it-swarm-eu.dev

Jaké jsou kariérní cesty v oblasti počítačové bezpečnosti?

Jaké druhy pracovních míst existují, ve kterých organizacích, s jakým druhem každodenní odpovědnosti?

Jaké oblasti jsou dobré pro lidi vycházející ze školy, vs jaké jsou dobré 2. zaměstnání pro zkušené lidi pocházející z různých oborů?

85
nealmcb

Jak se zdá „mezera“ jako „bezpečnost“, zahrnuje ve skutečnosti několik hlavních typů rolí a několik oblastí pokrytí. Jsou to vlastně úplně jiné ...

Společné role:

  • Oddělení podnikové IT bezpečnosti
    Tito chlapi se obvykle zabývají většinou prosazováním politik, auditem, informováním uživatelů, monitorováním, maaaaybe některými iniciativami v rámci celého podniku (např. SIEM, IdM atd.) A příležitostnou reakcí na incidenty. Pravděpodobně také dávejte bezpečnostní PoV při nákupu produktů třetích stran (ať už COTS nebo FOSS) a při jakémkoli outsourcingu RFP.
  • Bezpečnostní tým ve vývojové skupině (buď v podniku, nebo v dev obchodech)
    Většinou se zabývají vzděláváním a školením programátorů, některými bezpečnostními zkouškami (nebo zpracováním externího testování, viz níže) - to zahrnuje jak odkládací, tak kontrolní kód, případně definování bezpečnostních prvků. Některé orgány budou mít bezpečnostní tým také řídit rizika, účastnit se modelování hrozeb atd.
  • Externí konzultant/auditor/tester bezpečnosti
    Obvykle to v nějaké formě zahrnuje všechny výše uvedené, nejčastěji s důrazem na testování penetrace, revize kódu a audit dodržování regulačních předpisů (např. PCI). Kromě toho slouží jako odborník na bezpečnost a chodí na jiné typy organizací, jako je poskytování všech příslušných rad .... proto se obvykle očekává (i když ne nutně ;-)), že bude aktuální než kdokoli jiný.
  • Výzkumník
    Může to zahrnovat výzkum na akademické úrovni, jako jsou kryptologové, a také výzkumná oddělení v některých větších prodejcích zabezpečení, výzkum a vyhledávání nových exploitů/virů/útoků/vad/zmírňujících modelů/atd. Ty mohou být ve skutečnosti docela odlišný, dodavatelský výzkum je často považován za vývoj produktu, zatímco akademický výzkum - no, nemůžu s tím mluvit, protože nevím ...

Stejně tak ve všech výše uvedených oblastech existují různé oblasti odborných znalostí a odborník v jednom nemusí mít nutně nic inteligentního, aby řekl v jakékoli jiné oblasti:

  • Zabezpečení sítě, např. směrovače, firewall, segmentace sítě a architektura atd.
  • Zabezpečení O/S, které je samozřejmě dále rozděleno podle příchuti O/S (tj. Odborníci na zabezpečení systému Windows a odborníci na zabezpečení systému Linux nemusí o svých věcech hodně vědět).
  • Zabezpečení aplikace - tj. Jak bezpečně programovat (které může být nutné rozdělit podle jazyka, technologie atd.), Ale také útoky na aplikační vrstvě, např Webové útoky atd.
  • Odborníci na řízení rizik - více se zaměřují na obchodní stránku, méně na technické
  • Pracovníci pro dodržování předpisů - na některých místech jsou tito oddaní a jsou to odborníci na všechna příslušná nařízení a podobně (mějte na paměti, že se jedná o hraniční práci právníka!)
  • Identitní architekti - pro větší, na bezpečnost zaměřené orgány, které mají komplexní implementace IdM a podobně ...
  • Auditorští a forenzní experti, zabývají se hlavně SIEM/SIM/SOC a také vyšetřováním po tom, co se stalo.

Kromě toho existují některé, které se specializují na budování zabezpečených systémů (na každé úrovni zásobníku), a některé, které tráví svůj čas jejich porušováním - a není to vždy sdílená odbornost.

Pravděpodobně existuje ještě více výklenků, které přeskočím, ale začínáte získat obraz .... Jak vidíte, to, co bezpečnostní člověk nebo gal dělá ze dne na den, je tak široké a se lišily jako společnosti, ve kterých pracují, a systémy, na nichž pracují. Nejčastěji to vyžaduje posunutí několika klobouků a práci většinou na krátkých úkolech ... Ale co se nemění (obvykle), je požadavek zaměřit se na rizika (a hrozby), ať už jde o definici pravidel brány firewall, většinou o technickou práci. , nebo komunikovat s typy podnikání a právníků o aktuálním stavu zabezpečení organizace.

Jak se dostat na pole? V ideálním případě máte nějaké zkušenosti (nejlépe odborné znalosti) v jiné oblasti, kterou se pak můžete specializovat na bezpečnost.
Býval jste síťovým inženýrem? Skvělé, začněte se zaměřením na zabezpečení sítě a jděte odtamtud.
V současné době jste správcem systému? Úžasné, pravděpodobně jste už trochu pracovali na zabezpečení, začněte se učit více v této oblasti.
Programoval jste se od dětství a chcete se přesunout do bezpečí? Fantasticky, měli byste se už učit o ověřování vstupu, kryptografii, zmírňování hrozeb, bezpečném přístupu k DB atd. ... Dozvědět se více, zjistit, co vám chybí, a pak mi zavolat ;-).
A tak dále ... Na druhou stranu, pokud nemáte zázemí a chcete začít v bezpečnosti, je to tvrdší - protože jak jsem vysvětlil, očekává se, že bezpečnostní chlapi budou nejčastěji expert na cokoli. Můžete se pokusit připojit k týmu, který se bude odchylovat a růst odtamtud ... Důležitou součástí je zaměřit se na řízení rizik (a pro technické modelování hrozeb).

Také důrazně doporučuji číst spoustu bezpečnostních knih a blogů (užívám si věci Bruce Schneiera) a také vyzkoušet OWASP pro aplikační stránku věcí.

80
AviD

Pro budoucí reference a úplnost bych také rád dodal, že web K Cyber ​​Security Challenge má pěkný seznam 8 různých kategorií bezpečnostních rolí s vysvětlením každé a vzorové role, jak je definováno v Ústav profesionálů v oblasti informační bezpečnosti (IISP) (po studii předpokládám).

http://cybersecuritychallenge.org.uk/careers/typical-roles/

Obsah cituji zde:

Správci incidentů a hrozeb, forenzní experti

Tak či onak, vaše práce je přímo u uhlí. Můžete spravovat zabezpečení sítě vaší organizace a zabránit útočníkům. Můžete pracovat pro společnost, která testuje sítě ostatních, aby posoudila jejich bezpečnost a doporučila, jak je učinit méně zranitelnými vůči útoku. Nikdo se nedokáže vyhnout všem incidentům, takže můžete být také vedoucím incidentů, schopen rychle reagovat v krizi a zvládnout dopad. Pro firmu může být obtížné se rozhodnout. Budete muset spolupracovat s jinými manažery, kteří nemusí mít vaše technické znalosti o tom, co se stalo nebo co je třeba udělat, aby systémy fungovaly, ale budou vědět o dopadu na podnikání, pokud budou některé funkce zastaveny. Možná budete muset provést forenzní analýzu - abyste viděli, jak se útočník dostal a co udělal. Plánování toho, co dělat, aby bylo možné reagovat na různé incidenty, bude vyvážení všech různých požadavků důležité pro zvládnutí krize dobře a pravděpodobně budete důležitým členem týmu pro plánování kontinuity provozu. V této oblasti existují velmi technické práce, které zkoumají nový malware, zpracovávají protiopatření a mnoho dalšího. Navíc, samozřejmě, nyní to není všechno v sítích, protože mobilní zařízení stále více uchovávají více dat a vykonávají funkce dříve možné pouze na počítači.

Ukázkové role v této kategorii: Správa a reakce na incidenty a hrozby. Incident Manager, Threat Manager, Forensics - počítač - mobilní a síťový analytik, CSIRT, Attack Investigator, Malware Analyst, Penetration Tester, Disaster Recovery, Business Continuity.

Analytici a manažeři rizik.

Chcete-li to provést, musíte pochopit, jak různé hrozby ovlivní podnikání, a poradit, jaká rizika mají být kryta a která přijmout. Rada bude naslouchat vaší radě a budete muset být schopni vysvětlit rizika netechnickým jazykem, který jasně ukazuje dopad na podnikání. Někteří manažeři rizik jsou netechnickí a vyšli z podnikání, jiní pocházejí z technické stránky podnikání. Někteří lidé jsou zapojeni do auditu sítí a zajišťují, aby byly otázky dodržování předpisů pochopeny a řešeny. Jedna odpověď na náš průzkum uvedla, že tito lidé „chodí a mluví s našimi klienty o rizicích a dodržování předpisů, vysvětlují zákon, jakékoli změny v legislativě a identifikují slabosti a pomáhají klientům vyhovět“.

Ukázkové role v této kategorii: Řízení rizik, ověřování a dodržování předpisů. Rizikový analytik, hodnotitel rizika, inspektor bezpečnosti obchodních informací, recenzent, auditor.

Tvůrci politik a stratégové.

Toto jsou lidé, kteří vymýšlejí bezpečnostní politiky, které budou definovat, jak společnost řeší spoustu různých bezpečnostních rizik. Získání politického práva je nezbytnou podmínkou, aby organizace plnila své zákonné povinnosti. To, že lidé budou provádět politiky, znamená ukazovat lidem, proč jsou tyto politiky důležité, a zvyšovat povědomí o možných důsledcích nedodržování pokynů. V soukromém sektoru máte CISO (Chief Information Security Officers) vedoucí této práce často podporované týmem. Ve vládě jsou ITSO (bezpečnostní pracovníci IT) a DSO (bezpečnostní pracovníci ministerstva). Posledně jmenovaní jsou zodpovědní za otázky fyzické, personální a informační bezpečnosti a pracovník bezpečnosti IT jim obvykle podává zprávy.

Ukázkové role v této kategorii: strategie, politika, správa. Strategista, manažer politiky, ITSO, DSO, CISO.

Správa operací a zabezpečení.

Možná jste zodpovědní za ochranu dat vaší organizace v jejích sítích, přenosných počítačích nebo mobilních zařízeních. Vzhledem k tomu, že jsme si všichni vybrali různé způsoby práce a vývoj nových technologií vytváří denně nové možnosti, budete muset udržovat přehled. Můžete spravovat šifrování a další ochranná opatření, jako jsou pravidla pro brány firewall, protokoly zabezpečení a hlášení incidentů.

Ukázkové role v této kategorii: Správa provozu a zabezpečení. Network Security Officer, Systems Security Officer, Information Security Officer, Crypto custodians, Information Managers.

Inženýrství, architektura a design.

Pokud dokážete správně navrhnout systém, můžete útočníkům ztěžovat přístup. Ale situace se mění každý den a pokud se chcete držet krok, budete muset rychle běžet. Možná se jedná o hardware nebo software, návrh a vývoj nebo zabezpečené aplikace. Možná jste talentovaným autorem bezpečného softwaru - příliš mnoho našich kodérů bylo v minulosti poháněno tlakem, že jsou první na trhu a nemají dostatečné povědomí o bezpečnosti. Můžete navrhovat bezpečnostní nástroje nebo je prodávat. Prodej a marketing je nezbytnou součástí podnikání.

Ukázkové role v této kategorii: Inženýrství, architektura a design. Architekt, návrhář, vývoj, bezpečné kódování, návrh a vývoj softwaru, vývoj aplikací. Bezpečnostní nástroje, implementace.

Vzdělávání, školení a povědomí.

V dnešní době je pro většinu z nás v podnikání stále potřeba školení. Jak přicházejí nové technologie, zaměstnanci musí pochopit, jak je efektivně využívat, aby podnik mohl přežít a bezpečně postupovat, aby byla zvládnuta nová rizika. Odborníci musí být také průběžně informováni, aby pochopili nové útočné vektory, nové způsoby řízení bezpečnosti, nové způsoby hodnocení a sdělování rizik. Některé prodejní zakázky jsou s touto prací úzce spojeny, protože vzdělávají zákazníky o tom, co ve svém podnikání potřebují. Existuje celá řada školících společností, které se zabývají všemi úrovněmi školení a nejlepší prací, aby udržely svůj materiál aktuální. Jeden z respondentů v našem průzkumu popsal jeho práci jako: „Zvyšovat povědomí o záležitostech souvisejících s kybernetickou bezpečností interně i jako služba jiným organizacím. Produkovat, akreditovat a poskytovat interní školení a další organizace Cyber ​​Security jako službu “.

Ukázkové role v této kategorii: Vzdělávání, školení a povědomí. Správce programů zabezpečení.

Výzkum.

Existuje mnoho oblastí výzkumu, některé vysoce technické a jiné mnohem více orientované na politiku. Někteří vytvářejí složité modely, které nám pomáhají porozumět situacím, které se mění rychleji, než můžeme pochopit bez technické pomoci. Jiní přemýšlejí o technologiích budoucnosti a o tom, jak nám mohou pomoci lépe spravovat zabezpečení. Respondenti průzkumu popsali úkoly jako „Prozkoumat nové technologie pro řízení rizik a naučit se řídit rizika pomocí nových technologií. Většina lidí ve výzkumu bezpečnosti se soustředí na první, kryptoměnu, firewall atd. Zabezpečení Internetu 2.0 je ale mnohem důležitější “; "Hledáte další" velkou věc ""; "Výzkum toho, jak jsou útoky prováděny ve skutečném světě." Sledování různých typů malwaru a způsob, jakým se mění, umožňuje zabránit závažným útokům na zákazníky. Vymýšlejte nové výrobky na základě toho, co je vidět ve skutečném světě, a spolupracujte s vývojáři při jejich výrobě. “

Ukázkové role v této kategorii: Výzkum. Výzkumník bezpečnosti.

Právníci specializující se na poradenství a stíhání v oblasti internetové trestné činnosti a ochrany dat.

Poradenství a stíhání v oblasti bezpečnosti dat a internetového zločinu. Není snadné stíhat pachatele těchto zločinů a společnosti potřebují pomoc, aby pochopily svou odpovědnost a shromáždily důkazy. Od ztráty dat v posledních letech došlo v zákoně k významným změnám. Například organizacím, které nezajímají dostatečné údaje o lidech v jejich systémech, může být uložena pokuta až do výše 0,5 milionu GBP, takže mnoho z nich chce nechat prověřit své bezpečnostní politiky, aby zajistily, že jsou vhodné pro daný účel.

Ukázkové role v této kategorii: Advokát pro poradenství a stíhání v oblasti ochrany údajů a internetové trestné činnosti.

27
john

Institut SANS nabízí brožuru na toto téma za 5,00 $: 20 nejchladnějších pracovních míst v informační bezpečnosti . Na této webové stránce jsou uvedeny názvy a několik ukázkových popisů.

4
P3nT3ster