在过去的十年中,我必须学习足够的危险(如果只是为了自己),pipe理小型networking的防火墙,交换机等。 然而,我知道我所做的事情(安全性作为一种爱好,实际上)与真正追求这个主题的掌握之间存在着巨大的差距。
研究给了我从Security +到CISSP的authentication,以及两者之间的转换。 有没有authentication,你觉得会提供一个良好的学习路线图?
我会列出一些似乎很有必要的清单,以防万一我靠近标记。
我意识到这是一项艰巨的任务,但是从pipe理层的angular度来看,如果我能够回到自己的位置并给我年轻的自己一些指点,我可以通过追求来挽救自己一段时间和头对头的遭遇某些学习捷径。 我希望你们有些以安全为重点的SFers也有类似的build议。
你希望工作的安全部分是什么? 安全是一个非常广泛的领域,更重要的是,如果你能指望你能在其他领域部分工作的所有方法。 通常有几个普遍的安全领域
开始学习框架,ISO / IEC 27001,治理,审计,风险/收益,法律框架和更多类似的东西。 您将最终成为CISO,也许最终成为一家公司的CSO。 直到你到达那里,希望花很多时间写政策文件。
开始学习交易的一般工具,wireshark,IOS和类似的是一个好的开始。 当你有chanse时,拿起更专业的技能,如法医。 有几套不同的课程。 例如,SANS的声誉很好。 思科合理的。 可悲的是,如果走这条路,很难走得远。 过了一段时间,你可能会进入中层pipe理,但这些技能大多是无用的。 在一些公司,你也可能会处理物理安全问题,这就给了更多的空缺。 如果你去警察,如果你select了这条道路,你会花很多时间看看令人讨厌的照片。
开始学习先进的math和其他技术技能。 select一个地区和专业。 而专门。 而专门。 如果你幸运的话,你可能在一个需求量很大的地区,或者你find一个你喜欢工作的公司。 你将变得或多或less不可能取代。 如果你正确地打牌,你就可以环游世界,并且会见很多非常聪明的人。
从我的angular度来看,首先要学会思考安全。 开始阅读像Schneier(超越恐惧)和Ross(安全工程)的人。 一旦掌握了安全领域的基本思路,就可以select自己的path,如果你想深入挖掘这个领域的话。 这不像有些人想要的那样美丽。 当事情变得紧张时,安全是第一个削减的预算,并期望把所有错误的责任归咎于。
我已经20年(专业15年)的pipe理员,大多数Unix与必要的Windows短跑。 从一开始,我倾向于扮演偏执的pipe理员,主要是因为它是实用和有启发性的,而不是因为我相信来自地球另一端的黑客瞄准我的服务器。 ;-)安全性实际上是一个事实上的系统pipe理员要求,每天都可以实施。
你没有指定你是否想戴上“安全专家”的官方徽章,并做笔testing,PCI合规性审计,事件响应(法医学等),或者你只是想成为一个重要的安全pipe理员信用来帮助拓宽你的职业select,并捍卫你的收费高调系统。
在“官方”类别中我所知道的less数几位同行中,CISSP证书是他们首先处理的,因此他们继续从事体面工作(当然,他们拥有10年以上的亲身经历,支持它)。 除了正式的培训材料和课程之外,还有大量的在线材料来评估你对材料的掌握程度。
虽然这些概念可以在任何平台上学习和应用,但是我个人推荐Unix,因为您可以通过远程shell获得如此低级别的访问权限,还可以轻松访问这些信息:观看实时tcpdump会话,系统日志条目,networking服务器日志,snort转储,转储实时系统内存,以及上百万个其他开源工具,用于在正在运行的系统的内部窥视和戳穿。
由于Unix是学习这种东西的理想平台,所以很容易就可以得出一个很好的学习方法,就是把自己扔给谚语狼。 获得一个入门级的Linux或FreeBSD VPS,一个真正的虚拟化VPS(如Xen),具有所有“硬件”和pipe理员访问权限,您将需要在现场暴露的互联网环境中模拟实际交易。
设置一个现场,工作系统。 获取正在运行的SMTP服务器,并观察垃圾邮件机器人并扫描恶意软件。 设置一个Web服务器并观察脚本小子在您的Web和数据库日志中尝试SQL注入攻击。 注意您的SSH日志蛮力攻击。 build立一个共同的博客引擎,并消除垃圾邮件机器人和攻击的乐趣。 了解如何部署各种虚拟化技术来相互分隔服务。 如果ACL,MAC和系统级审计值得花费额外的工作和麻烦超过标准的系统权限,请亲身体验一下。
订阅您select的操作系统和软件平台的安全列表。 在收件箱中收到咨询时,请仔细阅读此攻击,直到您了解其工作原理。 修补受影响的系统,当然。 检查您的日志是否有任何迹象表明此类攻击已经发生,如果成功。 根据自己的喜好find一个安全的博客或列表,每天或每周(视适用情况而定),拿起行话,阅读你不了解的内容。
使用工具来攻击和审计自己的系统,试图打破自己的东西。 这给你从攻击双方的angular度来看。 通过阅读像DEFCON这样成熟的会议上发表的文章和演讲,紧跟“黑帽”思维的前沿。 仅仅过去十年的档案就是信息的宝库,还是有效的。
当然,我没有authentication,我也没有收取“安全专家”服务的费用。 为了让自己成为一个更好的pipe理员,我只是把它作为日常工作的一部分。 对于你的目标是否需要或不需要证书,最好留给拥有它们的人。 不过,我相信动手的方法是学习这个东西最好的方法,我希望我的一些build议能够提供一些思考。
做同样types的事情,我发现非常有益的是SANS研究所 。 SANS是供应商中立的信息安全培训师和certificate者。 看看SANSauthentication路线图 。 我从GSEC开始,带着我的GCIH,现在正在开发我的GCIH Gold 。 GSEC是一个很好的中间起点。
希望这可以帮助。
玩笑
我知道这不是给你提供特定的课程。 根据我的经验,一些一般的想法是:
我知道那里没有太多的帮助,但希望它可以帮助优先事项或方向!
根据你最终决定的具体位置,重要的不仅是你的技术方面的工作,而且你可能是明智的join什么样的小组,networking等等。
根据你所在的地区也许有很多重要的地方可以去( IETF ,NANOG等)。 不要忘记各种响应中心,例如与DNS相关的安全的DNS-OARC 。
安全工作中最大的问题之一是人们在发现问题时往往会保密。 有时候,跨组织边界分享和合作比在真空中工作更好。
根据我的经验,除非你知道进攻的能力,否则你不能成为防守者。 我认为有些会议是有益的:
熟悉OWASP: http : //www.owasp.org
还有一个重要的安全部分是过程/操作相关的。
OWASP提供了OpenSAMM,但是有像ISO 27000这样的框架(比如其他人提到的),COBIT,SABSA等等。
干杯