За последние десять лет мне пришлось выучить достаточно, чтобы быть опасным (хотя бы для себя), управляя брандмауэрами, коммутаторами и т. Д. В небольших сетях. Тем не менее, я знаю, что между тем, что я делаю (охрана как хобби, на самом деле), и тем, что я делаю, существует довольно большой разрыв, и я действительно стремлюсь к овладению предметом.
Исследования дают мне сертификаты от Безопасность + к CISSP и множество промежуточных. Существуют ли какие-либо сертификаты, которые, по вашему мнению, могут составить хороший план обучения?
Я выброшу краткий список того, что кажется нужным, на случай, если я буду где-то рядом с отметкой.
Я понимаю, что это масштабное мероприятие, но для сравнения с точки зрения администратора Win, если бы я мог вернуться назад и дать своему более молодому себе несколько советов, я мог бы сэкономить ТОННУ времени и столкновений лицом к стене, преследуя определенные ярлыки обучения. Я надеюсь, что некоторые из вас, специализирующихся на безопасности, дадут аналогичный совет.
В какой сфере безопасности вы хотите работать? Безопасность - это очень широкая область, тем более, если вы посчитаете все способы работы, частично работая в других областях. Обычно существует несколько общих областей безопасности.
Начните изучать основы, ISO / IEC 27001, управление, аудит, риск / выгоду, правовые основы и многое другое. К концу своей карьеры вы станете директором по информационной безопасности или, возможно, в качестве руководителя службы безопасности в компании. Пока вы не доберетесь туда, рассчитывайте потратить много времени на написание программных документов.
Начните изучать общие инструменты торговли, wirehark, IOS и тому подобное - хорошее начало. Когда у вас будет шанс, овладейте более специализированными навыками, такими как судебная экспертиза. Есть несколько разных наборов курсов. Например, у SANS довольно хорошая репутация. Cisco разумная. К сожалению, если пойти по этому пути, далеко уйти далеко. Через некоторое время вы можете перейти в менеджмент среднего звена, но там навыки по большей части бесполезны. В некоторых компаниях вы также можете иметь дело с физической безопасностью, что оставляет больше возможностей для продвижения вверх. Если вы пойдете в полицию, вы потратите много времени на просмотр неприятных картинок, если выберете этот путь.
Начните изучать математику и другие технические навыки. Выберите область и специализируйтесь. И специализироваться. И специализироваться. Если вам повезет, вы окажетесь в районе, где есть большой спрос, или найдете компанию, в которой вам нравится работать. Заменить вас станет более-менее невозможно. Если вы правильно разыграете свои карты, вы сможете путешествовать по миру и встречать много очень ярких людей.
С моей точки зрения, первое, что нужно сделать, - это научиться думать о безопасности. Начните читать таких людей, как Шнайер (Вне страха) и Росс (Инженер по безопасности). Как только вы поймете основы мышления в области безопасности, вы можете выбрать свой путь, если вы вообще хотите покопаться в этой области. Это далеко не так гламурно, как некоторые люди хотят. Безопасность - это первый бюджет, который нужно урезать, когда дела обостряются, и вас ждут обвинения во всем, что идет не так.
Я был администратором в течение 20 лет (15 лет профессионально), в основном Unix и немного Windows по мере необходимости. С самого начала я был склонен играть параноидального администратора, в основном потому, что это практично и поучительно, а не потому, что я считаю, что хакеры с другой стороны земного шара нацелены на мои серверы. ;-) Безопасность действительно де-факто требование системного администратора, которое можно выполнять ежедневно.
Вы не указываете, хотите ли вы носить официальный значок «Специалист по безопасности» и выполнять такие действия, как тестирование на проникновение, аудит соответствия PCI, реагирование на инциденты (криминалистика и т. Д.), Или вы просто хотите быть администратором с некоторой высокой степенью безопасности кредиты, которые помогут расширить возможности вашей карьеры и защитить высококлассные системы под вашим руководством.
Из немногих знакомых мне сверстников в "официальной" категории сертификат CISSP был первым, с которым они взялись, и благодаря ему они получили достойную работу (конечно, у них был более 10 лет практического опыта, как и у вас, чтобы сделать резервную копию). В дополнение к официальным учебным материалам и курсам в Интернете есть множество материалов, которые позволят вам оценить ваше понимание материала.
Хотя концепции могут быть изучены и применены на любой платформе, я лично рекомендую Unix, поскольку вы получаете такой низкоуровневый доступ ко всему, с дополнительным преимуществом возможности простого доступа к этой информации через удаленную оболочку: просмотр сеансов tcpdump в реальном времени, syslog записи, журналы веб-сервера, дампы snort, сброс оперативной системной памяти и миллион других инструментов с открытым исходным кодом для просмотра и исследования внутренностей работающей системы.
Из-за того, что Unix является идеальной платформой для изучения такого рода вещей, легко следует, что отличный способ учиться - это броситься к пресловутым волкам. Получите себе Linux или FreeBSD VPS начального уровня, настоящий виртуализированный VPS (например, Xen) со всем «оборудованием» и доступом администратора, которые вам понадобятся для моделирования реальной сделки в живой, открытой интернет-среде.
Установите себе живую, работающую систему. Запустите работающий SMTP-сервер, наблюдайте за спам-ботами и ищите вредоносное ПО. Настройте веб-сервер и посмотрите, как детишки скриптов пробуют атаки с использованием SQL-инъекций в вашу сеть и журналы БД. Следите за своими журналами ssh на предмет атак грубой силы. Настройте общий движок блога и получайте удовольствие, отбиваясь от спам-ботов и атак. Узнайте, как развернуть различные технологии виртуализации для разделения служб друг от друга. Узнайте из первых рук, стоит ли ACL, MAC и аудит на уровне системы дополнительной работы и хлопот по сравнению со стандартными разрешениями системы.
Подпишитесь на списки безопасности выбранной ОС и программной платформы. Когда вы получите уведомление в почтовом ящике, читайте об атаке, пока не поймете, как она работает. Разумеется, исправьте уязвимые системы. Проверьте свои журналы на наличие признаков того, что такая атака была предпринята и удалась ли она. Найдите блог или список по безопасности, который вам нравится, и следите за ним ежедневно или еженедельно (в зависимости от того, что применимо), подбирая жаргон и читая то, что вы не понимаете.
Используйте инструменты для атаки и аудита ваших собственных систем, пытаясь взломать свои собственные. Это дает вам возможность увидеть обе стороны атаки. Не отставайте от передового мировоззрения "черной шляпы", читая доклады и презентации известных конференции как DEFCON. Только архивы за последние десять лет - это кладезь информации, многое еще актуально.
Конечно, у меня нет сертификатов, и я не выставляю счета за услуги «специалиста по безопасности». Я просто делаю это частью своей повседневной жизни, чтобы не отставать от этих вещей, чтобы стать лучшим администратором. Желательны ли сертификаты или требуются ли они для ваших целей, лучше доверить тому, у кого они есть. Тем не менее, я считаю, что практический подход - лучший способ изучить этот материал, и надеюсь, что некоторые из моих предложений дадут пищу для размышлений.
Делая то же самое, что и вы, я считаю очень полезным Институт SANS. SANS является независимым от поставщика инструктором и сертификатором InfoSec. Взгляните на Дорожная карта сертификации SANS. Я начал с GSEC, взял GCIH и сейчас работаю над своим GCIH Gold. В GSEC это отличная промежуточная отправная точка.
Надеюсь это поможет.
Джош
Я знаю, что это не дает вам конкретных курсов. Тем не менее, некоторые общие мысли из моего опыта:
Я знаю, что здесь не так много помощи в деталях, но, надеюсь, это поможет, возможно, в приоритетах или направлении!
В зависимости от того, в каком конкретном месте вы окажетесь, также может быть важно работать не только над вашей технической стороной, но и с тем, к каким группам, сетям и т. Д. Вам может быть разумно присоединиться.
Есть много важных мест, куда можно пойти (IETF, NANOG и т. Д.) В зависимости от вашего региона. Не забывайте о различных центрах реагирования, таких как DNS-OARC для безопасности, связанной с DNS.
Одна из самых больших проблем в работе по обеспечению безопасности заключается в том, что люди склонны хранить секреты, когда обнаруживают проблему. Иногда лучше делиться информацией и работать вместе, преодолевая границы организации, чем работать в вакууме.
По моему опыту, вы не сможете стать опытным защитником, пока не узнаете, на что способно нападение. Некоторые конференции я считаю полезными:
Познакомьтесь с OWASP: http://www.owasp.org
Также значительная часть безопасности связана с процессами / операциями.
OWASP предоставляет OpenSAMM, но есть такие структуры, как ISO 27000 (как уже упоминалось), COBIT, SABSA и т. Д.
Ура