在过去的十年里,我必须学会足够的危险(如果只是对我自己),管理小型网络的防火墙、交换机等。然而,我知道我一直在做的事情(安全作为一种爱好,真的)与实际追求掌握该主题之间存在相当大的差距。
研究为我提供了从Security+到CISSP以及介于两者之间的认证。是否有任何认证可以提供良好的学习路线图?
我会列出一个简短的清单,列出似乎需要的东西,以防我在标记附近的任何地方。
我意识到这是一项艰巨的任务,但从 Win 管理员的角度进行比较,如果我能回过头来给年轻的自己一些指点,我可以通过追求为自己节省大量时间和头对墙的遭遇某些学习捷径。我希望你们中的一些关注安全的 SFers 有类似的建议。
您希望从事安全领域的哪一部分工作?安全是一个非常广泛的领域,如果你把你可以工作的所有方式都算在其他领域,那就更是如此。通常有几个一般的安全领域
开始学习框架、ISO/IEC 27001、治理、审计、风险/收益、法律框架和更多类似的东西。在职业生涯即将结束时,您最终将成为首席信息安全官,也可能成为一家公司的首席安全官。在您到达那里之前,预计会花费大量时间编写政策文件。
开始学习行业的通用工具,wireshark、IOS之类的都是不错的开始。当您有机会时,学习更专业的技能,例如法医。有几套不同的课程。例如,SANS 享有很高的声誉。思科一个合理的。可悲的是,如果你走这条路,很难走多远。一段时间后,您可能会晋升为中层管理人员,但那里的技能大多无用。在某些公司中,您可能还会处理物理安全问题,这会留下更多的空缺。如果你去警察局,如果你选择这条路,你会花很多时间看讨厌的照片。
开始学习高级数学和其他技术技能。选择一个领域并专攻。并且专攻。并且专攻。如果你很幸运,你所在的地区需求量很大,或者你找到了一家你喜欢工作的公司。你或多或少会变得无法替代。如果你打好牌,你就可以环游世界并结识很多非常聪明的人。
从我的角度来看,首先要做的是学会思考安全性。开始阅读像 Schneier(超越恐惧)和 Ross(安全工程)这样的人。一旦你掌握了安全领域的基本思想,你就可以选择你的道路,如果你想在这个领域深挖下去。它并不像某些人想要的那样迷人。当事情变得紧张时,安全是第一个削减的预算,并期望为所有出错的事情承担责任。
我担任管理员已有 20 年(专业 15 年),主要是 Unix,并根据需要使用了少量 Windows。从一开始,我就倾向于扮演偏执的管理员,主要是因为它实用且具有指导意义,而不是因为我相信来自地球另一端的黑客正在瞄准我的服务器。;-) 安全确实是事实上的系统管理员要求,可以每天练习。
您没有指定是否要佩戴“安全专家”的官方徽章并执行诸如渗透测试、PCI 合规性审核、事件响应(取证等)之类的工作,或者您只是想成为一名具有高度安全性的管理员信誉,以帮助拓宽您的职业选择并捍卫您负责的高调系统。
在我认识的“官方”类别中的少数同行中,CISSP 证书是他们第一个解决的问题,因此他们继续找到体面的工作(当然,他们有 10 多年的实践经验,就像你一样,备份它)。除了官方培训材料和课程外,网上还有大量材料可以评估您对材料的掌握情况。
虽然这些概念可以在任何平台上学习和应用,但我个人推荐 Unix,因为您可以对所有内容进行如此低级别的访问,并且能够通过远程 shell 轻松访问该信息的额外好处:观看实时 tcpdump 会话、系统日志条目、Web 服务器日志、snort 转储、转储实时系统内存,以及一百万种其他开源工具,用于窥视和查看正在运行的系统的内部结构。
由于 Unix 是学习这类东西的理想平台,因此很容易得出一个很好的学习方式是将自己投入到众所周知的狼中。为自己准备一个入门级 Linux 或 FreeBSD VPS,一个真正的虚拟化 VPS(例如 Xen),具有在实时、公开的 Internet 环境中模拟真实交易所需的所有“硬件”和管理员访问权限。
为自己设置一个实时工作的系统。运行一个实时 SMTP 服务器,观察垃圾邮件机器人并扫描恶意软件。设置一个 Web 服务器并观看脚本小子在您的 Web 和数据库日志中尝试 SQL 注入攻击。查看您的 ssh 日志以进行暴力攻击。设置一个通用的博客引擎,并享受对抗垃圾邮件机器人和攻击的乐趣。了解如何部署各种虚拟化技术以将服务彼此分区。直接了解 ACL、MAC 和系统级审计是否值得为标准系统权限进行额外的工作和麻烦。
订阅您选择的操作系统和软件平台的安全列表。当您在收件箱中收到建议时,请仔细阅读攻击,直到您了解其工作原理。当然,修补受影响的系统。检查您的日志是否有任何迹象表明尝试过此类攻击以及是否成功。查找您喜欢的安全博客或列表,并每天或每周(以适用者为准)跟上它,拿起行话并阅读您不理解的内容。
使用工具来攻击和审核您自己的系统,试图破坏您自己的东西。这为您提供了攻击双方的视角。通过阅读DEFCON 等知名会议的论文和演示文稿,跟上“黑帽”思维的前沿。仅过去十年的档案就是一个信息宝库,很多仍然有效。
当然,我没有认证,也没有为“安全专家”服务付费。我只是把它作为我日常生活的一部分来跟上这些东西,让自己成为一个更好的管理员。您的目标是否需要或不需要证书,最好留给拥有它们的人。但是,我相信大量的动手方法是学习这些东西的最佳方式,我希望我的一些建议可以提供一些思考。
做和你一样的事情,我发现SANS Institute是非常有益的。SANS 是供应商中立的 InfoSec 培训师和认证机构。查看SANS 认证路线图。我从 GSEC 开始,参加了我的 GCIH,现在正在研究我的GCIH Gold。该GSEC是一个很好的中间起点。
希望这可以帮助。
乔希
我知道这并没有为您提供特定的课程。不过,根据我的经验,一些一般性的想法是:
我知道,对具体细节没有多大帮助,但希望它在优先事项或方向上可能有所帮助!
| 归档时间: |
|
| 查看次数: |
678 次 |
| 最近记录: |