我在多种平台/技术/协议上使用各种编程语言已经做了十多年的编程。
我正在考虑改变自己的职业生涯并成为安全领域的专家。我该如何开始?我将不胜感激任何有助于我获得安全领域知识的教程,书籍和博客。
我想专注于无线安全域。
答案 0 :(得分:13)
安全专业知识有很多领域,因此它在很大程度上取决于您希望自己的职业发展方向。在位和字节端有渗透测试和“安全研究”(通常与实际研究一样多的“编程错误编目”)。在更具战略性的一端,存在“风险管理”,其通常将大部分时间花在非技术考虑因素上,如适当的预算,教育和响应。
Blah,等等,等等,但是你怎么开始吧?也许关于“大局”安全主题的最佳作家是Bruce Schneier。他是一名密码学家,但他专注于安全心理学,社会攻击以及如何真正考虑安全性等问题。 Crypto-Gram是如何在这个空间中正确思考的必读书。在位和字节区域,您可能想要弄清楚您最感兴趣的区域(Windows,无线,网络,物理,iPhone,列表一直在继续)。但是,如果我不得不挑选一篇论文,我会从Smashing The Stack For Fun And Profit开始。这些年后,它仍然是对一类关键攻击以及技术攻击如何发挥作用的最佳介绍。如果这些攻击真的让你感兴趣,那么我最喜欢的关于这个主题的书就是Shellcoder's Handbook。它的攻击很老;他们中的许多人甚至不再工作了。但它们是今天仍有多少次攻击的基础。
如果您想将“价值链”提升为“以业务为中心的安全性”(并学习使用不带引号的短语),您应该开始使用CISSP。人们可以辩论,直到他们看到CISSP是否真的意味着任何东西。答案是:它意味着在CISSP成为要求时获得工作。我对CISSP的感受?任何真正的安全专业人员都应该能够通过它。因此,对于您是否是真正的安全专业人员来说,它是一个很好的基线认证,这就是它的意图。它教授在安全领域长大的常用术语,并学习术语是一个专业人士的一部分(就像从法律到工程的任何其他职业)。 CISSP非常广泛,即使您没有参加考试,也可以通过学习来更好地了解您感兴趣的领域。 CISSP上有大量书籍; All-in-One没问题。阅读本书并不会使您成为安全专家,但它会向您介绍安全专业人员所知道的内容。
我的背景是风险评估。多年来,我前往公司,评估他们的环境,并告诉他们要修复什么,以保护他们最敏感的信息。可能我最有用的培训是IAM(NSA的Infosec评估方法)。它现在正在改进新的ISAM。它侧重于弄清楚基础设施的哪些部分实际上很重要,然后保护它们。我使用的最重要的安全工具:Powerpoint,制作漂亮的幻灯片,让客户清楚了解他们需要理解和实施的内容。和一套体面的西装。理解这些东西是一回事。你需要非常强大的技术技能;那是给定的。但实际上,差异需要很多人的技能,演示技巧,项目管理和跟进。这就是'l33t与专业人士的区别。
答案 1 :(得分:6)
黑客不学习,他们玩。
同样的答案以不同的方式适用。除非你玩得开心,否则你不能成为专家。尝试制作一个基本安全的简单网站。然后尝试破解它。试图破解网站会比任何一本书都更多地教你安全。
答案 2 :(得分:3)
如果您想获得计算机安全领域的知识,首先必须决定您对该领域的关注,因为计算机安全性是一个具有多种可能性的大型领域。一些潜在的领域包括:
并且可能还有很多其他人,我不会想到我的头脑。当然,有一些共同的主题涵盖所有这些领域(AKA,基础知识),但如果您对自己最感兴趣的内容有所了解,它将有助于缩小您的搜索范围。
从那时起,我建议您点击当地的图书馆或书店。开始仔细阅读书籍,看看哪些书籍从一个基本的水平开始并从那里扩展。上网并开始搜索。有一些很好的网站有很多好information about security,并提供了很好的跳跃点以获取更多信息。
至于“黑客”一词 - 这些日子并不是你想要贴上标签的东西。虽然计算社区有不同的术语,但整个世界都将黑客视为犯罪活动。
我希望有所帮助。
答案 3 :(得分:2)
建议之前的一些背景知识。
我始终将真正的安全工作组织到应用程序安全性和网络安全性中。如果您想设置防火墙并运行nmap,请测试无线安装,解析日志并执行更多系统管理,以获得网络安全性。如果您喜欢发现错误进入应用程序安全性。我们基本上是多付的QA,您将花费时间在应用程序中查找安全问题。目前,大多数应用程序安全工作都是Web应用程序。
至于角色,您可以在公司的安全团队中工作,或者作为顾问。
首先,我想说你想成为一名无线安全家伙,因为这是一个狭隘的焦点。如果您想进行无线安全工作,您将获得最大的运气作为顾问,您的大部分时间都将安全地为公司安装无线或快速评估其现有的无线设置。
如果您有编程背景,我建议您考虑应用程序安全性,您可以巧妙地破解内容而不是构建它。 google,phrack,owasp和我们行业的圣经“软件安全艺术”。如果您阅读该书,您可能同意将安全知识评估作为琐事的集合,在每次安全评估中,您都会查看您的琐事并尝试找出打破您所看到的内容的方法。
你的第一步确实应该是建立一个网站服务器和易受攻击的网站并尝试打入它,尝试xss,尝试sql注入,用nmap扫描它,看看哪些端口是打开的。查看webgoat项目,这是一个故意有缺陷的软件集合,仅用于此目的。
答案 4 :(得分:1)
我做了这个过渡。
顺便说一下,我认为安全专家太宽了。你需要专注于某些领域。如果这是Web应用程序安全性 - 开始阅读行业专家的网站/博客: (例如http://jeremiahgrossman.blogspot.com/)
阅读OWASP十大漏洞并确保您了解它们的工作原理(例如,某人如何使用/利用CSRF)
准备并获得行业认证(例如CISSP)
学习,学习,学习!
答案 5 :(得分:1)
虽然给出了有效的答案并且非常详细,但我想补充说“最大的风险来自内部”是一项规范的范式。首先,研究加密开始 - Java源代码中记录了大量的先前工作。我对此事的想法是希望任何能够完成工作的人(信息安全)与已知的加密同时研究会计控制 - 你可以做的所有研究都围绕访问控制和跟踪记录...如果最大的风险来自内部那么当大多数网络流量包含游戏时,你如何防御呢?呃,操作领域的难度很大,大多数用户不想知道机器是如何工作的。
您必须意识到浏览器会将消费级操作系统暴露给流量。考虑实际上是什么流量。一个例子就是在最近几年(一个权威机构)(谁应该知道更好)(有合法权限)指示我们的商店在一张纸上转发所有用于认证的名称,并在该纸上提供相关信息。商店的控制器在没有任何加密培训的情况下即使是远程也是如此。
Wyatt Barnett的评论虽然引起了不受欢迎的观察者的注意,但仍有关键领域的观点,而ipv4的废话显示了Wyatt's snarkle的价值和价值。键盘上的许多用户Izatwits太暴行了,他们每天晚上都会在电视上看到“犯罪心理”。在这种情况下,安全剧院成为一个威胁剧院更适合Troma电影,而不是正确构建的会计控制,适用于某个人可以在网址末端添加%20的区域 - 大多数用户无法掌握该问题,让像盐或IV矢量一样的东西。
成为某人的典当太容易了,对于任何做这项工作的人来说,这是一个众所周知的预期专业领域。你可以在那里捍卫雇主的宝贵财产。在这样做的过程中,你会对你要保护的机器的权威感到沮丧,因为你不知道很多基本的规则和做法。当大多数安全(信息安全)案件进入有争议的审查中心时,这很困难,因为这些人几乎没有接受任何培训,或者(更有可能)使用他们自己无法自行编写的软件。
对于无线,我会研究已经建立的工程。我看了一下我买的路由器 - 如果正确安装和维护就足够了。要了解它是如何工作的,它只是对加密和基本网络的简单研究。会有大量的学习资料。
答案 6 :(得分:0)
要想一个简单有趣的入门方式(并不断学习),请听听史蒂夫·吉布森在您上下班的Security Now!播客。
要从安全角度开始思考,请阅读Bruce Schneier。虽然他的最新着作(Schneier on Security)并没有过于技术性,但它让你处于正确的心态。
杰森的回答非常好;专业化很重要。 Computer Forensics是另一个大区域。