如何成爲安全領域的專家？

Question

我一直在使用多種平臺/技術/協議上的各種編程語言進行編程超過10年。

我正在考慮切換我的職業生涯，成爲安全領域的專家。我如何開始？我希望能夠幫助我獲得安全領域知識的任何教程，書籍和博客。

我想專注於無線安全領域。

Answer 1

安全專業知識有很多領域，所以它很大程度上取決於您希望職業道路的樣子。在比特和字節端有滲透測試和「安全研究」（通常與實際研究一樣「編程錯誤的編目」）。在更具戰略意義的一端有「風險管理」，往往大部分時間用於非技術考慮，如適當的預算，教育和應對。

Blah，blah，blah，但你怎麼開始的，對吧？也許關於這個主題「全景」安全的最佳作家是Bruce Schneier。他是一名密碼學家，但他專注於安全心理學，社交攻擊以及如何真正思考安全問題。 Crypto-Gram是如何在這個空間中正確思考的必讀書。在字節和字節區域，你可能想弄清楚你最想要挖掘哪些領域（Windows，無線，網絡，物理，iPhone，列表等等）。不過，如果我不得不選擇一張紙，我會從Smashing The Stack For Fun And Profit開始。它幾年後仍然是關鍵攻擊類型的最佳介紹，以及技術攻擊通常如何工作。如果這些攻擊是真正令你感興趣的，我最喜歡的書是Shellcoder's Handbook。它的攻擊是古老的;他們中的許多人甚至不會按原樣工作。但他們是今天仍然進行多少次攻擊的基礎。

如果要將「價值鏈」升級爲「以業務爲中心的安全性」（並學習使用不帶引號的短語），則應開始工作CISSP。人們可以辯論，直到他們面對CISSP實際上是否意味着任何事情時的藍色。答案是：這意味着當CISSP是一項要求時就可以得到這份工作。我對CISSP的感受？任何真正的安全專家都應該能夠通過它。因此，這是一個很好的基線認證是否你是一個真正的安全專業人士，這就是它的意思）它教導了在安全領域已經成長起來的通用術語，並且學習術語是成爲專業（就像從法律到工程的其他專業一樣）。 CISSP非常廣泛，即使你從未參加過測試，對它進行研究也會讓你更好地瞭解哪些領域對你感興趣。 CISSP上有大量的書籍， All-in-One很好。閱讀這本書不會讓你成爲安全專家，但它會向你介紹安全專業人員所知道的。

我的背景是風險評估。多年來，我前往公司，評估他們的環境，並告訴他們爲了保護他們最敏感的信息需要解決的問題。可能最有用的培訓是IAM（美國國家安全局的Infosec評估方法）。現在正在修改新的ISAM。它側重於弄清哪些基礎設施實際上很重要，然後保護這些基礎設施。我使用的最重要的安全工具：Powerpoint，製作漂亮的幻燈片，向客戶明確他們需要理解和實施的內容。和一個體面的西裝。理解這個東西是一回事。你需要非常強大的技術能力;這是一個給定的。但實際上的區別需要很多人的技能，演示技巧，項目管理和跟進。這就是將'l33t與專業人士分開的原因。

Answer 2

黑客不學習，他們玩。

相同的答案適用於不同的方式。除非你有樂趣，否則你不能成爲專家。嘗試製作一個基本安全的簡單網站。然後嘗試破解它。試圖攻擊一個網站將教你更多關於安全性的書籍。

Answer 3

如果你想獲得計算機安全領域的知識，首先必須確定你在該領域的重點，因爲計算機安全是一個有很多可能性的大領域。一些潛在的領域包括：

• 軟件開發安全
• 計算架構
• 無線安全
• 信息技術安全（一天到一天的安全性）

，並有可能許多其他人，我不會把我的頭頂。當然，有一些共同的主題涵蓋了所有這些領域（AKA，基礎知識），但是如果您對自己最感興趣的內容有所瞭解，這將有助於縮小搜索範圍。

從這一點，我會建議打你的本地圖書館或書店。開始仔細閱讀書籍，看看哪些書籍從基本水平開始並從那裏擴展。上網並開始搜索。有一些優秀的網站有很多很好的information about security，並提供了更多信息的良好起點。

至於術語「黑客」 - 這不是你真正想要標記的東西。儘管計算社區有不同的術語，但整個世界都認爲黑客是犯罪活動。

我希望有幫助。

Answer 4

我已經做了這個過渡。

順便說一句，安全專家在我看來太寬了。你需要專注於某些領域。

如果這是Web應用安全 - 開始閱讀網站/行業專家博客： （如http://jeremiahgrossman.blogspot.com/）

閱讀OWASP十大安全漏洞，並確保您瞭解它們是如何工作（比如一個人怎麼能使用/利用CSRF）

準備，並得到行業認證（比如CISSP）

學習，學習，學習！

Answer 5

想要一個簡單有趣的上手方法（並不斷學習），請聽史蒂夫吉布森的Security Now! podcast在您的通勤。

要從安全角度開始思考，請閱讀Bruce Schneier。儘管他的最新着作（Schneier on Security）並不過分技術化，但它使你處於正確的思維模式。

傑森的回答非常好;專業化很重要。 Computer Forensics是另一大片區域。

Answer 6

雖然給出了有效的答案，但更加詳細，我想補充一點，「最大的風險來自內部」是工作中的典範範式。首先，研究加密技術以開始 - Java源代碼中記錄了大量先前的工作。我現在對此事的看法是希望任何會做這項工作的人（infosec）與已知的加密算法並行研究會計控制 - 您所能做的所有研究都圍繞訪問控制和跟蹤記錄進行......如果最大風險來自內部那麼當大多數網絡流量由遊戲和呃難以從大多數用戶不知道機器如何工作的操作舞臺衍生出來時，你如何抵禦這一點。

您必須認識到瀏覽器會將消費級操作系統暴露給流量。考慮實際是什麼流量。一個例子就是在過去幾年（一個權威人士）（誰應該知道的更好）（擁有合法權威）指示我們的商店將所有名稱在一張紙上轉發，並在該紙上提供相關信息。即使遠程也沒有任何加密培訓，商店的控制器也遭到拒絕。

Wyatt Barnett的言論雖然吸引了不必要的觀察者的注意力，但他們持有關鍵領域的觀點，而ipv4廢話顯示了Wyatt的重要性和價值。在鍵盤上暴露於每天晚上在電視上觀看「犯罪心理」的人的鍵盤上有許多用戶Izatwits。在這種情況下，安全劇院變成了一個更適合Troma電影的威脅劇院，而不是正確構建用於會計控制的適當區域，在這個區域有人可以在網址的末尾添加％20 - 大多數用戶無法掌握該問題，讓獨自像鹽或IV載體。

這很容易成爲某人典當，這是一個已知的和預期的專業領域，任何人誰會做這項工作。這是一個給定的，你在那裏捍衛你的僱主的寶貴財產。在這樣做的時候，你會因爲你所捍衛的機器的權威感到沮喪而不知道許多基本的規則和實踐。當大多數安全（信息安全）案件使得有爭議的審查中心對事實上沒有受過培訓的人員發表的聲明或者（更可能）使用自己無法自行編寫的軟件時，這很困難。

對於無線，我會研究其中已經建立的工程。我查看了我購買的路由器 - 如果正確安裝和維護，這是完全足夠的。爲了理解它是如何工作的，它只是關於加密和基本網絡的完全簡單的研究。這方面會有大量的學習材料。

Answer 7

推薦之前有點背景。

我一直在爲應用安全和網絡安全組織真正的安全工作。如果您想要設置防火牆並運行nmap，請測試無線安裝，解析日誌並執行更多的系統管理員安全措施。如果你喜歡發現錯誤進入應用程序安全。我們基本上是多付的QA，您的時間將花在嘗試查找應用程序中的安全問題上。現在大多數應用程序安全性都是Web應用程序。

至於角色，您可以在公司的安全團隊或顧問工作。

所以首先我想說你想成爲一名無線安全人員，因爲這是一個狹隘的焦點。如果您想要進行無線安全工作，您將以最佳的顧問身份獲得運氣，並且您的大部分時間都將安全地爲公司安裝無線設備或對其現有的無線設置進行快速評估。

如果您有編程背景，我建議您考慮一下應用程序安全性，您可以用聰明的方式打破某些東西，而不是構建它。有些東西要google，phrack，owasp和我們行業的「聖經」是軟件安全的藝術。如果你閱讀那本書，你可能會同意安全知識的評估是一個瑣事的集合，每一次安全評估你都會看到你的瑣事，並嘗試找出方法來打破你正在看的東西。

你的第一步確實應該是建立一個web服務器和易受攻擊的網站，並嘗試打入它，嘗試xss，嘗試sql注入，用nmap掃描它，看看哪些端口是打開的。請查看webgoat項目，該項目是爲了這個目的而故意瑕疵軟件的集合。