Sie möchten also im Sicherheitsbereich arbeiten?

Hin und wieder erhalte ich eine E-Mail von einem eifrigen Fremden, in der ich um Rat gefragt werde, wie man eine Karriere im Bereich Sicherheit (Computer, Information, Cyber ​​... was auch immer) machen kann. Das ist toll! Wir brauchen leidenschaftlichere, kreativere und fleißigere Menschen, die daran arbeiten wollen, die Nutzung von Technologie sicherer zu machen. Es stellt sich auch als eine ziemlich finanziell stabile Art heraus, seinen Lebensunterhalt zu verdienen.

Es gibt viele andere Beiträge zu diesem Thema ¹, aber ich werde einige hochrangige Gedanken anbieten, die aus meiner eigenen Erfahrung stammen.

WARNUNG: Es ist nicht wie im Kino.

In der Sicherheit zu arbeiten ist nicht so, wie es in Hollywood dargestellt wird. Ich LIEBE es, von Hackern inspirierte Filme und Shows für die Fantasie und Flucht zu sehen, aber die tägliche Arbeit ist (meiner Erfahrung nach) nicht so schnell und sexy, wie sie auf dem Bildschirm aussieht.

Das gilt für die meisten Berufe, und selbst wenn ich noch nie einen Tag damit verbracht habe , Streaming-Code in einem unterirdischen Versteck zu entschlüsseln, denke ich, dass es ein aufregendes, wichtiges, herausforderndes und lohnendes Arbeitsfeld ist.

Es gibt keinen Standard- oder perfekten Lehrplan.

Sicherheit ist ein breites, interdisziplinäres Anwendungsfeld. Es gibt Bedürfnisse für Leute, die sichere Systeme entwerfen und bauen, Leute, die versuchen, Systeme zu brechen, Leute, die versuchen, Einbrüche zu erkennen, und viele Dinge dazwischen. Wenn ich etwas gelernt habe, habe ich gelernt, dass es keinen einzigen, Standard- oder besten Vorbereitungspfad gibt. Vielleicht ändert sich dies, wenn das Feld reift, aber ich bezweifle es. Es ist auch nicht wie in anderen Berufsfeldern, die eine Akkreditierung erfordern (z. B. Medizin, Recht), was sowohl befreiend als auch einschüchternd sein kann.

Unabhängig davon, wie Sie es erwerben, profitieren Sie von einem umfassenden Verständnis der angewandten Informatik oder der Funktionsweise von Computern und Software. In der angewandten Informatik geht es hauptsächlich darum, Probleme mit Abstraktionsebenen zu lösen, und bei Sicherheit geht es häufig darum, die fehlerhaften Annahmen in diesen Abstraktionen zu finden und dann herauszufinden, wie sie am besten behoben (oder ausgenutzt) werden können.

Ich habe dazu ein Ingenieurstudium in Informatik an einer öffentlichen Universität abgeschlossen. Einige der für mich nützlicheren Themen waren Betriebssysteme, Netzwerke, Computerarchitektur und Compiler. Darüber hinaus habe ich nur technische Kurse besucht, die ich interessant fand (z. B. digitale Signalverarbeitung, biomedizinische Technik, künstliche Intelligenz) und Sicherheitsthemen in den Bereichen Networking, Technologien zur Verbesserung der Privatsphäre und (Web-, Client-) Anwendungssicherheit durch Projektarbeit in Studentenclubs und Praktika untersucht .

Sie profitieren auch davon, zu verstehen, wie Menschen (Benutzer, Kunden, was auch immer), die Technologie verwenden, funktionieren. Wenn ich in meine Zeit zurückkehren könnte, in der ich mich mehr um die Pflege, die Verpflichtung und die Universität kümmere, würde ich Kurse in Psychologie, Soziologie und menschlichen Faktoren belegen.

Ich arbeite mit Experten zusammen, die einen ähnlich traditionellen akademischen Hintergrund haben (z. B. Abschlüsse in Computertechnik, Informatik, Mathematik usw.). Ich kenne auch viele Leute mit weniger typischen Hintergründen (z. B. Chemie, Filmwissenschaft, Psychologie, Grafikdesign) und einige Leute, die die Schule vor Abschluss des Studiums abgebrochen haben.

Zum Thema Sicherheitszertifizierungen habe ich keine und ich glaube nicht, dass ich deswegen zurückgehalten wurde. Es ist möglich, dass einige Branchen oder Länder sie für Infosec-Profis benötigen, und sie sind sicherlich eine Sache, die einige vernünftige Leute verfolgt haben - Vorbehalt!

Kulturell würde ich empfehlen, das Hacker-Manifest oder How to Become a Hacker zu lesen, das vielen Sicherheitsexperten sowohl als Inspiration als auch als moralischer Kompass dient. Auch wenn Sie sich nicht mit einem Hacker vergleichen, ist es hilfreich, die Denkweise einiger Leute zu verstehen, mit denen Sie zusammenarbeiten.

Darüber hinaus habe ich das meiste, was ich weiß, im Laufe der Zeit in Anekdoten und Nuggets von Freunden und Kollegen, Sicherheitsblogs, Konferenzpapieren und Präsentationen, Mailinglisten, lokalen Sicherheitsgruppen und anderen Online-Ressourcen gelernt. Viele der Dinge, von denen ich heute höre oder die ich einnehme, stammen von Leuten auf meiner Twitter-Sicherheitsliste.

Hör auf zu lesen, fang an zu tun.

Dies gilt für jede berufliche Laufbahn, aber Sie können so schnell wie möglich praktische Erfahrungen sammeln. Dies ist der beste Weg, um Ihre Interessen, Stärken und Bereiche der zukünftigen Entwicklung einzugrenzen. Sie werden auch besser verstehen, woraus ein normaler Arbeitstag und eine normale Arbeitsumgebung bestehen, einschließlich dessen, was Sie mögen und was nicht. Eine der wertvollsten karrierebezogenen Erfahrungen meines Lebens war ein Praktikum, das ich hasste, da es mich stark in eine andere Richtung gelenkt hat :)

Ich habe keine einfache Antwort darauf, wie ich anfangen kann, Erfahrungen zu sammeln. Schauen Sie sich Karrieremessen und Konferenzen an, engagieren Sie sich in Clubs oder anderen Organisationen, bewerben Sie sich mit mutiger Begeisterung für Praktika und Teilzeitjobs. Lange bevor ich zu Google kam, räumte ich getrockneten Nachokäse an einem Konzessionsstand im Rahmen meiner regulären Schicht als Rettungsschwimmer für Gemeinschaftspools auf. Diese kleine Berufserfahrung hat mir geholfen, einen SysAdmin-Job im Studentenwohnheim zu bekommen, was zweifellos für ein Vorstellungsgespräch für ein IT-Praktikum bei einem großen Pharmaunternehmen relevant war. Ich habe einige „echte“ (dh nicht kursbezogene) Software-Erfahrungen mit Clubs an der Universität gesammelt und in einer Schul-Newsgroup ein Praktikum im Bereich Cybersicherheit gefunden, das mir wahrscheinlich gerade genug relevante Berufserfahrung gab, damit mich jemand bei Google für ein Vorstellungsgespräch in Betracht ziehen konnte .

Code schreiben.

Die besten Sicherheitsingenieure, die ich kenne, schreiben auch aktiv Code. Dies gibt ihnen Erfahrung aus erster Hand mit dem Schreiben von Software, einschließlich der unbeabsichtigten und dennoch unvermeidlichen Einführung von Sicherheitslücken. Letzteres erzwingt ein echtes Einfühlungsvermögen für alle Entwickler. Schließlich ist es oft schwieriger, sicheren Code konsistent zu schreiben, als auf unsicheren Code hinzuweisen.

Wenn Sie nicht wissen, wo Sie mit einem Projekt von erheblicher Größe beginnen sollen, versuchen Sie, Fehler in einem Open Source-Projekt zu beheben. Jeder liebt Menschen, die Fehler beheben! Das Projekt wird es Ihnen danken und es ist in der Regel eine gute Möglichkeit, praktische Erfahrungen zu sammeln und Ihren Fuß in die Tür für zukünftige Arbeiten zu bekommen.

Code brechen.

Verbringen Sie Zeit damit, Softwarefehler zu finden. Erfahren Sie, wie Sie einen Debugger, einen Netzwerkscanner, einen Web-Debugging-Proxy und einen Software-Fuzzer verwenden. Verbringen Sie Zeit auf Hacker-Spielplätzen, die für alle Schwierigkeitsgrade verfügbar sind. Ich habe //www.hackthissite.org zum ersten Mal verwendet, als ich am College war, und unter //infosec.rocks einige andere selbstgeführte Hacker-Schulungsseiten aufgelistet. Es gibt auch eine gute Liste von Hacking-Herausforderungen, Wettbewerben (z. B. CTFs) und Zeitverschwendern. Oder suchen und melden Sie Fehler in der von Ihnen verwendeten Software. Es gibt viele Softwareanbieter, die finanzielle Belohnungen für Sicherheitslücken anbieten, darunter Chrome und Google, sowie einige Open-Source-Kernprojekte, die vom Internet Bug Bounty-Programm abgedeckt werden.

Abgesehen davon, dass Sie selbst Fehler finden, würde ich empfehlen, mitzumachen und daraus zu lernen, was andere finden (Bugtraq, vollständige Offenlegung, Oss-Sek.).

Wissen teilen.

Ich habe bereits im College von Kollegen in einer speziellen ACM-Gruppe namens SigMil etwas über Sicherheit gelernt, in der Mitglieder unpolierte Präsentationen zu Sicherheitsthemen abhielten, an denen sie interessiert waren. Wir pilgerten auch jährlich nach DEFCON, um an Vorträgen teilzunehmen (was viel einfacher war) vor einem Jahrzehnt), Sicherheitsbücher oder -magazine kaufen oder einfach mit Gleichgesinnten aus anderen Teilen der Welt darüber plaudern, woran sie gearbeitet haben. Bei Google habe ich SO VIEL direkt von meinen Kollegen gelernt, die ihre Fachkenntnisse, Kämpfe und halbherzigen Ideen teilen.

Der Austausch von Wissen ist aus mehreren Gründen wichtig:

  1. Der Austausch von Wissen ist eine notwendige und effektive Methode, um die besten Sicherheitspraktiken (oder zu vermeidenden Fallstricke) in einem großen Unternehmen oder Projekt zu skalieren.
  2. Ich lerne fast immer selbst etwas, wenn ich mich auf eine Präsentation vorbereite oder eine Dokumentation schreibe. Daher war es für mich eine gute Funktion, verborgene Ecken eines Themas aufzudecken.
  3. Ich lerne fast immer etwas vom Publikum, entweder aus Fragen, Kommentaren oder anschließenden Diskussionen.
  4. Im Voraus bezahlen.

Übe auch deine Kommunikation.

Wenn Sie im Sicherheitsbereich arbeiten, müssen Sie regelmäßig komplexe technische Probleme verschiedenen Zielgruppen mit unterschiedlichen Vokabeln, Fachkenntnissen und Anreizen erklären. Sie haben selten universelle Metriken, auf die Sie sich stützen können, wenn Sie den Schweregrad einer Sicherheitsanfälligkeit beschreiben, und Sie haben auch nichts Glänzendes, das Sie bei der Förderung der besten Sicherheitspraktiken zur Schau stellen können. Sie müssen die Menschen angesichts der FUD unaufgeregt halten und sich dennoch auf Maßnahmen außerhalb der Krise konzentrieren.

All dies erfordert Fähigkeiten in der Kunst der Kommunikation, insbesondere in der Erklärung und Verhandlung. Es ist unwahrscheinlich, dass Sie diese Kunst aus rein technischen Quellen beherrschen. Üben, veröffentlichen und versuchen Sie für immer, sich zu verbessern.

Erwarten Sie, hart zu arbeiten und manchmal zu scheitern.

Vielleicht ist das offensichtlich, aber es lohnt sich, ausdrücklich darauf hingewiesen zu werden.

Sicherheit ist eine herausfordernde Arbeit. Sie müssen ständig neue Dinge lernen, da sich die technische Landschaft, die Sie sichern müssen, schnell entwickelt, viel schneller als unsere Fähigkeit, die alten, noch nicht vollständig gesicherten Dinge zu verwerfen. Die Bedrohungsakteure, die oft Zeit und Ressourcen auf ihrer Seite haben, passen sich auch schnell an bestehende Abwehrmechanismen an.

Sicherheit kann stressig sein. Sie haben es mit mehrdeutigen Problemen, unvollständigen Lösungen, begrenzten Daten und echten Bedrohungen für die menschliche Sicherheit zu tun.

Es ist schwer, Erfolg mit Sicherheit zu messen, und meiner Erfahrung nach ist es wahrscheinlicher, dass Menschen Fehler bemerken. Bei der Sicherung der realen Technologie befassen wir uns letztendlich mit der Risikominderung, und unabhängig davon, was Ihnen jemand von einem RSA-Anbieter sagt, gibt es keine Silberkugeln.

Seien Sie optimistisch.

Dieses Feld kann aus einigen der gerade beschriebenen Gründe deprimierend sein. Es kann unmöglich erscheinen, mit der Geschwindigkeit der Innovation in Bezug auf Technologie und Nutzung Schritt zu halten. Ich meine, Pufferüberlauf-Schwachstellen gibt es schon seit Jahrzehnten, aber wir sehen heute (2016) immer noch regelmäßig hochwirksame Exploits, die sie nutzen. Sie werden regelmäßig Leute schreien hören, Sicherheit ist unmöglich, und es wird schlimmer, oder Sie werden völlig beredte Punkte darüber machen, warum wir alle versagen.

Die Realität kann hart sein, aber wenn wir uns auf das Positive konzentrieren und an all die Dinge denken, die die Technologie geleistet hat, ist das ziemlich beeindruckend! Es ist nicht perfekt. Es wird niemals perfekt sein. Aber ich denke, der neueste Stand der Sicherheit ist viel besser als vor 10 Jahren. Wir können einige ziemlich beeindruckende Dinge mit einem angemessenen Maß an Sicherheit tun, und das ist etwas, das mich optimistisch hält.

Bitten Sie um Hilfe.

Lassen Sie sich nicht entmutigen, wenn Sie auf Idioten stoßen. Ich habe im Laufe der Jahre viel Chauvinismus und Ego in der Infosec-Industrie gesehen. Es ist nicht ungewöhnlich, dass aus einem Gespräch (online, auf einer Konferenz, wo auch immer) schnell wird, wer die Elite ist.

Vielleicht ist dies nicht jedermanns Sache, aber ich war zum großen Teil dank der Unterstützung, Beratung, Betreuung und Hilfe vieler großartiger Sicherheitsleute, die ich jetzt als Freunde betrachte, erfolgreich. Nur weil Sie um Hilfe bitten müssen, heißt das NICHT, dass Sie für diese Arbeit nicht geeignet sind.

Wenn Sie Hilfe benötigen, fragen Sie danach. Stellen Sie einfach sicher, dass Sie Ihre Due Diligence durchführen und es den Menschen so einfach wie möglich machen, Ihnen zu helfen. Die meisten Experten sind ziemlich beschäftigt, daher ist es viel wahrscheinlicher, dass Sie eine nützliche Antwort erhalten, wenn Sie eine gut definierte Frage mit ausreichendem Kontext und ohne Tippfehler stellen.

Viel Glück und viel Spaß beim Hacken!

[1] Einige andere Gedanken zur Sicherheitskarriere, auf die ich gestoßen bin:

  • Thomas Ptacek, Charlie Miller, Jeremiah Grossman, Richard Bejtlich und Bruce Schneier teilen ihre Gedanken unter //krebsonsecurity.com/tag/security-career-advice/
  • Chris Palmer, mein Freund und Chrome-Kollege, gibt in //noncombatant.org/2016/06/20/get-into-security-engineering solide Ratschläge
  • Michal Zalewski (alias lcamtuf) teilte 4 einfache Lektionen basierend auf seiner 20-jährigen (großartigen und oft bahnbrechenden) Arbeit im Bereich Sicherheit: //lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in- security-but-are.html