职业转向安全——学习轨迹?

职业转向安全——学习轨迹?

过去十年来,我学习了很多知识,以至于我可能觉得很危险(即使只是对我而言),管理小型网络的防火墙、交换机等。然而,我知道,在我所做的事情(实际上,我只是把安全当作一种爱好)与真正追求掌握这一主题之间,存在着相当大的差距。

研究给了我以下认证安全+网络安全专家以及介于两者之间的一系列认证。您认为有哪些认证可以提供良好的学习路线图?

我将列出一份看似需要的简短清单,以防我接近目标。

  • Wireshark 精湛技艺
  • *nix 熟悉度
  • Cisco IOS(CCNA 是快速掌握该技术的一种方式吗?)

我知道这是一项艰巨的任务,但从 Windows 管理员的角度来看,如果我能回过头来给年轻时的自己一些建议,我本可以通过寻求某些学习捷径来节省大量时间和避免陷入困境。我希望你们中一些专注于安全的 SFer 能有类似的建议。

答案1

您希望从事安全领域的哪一部分工作?安全是一个非常广泛的领域,如果您算上您可以兼职从事其他领域工作的所有方式,那么范围就更广了。通常,安全领域有几个一般领域

  • 企业安全:

开始学习框架、ISO/IEC 27001、治理、审计、风险/收益、法律框架和更多类似的东西。在职业生涯的最后阶段,你最终会成为公司的 CISO,甚至可能是 CSO。在此之前,你需要花大量时间编写政策文件。

  • 信息技术安全

开始学习行业通用的工具,wireshark、IOS 和类似工具都是不错的选择。有机会时,学习更专业的技能,例如取证。有几套不同的课程。例如,SANS 的声誉相当不错。思科的声誉也不错。遗憾的是,如果你走这条路,很难走得更远。一段时间后,你可能会升入中层管理,但在那里,这些技能大多是无用的。在一些公司,你可能还会处理物理安全问题,这为晋升留下了更多机会。如果你去警察局,如果你选择这条路,你会花很多时间看那些令人讨厌的照片。

  • 技术安全

开始学习高等数学和其他技术技能。选择一个领域并专攻。然后专攻。然后专攻。如果你很幸运,你所在的领域需求量很大,或者你找到了一家你喜欢工作的公司。你或多或少会变得不可替代。如果你打好牌,你就可以周游世界,结识很多非常聪明的人。

从我的角度来看,要做的第一件事就是学会思考安全问题。开始阅读像 Schneier(超越恐惧)和 Ross(安全工程)这样的人。一旦你掌握了安全领域的基本思想,你就可以选择自己的道路,如果你想在这个领域深入研究的话。它并不像有些人想的那样光鲜。当事情变得紧张时,安全是第一个被削减的预算,并且要为所有出错的事情承担责任。

答案2

我当管理员已经 20 年了(其中 15 年是专业管理员),大部分时间都在使用 Unix,偶尔也会用 Windows。从一开始,我就倾向于扮演偏执的管理员,主要是因为它实用且具有指导意义,而不是因为我相信地球另一端的黑客正在瞄准我的服务器。;-) 安全真的是一件事实上系统管理员的要求,可以每天实践。

您不需要指定是否要佩戴“安全专家”的官方徽章并执行诸如渗透测试、PCI 合规性审计、事件响应(取证等)之类的工作,或者您只想成为一名拥有一些重要安全资质的管理员,以帮助拓宽您的职业选择并保护您负责的知名系统。

在我认识的少数“官方”同行中,CISSP 认证是他们首先要考取的,他们凭借此认证找到了体面的工作(当然,他们有 10 多年的实践经验,就像您一样,可以作为后盾)。除了官方培训材料和课程外,网上还有大量资料可以评估您对材料的掌握程度。

虽然可以在任何平台上学习和应用这些概念,但我个人推荐 Unix,因为您可以对所有内容进行低级访问,并且可以通过远程 shell 轻松访问这些信息:观看实时 tcpdump 会话、系统日志条目、Web 服务器日志、snort 转储、转储实时系统内存,以及数百万种其他用于窥视和探究正在运行的系统内部的开源工具。

由于 Unix 是学习此类内容的理想平台,因此很容易得出一个结论:最好的学习方式就是投身于所谓的“狼群”中。购买入门级 Linux 或 FreeBSD VPS,真正的虚拟化 VPS(例如 Xen),配备所有“硬件”和管理员访问权限,以便在实时、公开的互联网环境中模拟真实情况。

为自己设置一个实时、可运行的系统。运行实时 SMTP 服务器,观察垃圾邮件机器人并扫描恶意软件。设置 Web 服务器,观察脚本小子在您的 Web 和 DB 日志中尝试 SQL 注入攻击。观察您的 ssh 日志是否存在暴力攻击。设置一个通用博客引擎,并享受抵御垃圾邮件机器人和攻击的乐趣。了解如何部署各种虚拟化技术以将服务彼此分开。亲自了解 ACL、MAC 和系统级审计是否值得比标准系统权限付出额外的工作和麻烦。

订阅您选择的操作系统和软件平台的安全列表。当您在收件箱中收到咨询时,请仔细阅读有关攻击的信息,直到您了解其工作原理。当然,要修补受影响的系统。检查您的日志,看看是否有任何迹象表明有人试图进行此类攻击以及攻击是否成功。找到您喜欢的安全博客或列表,每天或每周(以适用者为准)关注它,学习术语并阅读您不理解的内容。

使用工具攻击和审计您自己的系统,尝试破坏您自己的系统。这可以让您从攻击的双方角度看待问题。通过阅读知名的论文和演示文稿,跟上“黑帽”思维的前沿会议就像 DEFCON 一样。仅过去十年的档案就已是信息宝库,其中许多仍然有效。

当然,我没有证书,也没有为“安全专家”服务收费。我只是把跟上这些事情作为日常生活的一部分,使自己成为更好的管理员。这些证书是否是实现目标的必要条件,最好留给拥有这些证书的人去判断。然而,我相信,大量实践是学习这些知识的最佳方式,我希望我的一些建议能提供一些思考的空间。

答案3

和你做同样的事情,我发现非常有益的是SANS 研究所SANS 是一家供应商中立的 InfoSec 培训师和认证机构。查看SANS 认证路线图我从 GSEC 开始,拿到了 GCIH,现在正在攻读GCIH黄金。 这格鲁吉亚证券交易委员会是一个很好的中间起点。

希望这可以帮助。

乔什

答案4

根据你最终到达的具体地点,不仅要努力提高技术水平,而且加入合适的团体、网络等也很重要。

也许有很多重要的地方可以去(因特网工程任务组、NANOG 等),具体取决于您所在的地区。不要忘记各种响应中心,例如DNS服务器用于 DNS 相关的安全。

安全工作中最大的问题之一是人们发现问题时往往会保密。有时,跨组织边界共享和合作比在真空中工作更好。

相关内容