He trabajado en y alrededor de la seguridad de la información (o simplemente “infosec”) durante la mayor parte de mi carrera en tecnología. Se destacan algunas cosas que se sienten únicas para trabajar en seguridad frente a otras partes de la ingeniería o tecnología de software:
Los problemas nunca terminan
Infosec es un juego constante de “ponerse al día”. Ya sea que sea un investigador de seguridad que desarrolle inteligencia de amenazas para alimentar sistemas IDS / IPS o alguien que intente tapar agujeros en un área como la seguridad de aplicaciones, está en una búsqueda aparentemente interminable para encontrar y resolver problemas difíciles relacionados con el funcionamiento de los sistemas .
- Un colega está en el proceso de iniciar una empresa de seguridad cibernética con énfasis en escaneos y soluciones de seguridad de aplicaciones. Todo lo que tiene es $ 3,500 y una bolsa llena de ideas. ¿Cómo aconsejarán los coroanos que recaude más capital sin un banco?
- ¿Cuál es la mejor hoja de ruta paso a paso para conseguir un trabajo en seguridad informática?
- Cómo proteger mi computadora usando software libre
- ¿Hay administradores de contraseñas que admitan el acceso basado en roles y el registro de acceso?
- ¿Cómo infecta el virus del caballo de Troya a una computadora?
Por un lado, esto puede ser extremadamente gratificante. Si eres el tipo de ingeniero que se aburre trabajando en lo mismo una y otra vez, ser un investigador de infosec puede ser una maravilla. Incluso si se especializa en un área determinada, como la investigación de malware o la seguridad de las aplicaciones, se verá constantemente obligado a descubrir y / o adaptarse a nuevos problemas de forma regular. Raramente se verá obligado a trabajar en el mismo problema en particular durante mucho tiempo.
¡40 vulnerabilidades críticas de Flash descubiertas! ¡Solo quedan 6,382,425 más!
Por otro lado, si no está interesado en la seguridad por el bien de la seguridad, esto puede envejecer muy rápidamente. Trabajar en seguridad significa que nunca estás realmente “hecho”; Siempre hay otra condición de raza para diseccionar, otra vulnerabilidad para evaluar y otra vulnerabilidad para detectar y defenderse. Realmente tienes que estar en él porque lo amas, posiblemente más que otros campos de alta tecnología.
La mayoría del día a día de infosec no es súper emocionante
La gente generalmente no invierte proactivamente en seguridad. La mayoría de las organizaciones que compran productos y servicios de seguridad lo hacen porque las leyes regulatorias o los estándares de cumplimiento los obligan, algo que en la industria simplemente llamamos “cumplimiento”.
El cumplimiento es una parte crítica e importante de la seguridad. Pero establecer, mantener y probar el cumplimiento de regulaciones como PCI-DSS no es exactamente como esa infame escena de piratería en la película Swordfish . El día a día de la mayoría de las personas de Infosec implica la construcción de sistemas para garantizar el cumplimiento de estas regulaciones, la verificación del cumplimiento o la solución de problemas que podrían hacer que las organizaciones que protegen no cumplan.
La expresión de Hugh aquí es realmente su emoción al tener que escribir una respuesta de 50 páginas a preguntas sobre si la solución de registro de su empresa cumple o no con una serie de CIP NERC actualizados.
Hacer cosas de cumplimiento es uno de los muchos ejemplos de tareas críticas pero no emocionantes con las que trabajará si trabaja en infosec. Al igual que ser un piloto de combate implica mucho papeleo y matemáticas, no todo en infosec se trata de atacar a los piratas informáticos o responder a los ataques cibernéticos. De hecho, si esas cosas están sucediendo, algo suele estar muy mal.
Generalmente no eres la estrella del espectáculo
Como discutimos en la respuesta anterior, los productos y servicios de infosec generalmente se ven como una forma de seguro para ayudar a mitigar el riesgo. También hay consecuencias culturales: cuando las empresas compran dichos productos o servicios, rara vez lo ven como “sexy” como otros tipos de tecnología, y ha habido un hábito de larga data dentro de TI de tratar a los administradores de sistemas de seguridad y otro personal de Infosec como una especie de ” desafortunada necesidad “en lugar del personal críticamente importante que son.
Además, no es el área más fácil de explicar de alta tecnología, y las cosas en las que trabajarás son rutinariamente tan arcanas o “detrás de escena” que la mayoría de las personas (incluso los ingenieros) realmente no entenderán o empatizarán con lo que haces en día a día.
Puede trabajar en eventos de alto perfil, pero rara vez sabrá lo que está sucediendo.
La seguridad de la información se ha convertido en un tema geopolítico muy serio, y los principales ataques cibernéticos se han convertido en asuntos de seguridad nacional que pueden generar mucha prensa y bullicio político si las cosas se ponen realmente serias.
Tengo el placer de trabajar en un grupo de investigación de investigadores estelares de infosec. Ocasionalmente, como consecuencia de su genialidad, tendré la oportunidad de ver cosas sobre los principales ataques cibernéticos, ya sea antes de que hagan prensa o mientras suceden. Es extremadamente emocionante si ocurre este tipo de situaciones, pero rara vez tendrá una idea completa de lo que está sucediendo.
Un gran ejemplo de esto es cuando personas como el FBI o el DHS lo contactan en relación con un gran ataque patrocinado por el estado / de alto perfil. El FBI en particular emite informes conocidos como Alertas FLASH que proliferan inicialmente a grupos de investigación de seguridad y luego a otros objetivos potenciales y al público en general.
Ejemplo de alerta FLASH del FBI . Documentos como estos contienen información técnica elemental sobre amenazas, que los investigadores y los profesionales de seguridad utilizan para explorar esas amenazas y construir defensas contra ellas.
Las alertas de FLASH generalmente brindan un poco de información sobre por qué el FBI está enviando estos datos y la naturaleza del ataque. En ausencia de otra información confidencial, esto por sí solo no es suficiente para determinar la naturaleza del ataque inicial. Pero cuando esto se elimina días antes de que la prensa comience a lanzarse con mucho clamor sobre un hack importante, es bastante fácil juntar dos y dos para descubrir qué está sucediendo.
Descubrir que está investigando información sobre una importante violación de datos en todo CNN es bastante emocionante. Pero al igual que al trabajar en otras áreas de defensa, rara vez puedes hablar sobre lo que estás haciendo hasta mucho después de que esa emoción haya terminado, o incluso posiblemente nunca.
Puede ser espeluznante o incluso un poco peligroso.
Mi equipo y yo hemos estado trabajando en algo llamado Open Threat Exchange (u OTX : http://otx.alienvault.com) la mayor parte del año pasado. En pocas palabras, OTX es una gran plataforma de análisis para usar información disponible públicamente para investigar posibles amenazas. Tiene una gran cantidad de datos y, gracias a una poderosa inteligencia artificial y aprendizaje automático, puede usar OTX para descubrir algunas cosas bastante salvajes para la atribución de ataques: la práctica de descubrir quién pudo haber realizado un ataque cibernético.
Cuando estábamos desarrollando OTX, lo apuntamos rutinariamente a investigar los detalles elementales detrás de los principales ataques cibernéticos contemporáneos. Cuando se lanzó una violación importante de datos dirigida a los sistemas del gobierno de EE. UU. El año pasado, utilizamos la información que se publicitó detrás de esa violación y la pasamos por OTX.
El resultado fue bastante loco: a partir del malware y los servidores de comando y control utilizados, sabíamos que probablemente era una cierta agencia militar extranjera quien realizó el ataque. Cuando nuestro investigador jefe envió los resultados a nuestro equipo, algunos de nosotros nos sentimos muy incómodos al darnos cuenta de que habíamos desenmascarado a las personas que tenían los medios (y potencialmente motivos) para matarnos para mantenernos callados.
Ahora, afortunadamente, los federales habían descubierto esto un poco antes que nosotros, por lo que realmente no nos dejamos llevar por toda esa debacle. Pero si está haciendo una investigación de seguridad de alto nivel hoy en día, es probable que trabaje con información relacionada con actividades criminales importantes o ciberespionaje militar / patrocinado por el estado.
Dependiendo de lo que estés trabajando, esto puede ser un poco peligroso. Y hay algunas personas en el mundo de Infosec que emplean habitualmente medidas de seguridad salvajes como tener guardaespaldas porque la información con la que trabajan es tan sensible que alguien está dispuesto a lastimarlos a ellos o a su familia para comprometer su trabajo.
Es muy divertido
Dicho todo esto, trabajar en seguridad es una maravilla. Si realmente te gusta la seguridad de la información y la piratería, es un momento fantástico para seguir una carrera en este sector.
La continua aceptación de la tecnología y la democratización de la informática han permitido que más personas que nunca accedan a la web. Pero esto también ha atraído una gran cantidad de delitos cibernéticos, y con décadas de deudas tecnológicas cargadas de tecnología de uso común como OpenSSL, hay mucho trabajo por hacer para asegurar Internet y tapar agujeros en aplicaciones e infraestructuras para proteger a los usuarios de cada uno.
Infosec es una industria exigente, a veces arcana, y con frecuencia salvaje. Pero también es uno que necesita personas más motivadas y dedicadas para retomar el comercio. Hay mucho terreno por defender y necesitamos muchos más soldados para esta guerra.