NOTA: Esto es de una publicación que hice sobre este tema exacto.
No hay un plan de estudios estándar o perfecto.
La seguridad es un campo amplio, interdisciplinario y aplicado. Hay necesidades de personas que diseñan y crean sistemas seguros, personas que intentan romper sistemas, personas que intentan detectar intrusiones y muchas cosas en el medio. Si he aprendido algo, he aprendido que no existe una ruta preparatoria única, estándar o mejor. Quizás esto cambie a medida que el campo madure, pero lo dudo. Tampoco es como otros campos profesionales que requieren acreditación (por ejemplo, medicina, derecho), que pueden ser tanto liberadores como intimidantes.
- ¿Cómo funciona la seguridad de punto final?
- ¿Por qué los hackers rusos piratean los Estados Unidos?
- ¿Cuánto piensan los desarrolladores de sitios web sobre seguridad?
- ¿Tengo un virus o no?
- ¿Cuál es la mejor autenticación de dos factores: SMS o en la aplicación?
Independientemente de cómo lo adquiera, se beneficiará de tener una sólida comprensión de la informática aplicada o de cómo funcionan las computadoras y el software. Gran parte de la informática aplicada se trata de resolver problemas con capas de abstracción, y la seguridad a menudo se trata de encontrar las suposiciones defectuosas en esas abstracciones … y luego descubrir la mejor manera de solucionarlas (o explotarlas).
Hice esto al obtener un título de ingeniería en Ciencias de la Computación de una universidad pública. Algunos de los temas más útiles para mí fueron sistemas operativos, redes, arquitectura de computadoras y compiladores. Más allá de eso, acabo de tomar cursos técnicos que encontré interesantes (por ejemplo, procesamiento de señales digitales, ingeniería biomédica, inteligencia artificial) y exploré temas de seguridad en redes, tecnologías de mejora de la privacidad y seguridad de aplicaciones (web, cliente) a través de proyectos en clubes de estudiantes y pasantías. .
También se beneficiará al comprender cómo funcionan las personas (usuarios, clientes, lo que sea) que usan la tecnología. Si pudiera retroceder en el tiempo a mis días universitarios más libres de {cuidado, obligación}, tomaría algunas clases de psicología, sociología y factores humanos.
Trabajo con expertos que tienen antecedentes académicos igualmente tradicionales (por ejemplo, títulos en ingeniería informática, informática, matemáticas, etc.). También conozco a muchas personas que tienen antecedentes menos típicos (por ejemplo, química, estudios cinematográficos, psicología, diseño gráfico) y algunas personas que abandonaron la escuela antes de terminar un título.
Sobre el tema de las certificaciones de seguridad, no tengo ninguna, y no creo que me hayan retenido por eso. Es posible que algunas industrias o países los requieran para profesionales de infosec, y ciertamente son algo que algunas personas razonables han perseguido: ¡advertencia!
Culturalmente, recomendaría leer el Manifiesto Hacker o Cómo convertirse en un hacker, que sirve como inspiración y brújula moral para muchos expertos en seguridad. Incluso si no te comparas con un hacker, es útil comprender la mentalidad de algunas de las personas con las que estás trabajando.
Más allá de eso, la mayor parte de lo que sé lo he aprendido con el tiempo, en anécdotas y pepitas de amigos y compañeros de trabajo, blogs de seguridad, ponencias y presentaciones de conferencias, listas de correo, grupos de seguridad locales y otros recursos en línea. Muchas de las cosas que escucho o ingiero hoy provienen de personas en mi lista de seguridad de Twitter.
Deja de leer, comienza a hacerlo.
Esto se aplica a cualquier carrera, pero obtenga experiencia laboral en la vida real tan rápido como pueda. Esa es la mejor manera de reducir sus intereses, fortalezas y áreas de desarrollo futuro. También comprenderá mejor en qué consisten un día y un entorno de trabajo normales, incluido lo que le gusta y lo que no. Una de las experiencias más valiosas relacionadas con la carrera de mi vida fue hacer una pasantía que odiaba, ya que me desvió fuertemente en otra dirección 🙂
En términos de cómo comenzar a obtener experiencia, no tengo una respuesta simple. Visite ferias y conferencias profesionales, participe en clubes u otras organizaciones, solicite pasantías y trabajos a tiempo parcial con gran entusiasmo. Mucho antes de llegar a Google, limpié el queso nacho seco en un puesto de comida como parte de mi turno habitual como socorrista de una piscina comunitaria. Esa pequeña experiencia laboral me ayudó a conseguir un trabajo en el dormitorio universitario de SysAdmin, que sin duda fue relevante al entrevistar para una pasantía de TI en una gran empresa farmacéutica. Obtuve una experiencia de software “real” (es decir, sin trabajo de curso) con clubes en la Universidad, y encontré una pasantía de seguridad cibernética publicada en un grupo de noticias de la escuela, lo que probablemente me dio la experiencia laboral relevante suficiente para que alguien en Google me considere para una entrevista. .
Escribir código
Los mejores ingenieros de seguridad que conozco también escriben código activamente. Esto les brinda experiencia de primera mano con el software de escritura, incluida la introducción involuntaria pero inevitable de errores de seguridad. Este último fuerza una verdadera empatía por todos los desarrolladores. Después de todo, a menudo es más difícil escribir código seguro de manera consistente que señalar código inseguro.
Si no sabe por dónde empezar en un proyecto de gran tamaño, intente corregir errores en un proyecto de código abierto. ¡Todos aman a las personas que corrigen errores! El proyecto se lo agradecerá y, por lo general, es una buena manera de obtener experiencia en el mundo real y poner su pie en la puerta para futuros trabajos.
Código de ruptura
Pase tiempo buscando errores de software. Aprenda a usar un depurador, un escáner de red, un proxy de depuración web y un difusor de software. Pasa tiempo en parques infantiles de hackers, que están disponibles para todos los niveles de habilidad. La primera vez que utilicé https://www.hackthissite.org fue cuando estaba en la universidad, y enumeré un par de sitios de capacitación de hackers autoguiados en https://infosec.rocks. También hay una buena lista de desafíos de piratería, competencias (por ejemplo, CTF) y pérdida de tiempo aquí. O encuentre e informe de errores en el software real que utiliza. Hay muchos proveedores de software que ofrecen recompensas financieras por errores de seguridad, incluidos Chrome y Google, así como algunos proyectos centrales de código abierto cubiertos por el programa Internet Bug Bounty.
Más allá de encontrar errores usted mismo, recomendaría seguir y aprender de lo que otros están encontrando (bugtraq, fulldisclosure, oss-sec).
Compartir conocimientos.
Comencé a aprender sobre la seguridad en la universidad de mis compañeros en un grupo especial interesante de ACM llamado SigMil, donde los miembros daban presentaciones sin pulir sobre temas de seguridad que les interesaban. También realizamos una peregrinación anual a DEFCON para asistir a las conversaciones (lo cual fue mucho más fácil hacer hace una década), comprar libros o revistas de seguridad, o simplemente conversar con personas de ideas afines de otras partes del mundo sobre en qué estaban trabajando. En Google, aprendí MUCHO directamente de mis compañeros compartiendo su experiencia, luchas e ideas a medias.
Compartir conocimiento es importante por algunas razones:
- Compartir conocimiento es una forma necesaria y efectiva de escalar las mejores prácticas de seguridad (o trampas para evitar) en una gran organización o proyecto.
- Casi siempre aprendo algo yo mismo al prepararme para una presentación o redactar documentación, por lo que ha sido una buena función forzada para descubrir rincones ocultos de un tema.
- Casi siempre aprendo algo de la audiencia, ya sea de preguntas, comentarios o discusiones de seguimiento.
- Pagalo despues.
Practica tu comunicación también.
Trabajar en seguridad significa que necesitará explicar regularmente problemas técnicos complejos a diferentes audiencias, cada una con diferentes vocabularios, experiencia e incentivos. Rara vez tendrá métricas universales en las que apoyarse cuando describa la gravedad de una vulnerabilidad, ni tendrá nada brillante que mostrar cuando promocione las mejores prácticas de seguridad. Tendrás que mantener a las personas tranquilas frente a FUD, pero enfocadas en la acción fuera de la crisis.
Todo esto requiere habilidades en el arte de la comunicación y, en particular, la explicación y la negociación. Es poco probable que domines este arte con recursos puramente técnicos, así que practica, publica y busca siempre mejorar.
Espere trabajar duro y algunas veces fallar.
Tal vez esto sea obvio, pero vale la pena mencionarlo explícitamente.
La seguridad es un trabajo desafiante. Tendrá que aprender constantemente cosas nuevas porque el panorama técnico que necesitará proteger está evolucionando rápidamente mucho más rápido que nuestra capacidad de desaprobar las cosas viejas, pero que están completamente aseguradas. Los actores de amenazas, que a menudo tienen tiempo y recursos de su lado, también se adaptan rápidamente a las defensas existentes.
La seguridad puede ser estresante. Se trata de problemas ambiguos, soluciones imperfectas, datos limitados y amenazas reales para la seguridad humana.
Es difícil medir el éxito con la seguridad y, en mi experiencia, es más probable que las personas noten el fracaso. Al asegurar la tecnología del mundo real, en última instancia, estamos en el negocio de la mitigación de riesgos, y no importa lo que alguien en el piso de un proveedor de RSA le diga, no hay balas de plata.
(Intenta) Sé optimista.
Este campo puede ser deprimente por algunas de las razones que acabo de describir. Puede parecer imposible mantener el ritmo de la velocidad de la innovación en tecnología y explotación. Quiero decir, las vulnerabilidades de desbordamiento del búfer han existido durante décadas, pero todavía vemos regularmente exploits de alto impacto que las aprovechan hoy (2016). Regularmente escuchará a la gente gritar que la seguridad es imposible, y está empeorando, o hará puntos completamente elocuentes sobre por qué todos fallamos.
La realidad puede ser dura, pero si nos enfocamos en lo positivo y pensamos en todo lo que la tecnología ha brindado, ¡es bastante impresionante! No es perfecto Nunca sera perfecto. Pero creo que la vanguardia de la seguridad es mucho mejor de lo que era hace 10 años, podemos hacer cosas bastante impresionantes con cierto nivel de seguridad razonable, y eso es algo que me mantiene optimista.
Pedir ayuda.
No se desanime si se encuentra con idiotas. He visto mucho chauvinismo y ego en la industria de infosec a lo largo de los años. No es raro que una conversación (en línea, en una conferencia, donde sea) se convierta rápidamente en quién es el más elitista.
Quizás esta no sea la experiencia para todos, pero he tenido éxito en gran parte debido al apoyo, el asesoramiento, la tutoría y la ayuda de muchas personas de seguridad que ahora considero amigos. El hecho de que tenga que pedir ayuda NO significa que no está preparado para este trabajo.
Si necesitas ayuda, pídela. Solo asegúrese de hacer su diligencia debida y hacer que sea lo más fácil posible para que las personas lo ayuden. La mayoría de los expertos están bastante ocupados, por lo que es mucho más probable que obtenga una respuesta útil si hace una pregunta bien definida con suficiente contexto y sin errores tipográficos.