Cambio de carrera a la seguridad: ¿pistas de aprendizaje? [cerrado]

He tenido que aprender lo suficiente como para ser peligroso (aunque solo sea para mí mismo), administrar los firewalls, conmutadores, etc. para redes pequeñas durante los últimos diez años. Sin embargo, sé que hay una brecha bastante grande entre lo que he estado haciendo (seguridad como un pasatiempo, realmente) para lograr el dominio del tema.

La investigación me da certificaciones de Security + a CISSP y una gran cantidad de información. ¿Hay alguna certificación por ahí que creas que proporcionaría una buena hoja de ruta de aprendizaje?

Lanzaré una breve lista de lo que parece necesario, en caso de que esté cerca de la marca.

• Virtuosismo de Wireshark
• * nix familiaridad
• Cisco IOS (¿CCNA sería una forma 'rápida' de recoger esto?)

Me doy cuenta de que esta es una tarea enorme, pero como comparación desde la perspectiva del administrador de Win, si pudiera dar un paso atrás y dar algunos consejos a mi yo más joven, podría haberme ahorrado MUCHAS horas de tiempo y encuentros cabeza a pared al perseguir ciertos atajos de aprendizaje. Espero que algunos de ustedes SFers centrados en la seguridad tengan consejos similares.

¿En qué parte de la seguridad desea trabajar? La seguridad es un campo muy amplio, aún más si cuenta todas las formas en que puede trabajar estando parcialmente en otros campos. Por lo general, hay algunas áreas generales de seguridad

• Seguridad corporativa:

Comience a aprender marcos, ISO / IEC 27001, gobernanza, auditoría, riesgo / beneficio, marcos legales y más cosas similares. Terminará como CISO y tal vez como CSO en una empresa hacia el final de su carrera. Hasta que llegue allí, espere pasar mucho tiempo escribiendo documentos de política.

• seguridad informatica

Comience a aprender las herramientas generales del comercio, wireshark, IOS y similares son un buen comienzo. Recoge las habilidades más especializadas, como el análisis forense, cuando tengas la oportunidad. Hay varios conjuntos diferentes de cursos. SANS tiene una muy buena reputación, por ejemplo. Cisco es razonable. Lamentablemente, es difícil llegar lejos si tomas este camino. Puede pasar a la gerencia media después de un tiempo, pero allí las habilidades son en su mayoría inútiles. En algunas empresas, también puede tratar con la seguridad física, lo que deja más aperturas hacia arriba. Si vas a la policía, pasarás mucho tiempo mirando imágenes desagradables si eliges este camino.

• Seguridad técnica

Comienza a aprender matemáticas avanzadas y otras habilidades técnicas. Elige un área y especialízate. Y especializarse. Y especializarse. Si tiene suerte, se encuentra en un área donde hay una gran demanda, o encuentra una empresa en la que le gusta trabajar. Te volverás más o menos imposible de reemplazar. Si juegas bien tus cartas, podrás viajar por todo el mundo y conocer a muchas personas brillantes.

Desde mi perspectiva, lo primero que debo hacer es aprender a pensar en seguridad. Comienza a leer a personas como Schneier (más allá del miedo) y Ross (ingeniería de seguridad). Una vez que tenga una idea básica del pensamiento en el campo de la seguridad, puede elegir su camino, si desea profundizar en este campo. No es tan glamoroso como algunas personas quieren hacerlo. La seguridad es el primer presupuesto que se reduce cuando las cosas se ponen difíciles, y se espera que se culpe a todo lo que sale mal.

He sido administrador durante 20 años (15 años profesionalmente), principalmente Unix con una pizca de Windows según sea necesario. Desde el principio, tendí a jugar al administrador paranoico, principalmente porque es práctico e instructivo, no porque crea que los piratas informáticos del otro lado del mundo están apuntando a mis servidores. ;-) La seguridad realmente es un requisito de facto del administrador de sistemas, uno que se puede practicar a diario.

No especifica si desea usar la insignia oficial de "Especialista en seguridad" y hacer cosas como pruebas de lápiz, auditoría de cumplimiento de PCI, respuesta a incidentes (análisis forense, etc.) o simplemente desea ser un administrador con cierta seguridad créditos para ayudar a ampliar sus opciones de carrera y defender sistemas de alto perfil bajo su cargo.

De los pocos pares que conozco en la categoría "oficial", el certificado CISSP fue el primero que abordaron y consiguieron empleos decentes debido a eso (por supuesto, tenían más de 10 años de experiencia práctica, como usted, para respaldarlo). Hay toneladas de materiales en línea, además de materiales y cursos de capacitación oficiales, para evaluar su comprensión del material.

Si bien los conceptos se pueden aprender y aplicar en cualquier plataforma, personalmente recomiendo Unix, ya que obtienes acceso de tan bajo nivel a todo, con el beneficio adicional de poder acceder a esa información fácilmente a través de un shell remoto: ver sesiones en vivo de tcpdump, syslog entradas, registros del servidor web, descargas de resoplidos, volcado de memoria del sistema en vivo, a un millón de otras herramientas de código abierto para mirar y hurgar en las entrañas de un sistema en ejecución.

Debido a que Unix es una plataforma ideal para aprender este tipo de cosas, se deduce fácilmente que una excelente manera de aprender es arrojándose a los lobos proverbiales. Obtenga un VPS Linux o FreeBSD de nivel de entrada, un VPS virtualizado verdadero (como Xen) con todo el "hardware" y acceso de administrador que necesitará para simular el trato real en un entorno de Internet en vivo y expuesto.

Prepárese con un sistema de trabajo en vivo. Obtenga un servidor SMTP en vivo y observe los bots de spam y busque malware. Configure un servidor web y mire a los niños de script probar ataques de inyección SQL en su web y registros de base de datos. Mire sus registros ssh para ataques de fuerza bruta. Configure un motor de blog común y diviértase luchando contra los bots y ataques de spam. Aprenda a implementar diversas tecnologías de virtualización para particionar los servicios entre sí. Aprenda de primera mano si las ACL, MAC y las auditorías a nivel de sistema merecen el trabajo extra y la molestia de los permisos estándar del sistema.

Suscríbase a las listas de seguridad del sistema operativo y la plataforma de software que elija. Cuando reciba un aviso en su bandeja de entrada, lea sobre el ataque hasta que comprenda cómo funciona. Parchear los sistemas afectados, por supuesto. Verifique en sus registros cualquier indicio de que se haya intentado dicho ataque y si uno tuvo éxito. Encuentre un blog de seguridad o una lista que sea de su agrado y manténgase al día diariamente o semanalmente (según corresponda), recogiendo la jerga y leyendo lo que no entiende.

Use herramientas para atacar y auditar sus propios sistemas, tratando de romper sus propias cosas. Esto te da una perspectiva desde ambos lados del ataque. Manténgase a la vanguardia de la mentalidad de "sombrero negro" leyendo documentos y presentaciones de conferencias bien establecidas como DEFCON. Los archivos de los últimos diez años son solo un tesoro de información, mucha aún válida.

Por supuesto, no tengo certificaciones ni cobro por servicios de "especialistas en seguridad". Simplemente hago parte de mi rutina diaria para mantenerme al día con estas cosas para hacerme un mejor administrador. Si los certificados son deseados o requeridos para sus objetivos, es mejor dejarlos a alguien que los tenga. Sin embargo, creo que un enfoque práctico y pesado es la mejor manera de aprender estas cosas, y espero que algunas de mis sugerencias den algo de reflexión.

Haciendo lo mismo que usted, lo que he encontrado que es muy beneficioso es el Instituto SANS . SANS es un capacitador y certificador neutral de InfoSec. Eche un vistazo a la hoja de ruta de certificación SANS . Comencé con el GSEC, tomé mi GCIH y ahora estoy trabajando en mi GCIH Gold . El GSEC es un gran punto de partida intermedio.

Espero que esto ayude.

Josh

Sé que esto no te proporciona cursos específicos. Sin embargo, algunos pensamientos generales de mis experiencias son:

• Conozca TCP / IP y el enrutamiento de adentro hacia afuera. IOS es bueno, obviamente, donde está involucrado Cisco.
• El curso de Wireshark sería bueno. El análisis de paquetes es fundamental para el rastreo de seguridad.
• Conozca los protocolos de nivel de aplicación de adentro hacia afuera. HTTP, FTP, SSH, SSL, SMTP
• La familiaridad con * nix es definitivamente buena

No hay mucha ayuda con detalles específicos, lo sé, pero espero que ayude tal vez en prioridades o dirección.

Dependiendo del lugar específico en el que termine, también puede ser importante no solo trabajar en su aspecto técnico, sino a qué grupos, redes, etc., puede ser conveniente unirse.

Quizás haya todo tipo de lugares importantes para ir ( IETF , NANOG, etc.) dependiendo de su área. No olvide los diversos centros de respuesta como DNS-OARC para la seguridad relacionada con DNS.

Uno de los mayores problemas en el trabajo de seguridad es que las personas tienden a mantener las cosas en secreto cuando encuentran un problema. A veces es mejor compartir y trabajar juntos a través de los límites de la organización que trabajar en el vacío.

En mi experiencia, no puedes ser competente como defensor hasta que sepas de lo que es capaz la ofensiva. Algunas conferencias creo que son beneficiosas:

http://www.blackhat.com/
http://www.defcon.org/

Familiarícese realmente con OWASP: http://www.owasp.org

También una parte importante de la seguridad está relacionada con el proceso / operación.

OWASP proporciona OpenSAMM, pero hay marcos como ISO 27000 (como alguien más mencionado), COBIT, SABSA, etc.

Salud