И така, искате да работите в сигурността?

От време на време ще получавам имейл от нетърпелив непознат с молба за съвет как да направя кариера в сигурността (компютър, информация, кибер ... каквото и да е). Това е страхотно! Нуждаем се от повече страстни, креативни, трудолюбиви хора, които искат да работят върху това да направят технологията по-безопасна за използване. Оказва се и доста финансово стабилен начин за препитание.

Има много други публикации по тази точна тема ¹, но ще предложа няколко мисли на високо ниво, извлечени от собствения ми опит.

ВНИМАНИЕ: Не е като филмите.

Работата в областта на сигурността не е както е изобразена в Холивуд. ОБИЧАМ да гледам вдъхновени от хакери филми и предавания за фантазия и бягство, но ежедневната работа не е (според моя опит) толкова бърза и секси, колкото изглежда на екрана.

Това е вярно за повечето професии и дори никога да не съм прекарал ден в дешифриране на стрийминг код в подземно леговище, все пак мисля, че това е вълнуващо, важно, предизвикателно и полезно поле за работа.

Няма стандартна или перфектна учебна програма.

Сигурността е широко, интердисциплинарно, приложно поле. Има нужда от хора, които проектират и изграждат сигурни системи, хора, които се опитват да разбият системи, хора, които се опитват да открият прониквания, и много неща между тях. Ако съм научил нещо, научих, че няма един, стандартен или най-добър подготвителен път. Може би това ще се промени, когато полето узрее, но се съмнявам. Също така не е като другите професионални области, които изискват акредитация (напр. Медицина, право), което може да бъде както освобождаващо, така и плашещо.

Независимо от начина, по който го придобивате, ще се възползвате от разбирането на приложна компютърна наука или как работят компютрите и софтуера. Голяма част от приложната компютърна наука е свързана с решаването на проблеми със слоеве на абстракция, а сигурността често е свързана с намирането на неверните предположения в тези абстракции ... и след това с измислянето на най-добрия начин за тяхното коригиране (или експлоатация).

Направих това, като спечелих инженерна степен по компютърни науки от държавен университет. Някои от по-полезните теми за мен бяха операционни системи, мрежи, компютърна архитектура и компилатори. Освен това току-що взех технически курсове, които ми се сториха интересни (напр. Цифрова обработка на сигнали, биомедицинско инженерство, изкуствен интелект) и изследвах теми за сигурност в мрежи, технологии за подобряване на поверителността и (уеб, клиент) сигурност на приложенията чрез работа по проекти в студентски клубове и стажове .

Ще се възползвате и от разбирането как работят хората (потребители, клиенти, каквото и да е), които използват технологията. Ако можех да се върна назад във времето, в което бях по-свободен от {грижи, задължения} университетски дни, бих взел някои часове по психология, социология и човешки фактори.

Работя с експерти, които имат подобен традиционен академичен опит (напр. Степени по компютърно инженерство, компютърни науки, математика и др.). Познавам също много хора с по-малко типичен произход (напр. Химия, кинознание, психология, графичен дизайн) и някои хора, които са напуснали училище преди да завършат степен.

По темата за сертификатите за сигурност нямам и не мисля, че съм бил задържан заради това. Възможно е някои индустрии или държави да ги изискват за професионалисти от infosec и те със сигурност са нещо, което някои разумни хора са преследвали - предупреждавайте emptor!

В културно отношение бих препоръчал да прочетете Манифеста на хакерите или Как да станете хакер, който служи като вдъхновение и морален компас за много експерти по сигурността. Дори да не се оприличавате на хакер, полезно е да разберете мисленето на някои от хората, с които работите заедно.

Освен това, повечето от това, което знам, съм научил с течение на времето, в анекдоти и късчета от приятели и колеги, блогове за сигурност, доклади за конференции и презентации, пощенски списъци, местни групи за сигурност и други онлайн ресурси. Много от нещата, които днес чувам или поглъщам, идват от хора от моя списък за сигурност в Twitter.

Спрете да четете, започнете да правите.

Това се отнася за всяко кариерно преследване, но вземете някакъв опит в реалния живот възможно най-бързо. Това е най-добрият начин да стесните вашите интереси, силни страни и области на бъдещото развитие. Също така ще разберете по-добре от какво се състои нормалният работен ден и обкръжението, включително какво харесвате и не харесвате. Един от най-ценните преживявания, свързани с кариерата в живота ми, беше стаж, който мразех, тъй като той ме насочи силно в друга посока :)

По отношение на това как да започна да получавам опит, нямам прост отговор. Разгледайте кариерни панаири и конференции, включете се в клубове или други организации, кандидатствайте за стажове и непълно работно време със смел ентусиазъм. Преди да дойда в Google, изчистих изсушеното сирене начо на концесионен щанд като част от редовната си смяна като спасител на общ басейн. Това малко опит в работата ми помогна да намеря работа в общежитие в колежа SysAdmin, което несъмнено беше от значение при интервю за ИТ стаж в голяма фармацевтична компания. Получих някакъв „истински“ (т.е. не-курсов) софтуерен опит с клубове в университета и открих стаж за киберсигурност, публикуван в училищна дискусионна група, което вероятно ми даде достатъчно подходящ опит за работа, за да може някой от Google да ме разгледа за интервю .

Напишете код.

Най-добрите инженери по сигурност, които познавам, също активно пишат код. Това им дава опит от първа ръка с писането на софтуер, включително непреднамерено, но неизбежно въвеждане на грешки в сигурността. Последното налага истинска съпричастност към всички разработчици. В крайна сметка често е по-трудно последователно да се пише защитен код, отколкото да се посочи несигурен код.

Ако сте заседнали от къде да започнете в проект със значителен размер, опитайте да поправите грешки в проект с отворен код. Всеки обича хората, които отстраняват грешки! Проектът ще ви благодари и обикновено е добър начин да получите опит от реалния свят и да влезете във вратата за бъдеща работа.

Код за прекъсване.

Прекарайте време в намиране на софтуерни грешки. Научете как да използвате дебъгер, мрежов скенер, прокси за отстраняване на грешки в мрежата и софтуер fuzzer. Прекарвайте време в хакерски площадки, които са достъпни за всички нива на умения. За първи път използвах //www.hackthissite.org, когато бях в колеж, и изброих няколко други сайтове за самоуправляемо обучение на хакери на //infosec.rocks. Тук има и добър списък с хакерски предизвикателства, състезания (напр. CTF) и губещи време. Или намерете и докладвайте за грешки в действителния софтуер, който използвате. Има много доставчици на софтуер, които предлагат финансови награди за грешки в сигурността, включително Chrome и Google, както и някои основни проекти с отворен код, обхванати от програмата Internet Bug Bounty.

Освен че сами откривате грешки, бих препоръчал да следвате и да се поучите от това, което другите намират (bugtraq, fulldisclosure, oss-sec).

Споделяйте знания.

Започнах да научавам за сигурността още в колежа от връстници в специална интересна група на ACM, наречена SigMil, където членовете изнасяха неполирани презентации по темите за сигурността, които ги интересуваха. Ние също взехме ежегодно поклонение в DEFCON, за да присъстваме на разговори (което беше много по-лесно преди десетилетие), купувайте книги за сигурност или списания или просто разговаряйте с единомислещи хора от други части на света за това, върху което са работили. В Google научих ТОЛКОВО МНОГО директно от мои връстници, споделяйки техния опит, борби и полупечени идеи.

Споделянето на знания е важно по няколко причини:

  1. Споделянето на знания е необходим и ефективен начин за мащабиране на най-добрите практики за сигурност (или клопки, които трябва да се избягват) в голяма организация или проект.
  2. Почти винаги научавам нещо сам, подготвяйки се за презентация или написвайки документация, така че за мен беше добра принудителна функция да разкрия скрити ъгли на дадена тема.
  3. Почти винаги научавам нещо от публиката, било от въпроси, коментари или последващи дискусии.
  4. Предай нататък.

Практикувайте и общуването си.

Работата в областта на сигурността означава, че ще трябва редовно да обяснявате сложни технически проблеми на различни аудитории, всяка с различен речник, опит и стимули. Рядко ще имате универсални показатели, на които да се опирате, когато описвате тежестта на уязвимостта, нито ще имате нещо лъскаво, за да се покажете, когато популяризирате най-добрите практики за сигурност. Ще трябва да държите хората в безпокойство пред FUD, но все пак фокусирани върху действия извън кризата.

Всичко това изисква умения в изкуството на комуникацията, и по-специално, обяснения и преговори. Едва ли ще овладеете това изкуство от чисто технически ресурси, така че практикувайте, публикувайте и завинаги се стремете да се усъвършенствате.

Очаквайте да работите усилено и понякога се проваляте.

Може би това е очевидно, но си струва изрично да бъдете извикани.

Сигурността е предизвикателна работа. Ще трябва непрекъснато да научавате нови неща, защото техническият пейзаж, който ще трябва да осигурите, бързо се развива много по-бързо, отколкото способността ни да отхвърлим старите, но все още напълно обезопасени неща. Актьорите на заплахата, които често имат време и ресурси на своя страна, също така бързо се адаптират към съществуващата защита.

Сигурността може да бъде стресираща. Имате работа с неясни проблеми, несъвършени решения, ограничени данни и реални заплахи за безопасността на хората.

Трудно е да се измери успехът със сигурност и според моя опит хората са по-склонни да забележат провал. Когато осигуряваме технологии от реалния свят, ние в крайна сметка сме в бизнеса за намаляване на риска и без значение какво ви казва някой от пода на доставчик на RSA, няма сребърни куршуми.

(Опитайте се) Бъдете оптимисти.

Това поле може да бъде потискащо поради някои от причините, които току-що посочих. Може да изглежда невъзможно да се върви в крак със скоростта на иновациите в технологиите и експлоатацията. Искам да кажа, че уязвимостите от препълване на буфера съществуват от десетилетия, но все още редовно виждаме експлойти с голямо въздействие, които ги използват днес (2016). Ще чувате редовно хората да крещят, че сигурността е невъзможна и става все по-лоша, или излагате изцяло красноречиви мотиви за това защо всички ние се проваляме.

Реалността може да бъде сурова, но ако се съсредоточим върху положителното и мислим за всички неща, които технологията е предоставила, това е доста впечатляващо! Не е перфектно. Никога няма да е идеално. Но мисля, че режещият ръб на сигурността е много по-добър, отколкото преди 10 години, можем да направим някои доста впечатляващи неща с известна степен на разумна увереност и това е нещо, което ме държи оптимист.

Помоли за помощ.

Не се обезсърчавайте, ако се сблъскате с глупаци. През годините съм виждал много шовинизъм и его в индустрията на инфосеците. Не е необичайно разговорът (онлайн, на конференция, където и да е) да се превърне бързо в кой е най-елитният.

Може би това не е опитът за всички, но до голяма степен имах успех благодарение на подкрепата, съветите, наставничеството и помощта на много страхотни хора от сигурността, които сега считам за приятели. Това, че трябва да поискате помощ, НЕ означава, че не сте готови за тази работа.

Ако имате нужда от помощ, помолете я. Просто се уверете, че правите дължимата грижа и улеснете възможно най-лесно хората да ви помогнат. Повечето експерти са доста заети, така че е много по-вероятно да получите полезен отговор, ако зададете добре обхванат въпрос с достатъчен контекст и без печатни грешки.

Успех и щастливо хакване!

[1] Някои други мисли за съвети за кариера в сигурността, на които съм попаднал:

  • Томас Птачек, Чарли Милър, Джеремия Гросман, Ричард Бейтлих и Брус Шнайер споделят своите мисли в //krebsonsecurity.com/tag/security-career-advice/
  • Крис Палмър, моят приятел и колега в Chrome, споделя солидни съвети в //noncombatant.org/2016/06/20/get-into-security-engineering
  • Михал Залевски (известен още като lcamtuf) сподели 4 прости урока, базирани на 20-годишната му (страхотна и често новаторска) работа в областта на сигурността: //lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in- сигурност-но-са.html