un formateur et certificateur InfoSec indépendant du vendeur. Jetez un œil à la feuille de route de la certification SANS . J'ai commencé avec le GSEC, pris mon GCIH, et je travaille maintenant sur mon GCIH Gold . Le GSEC est un excellent point de départ intermédiaire.

J'espère que cela t'aides.

Josh

Josh Brower
la source
La neutralité du vendeur semble être un bon pari dans ce cas.
Kara Marfia
2

Je sais que cela ne vous offre pas de cours spécifiques. Voici quelques réflexions générales tirées de mes expériences:

  • Connaître TCP / IP et le routage à l'envers. IOS est bon, évidemment, là où Cisco est impliqué.
  • Le cours Wireshark serait bien. L'analyse des paquets est fondamentale pour le traçage de sécurité.
  • Connaître les protocoles de niveau application à l'envers. HTTP, FTP, SSH, SSL, SMTP
  • La familiarité * nix est certainement bonne

Je ne sais pas beaucoup d'aide avec des détails là-bas, je sais, mais j'espère que cela peut aider dans les priorités ou la direction!

2 tours
la source
Selon moi, tout commentaire de quelqu'un dans le domaine est meilleur que ma propre conjecture. Merci!
Kara Marfia du
1

En fonction de l'endroit précis où vous vous retrouvez, il peut également être important de travailler non seulement sur votre côté technique, mais aussi sur les groupes, les réseaux, etc. que vous pourriez être avisé de rejoindre.

Il y a peut-être toutes sortes d'endroits importants à visiter ( IETF , NANOG, etc.) selon votre région. N'oubliez pas les différents centres de réponse tels que DNS-OARC pour la sécurité liée au DNS.

L'un des plus gros problèmes dans le travail de sécurité est que les gens ont tendance à garder les choses secrètes lorsqu'ils trouvent un problème. Parfois, il vaut mieux partager et travailler ensemble au-delà des frontières organisationnelles que de travailler en vase clos.

Michael Graff
la source
1

D'après mon expérience, vous ne pouvez pas être compétent en tant que défenseur tant que vous ne savez pas de quoi l'infraction est capable. Je pense que certaines conférences sont utiles:

http://www.blackhat.com/
http://www.defcon.org/

paxos1977
la source
J'apprécie lire ces derniers chaque année. J'adorerais me faire plaisir en assistant à l'un de ces jours, mais il serait difficile de laisser mon ordinateur portable aussi longtemps. ;)
Kara Marfia
@ "Kara Marfia", vous pourriez totalement apporter votre ordinateur portable à Black Hat, pas de soucis. DefCon est une autre histoire. ;) Vous pouvez apporter votre ordinateur portable à DefCon en supposant que votre système d'exploitation a été renforcé, que vous avez désactivé les périphériques sans fil et Bluetooth et infrarouges et que vous ne le connectez jamais au réseau DefCon. Ou apportez-le et laissez-le dans votre chambre d'hôtel, en l'utilisant uniquement la nuit;)
paxos1977
0

Familiarisez-vous vraiment avec OWASP: http://www.owasp.org

Une partie importante de la sécurité est également liée au processus / à l'exploitation.

OWASP fournit OpenSAMM, mais il existe des frameworks comme ISO 27000 (comme quelqu'un d'autre mentionné), COBIT, SABSA, etc.

À votre santé

HTTP500
la source