Au moins une fois par mois, parfois plus, les lecteurs écrivent pour demander comment ils peuvent percer dans le domaine de la sécurité informatique. Certains des e-mails proviennent de personnes occupant des emplois qui n’ont rien à voir avec la sécurité, mais qui sont suffisamment fascinées par le domaine pour envisager un changement de carrière. D’autres occupent déjà un poste dans le domaine des technologies de l’information, mais ont hâte de passer à la sécurité. Je réponds toujours avec mon propre ensemble de réponses standard, mais chaque fois que je fais cela, je ne peux pas m’empêcher de penser que mon conseil est incomplet, ou du moins pas très complet.
J’ai décidé de demander à certains des esprits les plus brillants de l’industrie de la sécurité aujourd’hui quels conseils ils donneraient. Presque tous ceux à qui j’ai posé la question ont dit qu’eux aussi se voyaient fréquemment poser la même question, mais chacun avait des points de vue étonnamment différents sur le sujet. Aujourd’hui est le premier épisode d’une série de réponses à cette question. Lorsque la dernière des colonnes de conseils aura été exécutée, je créerai une archive de toutes ces colonnes qui sera ancrée quelque part bien en vue sur la page d’accueil. De cette façon, la prochaine fois que quelqu’un demandera comment il peut entrer dans la sécurité, j’aurai plus à offrir que mes perspectives certes étroites sur la question.
Le mois dernier, j’ai interviewé Thomas Ptacekfondateur de Matasano Sécuritésur la façon dont les entreprises pourraient renforcer la sécurité des mots de passe à la suite d’une semaine pleine d’informations sur les fuites de mots de passe sur LinkedIn et d’autres entreprises en ligne. Les conseils provocateurs de Ptacek ont suscité un tel intérêt chez les lecteurs et d’autres discussions que j’ai pensé qu’il était logique de commencer cette série par ses réflexions :
Ptacek : « La sécurité de l’information est l’un des domaines les plus intéressants, les plus stimulants et, si vous le faites avec soin, les plus gratifiants de l’industrie technologique. C’est l’un des rares emplois technologiques où les rôles les plus amusants sont bien rémunérés. Si vous avez grandi en rêvant de développer des jeux, les lois de l’offre et de la demande vous enseignent une dure leçon au début de votre carrière : les travaux de développement de jeux sont souvent fastidieux et généralement mal rémunérés. Mais si vous avez regardé « Sneakers » et imaginé une vie passée à casser ou à défendre des logiciels, bonne nouvelle : l’infosec peut être plus amusant dans la vraie vie, et c’est assez lucratif.
Je suis développeur de logiciels. J’essaie de voir la sécurité à travers le prisme de l’informatique. Pour moi, la chose la plus attrayante dans le domaine est la possibilité qu’il offre de travailler avec de nombreux concepts différents à de nombreux niveaux différents. La sécurité informatique pourrait être le meilleur moyen de travailler professionnellement avec la théorie du compilateur, ou de passer du temps à comprendre la microarchitecture informatique, ou d’appliquer des mathématiques avancées.
D’autres personnes s’impliquent dans la sécurité pour différentes raisons, et ces raisons sont probablement tout aussi valables. Certaines personnes aiment vraiment le récit « bons / méchants » qui accompagne la sécurité. Certaines personnes voient la sécurité comme une opportunité de sauver le monde. D’autres personnes sont attirées par la nature compétitive du domaine : aux niveaux supérieurs, c’est vraiment un jeu du chat et de la souris. Cela se rapproche également plus de la méritocratie que la plupart des technologies : vous pouvez entrer par effraction ou vous ne pouvez pas ; vos défenses fonctionnent ou ne fonctionnent pas.
Mais pour moi, c’est juste l’un des meilleurs emplois de développement que vous puissiez obtenir, et dans cet esprit, voici mes conseils pour les personnes intéressées à poursuivre une carrière dans ce domaine.
Premièrement : je veux que vous appreniez à programmer. De toute évidence, vous pouvez terminer vos études universitaires et obtenir un emploi stable et bien rémunéré sans jamais apprendre à aimer la programmation. Mais aucun facteur ne vous donne autant de contrôle sur votre carrière, autant de capacité à écrire votre propre ticket, que la capacité de résoudre des problèmes à l’aide de langages de programmation. De nombreux professionnels de la technologie très intelligents ont conclu qu’ils n’aimaient tout simplement pas écrire des logiciels. Ces gens devraient reconsidérer. Essayez différents langages ou différents domaines d’application, mais trouvez un moyen de faire en sorte que la programmation reste gravée dans votre tête.
Deuxièmement : les meilleurs emplois dans notre domaine sont dans la sécurité des applications. Vous pouvez obtenir un bon travail stable en concevant des déploiements de pare-feu, en configurant des agents de bureau ou en répondant à des incidents. Mais tous ces rôles réagissent fondamentalement à ce qui se passe dans l’appsec. La prochaine génération de produits de sécurité, ainsi que les organigrammes des équipes de sécurité des entreprises les plus averties, sont conçus aujourd’hui, par accident, par des praticiens de la sécurité des applications.
Les rôles Appsec sont des rôles qui impliquent d’attaquer des logiciels ou de concevoir des correctifs et des contre-mesures pour ces attaques. Deux bonnes manières de « monter » dans l’appsec : devenir un testeur d’intrusion, ou contribuer à (ou démarrer) une pratique de développement de logiciels sécurisés dans votre entreprise.
Un bon moyen de passer aux tests d’intrusion : prenez quelques outils standard de l’industrie et utilisez un AmazonEC2 compte pour mettre en place un « champ de tir » pour attaquer. Certains des outils les plus connus sont disponibles gratuitement : le Scanner Nessuspar exemple, bien qu’il ne s’agisse pas d’un outil de sécurité des applications, est gratuit et peut vous attribuer un rôle de test de pénétration du réseau que vous pouvez utiliser comme tremplin pour casser les applications.
Lorsque les gens contactent Matasano pour lui demander comment mettre un pied dans le logiciel d’attaque de porte, nous avons quelques étapes simples à proposer :
0. Apprenez à aimer la programmation dans au moins une langue. Le langage de programmation C a le plus de cachet en matière de sécurité des applications, mais pour cette liste étape par étape, Java ou Python ou Ruby feront l’affaire.
1. Prenez une copie de Le manuel du pirate d’applications Web.
2. Accédez aux archives des « versions précédentes » sur WordPress.org et récupérer de très anciennes versions de WordPress ; installez-les sur EC2.
3. Télécharger OWASP WebScarab ou Burp Suite Édition gratuitetous deux gratuits, et utilisez-les pour trouver des bogues dans l’ancien WordPress.
Si vous occupez déjà un poste informatique et que vous souhaitez vous placer du côté défensif de l’appsec, essayez de vous positionner près du développement de logiciels personnalisés. La plupart des grandes entreprises créent des applications « métier ». En règle générale, la création d’un « secteur d’activité » n’est pas particulièrement amusant. Mais défendre ces applications peut l’être ; parfois, les applications les plus ennuyeuses se révèlent étonnamment sensibles.
Et la bonne nouvelle pour faire de l’appsec dans BigCo : la plupart des entreprises ont des programmes de sécurité très immatures. Si vous pouvez jouer un rôle dans l’assurance qualité, ou dans ce que les enfants cool appellent « DevOps », vous pouvez vous retrouver avec beaucoup d’influence en matière de sécurité. Chez Matasano, nous avons vu de nombreux opérateurs passer avec succès à l’appsec et à la gestion de la sécurité senior simplement en instaurant des processus de test de sécurité de base sur le logiciel de leur entreprise.
Pour moi, tout le domaine se résume à étudier, comprendre et manipuler la technologie. Comme la plupart des pratiques de sécurité logicielle, nous avons mis la main à la pâte avec un échantillon représentatif fascinant de l’ensemble de l’industrie technologique. Nous avons écrit des outils d’attaque qui ciblent les registres de contrôle des chipsets des appareils, nous avons fait un travail RF personnalisé, nous avons écrit des débogueurs de bas niveau pour différentes architectures de CPU, et nous avons vu et battu des produits intégrés dans presque tous les langage de programmation et toutes les plates-formes que vous pouvez imaginer. Si ramper à travers les conduits de ventilation de la technologie la plus importante au monde est quelque chose qui, selon vous, pourrait vous faire vibrer comme nous… eh bien, appsec ! Apprenez à coder. Dépensez quelques jours d’argent Starbucks sur un compte EC2 et déployez des applications cassées pour casser. Trouvez des occasions de pratiquer dans votre travail.
Et, euh, venez nous parler ? Les gens comme vous sont difficiles à trouver !
.
[ad_1]
Au moins une fois par mois, parfois plus, les lecteurs écrivent pour demander comment ils peuvent percer dans le domaine de la sécurité informatique. Certains des e-mails proviennent de personnes occupant des emplois qui n’ont rien à voir avec la sécurité, mais qui sont suffisamment fascinées par le domaine pour envisager un changement de carrière. D’autres occupent déjà un poste dans le domaine des technologies de l’information, mais ont hâte de passer à la sécurité. Je réponds toujours avec mon propre ensemble de réponses standard, mais chaque fois que je fais cela, je ne peux pas m’empêcher de penser que mon conseil est incomplet, ou du moins pas très complet.
Le mois dernier, j’ai interviewé Thomas Ptacekfondateur de Matasano Sécuritésur la façon dont les entreprises pourraient renforcer la sécurité des mots de passe à la suite d’une semaine pleine d’informations sur les fuites de mots de passe sur LinkedIn et d’autres entreprises en ligne. Les conseils provocateurs de Ptacek ont suscité un tel intérêt chez les lecteurs et d’autres discussions que j’ai pensé qu’il était logique de commencer cette série par ses réflexions :
Ptacek : « La sécurité de l’information est l’un des domaines les plus intéressants, les plus stimulants et, si vous le faites avec soin, les plus gratifiants de l’industrie technologique. C’est l’un des rares emplois technologiques où les rôles les plus amusants sont bien rémunérés. Si vous avez grandi en rêvant de développer des jeux, les lois de l’offre et de la demande vous enseignent une dure leçon au début de votre carrière : les travaux de développement de jeux sont souvent fastidieux et généralement mal rémunérés. Mais si vous avez regardé « Sneakers » et imaginé une vie passée à casser ou à défendre des logiciels, bonne nouvelle : l’infosec peut être plus amusant dans la vraie vie, et c’est assez lucratif.
Je suis développeur de logiciels. J’essaie de voir la sécurité à travers le prisme de l’informatique. Pour moi, la chose la plus attrayante dans le domaine est la possibilité qu’il offre de travailler avec de nombreux concepts différents à de nombreux niveaux différents. La sécurité informatique pourrait être le meilleur moyen de travailler professionnellement avec la théorie du compilateur, ou de passer du temps à comprendre la microarchitecture informatique, ou d’appliquer des mathématiques avancées.
D’autres personnes s’impliquent dans la sécurité pour différentes raisons, et ces raisons sont probablement tout aussi valables. Certaines personnes aiment vraiment le récit « bons / méchants » qui accompagne la sécurité. Certaines personnes voient la sécurité comme une opportunité de sauver le monde. D’autres personnes sont attirées par la nature compétitive du domaine : aux niveaux supérieurs, c’est vraiment un jeu du chat et de la souris. Cela se rapproche également plus de la méritocratie que la plupart des technologies : vous pouvez entrer par effraction ou vous ne pouvez pas ; vos défenses fonctionnent ou ne fonctionnent pas.
Mais pour moi, c’est juste l’un des meilleurs emplois de développement que vous puissiez obtenir, et dans cet esprit, voici mes conseils pour les personnes intéressées à poursuivre une carrière dans ce domaine.
Premièrement : je veux que vous appreniez à programmer. De toute évidence, vous pouvez terminer vos études universitaires et obtenir un emploi stable et bien rémunéré sans jamais apprendre à aimer la programmation. Mais aucun facteur ne vous donne autant de contrôle sur votre carrière, autant de capacité à écrire votre propre ticket, que la capacité de résoudre des problèmes à l’aide de langages de programmation. De nombreux professionnels de la technologie très intelligents ont conclu qu’ils n’aimaient tout simplement pas écrire des logiciels. Ces gens devraient reconsidérer. Essayez différents langages ou différents domaines d’application, mais trouvez un moyen de faire en sorte que la programmation reste gravée dans votre tête.
Deuxièmement : les meilleurs emplois dans notre domaine sont dans la sécurité des applications. Vous pouvez obtenir un bon travail stable en concevant des déploiements de pare-feu, en configurant des agents de bureau ou en répondant à des incidents. Mais tous ces rôles réagissent fondamentalement à ce qui se passe dans l’appsec. La prochaine génération de produits de sécurité, ainsi que les organigrammes des équipes de sécurité des entreprises les plus averties, sont conçus aujourd’hui, par accident, par des praticiens de la sécurité des applications.
Les rôles Appsec sont des rôles qui impliquent d’attaquer des logiciels ou de concevoir des correctifs et des contre-mesures pour ces attaques. Deux bonnes manières de « monter » dans l’appsec : devenir un testeur d’intrusion, ou contribuer à (ou démarrer) une pratique de développement de logiciels sécurisés dans votre entreprise.
Un bon moyen de passer aux tests d’intrusion : prenez quelques outils standard de l’industrie et utilisez un AmazonEC2 compte pour mettre en place un « champ de tir » pour attaquer. Certains des outils les plus connus sont disponibles gratuitement : le Scanner Nessuspar exemple, bien qu’il ne s’agisse pas d’un outil de sécurité des applications, est gratuit et peut vous attribuer un rôle de test de pénétration du réseau que vous pouvez utiliser comme tremplin pour casser les applications.
Lorsque les gens contactent Matasano pour lui demander comment mettre un pied dans le logiciel d’attaque de porte, nous avons quelques étapes simples à proposer :
0. Apprenez à aimer la programmation dans au moins une langue. Le langage de programmation C a le plus de cachet en matière de sécurité des applications, mais pour cette liste étape par étape, Java ou Python ou Ruby feront l’affaire.
1. Prenez une copie de Le manuel du pirate d’applications Web.
2. Accédez aux archives des « versions précédentes » sur WordPress.org et récupérer de très anciennes versions de WordPress ; installez-les sur EC2.
3. Télécharger OWASP WebScarab ou Burp Suite Édition gratuitetous deux gratuits, et utilisez-les pour trouver des bogues dans l’ancien WordPress.
Si vous occupez déjà un poste informatique et que vous souhaitez vous placer du côté défensif de l’appsec, essayez de vous positionner près du développement de logiciels personnalisés. La plupart des grandes entreprises créent des applications « métier ». En règle générale, la création d’un « secteur d’activité » n’est pas particulièrement amusant. Mais défendre ces applications peut l’être ; parfois, les applications les plus ennuyeuses se révèlent étonnamment sensibles.
Et la bonne nouvelle pour faire de l’appsec dans BigCo : la plupart des entreprises ont des programmes de sécurité très immatures. Si vous pouvez jouer un rôle dans l’assurance qualité, ou dans ce que les enfants cool appellent « DevOps », vous pouvez vous retrouver avec beaucoup d’influence en matière de sécurité. Chez Matasano, nous avons vu de nombreux opérateurs passer avec succès à l’appsec et à la gestion de la sécurité senior simplement en instaurant des processus de test de sécurité de base sur le logiciel de leur entreprise.
Pour moi, tout le domaine se résume à étudier, comprendre et manipuler la technologie. Comme la plupart des pratiques de sécurité logicielle, nous avons mis la main à la pâte avec un échantillon représentatif fascinant de l’ensemble de l’industrie technologique. Nous avons écrit des outils d’attaque qui ciblent les registres de contrôle des chipsets des appareils, nous avons fait un travail RF personnalisé, nous avons écrit des débogueurs de bas niveau pour différentes architectures de CPU, et nous avons vu et battu des produits intégrés dans presque tous les langage de programmation et toutes les plates-formes que vous pouvez imaginer. Si ramper à travers les conduits de ventilation de la technologie la plus importante au monde est quelque chose qui, selon vous, pourrait vous faire vibrer comme nous… eh bien, appsec ! Apprenez à coder. Dépensez quelques jours d’argent Starbucks sur un compte EC2 et déployez des applications cassées pour casser. Trouvez des occasions de pratiquer dans votre travail.
Et, euh, venez nous parler ? Les gens comme vous sont difficiles à trouver !
.