Ingressar na área de segurança cibernética como alguém de fora, sem formação técnica, foi uma jornada transformadora para mim. O que imediatamente me cativou na indústria foi o seu ritmo implacável e o desafio estimulante que apresentava constantemente. Interagindo com profissionais da área, fiquei animado com seu apoio esmagador aos recém-chegados que demonstravam genuinamente vontade de aprender. No entanto, rapidamente descobri um sentimento predominante: há uma expectativa geral de que os recém-chegados sejam autodidatas independentes. Esta poderia ser uma expectativa assustadora, especialmente considerando que muitos potenciais iniciantes em segurança cibernética não são inerentemente autodidatas. Embora a curiosidade inata seja, sem dúvida, uma característica valiosa, é essencial reconhecer que muitos indivíduos, mesmo aqueles com imenso potencial, precisam de uma estrutura estruturada para dar os primeiros passos neste vasto domínio.
Nos últimos anos, foram feitos progressos significativos no preenchimento da lacuna de talentos na indústria. No entanto, em 2023, de acordo com o Estudo da Força de Trabalho de Segurança Cibernética ISC2 , foram criados 440.000 novos empregos em segurança cibernética em todo o mundo (um aumento de 8,7% ano após ano), mas impressionantes 4 milhões de vagas permaneceram não preenchidas (um aumento de 12,6% ano após ano) . Esta enorme lacuna resulta da desconexão entre as necessidades dos empregadores em termos de profissionais experientes e a escassez real desse conhecimento.
A solução para esta crise de talentos reside na concentração nas fases iniciais das carreiras dos potenciais profissionais de segurança cibernética, especialmente dos jovens estudantes. Como comunidade, é imperativo equiparmos os jovens com as ferramentas de que necessitam para explorar a segurança cibernética como uma opção de carreira viável. O segredo é oferecer caminhos de aprendizagem estruturados, práticos e acessíveis. Abaixo estão algumas etapas e exemplos de como fazer isso.
A estrutura NIST-NICE categoriza o trabalho de segurança cibernética em sete categorias de alto nível: Analisar, Coletar e Operar, Investigar, Operar e Manter, Supervisionar e Governar, Proteger e Defender e Provisionar com Segurança. Cada categoria é dividida em áreas de especialidade e funções de trabalho, fornecendo um roteiro abrangente para progressão na carreira.
Tabela 1: Categorias de funções de trabalho da estrutura NICE
Categoria | Descrição | Número de funções de trabalho |
---|---|---|
Provisão segura (SP) | Conceitualiza, projeta, adquire e/ou constrói sistemas de TI seguros. Responsável por aspectos de desenvolvimento de sistema e/ou rede. | 11 |
Operar e Manter (OM) | Fornece suporte, administração e manutenção necessários para garantir desempenho e segurança eficazes e eficientes do sistema de TI. | 7 |
Supervisionar e Governar (OV) | Fornece liderança, gerenciamento, direção ou desenvolvimento e defesa para que a organização possa conduzir efetivamente o trabalho de segurança cibernética. | 14 |
Proteger e Defender (RP) | Identifica, analisa e mitiga ameaças a sistemas e/ou redes internas de TI. | 4 |
Investigar (IN) | Investiga eventos ou crimes de segurança cibernética relacionados a sistemas de TI, redes e evidências digitais. | 3 |
Analisar (AN) | Executa revisão e avaliação altamente especializada de informações de segurança cibernética recebidas para determinar sua utilidade para inteligência. | 7 |
Coletar e Operar (CO) | Fornece operações especializadas de negação e engano e coleta de informações de segurança cibernética que podem ser usadas para desenvolver inteligência. | 6 |
Esta tabela mostra o amplo espectro de funções no cenário da segurança cibernética. Ao compreender essas categorias, os iniciantes podem se posicionar melhor para uma trajetória de carreira mais personalizada e informada.
Para uma compreensão abrangente da estrutura NIST-NICE e para acessar uma infinidade de recursos adaptados para iniciantes, pode-se visitar o
O objetivo é explorar várias facetas da segurança cibernética e determinar onde a paixão se cruza com a proficiência. Como a segurança cibernética é um campo dinâmico, sempre há espaço para um indivíduo se movimentar, aprender e evoluir.
A comunidade de segurança cibernética apoia excepcionalmente os recém-chegados. Mesmo profissionais experientes estão frequentemente abertos a compartilhar dicas e conselhos e são incrivelmente acessíveis para iniciantes. O segredo para conhecer essas pessoas é participar de eventos ao vivo.
As interações em tempo real em eventos presenciais oferecem perguntas espontâneas, discussões e a possibilidade de um entendimento mais profundo. Não se trata apenas de absorver conhecimento; trata-se também de networking. Esses locais são excelentes oportunidades para estabelecer conexões significativas, potencialmente levando a mentorias, colocações de emprego ou até mesmo projetos colaborativos. Além disso, muitos desses encontros têm desafios ao vivo ou workshops práticos onde os participantes podem colocar a teoria em prática, muitas vezes sob a orientação de um especialista.
Veja por que participar de eventos presenciais pode ser tão benéfico para um entusiasta da segurança cibernética:
Quando se trata de locais, algumas plataformas e organizações se destacam:
Ao planejar participar, aqui estão algumas dicas:
Portanto, se você pretende aprofundar seu conhecimento e sua rede de segurança cibernética, participar de tais eventos pode ser o trampolim para sua próxima grande oportunidade.
Os desafios Capture The Flag (CTF) são competições onde os participantes resolvem quebra-cabeças de segurança cibernética que vão desde criptografia até vulnerabilidades de aplicativos da web. Esses desafios oferecem aos iniciantes uma experiência prática na solução de problemas de segurança cibernética do mundo real . Por exemplo, o evento DEF CON CTF atrai anualmente um público global e tem quebra-cabeças adequados para todos os níveis de habilidade.
O envolvimento nos desafios da CTF está diretamente correlacionado com várias áreas descritas na estrutura NIST-NICE:
Analisar (AN): Decifrar quebra-cabeças criptográficos em CTFs aprimora as habilidades pertinentes à categoria Analisar, onde se avaliam as informações de segurança cibernética recebidas.
Proteger e Defender (PR): A abordagem de vulnerabilidades durante uma CTF fortalece as capacidades do participante na identificação, análise e mitigação de ameaças aos sistemas de TI, alinhando-se estreitamente com a categoria Proteger e Defender.
Investigar (IN): Alguns CTFs envolvem desafios forenses, alinhando-se com a categoria Investigar, onde se examinam eventos de segurança cibernética ou crimes relacionados a sistemas de TI.
Fornecimento seguro (SP): Enfrentar desafios em que os participantes devem proteger ou fortalecer os sistemas reflete a categoria Fornecimento seguro, enfatizando o design e a criação de sistemas de TI seguros.
Ao mergulhar nos CTFs, os iniciantes não apenas ganham uma valiosa experiência prática, mas também compreendem melhor as diferentes funções e áreas nas quais podem estar interessados, de acordo com a estrutura NICE. Ele fornece uma maneira tangível e envolvente de explorar e aprofundar competências específicas de segurança cibernética.
Numa campanha de recompensa por bugs, as empresas incentivam hackers éticos a encontrar e reportar vulnerabilidades nos seus sistemas. Esta prática está a tornar-se cada vez mais predominante entre as principais empresas tecnológicas, percebendo o valor do conjunto global de investigadores de segurança independentes. Por exemplo, gigantes da tecnologia como Google, Facebook, Apple, Microsoft e Twitter lançaram os seus próprios programas de recompensa de bugs, incentivando hackers éticos a identificar e divulgar de forma responsável potenciais falhas de segurança nas suas plataformas. Ao oferecer estas campanhas, estas organizações não só melhoram a segurança dos seus sistemas, mas também promovem uma relação simbiótica com a comunidade de segurança cibernética. Por exemplo:
Plataformas como Bugcrowd, Hackerone e Intigrity também simplificaram o processo, agindo como intermediários conectando hackers éticos a organizações, incluindo aquelas que podem não ter programas independentes como Google ou Apple. Uma vez identificada e reportada uma vulnerabilidade através dessas plataformas ou diretamente às empresas com programas estabelecidos, ela passa por um processo de verificação. Se validado, o pesquisador poderá receber uma recompensa financeira, reconhecimento ou ambos.
Para iniciantes, existem laboratórios baseados em navegador da web. Esses laboratórios permitem que os usuários pratiquem em um ambiente controlado diretamente em seus navegadores. Embora sejam convenientes e fáceis de acessar, essas plataformas podem não replicar totalmente as complexidades e complexidades dos sistemas do mundo real. São boas ferramentas introdutórias, mas à medida que os usuários progridem em sua jornada de segurança cibernética, eles podem considerá-las menos desafiadoras.
Por outro lado, existem ambientes virtualizados que requerem acesso VPN. Essas plataformas oferecem ambientes quase idênticos às infraestruturas reais da empresa. Os cenários virtualizados são meticulosamente elaborados para emular redes, servidores e estações de trabalho do mundo real. À medida que os usuários se conectam via VPN, eles se sentem como se estivessem realmente dentro de uma rede operacional, proporcionando um nível de autenticidade que pode faltar aos laboratórios baseados em navegador da web. Este tipo de ambiente permite uma exploração mais profunda de ferramentas, táticas e procedimentos, treinando efetivamente o participante para enfrentar ameaças genuínas à segurança cibernética. O treinamento rigoroso nesses ambientes garante que os participantes estejam prontos para o trabalho e totalmente preparados para enfrentar os desafios multifacetados que poderão enfrentar em suas carreiras em segurança cibernética.
Ao vivenciar os dois tipos de treinamento, os candidatos podem apreciar o gradiente de complexidade dos desafios de segurança cibernética e aprimorar melhor suas habilidades para serem profissionais eficazes.
Aqui está uma lista de recursos práticos de treinamento em segurança cibernética gratuitos ou acessíveis para iniciantes:
Os recursos mencionados acima representam apenas um retrato das muitas ferramentas e plataformas que ganharam atenção e apreciação na comunidade de segurança cibernética. O domínio do treinamento em segurança cibernética é vasto e a lista de recursos valiosos vai muito além do que é fornecido aqui. Além disso, existem vários projetos de código aberto e outros conteúdos disponíveis online que podem ser fundamentais para melhorar a jornada de aprendizagem de alguém.
Fóruns e sites especializados, que detalharei no próximo parágrafo, podem ser inestimáveis para descobrir avaliações ou comentários de outros membros da comunidade. Esse feedback fornece insights sobre a qualidade de novos recursos que são lançados constantemente.
No vasto domínio da segurança cibernética, a orientação de alguém experiente pode fazer toda a diferença. Plataformas como o LinkedIn podem ser particularmente benéficas, não apenas para networking, mas também para identificar potenciais mentores. Ao revisar cuidadosamente os perfis, ingressar em grupos relevantes e participar ativamente das discussões, você pode mostrar seu entusiasmo e chamar a atenção de profissionais experientes dispostos a orientar os recém-chegados.
Discord, uma plataforma inicialmente criada para jogadores, tornou-se um centro para várias comunidades profissionais.
Fóruns e sites especializados ampliam ainda mais a oportunidade:
Comunidades de segurança cibernética do Reddit: plataformas como
Fóruns de segurança Wilders: mergulhe profundamente nas discussões sobre privacidade online, segurança e proteção de dados em
MalwareTips e fóruns anti-online: sites como
Comunidade Bleeping Computer e Spiceworks: Fóruns como
Hacklido: Uma plataforma única,
Ao envolver-se ativamente nestes fóruns e comunidades, não só é possível expandir o seu conhecimento, mas também construir ligações significativas. À medida que você participa e contribui, as chances de conhecer mentores em potencial que reconheçam sua paixão e dedicação aumentam significativamente. Lembre-se de que a orientação em segurança cibernética não envolve apenas aprender o básico; trata-se de orientação, feedback e compreensão das nuances do mundo da proteção digital em rápida evolução.
Ao embarcar em sua jornada de segurança cibernética, é essencial se familiarizar com a infinidade de ferramentas gratuitas disponíveis. Essas ferramentas, amplamente reconhecidas e utilizadas por profissionais da área, podem aumentar significativamente sua experiência de aprendizagem:
Wireshark:
OWASP ZAP (proxy de ataque Zed):
Edição da comunidade Metasploit:
Bufar:
OpenVAS (Sistema Aberto de Avaliação de Vulnerabilidade):
KaliLinux:
Aproveitar os recursos dessas ferramentas não apenas dá aos iniciantes uma compreensão prática de vários domínios de segurança cibernética, mas também fornece uma abordagem prática para combater ameaças potenciais. Lembre-se de explorar a documentação e os tutoriais associados a cada ferramenta, pois eles geralmente contêm uma riqueza de conhecimentos e práticas recomendadas.
Embora existam autodidatas que conseguem ligar os pontos por conta própria, um grande número de talentos emergentes ainda não fazem parte do ecossistema de segurança cibernética , principalmente porque lhes falta orientação inicial. Ao fornecer orientação prática e direcionada, podemos ajudar a preparar o caminho para uma nova geração de profissionais de segurança cibernética prontos para enfrentar os desafios e oportunidades que este campo em rápida evolução tem para oferecer.
A aprendizagem estruturada pode ser alcançada de várias maneiras, e este guia pretende oferecer uma perspectiva alternativa, vinda de um profissional de segurança cibernética não tradicional que teve a oportunidade única de aprender com hackers genuínos.