Szóval biztonságban akarsz dolgozni?

Időnként kapok egy e-mailt egy lelkes idegentől, amely tanácsot kér a biztonsági karrierhez (számítógép, információ, számítógépes hálózat ... bármi más). Ez nagyszerű! Szenvedélyes, kreatív, szorgalmas emberekre van szükségünk, akik azon dolgoznak, hogy biztonságosabbá tegyék a technológia használatát. Ez pénzügyileg is elég stabil megélhetési módnak bizonyul.

Rengeteg más bejegyzés található ebben a témában ¹, de néhány magas szintű gondolatot felajánlok, saját tapasztalataim alapján.

FIGYELEM: Nem olyan, mint a filmek.

A biztonság területén végzett munka nem olyan, mint Hollywoodban. SZERETEM hackerek ihlette filmeket és műsorokat nézni a fantázia és a menekülés érdekében, de a napi munka nem (tapasztalataim szerint) annyira gyors és szexi, mint amilyennek a képernyőn látszik.

Nos, ez igaz a legtöbb szakmában, és akkor is, ha én már nem egy napot töltött megfejtése streaming kódot egy földalatti odú, még mindig úgy gondolom, ez egy izgalmas, fontos, kihívást jelentő, és kifizetődő mezőt munkát.

Nincs standard vagy tökéletes tananyag.

A biztonság széles, interdiszciplináris, alkalmazott terület. Szükség van olyan emberekre, akik biztonságos rendszereket terveznek és építenek, olyanokra, akik megpróbálják megtörni a rendszereket, olyan emberekre, akik megpróbálják észlelni a behatolásokat, és sok mindenre van szükség. Ha bármit megtanultam, megtanultam, hogy nincs egyetlen, standard vagy legjobb előkészítő út. Talán ez megváltozik a mezőny érésével, de kétlem. Ez nem hasonlít más akkreditációt igénylő szakmai területekhez (pl. Orvoslás, jog), amelyek felszabadítóak és megfélemlítőek is lehetnek.

Függetlenül attól, hogy hogyan szerezte meg, hasznot húzhat az alkalmazott számítástechnika, valamint a számítógépek és a szoftverek működésének alapos ismeretéből. Az alkalmazott számítástechnika nagy része absztrakciós rétegekkel kapcsolatos problémák megoldásáról szól, a biztonság pedig gyakran abból fakad, hogy megtalálja az absztrakciók hibás feltételezéseit ..., majd kitalálja, hogyan lehet ezeket a legjobban helyrehozni (vagy kihasználni).

Ezt úgy tettem, hogy mérnöki diplomát szereztem informatikából egy állami egyetemen. Néhány hasznosabb téma számomra az operációs rendszerek, a hálózatépítés, a számítógép-architektúra és a fordítók voltak. Ezen túl csak technikai tanfolyamokon vettem részt, amelyeket érdekesnek találtam (pl. Digitális jelfeldolgozás, orvosbiológiai mérnöki tudomány, mesterséges intelligencia), és a diákok klubjaiban és gyakorlati helyeken végzett projektmunkák során feltártam a hálózatépítés, a magánélet fokozását szolgáló technológiák és az (internetes, kliens) alkalmazások biztonságának témáit. .

Hasznos lesz annak megértése is, hogy a technológiát használó emberek (felhasználók, ügyfelek, bármi más) hogyan működnek. Ha vissza tudnék térni az időmbe a több gondozásomtól, kötelezettségemtől mentes egyetemi napjaimhoz, néhány órát felvennék a pszichológiáról, a szociológiáról és az emberi tényezőkről.

Olyan szakértőkkel dolgozom, akik hasonlóan hagyományos tudományos háttérrel rendelkeznek (pl. Számítástechnika, informatika, matematika stb. Végzettség). Rengeteg olyan embert is ismerek, akik kevésbé tipikus háttérrel rendelkeznek (pl. Kémia, filmtudományok, pszichológia, grafikai tervezés), és néhány olyan embert, akik abbahagyták az iskolát, mielőtt diplomát szereztek volna.

A biztonsági tanúsítványok kapcsán nincsenek, és nem hiszem, hogy visszatartanának emiatt. Lehetséges, hogy egyes iparágak vagy országok megkövetelik őket az infosec szakemberektől, és minden bizonnyal olyan dolog, amelyet néhány ésszerű ember folytatott - figyelmeztetés ürítésre!

Kulturális szempontból azt javaslom, hogy olvassa el a Hacker-kiáltványt vagy a Hogyan válhatunk hackerként című cikket, amely inspirációként és erkölcsi iránytűként szolgál számos biztonsági szakértő számára. Még akkor is, ha nem hasonlítja magát hackerhez, hasznos megérteni néhány ember gondolkodásmódját, akikkel együtt dolgozik.

Ezen túlmenően a legtöbbet tudom, amit idővel megtanultam, anekdotákban és rögökben barátoktól és munkatársaktól, biztonsági blogok, konferencia cikkek és előadások, levelezőlisták, helyi biztonsági csoportok és más online források. Sok olyan dolog, amiről ma hallok, vagy amelyet elfogyasztok, a Twitter biztonsági listámon szereplő emberektől származik.

Hagyd abba az olvasást, kezdd el.

Ez vonatkozik minden karrierre, de szerezzen némi valós életbeli tapasztalatot a lehető leggyorsabban. Ez a legjobb mód az érdekek, erősségek és a jövőbeli fejlődés területeinek szűkítésére. Jobban meg fogja érteni, hogy a szokásos munkanap és a környezet mit tartalmaz, beleértve azt is, ami tetszik és nem. Életem egyik legértékesebb karrierrel kapcsolatos tapasztalata volt egy utálatos szakmai gyakorlat, mivel ez erősen egy másik irányba terelt :)

A tapasztalatok megszerzésének módját illetően nincs egyszerű válaszom. Nézzen meg karrier-vásárokat és konferenciákat, vegyen részt klubokban vagy más szervezetekben, jelentkezzen gyakornoki és részmunkaidős állásokra merész lelkesedéssel. Mielőtt a Google-ba kerültem, a közösségi medence mentőjeként végzett rendszeres műszakom részeként egy koncessziós standon megtisztítottam a szárított nacho sajtot. Ez a kis munkatapasztalat segített abban, hogy egy SysAdmin főiskolai hallgatói állást szerezzek, ami kétségkívül releváns volt, amikor egy nagy gyógyszergyárnál folytatott informatikai gyakorlat céljából interjút készítettem. „Valódi” (azaz nem tanfolyami) szoftveres tapasztalatot szereztem az egyetem klubjainál, és találtam egy kiberbiztonsági gyakorlatot egy iskolai hírcsoportban, amely valószínűleg csak annyi releváns munkatapasztalatot adott nekem, hogy valaki a Google-nál figyelembe vegyen egy interjúban .

Írj kódot.

A legjobb biztonsági mérnökök, akiket ismerek, szintén aktívan írnak kódot. Ez közvetlen tapasztalatot biztosít számukra a szoftverek írásában, beleértve a biztonsági hibák akaratlan, de mégis elkerülhetetlen bevezetését. Ez utóbbi valódi empátiát kényszerít minden fejlesztő iránt. Végül is gyakran nehezebb következetesen biztonságos kódot írni, mint a nem biztonságos kódra rámutatni.

Ha elakadt abban, hogy hol kezdjen egy jelentős méretű projektben, próbálja meg kijavítani a hibákat egy nyílt forráskódú projektben. Mindenki szereti a hibákat kijavító embereket! A projekt köszönetet mond, és ez általában egy jó módja annak, hogy valós tapasztalatokat szerezzen, és be tudja tenni a lábát a jövőbeli munkához.

Töréskód.

Töltsön időt szoftverhibák keresésével. Ismerje meg a hibakereső, a hálózati szkenner, a webes hibakeresési proxy és a szoftver fuzzer használatát. Töltsön időt hacker játszótereken, amelyek minden készségszinthez elérhetőek. Főiskolai koromban használtam először a //www.hackthissite.org oldalt, és felsoroltam még néhány, önállóan irányított hacker képzési oldalt a //infosec.rocks oldalon. Itt van egy jó lista a hacker kihívásokról, versenyekről (pl. CTF-ek) és az időveszteségekről. Vagy megtalálja és jelentse a hibákat a ténylegesen használt szoftverekben. Rengeteg olyan szoftvergyártó kínál pénzügyi jutalmat a biztonsági hibákért, köztük a Chrome és a Google, valamint néhány alapvető nyílt forráskódú projekt, amelyeket az Internet Bug Bounty program lefed.

Amellett, hogy hibákat talál magának, javasoljuk, hogy kövesse nyomon és tanuljon abból, amit mások találnak (bugtraq, fulldisclosure, oss-sec).

Ossza meg tudását.

Már a főiskolán kezdtem el tanulni a biztonságról az ACM SigMil nevű speciális csoportjának társaitól, ahol a tagok csiszolatlan előadásokat tartottak az őket érdeklő biztonsági témákról. Éves zarándoklaton vettünk részt a DEFCON-ban is, hogy részt vegyünk a beszélgetéseken (ami sokkal könnyebb volt. egy évtizeddel ezelőtt), vásároljon biztonsági könyveket vagy folyóiratokat, vagy csak csevegjen a világ más tájairól érkező hasonló gondolkodású emberekkel arról, hogy mit dolgoznak. A Google-nél SOKKOT tanultam közvetlenül társaimtól, akik megosztották tapasztalataikat, küzdelmeiket és félig ötleteket.

Az ismeretek megosztása néhány okból fontos:

  1. Az ismeretek megosztása szükséges és hatékony módszer a legjobb biztonsági gyakorlatok (vagy elkerülendő buktatók) átméretezésére egy nagy szervezet vagy projekt között.
  2. Szinte mindig magam is megtanulok valamit előadásra készülve vagy dokumentációt készítve, ezért jó kényszerítő funkció volt számomra a téma rejtett zugainak feltárása.
  3. Szinte mindig tanulok valamit a hallgatóságtól, akár kérdésekből, megjegyzésekből, akár a vita folytatásaként.
  4. Előre fizetni.

Gyakorold a kommunikációt is.

A biztonság területén azt jelenti, hogy rendszeresen meg kell magyaráznia az összetett, technikai problémákat a különböző közönségeknek, mindegyiknek más a szókincse, szakértelme és ösztönzője. A sebezhetőség súlyosságának leírásakor ritkán lesznek univerzális mutatói, amelyekre támaszkodhat, és a legjobb biztonsági gyakorlatok népszerűsítésekor sem lesz semmi fényes. Meg kell tartanod az embereket a FUD-tal szemben, miközben a válságon kívüli cselekvésre összpontosítanak.

Mindehhez a kommunikáció, és különösen a magyarázat és a tárgyalás művészete szükséges. Nem valószínű, hogy tisztán technikai forrásokból sajátítja el ezt a művészetet, ezért gyakorold, publikáld és örökké törekedj a fejlesztésre.

Számítson arra, hogy keményen dolgozik, és néha kudarcot vall.

Talán ez nyilvánvaló, de érdemes kifejezetten felhívni.

A biztonság kihívást jelent. Folyamatosan meg kell tanulnia új dolgokat, mert a technikai környezet, amelyet biztosítania kell, gyorsan fejlődik, sokkal gyorsabban, mint az a képességünk, hogy megszüntessük a régi, még nem teljesen biztonságos dolgokat. A fenyegetés szereplői, akiknek gyakran van idejük és erőforrásaik, gyorsan alkalmazkodnak a meglévő védekezéshez is.

A biztonság stresszes lehet. Kétértelmű problémákkal, tökéletlen megoldásokkal, korlátozott adatokkal és az emberi biztonságot fenyegető valós veszélyekkel foglalkozik.

Nehéz biztonsággal mérni a sikert, és tapasztalataim szerint az emberek nagyobb valószínűséggel veszik észre a kudarcot. A valós világ biztonságának biztosításakor végső soron a kockázat mérséklésével foglalkozunk, és bármit is mondana neked az RSA eladói emeletén, nincsenek ezüst golyók.

(Próbálj meg) Légy optimista.

Ez a mező nyomasztó lehet az imént vázolt néhány ok miatt. Lehetetlennek tűnhet lépést tartani az innováció sebességével a technológia és a kiaknázás terén. Úgy értem, a puffertúlcsordulás sebezhetőségei évtizedek óta fennállnak, ennek ellenére ma is rendszeresen tapasztalhatjuk a nagy hatású kihasználásokat (2016). Rendszeresen hallani fogja, hogy az emberek sikoltozhatnak: a biztonság lehetetlen, és egyre rosszabb, vagy teljesen ékesszóló megállapításokat fogalmaz meg arról, miért bukunk mindannyian.

A valóság kemény lehet, de ha a pozitívra összpontosítunk, és mindent belegondolunk a technológia által kínált dolgokba, az eléggé lenyűgöző! Nem tökéletes. Soha nem lesz tökéletes. De azt gondolom, hogy a biztonság élvonalában sokkal jobb, mint 10 évvel ezelőtt, meglehetősen lenyűgöző dolgokat tudunk csinálni, bizonyos szintű ésszerű biztosítékkal, és ez valami optimista.

Kérjen segítséget.

Ne csüggedjen, ha rándulásokba ütközik. Rengeteg soviniszt és egót láttam az infosec iparban az évek során. Nem ritka, hogy egy beszélgetés (online, konferencián, bárhol) gyorsan kiderül, ki a legelitebb.

Talán nem ez a tapasztalat mindenki számára, de nagyrészt sikeres voltam sok nagyszerű biztonsági ember támogatása, tanácsai, mentorálása és segítsége miatt, akiket most barátoknak tartok. Az, hogy segítséget kell kérnie, NEM azt jelenti, hogy nem vágnak ki ehhez a munkához.

Ha segítségre van szüksége, kérje meg. Csak győződjön meg róla, hogy elvégezte a kellő gondosságot, és a lehető legegyszerűbbé tegye az emberek számára, hogy segítsenek Önnek. A legtöbb szakértő elég elfoglalt, ezért sokkal nagyobb valószínűséggel kap hasznos választ, ha jól átfogó kérdést tesz fel elegendő kontextussal és elírás nélkül.

Sok szerencsét és boldog hackelést!

[1] Néhány egyéb biztonsági karrier-tanácsadás, amibe belebotlottam

  • Thomas Ptacek, Charlie Miller, Jeremiah Grossman, Richard Bejtlich és Bruce Schneier megosztják gondolataikat a //krebsonsecurity.com/tag/security-career-advice/ oldalon.
  • Chris Palmer, barátom és Chrome kollégám szilárd tanácsokat oszt meg a //noncombatant.org/2016/06/20/get-into-security-engineering webhelyen
  • Michal Zalewski (más néven lcamtuf) 4 egyszerű tanulságot osztott meg 20 éves (fantasztikus és gyakran úttörő) biztonsági munkája alapján: //lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in- security-but-are.html