it-swarm-eu.dev

Was sind die Karrierewege im Bereich Computersicherheit?

Welche Arten von Arbeitsplätzen gibt es, in welchen Organisationen, mit welchen alltäglichen Aufgaben?

Welche Bereiche sind gut für Leute, die die Schule verlassen, und welche sind gute zweite Karrieren für erfahrene Leute, die aus verschiedenen Disziplinen kommen?

85
nealmcb

So nisch "Sicherheit" auch erscheint, es umfasst tatsächlich einige Haupttypen von Rollen und einige Bereiche der Abdeckung. Diese sind eigentlich ganz anders ...

Gemeinsame Rollen:

  • IT-Sicherheitsabteilung für Unternehmen
    Diese Leute beschäftigen sich normalerweise hauptsächlich mit der Durchsetzung von Richtlinien, der Prüfung, der Sensibilisierung der Benutzer, der Überwachung, möglicherweise einigen unternehmensweiten Initiativen (z. B. SIEM, IdM usw.) und einer gelegentlichen Reaktion auf Vorfälle. Geben Sie wahrscheinlich auch einen Sicherheits-PoV beim Kauf von Produkten von Drittanbietern (ob COTS oder FOSS) und bei jedem Outsourcing-RFP.
  • Sicherheitsteam in der Entwicklungsgruppe (entweder im Unternehmen oder in Entwicklungsgeschäften)
    Beschäftigen Sie sich hauptsächlich mit der Aus- und Weiterbildung von Programmierern, einigen Sicherheitstests (oder der Durchführung externer Tests, siehe unten) - dies umfasst sowohl das Testen als auch das Überprüfen von Code, möglicherweise das Definieren von Sicherheitsfunktionen. Bei einigen Organisationen wird das Sicherheitsteam auch Risiken verwalten, an der Bedrohungsmodellierung teilnehmen usw.
  • Externer Berater/Auditor/Sicherheitstester
    Dies umfasst normalerweise in irgendeiner Form alle oben genannten Punkte, meistens mit Schwerpunkt auf Penetrationstests, Codeüberprüfungen und Audits auf Einhaltung gesetzlicher Vorschriften (z. B. PCI). Als Sicherheitsexperte fungieren außerdem Ansprechpartner für die anderen Arten von Organisationen, z. B. für die Bereitstellung aller relevanten Ratschläge. Daher wird normalerweise erwartet (obwohl dies nicht unbedingt der Fall ist ;-)), dass sie aktueller sind als jeder andere.
  • Forscher
    Dies kann akademische Forschung wie Kryptologen und auch Forschungsabteilungen in einigen der größeren Sicherheitsanbieter umfassen, die nach neuen Exploits/Viren/Angriffen/Fehlern/Schadensbegrenzungsmodellen usw. suchen und suchen. Dies kann tatsächlich sein Ganz anders, Anbieterforschung wird oft als Produktentwicklung behandelt, während akademische Forschung - nun, ich kann nicht wirklich damit sprechen, da ich nicht weiß ...

Ebenso gibt es in allen oben genannten Bereichen unterschiedliche Fachgebiete, und ein Experte in einem Bereich muss in keinem anderen Bereich etwas Intelligentes zu sagen haben:

  • Netzwerksicherheit, z. Router, Firewall, Netzwerksegmentierung und Architektur usw.
  • O/S-Sicherheit, die natürlich weiter nach O/S-Geschmacksrichtungen unterteilt ist (d. H. Windows-Sicherheitsexperte und Linux-Sicherheitsexperten wissen möglicherweise nicht viel über die Dinge des anderen).
  • Anwendungssicherheit - dh wie man sicher programmiert (was erforderlich sein kann , um nach Sprache, Technologie usw. zu unterteilen), aber auch Angriffe auf Anwendungsebene; z.B Web-Angriffe usw.
  • Risikomanagement-Experten - mehr auf die geschäftliche Seite ausgerichtet, weniger auf die technische
  • Compliance-Beauftragte - an einigen Orten sind diese engagiert, und sie sind Experten für alle relevanten Vorschriften und dergleichen (beachten Sie, dass dies eine grenzüberschreitende anwaltähnliche Arbeit ist!).
  • Identitätsarchitekten - für größere, sicherheitsbewusste Organisationen mit komplexen IdM-Implementierungen und dergleichen ...
  • Wirtschaftsprüfer und Forensiker befassen sich hauptsächlich mit SIEM/SIM/SOC und auch mit Nachuntersuchungen.

Darüber hinaus gibt es einige, die sich auf den Aufbau sicherer Systeme (auf jeder Ebene des Stapels) spezialisiert haben, und einige, die ihre Zeit damit verbringen, sie zu brechen - und es handelt sich nicht immer um gemeinsames Fachwissen.

Es gibt wahrscheinlich noch mehr Nischen-Nischen, die ich überspringe, aber Sie fangen an, sich ein Bild zu machen ... Wie Sie sehen können, ist das, was ein Sicherheitsmann oder eine Sicherheitsfrau täglich tut, genauso breit und breit unterschiedlich wie die Unternehmen, in denen sie arbeiten, und die Systeme, an denen sie arbeiten. Meistens erfordert dies das Verschieben mehrerer Hüte und das Arbeiten hauptsächlich an kurzen Aufgaben ... ABER was (normalerweise) gleich bleibt, ist die Anforderung, sich auf die Risiken (und Bedrohungen) zu konzentrieren, unabhängig davon, ob es sich hauptsächlich um eine technische Aufgabe als Definition von Firewallregeln handelt oder Kommunikation mit den Geschäfts- und Anwaltstypen über die aktuelle Sicherheitslage der Organisation.

Wie komme ich ins Feld? Idealerweise verfügen Sie über Erfahrung (vorzugsweise Fachwissen) in einem anderen Bereich, die Sie dann auf Sicherheit spezialisieren können.
Sie waren früher Netzwerktechniker? Beginnen Sie mit dem Fokus auf Netzwerksicherheit und gehen Sie von dort aus.
Sie sind derzeit Systemadministrator? Wunderbar, Sie haben wahrscheinlich schon ein bisschen an Sicherheit gearbeitet und lernen mehr in diesem Bereich.
Sie programmieren seit Ihrer Kindheit und möchten in die Sicherheit gehen? Fantastisch, Sie sollten bereits etwas über Eingabevalidierung, Kryptografie, Bedrohungsabwehr, sicheren DB-Zugriff usw. gelernt haben. Erfahren Sie mehr, finden Sie heraus, was Sie vermissen, und rufen Sie mich dann an ;-).
Und so weiter ... Wenn Sie jedoch keinen Hintergrund haben und mit der Sicherheit beginnen möchten, ist das schwieriger - denn wie ich bereits erklärt habe, wird von den Sicherheitsleuten meistens erwartet, dass sie der Experte auf was auch immer es ist. Sie können versuchen, einem Pentesting-Team beizutreten und von dort aus zu wachsen ... Der wichtige Teil besteht darin, sich auf das Risikomanagement (und für die technische Bedrohungsmodellierung) zu konzentrieren.

Ich empfehle außerdem dringend, viele Sicherheitsbücher und Blogs zu lesen (ich mag Bruce Schneiers Sachen) und auch OWASP für die Anwendungsseite der Dinge auszuprobieren.

80
AviD

Zur späteren Bezugnahme und Vollständigkeit möchte ich auch hinzufügen, dass die Website K Cyber ​​Security Challenge eine schöne Liste von 8 verschiedenen Kategorien von Sicherheitsrollen mit Erläuterungen zu den einzelnen und Beispielrollen enthält, wie in der Definition definiert Institut für Fachkräfte für Informationssicherheit (IISP) (nach einer Studie, nehme ich an).

http://cybersecuritychallenge.org.uk/careers/typical-roles/

Ich zitiere den Inhalt hier:

Incident- und Threat-Manager, Forensiker.

Auf die eine oder andere Weise ist Ihr Job direkt an der Kohlenseite. Sie können die Sicherheit des Netzwerks Ihres Unternehmens verwalten und Angreifer fernhalten. Sie können für ein Unternehmen arbeiten, das die Netzwerke anderer testet, um deren Sicherheit zu bewerten und zu beraten, wie sie weniger anfällig für Angriffe werden können. Niemand kann alle Vorfälle vermeiden, daher können Sie auch ein Incident Manager sein, der in der Lage ist, in einer Krise schnell zu reagieren und die Auswirkungen zu bewältigen. Es kann schwierig sein, Entscheidungen für das Unternehmen zu treffen. Sie müssen mit anderen Managern zusammenarbeiten, die möglicherweise nicht genau wissen, was passiert ist oder was getan werden muss, um die Systeme wieder funktionsfähig zu machen, aber über die Auswirkungen auf das Unternehmen Bescheid wissen, wenn bestimmte Funktionen gestoppt werden. Möglicherweise müssen Sie eine forensische Analyse durchführen, um zu sehen, wie der Angreifer eingestiegen ist und was er getan hat. Die Planung der Maßnahmen zur Reaktion auf unterschiedliche Vorfälle und die Abwägung der unterschiedlichen Anforderungen ist wichtig, um eine Krise gut zu bewältigen, und Sie sind wahrscheinlich ein wichtiges Mitglied des Business Continuity Planning-Teams. In diesem Bereich gibt es einige sehr technische Aufgaben, bei denen neue Malware untersucht, Gegenmaßnahmen erarbeitet und vieles mehr. Außerdem ist es jetzt natürlich nicht alles in Netzwerken, da mobile Geräte zunehmend mehr Daten speichern und Funktionen ausführen, die bisher nur auf einem Computer möglich waren.

Beispielrollen in dieser Kategorie: Incident- und Threat-Management und -Reaktion. Incident Manager, Threat Manager, Forensik - Computer - Mobil - und Netzwerk - Analyst, CSIRT, Attack Investigator, Malware - Analyst, Penetration Tester, Disaster Recovery, Business Continuity.

Risikoanalysten und -manager.

Dazu müssen Sie verstehen, wie sich verschiedene Bedrohungen auf ein Unternehmen auswirken, und darüber beraten, welche Risiken abgedeckt und welche eingegangen werden müssen. Das Board wird auf Ihren Rat hören und Sie müssen in der Lage sein, die Risiken in einer nicht technischen Sprache zu erläutern, die die Auswirkungen auf das Geschäft klar zeigt. Einige Risikomanager sind nicht technisch und haben das Geschäft durchlaufen, andere kommen von der technischen Seite des Geschäfts. Einige Personen sind an der Prüfung von Netzwerken beteiligt und stellen sicher, dass Compliance-Probleme verstanden und behandelt werden. In einer Antwort auf unsere Umfrage heißt es, dass diese Personen „mit unseren Kunden über Risiken und Compliance sprechen, das Gesetz, etwaige Gesetzesänderungen erläutern, Schwachstellen identifizieren und Kunden bei der Einhaltung helfen“.

Beispielrollen in dieser Kategorie: Risikomanagement, Verifizierung und Compliance. Risikoanalytiker, Risikobewerter, Sicherheitsbeauftragter für Geschäftsinformationen, Prüfer, Prüfer.

Entscheidungsträger und Strategen.

Dies sind die Personen, die die Sicherheitsrichtlinien entwickeln, die definieren, wie ein Unternehmen mit vielen verschiedenen Sicherheitsrisiken umgeht. Die richtige Politik ist ein Muss für eine Organisation, um ihren gesetzlichen Verpflichtungen nachzukommen. Menschen dazu zu bringen, Richtlinien umzusetzen, bedeutet, den Menschen zu zeigen, warum die Richtlinien wichtig sind, und das Bewusstsein für die möglichen Konsequenzen zu schärfen, wenn sie den Ratschlägen nicht folgen. Im privaten Sektor haben Sie CISOs (Chief Information Security Officers), die diese Arbeit leiten und häufig von einem Team unterstützt werden. In der Regierung gibt es ITSOs (IT-Sicherheitsbeauftragte) und DSOs (Departmental Security Officers). Letztere sind für physische, Personal- und Informationssicherheitsprobleme verantwortlich, und der IT-Sicherheitsbeauftragte berichtet ihnen normalerweise.

Beispielrollen in dieser Kategorie: Strategie, Politik, Governance. Stratege, Policy Manager, ITSO, DSO, CISO.

Betriebs- und Sicherheitsmanagement.

Möglicherweise sind Sie für den Schutz der Daten Ihres Unternehmens in seinen Netzwerken, Laptops oder Mobilgeräten verantwortlich. Da wir alle unterschiedliche Arbeitsweisen gewählt haben und die Entwicklung neuer Technologien täglich neue Möglichkeiten schafft, müssen Sie auf dem Laufenden bleiben. Sie können die Verschlüsselung und andere Schutzmaßnahmen wie die Regeln für Firewalls, Sicherheitsprotokolle und die Meldung von Vorfällen verwalten.

Beispielrollen in dieser Kategorie: Betriebs- und Sicherheitsmanagement. Netzwerksicherheitsbeauftragter, Systemsicherheitsbeauftragter, Informationssicherheitsbeauftragter, Krypto-Depotbanken, Informationsmanager.

Ingenieurwesen, Architektur und Design.

Wenn Sie das Design eines Systems richtig gestalten können, können Sie es Angreifern schwer machen, einzusteigen. Die Situation ändert sich jedoch täglich, und wenn Sie Schritt halten möchten, müssen Sie schnell laufen. Möglicherweise beschäftigen Sie sich mit Hardware oder Software, Design und Entwicklung oder sicheren Anwendungen. Möglicherweise sind Sie ein talentierter Autor sicherer Software - zu viele unserer Programmierer waren in der Vergangenheit vom Druck getrieben, als Erster auf den Markt zu kommen, und hatten kein ausreichendes Sicherheitsbewusstsein. Sie können Sicherheitstools entwerfen oder verkaufen. Vertrieb und Marketing sind ein wesentlicher Bestandteil des Geschäfts.

Beispielrollen in dieser Kategorie: Ingenieurwesen, Architektur und Design. Architekt, Designer, Entwicklung, sichere Codierung, Software-Design und -Entwicklung, Anwendungsentwicklung. Sicherheitstools, Implementierung.

Bildung, Ausbildung und Sensibilisierung.

Schulungen sind heutzutage für die meisten von uns ein ständiger Bedarf in der Wirtschaft. Wenn neue Technologien online gehen, müssen die Mitarbeiter verstehen, wie sie diese effektiv einsetzen können, damit das Unternehmen überleben und sicher erfolgreich sein kann, damit neue Risiken gemanagt werden können. Die Experten müssen ebenfalls auf dem neuesten Stand gehalten werden, damit sie neue Angriffsmethoden, neue Methoden zum Sicherheitsmanagement und neue Methoden zur Bewertung und Kommunikation von Risiken verstehen. Einige Vertriebsjobs sind eng auf diese Arbeit ausgerichtet, da sie Kunden über die Anforderungen ihres Geschäfts informieren. Es gibt eine Reihe von Schulungsunternehmen, die sich mit allen Ausbildungsstufen befassen und die besten arbeiten, um ihr Material auf dem neuesten Stand zu halten. Einer der Befragten in unserer Umfrage beschrieb seine Aufgabe wie folgt: „Sensibilisierung für Fragen der Cybersicherheit sowohl intern als auch als Dienstleistung für andere Organisationen. Erstellung und Akkreditierung von Cyber ​​Security-Schulungskursen intern und für andere Organisationen als Dienstleistung. “.

Beispielrollen in dieser Kategorie: Bildung, Ausbildung und Sensibilisierung. Sicherheitsprogramm-Manager.

Forschung.

Es gibt viele Forschungsbereiche, von denen einige hochtechnisch und andere viel politikorientierter sind. Einige erstellen komplexe Modelle, um Situationen zu verstehen, die sich schneller ändern, als wir ohne technische Hilfe verstehen können. Andere denken über die Technologien der Zukunft nach und wie sie uns helfen können, die Sicherheit besser zu verwalten. Die Befragten beschrieben die Aufgaben als „Untersuchung neuer Technologien zum Risikomanagement und Erlernen des Risikomanagements mit neuen Technologien. Die meisten Leute in der Sicherheitsforschung konzentrieren sich auf Ersteres, Krypto, Firewalls usw., letzteres ist jedoch die Sicherung von Internet 2.0 weitaus wichtiger. “ "Auf der Suche nach dem nächsten" großen Ding ""; „Untersuchung der Art und Weise, wie Angriffe in der realen Welt durchgeführt werden. Verfolgung verschiedener Arten von Malware und wie sie sich ändern, wodurch größere Streiks gegen Kunden verhindert werden können. Erfinden Sie neue Produkte basierend auf dem, was in der realen Welt zu sehen ist, und arbeiten Sie mit Entwicklern zusammen, um diese Produkte herzustellen. “

Beispielrollen in dieser Kategorie: Forschung. Sicherheitsforscher.

Anwälte, die auf Beratung und Strafverfolgung bei Internetkriminalität und Datenschutz spezialisiert sind.

Beratung und Verfolgung von Datensicherheit und Internetkriminalität. Es ist nicht einfach, die Täter dieser Verbrechen zu verfolgen, und Unternehmen brauchen Hilfe, um ihre Verantwortung zu verstehen und die Beweise zusammenzustellen. Seit den Datenverlusten der letzten Jahre gab es einige wesentliche Gesetzesänderungen. Zum Beispiel können Unternehmen, die die Daten von Personen auf ihren Systemen nicht ausreichend pflegen, mit einer Geldstrafe von bis zu 0,5 Mio. GBP belegt werden. Daher möchten viele, dass ihre Sicherheitsrichtlinien überprüft werden, um sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.

Beispielrollen in dieser Kategorie: Anwalt für Beratung und Strafverfolgung in Bezug auf Datenschutz und Internetkriminalität.

27
john

Das SANS Institute bietet eine Broschüre zum Thema für 5,00 USD an: Die 20 coolsten Jobs in der Informationssicherheit . Diese Webseite listet die Titel zusammen mit einigen Beispielbeschreibungen auf.

4
P3nT3ster