Dakle, želite raditi u osiguranju?

Povremeno ću od nestrpljivog neznanca dobiti e-mail u kojem ću pitati za savjet kako napraviti sigurnosnu karijeru (računalo, informacije, cyber ... što god već). Ovo je super! Trebamo više strastvenih, kreativnih, marljivih ljudi koji žele raditi na tome da tehnologiju učine sigurnijom za upotrebu. Ispada i financijski prilično stabilan način za život.

Puno je drugih postova na ovu temu ¹, ali ponudit ću neke misli na visokoj razini izvučene iz vlastitog iskustva.

UPOZORENJE: Nije poput filmova.

Rad u sigurnosti nije kao što je prikazan u Hollywoodu. Obožavam gledati filmove i emisije nadahnute hakerom za fantazije i bijeg, ali svakodnevni posao nije (prema mom iskustvu) tako brz i seksi kao što izgleda na ekranu.

To je istina za većinu profesija, pa čak i ako nikada nisam proveo dan dešifrirajući streaming kod u podzemnom brlogu, još uvijek mislim da je to uzbudljivo, važno, izazovno i korisno područje za rad.

Ne postoji standardni ili savršeni kurikulum.

Sigurnost je široko, interdisciplinarno, primijenjeno područje. Postoje potrebe za ljudima koji dizajniraju i grade sigurne sustave, ljudima koji pokušavaju slomiti sustave, ljudima koji pokušavaju otkriti upade i mnogim stvarima između. Ako sam išta naučio, saznao sam da ne postoji jedinstveni, standardni ili najbolji pripremni put. Možda će se ovo promijeniti kako polje sazrijeva, ali sumnjam. Također nije poput ostalih profesionalnih područja koja zahtijevaju akreditaciju (npr. Medicina, pravo), što može biti i oslobađajuće i zastrašujuće.

Neovisno o načinu na koji ga nabavljate, dobit ćete dobro poznavanje primijenjene računalne znanosti ili načina rada računala i softvera. Većina primijenjene računalne znanosti odnosi se na rješavanje problema sa slojevima apstrakcije, a sigurnost je često pronalaženje pogrešnih pretpostavki u tim apstrakcijama ... i zatim otkrivanje kako ih najbolje popraviti (ili iskoristiti).

To sam postigao stekavši diplomu inženjera računarstva na javnom sveučilištu. Neke su mi korisnije teme bili operativni sustavi, umrežavanje, računalna arhitektura i kompajleri. Osim toga, upravo sam pohađao tehničke tečajeve koji su mi se učinili zanimljivim (npr. Digitalna obrada signala, biomedicinski inženjering, umjetna inteligencija) i istraživao sigurnosne teme u umrežavanju, tehnologijama za poboljšanje privatnosti i (web, klijentska) sigurnost aplikacija kroz projektni rad u studentskim klubovima i praksi .

Također ćete imati koristi od razumijevanja kako rade ljudi (korisnici, kupci, bilo što drugo) koji koriste tehnologiju. Kad bih se mogao vratiti u prošlost, u svoje sveučilišne dane bez {brige, obaveza}, pohađao bih neke satove psihologije, sociologije i ljudskih čimbenika.

Radim sa stručnjacima koji imaju slično tradicionalno akademsko iskustvo (npr. Diplome iz računalnog inženjerstva, informatike, matematike itd.). Također znam dosta ljudi koji imaju manje tipično podrijetlo (npr. Kemija, filmski studij, psihologija, grafički dizajn) i neke koji su napustili školu prije završetka studija.

Na temu sigurnosnih certifikata nemam ih i mislim da me zbog toga nisu sputavali. Moguće je da ih neke industrije ili zemlje zahtijevaju za profesionalce infosec-a, a zasigurno su to nešto za čime su se neki razumni ljudi bavili - upozorite na emptor!

U kulturnom smislu, preporučio bih pročitati Hacker manifest ili Kako postati haker, koji mnogim stručnjacima za sigurnost služi i kao nadahnuće i kao moralni kompas. Čak i ako se ne uspoređujete s hakerom, korisno je razumjeti način razmišljanja nekih ljudi s kojima radite.

Osim toga, većinu onoga što znam naučio sam tijekom vremena, u anegdotama i grumencima od prijatelja i suradnika, sigurnosnim blogovima, konferencijskim radovima i prezentacijama, mailing listama, lokalnim sigurnosnim skupinama i drugim mrežnim resursima. Mnogo stvari koje danas čujem ili unosim potiču od ljudi s mog sigurnosnog popisa na Twitteru.

Prestanite čitati, počnite raditi.

To se odnosi na bilo koju karijeru, ali neka stvarna iskustva iz života stjecite što brže možete. To je najbolji način da suzite svoje interese, snage i područja budućeg razvoja. Također ćete bolje razumjeti od čega se sastoji normalan radni dan i okruženje, uključujući ono što volite i ne volite. Jedno od najcjenjenijih iskustava vezanih uz karijeru u mom životu bilo je odgajanje koje sam mrzio jer me snažno preusmjerilo u drugi smjer :)

U pogledu načina kako započeti stjecanje iskustva, nemam jednostavan odgovor. Pogledajte sajmove karijera i konferencije, uključite se u klubove ili druge organizacije, smjelo se entuzijazmom prijavite za praksu i honorarne poslove. Prije dolaska na Google očistio sam osušeni nacho sir na koncesioniranom štandu kao dio svoje redovne smjene kao spasitelj u zajednici. To malo radnog iskustva pomoglo mi je da nađem posao u studentskom domu SysAdmin, što je bez sumnje bilo relevantno prilikom razgovora za informatičku praksu u velikoj farmaceutskoj tvrtki. Stekao sam neko „pravo“ (tj. Ne-tečajno) softversko iskustvo s klubovima na Sveučilištu i pronašao sam praksu za kibernetsku sigurnost koja se objavljivala u školskoj diskusionoj grupi, što mi je vjerojatno dalo taman toliko relevantnog radnog iskustva da me netko na Googleu može uzeti u obzir za razgovor .

Napišite kod.

Najbolji sigurnosni inženjeri koje znam također aktivno pišu kod. To im daje iskustvo iz prve ruke s pisanjem softvera, uključujući nenamjerno, a opet neizbježno uvođenje sigurnosnih pogrešaka. Ovo potonje tjera na pravu empatiju za sve programere. Napokon, često je teže dosljedno pisati siguran kôd nego isticati nesigurni kôd.

Ako ste zaglavili odakle započeti u projektu značajne veličine, pokušajte ispraviti pogreške u projektu otvorenog koda. Svi vole ljude koji ispravljaju bugove! Projekt će vam zahvaliti, a to je obično dobar način da steknete iskustvo iz stvarnog svijeta i zakoračite u vrata za budući rad.

Šifra prekida.

Provedite vrijeme u pronalaženju programskih grešaka. Saznajte kako koristiti program za ispravljanje pogrešaka, mrežni skener, proxy za otklanjanje pogrešaka na mreži i softverski fuzzer. Provodite vrijeme na hakerskim igralištima koja su dostupna za sve razine vještina. Prvi put sam koristio //www.hackthissite.org dok sam bio na fakultetu i našao sam nekoliko drugih web mjesta za samostalno vođenje hakera na //infosec.rocks. Tu je i dobar popis hakerskih izazova, natjecanja (npr. CTF-ova) i gubljenja vremena. Ili pronađite i prijavite greške u stvarnom softveru koji koristite. Mnogo je dobavljača softvera koji nude financijske nagrade za sigurnosne pogreške, uključujući Chrome i Google, kao i neke temeljne projekte otvorenog koda pokrivene programom Internet Bug Bounty.

Osim što sami pronalazite bugove, preporučio bih da slijedite i naučite ono što drugi pronalaze (bugtraq, fulldisclosure, oss-sec).

Podijelite znanje.

O sigurnosti sam počeo učiti još na fakultetu od vršnjaka u posebnoj zanimljivoj grupi ACM-a pod nazivom SigMil, gdje su članovi održavali nepolirane prezentacije o sigurnosnim temama koje su ih zanimale. Također smo godišnje hodočastili u DEFCON kako bismo prisustvovali razgovorima (što je bilo puno lakše prije desetak godina), kupite sigurnosne knjige ili časopise ili jednostavno razgovarajte s istomišljenicima iz drugih dijelova svijeta o tome na čemu rade. U Googleu sam TOLIKO naučio izravno od svojih vršnjaka dijeleći njihovu stručnost, borbe i polovične ideje.

Dijeljenje znanja važno je iz nekoliko razloga:

  1. Razmjena znanja nužan je i učinkovit način za razmjenu najboljih sigurnosnih praksi (ili zamki koje treba izbjegavati) u velikoj organizaciji ili projektu.
  2. Gotovo uvijek nešto naučim sam pripremajući se za prezentaciju ili zapisujući dokumentaciju, pa mi je to bila dobra prisilna funkcija otkrivanja skrivenih kutova teme.
  3. Gotovo uvijek nešto naučim od publike, bilo putem pitanja, komentara ili daljnje rasprave.
  4. Plati unaprijed.

Vježbajte i svoju komunikaciju.

Ako radite u osiguranju, morat ćete redovito objašnjavati složene tehničke probleme različitoj publici, svaka s različitim rječnicima, stručnošću i poticajima. Rijetko ćete imati univerzalne mjerne podatke na koje se možete osloniti kada opisujete ozbiljnost ranjivosti, niti ćete imati nešto sjajno za istaknuti prilikom promicanja najboljih sigurnosnih praksi. Morat ćete držati ljude nesmetanima pred FUD-om, a usredotočeni na akciju izvan krize.

Sve ovo zahtijeva vještine umijeća komunikacije, a posebno objašnjavanja i pregovaranja. Teško da ćete savladati ovu umjetnost iz čisto tehničkih izvora, zato vježbajte, objavljujte i zauvijek nastojte poboljšati.

Očekujte naporan rad, a ponekad i neuspjeh.

Možda je to očito, ali vrijedi izričito prozvati.

Sigurnost je izazovan posao. Morat ćete neprestano učiti nove stvari, jer tehnički krajolik koji ćete trebati osigurati ubrzano se razvija mnogo brže od naše sposobnosti da odbacimo stare, a još uvijek u potpunosti osigurane stvari. Akteri prijetnje, koji često imaju vremena i resurse na svojoj strani, također se brzo prilagođavaju postojećoj obrani.

Sigurnost može biti stresna. Imate posla s dvosmislenim problemima, nesavršenim rješenjima, ograničenim podacima i stvarnim prijetnjama ljudskoj sigurnosti.

Teško je mjeriti uspjeh sa sigurnošću, a prema mom iskustvu, ljudi će vjerojatnije primijetiti neuspjeh. Kada osiguravamo tehnologiju iz stvarnog svijeta, konačno se bavimo ublažavanjem rizika i bez obzira što vam netko na podu RSA dobavljača kaže, nema srebrnih metaka.

(Pokušajte) Budite optimistični.

Ovo polje može biti depresivno iz nekih razloga koje sam upravo istaknuo. Čini se nemogućim držati korak sa brzinom inovacija u tehnologiji i eksploataciji. Mislim, ranjivosti prelijevanja međuspremnika postoje već desetljećima, ali još uvijek redovito vidimo eksploatacije s velikim utjecajem koje ih iskorištavaju i danas (2016.) Redovito ćete čuti kako ljudi vrište kako je sigurnost nemoguća, a ona se pogoršava ili potpuno rječito izgovarati zašto svi propadamo.

Stvarnost može biti oštra, ali ako se usredotočimo na pozitivno i pomislimo na sve stvari koje je tehnologija priuštila, prilično je impresivno! Nije savršena. Nikad neće biti savršeno. Ali mislim da je vrhunska sigurnost puno bolja nego prije 10 godina, možemo raditi prilično impresivne stvari s određenom razinom razumnog uvjerenja, a to me drži optimističnim.

Pitati za pomoć.

Nemojte se obeshrabriti ako naletite na kretene. Tijekom godina vidio sam dosta šovinizma i ega u industriji infosec. Nerijetko se razgovor (na mreži, na konferenciji, bilo gdje) brzo pretvori u najelitnijeg.

Možda ovo nije iskustvo za svakoga, ali dobrim sam dijelom uspio zahvaljujući podršci, savjetima, mentorstvu i pomoći mnogih sjajnih sigurnosnih ljudi koje sada smatram prijateljima. Samo zato što morate zatražiti pomoć, NE znači da niste odvojeni od ovog posla.

Ako trebate pomoć, zatražite je. Samo pripazite da obavite svoju dubinsku skrb i olakšajte ljudima da vam pomognu. Većina stručnjaka prilično je zauzeta, pa je mnogo veća vjerojatnost da ćete dobiti koristan odgovor ako postavite dobro postavljeno pitanje s dovoljnim kontekstom i bez pogrešaka pri upisu.

Sretno i sretno hakiranje!

[1] Neke druge misli o savjetima o sigurnosnoj karijeri na koje sam naletio:

  • Thomas Ptacek, Charlie Miller, Jeremiah Grossman, Richard Bejtlich i Bruce Schneier svoja razmišljanja dijele na //krebsonsecurity.com/tag/security-career-advice/
  • Chris Palmer, moj prijatelj i kolega iz Chromea, daje solidne savjete u //noncombatant.org/2016/06/20/get-into-security-engineering
  • Michal Zalewski (zvani lcamtuf) podijelio je 4 jednostavne lekcije temeljene na njegovom 20-godišnjem (strašnom i često revolucionarnom) radu na području sigurnosti: //lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in- sigurnost-ali-jesu.html