it-swarm-vi.com

Con đường sự nghiệp trong lĩnh vực bảo mật máy tính là gì?

Có những loại công việc nào, trong những tổ chức nào, với những loại trách nhiệm hàng ngày?

Những lĩnh vực nào là tốt cho những người sắp ra trường, so với những nghề nghiệp thứ 2 tốt cho những người có kinh nghiệm đến từ các ngành khác nhau là gì?

85
nealmcb

Giống như "bảo mật" dường như, nó thực sự bao gồm một vài loại vai trò chính và một vài lĩnh vực bảo hiểm. Chúng thực sự khá khác biệt ...

Vai trò phổ biến:

  • Bộ phận bảo mật CNTT doanh nghiệp
    [.__.] Những kẻ này thường chủ yếu thực hiện chính sách, kiểm toán, nhận thức người dùng, giám sát, theo một số sáng kiến ​​toàn doanh nghiệp (ví dụ SIEM, IdM, v.v.) và Phản hồi sự cố không thường xuyên. Cũng có thể cung cấp PoV bảo mật khi mua sản phẩm của bên thứ 3 (cho dù là COTS hay FOSS) và trong bất kỳ RFP gia công nào.
  • Nhóm bảo mật trong nhóm phát triển (trong doanh nghiệp hoặc tại các cửa hàng dev)
    [.__.] Chủ yếu liên quan đến giáo dục và đào tạo lập trình viên, một số thử nghiệm bảo mật (hoặc xử lý kiểm tra bên ngoài, xem bên dưới) - điều này bao gồm cả mã hóa và xem lại mã, có thể xác định các tính năng bảo mật. Một số tổ chức sẽ có nhóm bảo mật cũng quản lý rủi ro, tham gia mô hình mối đe dọa, v.v.
  • Tư vấn bên ngoài/kiểm toán viên/kiểm tra an ninh
    [.___.] Điều này thường bao gồm, trong một số hình thức, tất cả những điều trên, thường tập trung vào kiểm tra thâm nhập, đánh giá mã và kiểm toán để tuân thủ quy định (ví dụ: PCI). Ngoài ra, đóng vai trò là chuyên gia bảo mật, người tham gia cho các loại hình tổ chức khác, chẳng hạn như cung cấp tất cả các lời khuyên có liên quan .... do đó thường được mong đợi (mặc dù không nhất thiết phải như vậy ;-)) sẽ được cập nhật hơn hơn bất cứ ai khác.
  • Nhà nghiên cứu
    [.___] hoàn toàn khác, nghiên cứu nhà cung cấp thường được coi là phát triển sản phẩm, trong khi nghiên cứu học thuật - tốt, tôi thực sự không thể nói điều đó, vì tôi không biết ...

Tương tự như vậy, trong tất cả các lĩnh vực trên đều có các lĩnh vực chuyên môn khác nhau và một chuyên gia trong một người sẽ không nhất thiết phải có bất cứ điều gì thông minh để nói trong bất kỳ lĩnh vực nào khác:

  • An ninh mạng, ví dụ: bộ định tuyến, tường lửa, phân đoạn mạng và kiến ​​trúc, vv.
  • Bảo mật O/S, tất nhiên được chia nhỏ hơn theo hương vị O/S (tức là chuyên gia bảo mật Windows và chuyên gia bảo mật Linux có thể không biết nhiều về nội dung của nhau).
  • Bảo mật ứng dụng - tức là cách lập trình an toàn (mà có thể cần thiết để chia nhỏ theo ngôn ngữ, công nghệ, v.v.), nhưng cũng có thể tấn công lớp ứng dụng, ví dụ Tấn công web, v.v.
  • Chuyên gia quản lý rủi ro - tập trung nhiều hơn vào khía cạnh kinh doanh, ít hơn về kỹ thuật
  • Cán bộ tuân thủ - một số nơi có những chuyên dụng này và họ là chuyên gia về tất cả các quy định có liên quan và như vậy (lưu ý rằng đây là công việc giống như luật sư biên giới!)
  • Các kiến ​​trúc sư danh tính - cho các tổ chức có ý thức bảo mật lớn hơn, có triển khai IdM phức tạp và tương tự ...
  • Các chuyên gia kiểm toán và pháp y, chủ yếu giải quyết SIEM/SIM/SOC, và cả với các cuộc điều tra sau thực tế.

Trên hết, có một số chuyên xây dựng các hệ thống an toàn (ở mỗi cấp độ của ngăn xếp) và một số dành thời gian phá vỡ chúng - và không phải lúc nào cũng chia sẻ chuyên môn.

Có thể thậm chí còn có nhiều ngóc ngách mà tôi bỏ qua, nhưng bạn đang bắt đầu có được bức ảnh .... Như bạn có thể thấy, những gì một nhân viên an ninh hoặc gal làm hàng ngày đều rộng và khác nhau như các công ty mà họ làm việc và các hệ thống mà họ làm việc. Thông thường, DOES này yêu cầu chuyển một số mũ và hoạt động chủ yếu trong các nhiệm vụ ngắn ... NHƯNG điều vẫn giữ nguyên (thông thường) là yêu cầu tập trung vào các rủi ro (và các mối đe dọa), cho dù đó là công việc kỹ thuật như xác định quy tắc tường lửa hoặc liên lạc với các loại hình kinh doanh và luật sư về tư thế bảo mật hiện tại của tổ chức.

Làm thế nào để có được vào lĩnh vực này? Lý tưởng nhất, bạn có một số kinh nghiệm (tốt nhất là chuyên môn) trong một số lĩnh vực khác, sau đó bạn có thể chuyên về bảo mật.
[.__.] Bạn từng là kỹ sư mạng? Tuyệt vời, bắt đầu với việc tập trung vào bảo mật mạng và đi từ đó.
[.__.] Bạn hiện đang là quản trị viên hệ thống? Thật tuyệt vời, có lẽ bạn đã làm việc một chút về bảo mật rồi, bắt đầu tìm hiểu thêm về lĩnh vực đó.
[.__.] Bạn đã lập trình từ khi còn bé và muốn chuyển sang bảo mật? Thật tuyệt vời, đáng lẽ bạn đã học về xác thực đầu vào, mật mã, giảm thiểu mối đe dọa, truy cập DB an toàn, v.v ... Tìm hiểu thêm, tìm hiểu những gì bạn đang thiếu và sau đó gọi cho tôi ;-).
[.__.] Và như vậy ... Mặt khác, nếu bạn không có nền tảng và muốn BẮT ĐẦU trong bảo mật, điều đó khó khăn hơn - bởi vì như tôi đã giải thích, hầu hết các nhân viên bảo mật dự kiến ​​sẽ là các chuyên gia về bất cứ điều gì. Bạn có thể cố gắng tham gia một nhóm pentesting và phát triển từ đó ... Phần quan trọng là tập trung vào quản lý rủi ro (và, cho mô hình hóa, đe dọa kỹ thuật).

Tôi cũng khuyên bạn nên đọc nhiều sách và blog bảo mật (tôi thích nội dung của Bruce Schneier), và cũng thử OWASP cho khía cạnh ứng dụng của mọi thứ.

80
AviD

Để tham khảo và hoàn thiện trong tương lai, tôi cũng muốn thêm rằng trang Thử thách bảo mật mạng của Vương quốc Anh có một danh sách đẹp gồm 8 loại vai trò bảo mật khác nhau với các giải thích về từng vai trò mẫu và được xác định bởi Viện chuyên gia bảo mật thông tin (IISP) (sau một nghiên cứu tôi cho là).

http://cybersecuritychallenge.org.uk/careers/typical-roles/

Tôi trích dẫn nội dung ở đây:

Người quản lý sự cố và mối đe dọa, Chuyên gia pháp y.

Bằng cách này hay cách khác, công việc của bạn là ngay mặt than. Bạn có thể quản lý bảo mật của mạng lưới tổ chức của bạn và ngăn chặn những kẻ tấn công. Bạn có thể làm việc cho một công ty kiểm tra các mạng khác để đánh giá bảo mật của họ và tư vấn cách làm cho họ ít bị tấn công hơn. Không ai có thể tránh được tất cả các sự cố, vì vậy bạn cũng có thể là người quản lý sự cố, có thể phản hồi nhanh chóng trong một cuộc khủng hoảng và quản lý tác động. Có thể có những lựa chọn khó khăn cho doanh nghiệp để thực hiện. Bạn sẽ cần làm việc với những người quản lý khác, những người có thể không hiểu biết về kỹ thuật của bạn về những gì đã xảy ra hoặc những gì cần phải làm để hệ thống hoạt động trở lại nhưng sẽ biết về tác động đối với doanh nghiệp nếu một số chức năng bị dừng. Bạn có thể cần phải làm phân tích pháp y - để xem kẻ tấn công đã vào và những gì anh ta đã làm. Lập kế hoạch làm gì để đối phó với các sự cố khác nhau, cân bằng tất cả các nhu cầu khác nhau sẽ rất quan trọng để quản lý khủng hoảng tốt và bạn có khả năng là thành viên quan trọng của nhóm lập kế hoạch kinh doanh liên tục. Có một số công việc rất kỹ thuật trong lĩnh vực này kiểm tra phần mềm độc hại mới, tìm ra các biện pháp đối phó và nhiều hơn nữa. Thêm vào đó, tất nhiên, bây giờ không phải là tất cả trên các mạng vì các thiết bị di động đang ngày càng nắm giữ nhiều dữ liệu hơn và thực hiện các chức năng trước đây chỉ có thể có trên máy tính.

Vai trò mẫu trong danh mục này: Quản lý và ứng phó sự cố và đe dọa. Quản lý sự cố, Quản lý mối đe dọa, Pháp y - máy tính - điện thoại di động và mạng - nhà phân tích, CSIRT, Điều tra viên tấn công, nhà phân tích phần mềm độc hại, Kiểm tra thâm nhập, Phục hồi thảm họa, Tiếp tục kinh doanh.

Nhà phân tích và quản lý rủi ro.

Để làm điều này, bạn cần hiểu các mối đe dọa khác nhau sẽ ảnh hưởng như thế nào đến một doanh nghiệp và tư vấn về những rủi ro nào cần che giấu và những gì sẽ xảy ra. Hội đồng sẽ lắng nghe lời khuyên của bạn và bạn sẽ cần có khả năng giải thích các rủi ro bằng ngôn ngữ phi kỹ thuật cho thấy tác động đối với doanh nghiệp một cách rõ ràng. Một số nhà quản lý rủi ro là phi kỹ thuật và đã đi lên thông qua doanh nghiệp, những người khác đến từ phía kỹ thuật của doanh nghiệp. Một số người có liên quan đến việc kiểm toán các mạng và đảm bảo rằng các vấn đề tuân thủ được hiểu và xử lý. Một câu trả lời cho khảo sát của chúng tôi cho biết rằng những người này đã đi và nói chuyện với khách hàng của chúng tôi về rủi ro và tuân thủ, giải thích luật pháp, mọi thay đổi về luật pháp và xác định điểm yếu và giúp khách hàng tuân thủ quy định.

Vai trò mẫu trong danh mục này: Quản lý rủi ro, Xác minh và Tuân thủ. Chuyên viên phân tích rủi ro, Giám định rủi ro, Cán bộ bảo mật thông tin doanh nghiệp, Người phản biện, Kiểm toán viên.

Các nhà hoạch định và hoạch định chính sách.

Đây là những người nghĩ ra các chính sách bảo mật sẽ xác định cách thức một công ty đối phó với nhiều rủi ro bảo mật khác nhau. Để có được chính sách đúng đắn là điều bắt buộc đối với một tổ chức để đáp ứng các nghĩa vụ pháp lý của nó. Bắt mọi người thực hiện các chính sách có nghĩa là cho mọi người thấy tại sao các chính sách quan trọng và nâng cao nhận thức về hậu quả tiềm ẩn của việc không tuân theo lời khuyên. Trong khu vực tư nhân, bạn có CISO (Giám đốc An ninh Thông tin) dẫn đầu công việc này thường được hỗ trợ bởi một nhóm. Trong Chính phủ có ITSO (nhân viên an ninh CNTT) và DSO (nhân viên an ninh của Bộ). Sau này chịu trách nhiệm về các vấn đề bảo mật vật lý, nhân sự và bảo mật thông tin và nhân viên an ninh CNTT thường báo cáo với họ.

Vai trò mẫu trong thể loại này: Chiến lược, Chính sách, Quản trị. Chiến lược gia, Quản lý chính sách, ITSO, DSO, CISO.

Quản lý vận hành và bảo mật.

Bạn có thể chịu trách nhiệm bảo vệ dữ liệu tổ chức của bạn trên các mạng, máy tính xách tay hoặc thiết bị di động. Vì tất cả chúng ta đã chọn những cách khác nhau để làm việc và sự phát triển của các công nghệ mới đang tạo ra những khả năng mới hàng ngày, bạn sẽ phải cập nhật. Bạn có thể quản lý mã hóa và các biện pháp bảo vệ khác như các quy tắc trên Tường lửa, nhật ký bảo mật và báo cáo sự cố.

Vai trò mẫu trong thể loại này: Hoạt động và quản lý bảo mật. Nhân viên an ninh mạng, nhân viên an ninh hệ thống, nhân viên an ninh thông tin, người quản lý tiền điện tử, người quản lý thông tin.

Kỹ thuật, kiến ​​trúc và thiết kế.

Nếu bạn có thể thiết kế một hệ thống ngay thì bạn có thể khiến kẻ tấn công gặp khó khăn. Nhưng tình hình thay đổi hàng ngày và nếu bạn theo kịp bạn sẽ cần phải chạy nhanh. Bạn có thể đang xử lý phần cứng hoặc phần mềm, thiết kế và phát triển hoặc các ứng dụng an toàn. Bạn có thể là một nhà văn phần mềm bảo mật tài năng - quá nhiều lập trình viên của chúng tôi trong quá khứ đã bị thúc đẩy bởi áp lực là người đầu tiên đưa ra thị trường và không đủ nhận thức về bảo mật. Bạn có thể thiết kế các công cụ bảo mật hoặc bán chúng. Bán hàng và tiếp thị là một phần thiết yếu của doanh nghiệp.

Vai trò mẫu trong thể loại này: Kỹ thuật, Kiến trúc & Thiết kế. Kiến trúc sư, Nhà thiết kế, Phát triển, Mã hóa an toàn, thiết kế và phát triển phần mềm, phát triển ứng dụng. Công cụ bảo mật, thực hiện.

Giáo dục, đào tạo và nhận thức.

Đào tạo là một nhu cầu liên tục cho hầu hết chúng ta trong kinh doanh ngày nay. Khi các công nghệ mới xuất hiện, nhân viên cần phải hiểu cách sử dụng chúng một cách hiệu quả để cho phép doanh nghiệp tồn tại và thành công một cách an toàn để các rủi ro mới được quản lý. Các chuyên gia cũng cần được cập nhật để họ hiểu các vectơ tấn công mới, cách quản lý bảo mật mới, cách đánh giá và truyền đạt rủi ro mới. Một số công việc bán hàng được liên kết chặt chẽ với công việc này khi họ giáo dục khách hàng về những gì họ cần trong kinh doanh. Có một số công ty đào tạo đối phó với tất cả các cấp độ đào tạo và làm việc tốt nhất chăm chỉ để giữ cho tài liệu của họ được cập nhật. Một trong những người được hỏi trong cuộc khảo sát của chúng tôi đã mô tả công việc của anh ấy là: Nâng cao nhận thức về các vấn đề liên quan đến An ninh mạng cả trong nội bộ và như một dịch vụ cho các tổ chức khác. Để sản xuất, công nhận và cung cấp các khóa đào tạo về An ninh mạng trong nội bộ và cho các tổ chức khác dưới dạng dịch vụ.

Vai trò mẫu trong thể loại này: Giáo dục, Đào tạo và Nhận thức. Quản lý chương trình bảo mật.

Nghiên cứu.

Có nhiều lĩnh vực nghiên cứu, một số kỹ thuật cao và những người khác định hướng chính sách nhiều hơn nữa. Một số tạo ra các mô hình phức tạp để giúp chúng tôi hiểu các tình huống đang thay đổi nhanh hơn chúng ta có thể hiểu mà không cần trợ giúp kỹ thuật. Những người khác đang nghĩ về các công nghệ của tương lai và cách chúng có thể giúp chúng ta quản lý bảo mật tốt hơn. Những người trả lời cuộc khảo sát đã mô tả các công việc như là Để điều tra các công nghệ mới để quản lý rủi ro và học cách quản lý rủi ro với các công nghệ mới. Hầu hết mọi người trong nghiên cứu bảo mật tập trung vào tiền điện tử, tiền điện tử, tường lửa, v.v. nhưng sau này, việc bảo mật Internet 2.0 quan trọng hơn rất nhiều; Tìm kiếm những thứ lớn tiếp theo Nghiên cứu cách thức các cuộc tấn công được tiến hành trong thế giới thực. Theo dõi các loại phần mềm độc hại khác nhau và cách chúng thay đổi do đó có thể ngăn chặn các cuộc đình công lớn đối với khách hàng. Phát minh ra các sản phẩm mới dựa trên những gì nhìn thấy trong thế giới thực và làm việc với các nhà phát triển để sản xuất các sản phẩm này.

Vai trò mẫu trong thể loại này: Nghiên cứu. Nhà nghiên cứu bảo mật.

Luật sư chuyên tư vấn và truy tố tội phạm Internet và bảo vệ dữ liệu.

Tư vấn và truy tố về bảo mật dữ liệu và tội phạm Internet. Không dễ để truy tố thủ phạm của những tội ác này và các công ty cần giúp đỡ để hiểu trách nhiệm của họ và đưa các bằng chứng lại với nhau. Vì những mất mát dữ liệu của những năm gần đây đã có một số thay đổi đáng kể trong luật. Ví dụ, các tổ chức không hỗ trợ người dân dữ liệu trên hệ thống của họ có thể bị phạt tới 0,5 triệu bảng, vì vậy nhiều người muốn kiểm tra chính sách bảo mật của họ để đảm bảo chúng phù hợp với mục đích.

Vai trò mẫu trong danh mục này: Luật sư tư vấn và truy tố về bảo vệ dữ liệu và tội phạm Internet.

27
john

Viện Sans cung cấp một tài liệu về chủ đề này với giá $ 5,00: 20 công việc tuyệt vời nhất trong bảo mật thông tin . Trang web đó liệt kê các tiêu đề cùng với một vài mô tả mẫu.

4
P3nT3ster