paint-brush
Você não está aprendendo sozinho: um guia estruturado para iniciantes em segurança cibernéticapor@davidecarmeci
13,623 leituras
13,623 leituras

Você não está aprendendo sozinho: um guia estruturado para iniciantes em segurança cibernética

por Davide Carmeci12m2023/11/11
Read on Terminal Reader

Muito longo; Para ler

Mergulhe em um guia holístico de segurança cibernética que abrange treinamento prático para iniciantes, a importância da orientação e uma lista de ferramentas gratuitas. Quer você seja novo ou esteja progredindo, este guia garante que você esteja bem equipado para o cenário de segurança digital em evolução.
featured image - Você não está aprendendo sozinho: um guia estruturado para iniciantes em segurança cibernética
Davide Carmeci HackerNoon profile picture
0-item



Ingressar na área de segurança cibernética como alguém de fora, sem formação técnica, foi uma jornada transformadora para mim. O que imediatamente me cativou na indústria foi o seu ritmo implacável e o desafio estimulante que apresentava constantemente. Interagindo com profissionais da área, fiquei animado com seu apoio esmagador aos recém-chegados que demonstravam genuinamente vontade de aprender. No entanto, rapidamente descobri um sentimento predominante: há uma expectativa geral de que os recém-chegados sejam autodidatas independentes. Esta poderia ser uma expectativa assustadora, especialmente considerando que muitos potenciais iniciantes em segurança cibernética não são inerentemente autodidatas. Embora a curiosidade inata seja, sem dúvida, uma característica valiosa, é essencial reconhecer que muitos indivíduos, mesmo aqueles com imenso potencial, precisam de uma estrutura estruturada para dar os primeiros passos neste vasto domínio.


Nos últimos anos, foram feitos progressos significativos no preenchimento da lacuna de talentos na indústria. No entanto, em 2023, de acordo com o Estudo da Força de Trabalho de Segurança Cibernética ISC2 , foram criados 440.000 novos empregos em segurança cibernética em todo o mundo (um aumento de 8,7% ano após ano), mas impressionantes 4 milhões de vagas permaneceram não preenchidas (um aumento de 12,6% ano após ano) . Esta enorme lacuna resulta da desconexão entre as necessidades dos empregadores em termos de profissionais experientes e a escassez real desse conhecimento.


A solução para esta crise de talentos reside na concentração nas fases iniciais das carreiras dos potenciais profissionais de segurança cibernética, especialmente dos jovens estudantes. Como comunidade, é imperativo equiparmos os jovens com as ferramentas de que necessitam para explorar a segurança cibernética como uma opção de carreira viável. O segredo é oferecer caminhos de aprendizagem estruturados, práticos e acessíveis. Abaixo estão algumas etapas e exemplos de como fazer isso.


Estruturas de estudo como NIST-NICE

A estrutura NIST-NICE categoriza o trabalho de segurança cibernética em sete categorias de alto nível: Analisar, Coletar e Operar, Investigar, Operar e Manter, Supervisionar e Governar, Proteger e Defender e Provisionar com Segurança. Cada categoria é dividida em áreas de especialidade e funções de trabalho, fornecendo um roteiro abrangente para progressão na carreira.

Tabela 1: Categorias de funções de trabalho da estrutura NICE

Categoria

Descrição

Número de funções de trabalho

Provisão segura (SP)

Conceitualiza, projeta, adquire e/ou constrói sistemas de TI seguros. Responsável por aspectos de desenvolvimento de sistema e/ou rede.

11

Operar e Manter (OM)

Fornece suporte, administração e manutenção necessários para garantir desempenho e segurança eficazes e eficientes do sistema de TI.

7

Supervisionar e Governar (OV)

Fornece liderança, gerenciamento, direção ou desenvolvimento e defesa para que a organização possa conduzir efetivamente o trabalho de segurança cibernética.

14

Proteger e Defender (RP)

Identifica, analisa e mitiga ameaças a sistemas e/ou redes internas de TI.

4

Investigar (IN)

Investiga eventos ou crimes de segurança cibernética relacionados a sistemas de TI, redes e evidências digitais.

3

Analisar (AN)

Executa revisão e avaliação altamente especializada de informações de segurança cibernética recebidas para determinar sua utilidade para inteligência.

7

Coletar e Operar (CO)

Fornece operações especializadas de negação e engano e coleta de informações de segurança cibernética que podem ser usadas para desenvolver inteligência.

6


Esta tabela mostra o amplo espectro de funções no cenário da segurança cibernética. Ao compreender essas categorias, os iniciantes podem se posicionar melhor para uma trajetória de carreira mais personalizada e informada.

Para uma compreensão abrangente da estrutura NIST-NICE e para acessar uma infinidade de recursos adaptados para iniciantes, pode-se visitar o Centro de recursos de primeiros passos da NICE .

O objetivo é explorar várias facetas da segurança cibernética e determinar onde a paixão se cruza com a proficiência. Como a segurança cibernética é um campo dinâmico, sempre há espaço para um indivíduo se movimentar, aprender e evoluir.


Torne-se amigo de hackers reais

A comunidade de segurança cibernética apoia excepcionalmente os recém-chegados. Mesmo profissionais experientes estão frequentemente abertos a compartilhar dicas e conselhos e são incrivelmente acessíveis para iniciantes. O segredo para conhecer essas pessoas é participar de eventos ao vivo.


As interações em tempo real em eventos presenciais oferecem perguntas espontâneas, discussões e a possibilidade de um entendimento mais profundo. Não se trata apenas de absorver conhecimento; trata-se também de networking. Esses locais são excelentes oportunidades para estabelecer conexões significativas, potencialmente levando a mentorias, colocações de emprego ou até mesmo projetos colaborativos. Além disso, muitos desses encontros têm desafios ao vivo ou workshops práticos onde os participantes podem colocar a teoria em prática, muitas vezes sob a orientação de um especialista.


Veja por que participar de eventos presenciais pode ser tão benéfico para um entusiasta da segurança cibernética:


  • Demonstrações de habilidades: participe diretamente de desafios ou workshops, aprimorando habilidades em tempo real.
  • Manter-se atualizado: a segurança cibernética está em constante evolução. Participe de discussões novas e inovadoras que talvez ainda não tenham alcançado a comunidade on-line mais ampla.
  • Apoio Moral: Compartilhe experiências e desafios com colegas. É reconfortante e motivador saber que outras pessoas enfrentam desafios semelhantes.


Quando se trata de locais, algumas plataformas e organizações se destacam:


  • OWASP (Open Web Application Security Project): Reconhecido por seus insights sobre vulnerabilidades da web, seus capítulos globais realizam regularmente reuniões e workshops.
  • BSides : Esses eventos voltados para a comunidade oferecem um ambiente mais aconchegante e intimista para discussões e aprendizado.
  • DEF CON : Uma das convenções de hackers, é um excelente lugar para quem deseja se aprofundar em hackers e segurança cibernética.

Ao planejar participar, aqui estão algumas dicas:


  • Envolva-se ativamente: não seja apenas um participante passivo. Envolva-se, pergunte, discuta!
  • Prepare-se: analise a programação do evento, anote as sessões de interesse e pesquise os palestrantes.
  • Acompanhamento: você se conectou com alguém interessante? Envie-lhes uma nota de agradecimento ou uma mensagem simples após o evento. Pode ser o início de um relacionamento valioso.

Portanto, se você pretende aprofundar seu conhecimento e sua rede de segurança cibernética, participar de tais eventos pode ser o trampolim para sua próxima grande oportunidade.


Participe de Desafios CTF e Hackathons

Os desafios Capture The Flag (CTF) são competições onde os participantes resolvem quebra-cabeças de segurança cibernética que vão desde criptografia até vulnerabilidades de aplicativos da web. Esses desafios oferecem aos iniciantes uma experiência prática na solução de problemas de segurança cibernética do mundo real . Por exemplo, o evento DEF CON CTF atrai anualmente um público global e tem quebra-cabeças adequados para todos os níveis de habilidade.

O envolvimento nos desafios da CTF está diretamente correlacionado com várias áreas descritas na estrutura NIST-NICE:


  • Analisar (AN): Decifrar quebra-cabeças criptográficos em CTFs aprimora as habilidades pertinentes à categoria Analisar, onde se avaliam as informações de segurança cibernética recebidas.

  • Proteger e Defender (PR): A abordagem de vulnerabilidades durante uma CTF fortalece as capacidades do participante na identificação, análise e mitigação de ameaças aos sistemas de TI, alinhando-se estreitamente com a categoria Proteger e Defender.

  • Investigar (IN): Alguns CTFs envolvem desafios forenses, alinhando-se com a categoria Investigar, onde se examinam eventos de segurança cibernética ou crimes relacionados a sistemas de TI.

  • Fornecimento seguro (SP): Enfrentar desafios em que os participantes devem proteger ou fortalecer os sistemas reflete a categoria Fornecimento seguro, enfatizando o design e a criação de sistemas de TI seguros.


Ao mergulhar nos CTFs, os iniciantes não apenas ganham uma valiosa experiência prática, mas também compreendem melhor as diferentes funções e áreas nas quais podem estar interessados, de acordo com a estrutura NICE. Ele fornece uma maneira tangível e envolvente de explorar e aprofundar competências específicas de segurança cibernética.


Participe de campanhas de recompensas por bugs

Numa campanha de recompensa por bugs, as empresas incentivam hackers éticos a encontrar e reportar vulnerabilidades nos seus sistemas. Esta prática está a tornar-se cada vez mais predominante entre as principais empresas tecnológicas, percebendo o valor do conjunto global de investigadores de segurança independentes. Por exemplo, gigantes da tecnologia como Google, Facebook, Apple, Microsoft e Twitter lançaram os seus próprios programas de recompensa de bugs, incentivando hackers éticos a identificar e divulgar de forma responsável potenciais falhas de segurança nas suas plataformas. Ao oferecer estas campanhas, estas organizações não só melhoram a segurança dos seus sistemas, mas também promovem uma relação simbiótica com a comunidade de segurança cibernética. Por exemplo:


  • O Programa de Recompensa de Vulnerabilidade (VRP) do Google recompensa pesquisadores que descobrem vulnerabilidades de segurança em produtos e serviços do Google. Os valores das recompensas podem variar de US$ 100 a mais de US$ 30.000, dependendo da gravidade da falha e do produto afetado. Em alguns casos excepcionais, foram concedidas recompensas ainda mais elevadas. O VRP do Google tem sido fundamental para garantir a segurança de produtos como Google Chrome, Android e Google Cloud Platform.
  • O Security Bounty Program da Apple convida pesquisadores de segurança a encontrar vulnerabilidades em iOS, macOS e outros softwares da Apple. Os pagamentos podem ser bastante substanciais, com recompensas para as questões mais críticas chegando a até US$ 1 milhão. Isto reflete o compromisso da Apple com a privacidade e segurança do usuário.

Plataformas como Bugcrowd, Hackerone e Intigrity também simplificaram o processo, agindo como intermediários conectando hackers éticos a organizações, incluindo aquelas que podem não ter programas independentes como Google ou Apple. Uma vez identificada e reportada uma vulnerabilidade através dessas plataformas ou diretamente às empresas com programas estabelecidos, ela passa por um processo de verificação. Se validado, o pesquisador poderá receber uma recompensa financeira, reconhecimento ou ambos.


Concentre-se no treinamento prático

Para iniciantes, existem laboratórios baseados em navegador da web. Esses laboratórios permitem que os usuários pratiquem em um ambiente controlado diretamente em seus navegadores. Embora sejam convenientes e fáceis de acessar, essas plataformas podem não replicar totalmente as complexidades e complexidades dos sistemas do mundo real. São boas ferramentas introdutórias, mas à medida que os usuários progridem em sua jornada de segurança cibernética, eles podem considerá-las menos desafiadoras.


Por outro lado, existem ambientes virtualizados que requerem acesso VPN. Essas plataformas oferecem ambientes quase idênticos às infraestruturas reais da empresa. Os cenários virtualizados são meticulosamente elaborados para emular redes, servidores e estações de trabalho do mundo real. À medida que os usuários se conectam via VPN, eles se sentem como se estivessem realmente dentro de uma rede operacional, proporcionando um nível de autenticidade que pode faltar aos laboratórios baseados em navegador da web. Este tipo de ambiente permite uma exploração mais profunda de ferramentas, táticas e procedimentos, treinando efetivamente o participante para enfrentar ameaças genuínas à segurança cibernética. O treinamento rigoroso nesses ambientes garante que os participantes estejam prontos para o trabalho e totalmente preparados para enfrentar os desafios multifacetados que poderão enfrentar em suas carreiras em segurança cibernética.


Ao vivenciar os dois tipos de treinamento, os candidatos podem apreciar o gradiente de complexidade dos desafios de segurança cibernética e aprimorar melhor suas habilidades para serem profissionais eficazes.

Aqui está uma lista de recursos práticos de treinamento em segurança cibernética gratuitos ou acessíveis para iniciantes:


  • OverTheWire : Oferece uma série de jogos de guerra projetados para ensinar os princípios de segurança, desde o básico até conceitos avançados. É um excelente ponto de partida para iniciantes que desejam aprender comandos do Linux e técnicas simples de testes de penetração.


  • Enraíze-me : esta plataforma oferece mais de 300 desafios em diferentes domínios para ajudar os usuários a melhorar suas habilidades de hacking. Ele fornece uma abordagem prática para aprender sobre segurança de rede, segurança de aplicativos da web e muito mais.


  • Academia PortSwigger : Desenvolvida pelos criadores do Burp Suite, esta academia oferece treinamento prático gratuito em segurança na web. Ele cobre uma ampla variedade de tópicos, desde vulnerabilidades básicas até avançadas da web.


  • PWNX.io : oferece cursos para iniciantes combinados com experiência de treinamento do mundo real baseada em VPN, emulando cenários genuínos de segurança cibernética.


  • PWN.colégio : uma plataforma projetada principalmente para que os alunos aprendam sobre segurança cibernética. Oferece módulos educacionais adaptados a diferentes níveis de habilidade.


  • ExperimenteHackMe : uma plataforma online que auxilia no aprendizado em segurança cibernética por meio de laboratórios virtuais práticos. Seus desafios gamificados variam do básico ao mais avançado, atendendo a usuários de todos os níveis de habilidade.


  • Hackear a caixa: Uma plataforma que oferece diversos laboratórios e desafios de segurança cibernética. Embora atenda a usuários de todos os níveis de habilidade, alguns dos desafios podem ser muito avançados, tornando-o ideal para quem busca progredir além do básico.


  • Segurança TCM: A TCM Security oferece cursos individualizados de segurança cibernética que cobrem tópicos como testes de penetração, treinamento em segurança e conformidade. Além disso, fornecem certificações que ganham cada vez mais reputação no setor.


Os recursos mencionados acima representam apenas um retrato das muitas ferramentas e plataformas que ganharam atenção e apreciação na comunidade de segurança cibernética. O domínio do treinamento em segurança cibernética é vasto e a lista de recursos valiosos vai muito além do que é fornecido aqui. Além disso, existem vários projetos de código aberto e outros conteúdos disponíveis online que podem ser fundamentais para melhorar a jornada de aprendizagem de alguém.


Fóruns e sites especializados, que detalharei no próximo parágrafo, podem ser inestimáveis para descobrir avaliações ou comentários de outros membros da comunidade. Esse feedback fornece insights sobre a qualidade de novos recursos que são lançados constantemente.


Aproveite as mídias sociais e os fóruns para encontrar um mentor

No vasto domínio da segurança cibernética, a orientação de alguém experiente pode fazer toda a diferença. Plataformas como o LinkedIn podem ser particularmente benéficas, não apenas para networking, mas também para identificar potenciais mentores. Ao revisar cuidadosamente os perfis, ingressar em grupos relevantes e participar ativamente das discussões, você pode mostrar seu entusiasmo e chamar a atenção de profissionais experientes dispostos a orientar os recém-chegados.


Discord, uma plataforma inicialmente criada para jogadores, tornou-se um centro para várias comunidades profissionais.


Fóruns e sites especializados ampliam ainda mais a oportunidade:


  • Comunidades de segurança cibernética do Reddit: plataformas como Cibersegurança do Reddit e NetSec os subreddits estão repletos de profissionais e entusiastas discutindo as últimas tendências, desafios e soluções de segurança. O Alunos Netsec O subreddit é especialmente projetado para estudantes e iniciantes, promovendo um espaço estimulante para dúvidas e orientações.

  • Fóruns de segurança Wilders: mergulhe profundamente nas discussões sobre privacidade online, segurança e proteção de dados em Fóruns de segurança Wilders . A vasta gama de tópicos e postagens significa uma comunidade dedicada, tornando-a um recurso inestimável para todos os tópicos relacionados à segurança cibernética.

  • MalwareTips e fóruns anti-online: sites como Dicas sobre malware e Anti-on-line são comunidades vibrantes onde é possível participar de discussões aprofundadas sobre diversas facetas da segurança, desde ameaças de malware até segurança de rede.

  • Comunidade Bleeping Computer e Spiceworks: Fóruns como Computador bipando e a Fórum de segurança Spiceworks dedicam-se a discussões abrangentes relacionadas à segurança, desde firewalls e VPNs até gerenciadores de senhas e ataques de malware.

  • Hacklido: Uma plataforma única, Hacklido é onde os hackers mais brilhantes se reúnem para compartilhar conhecimentos, experiências e orientações. É uma rica fonte de insights práticos e exemplos do mundo real.


Ao envolver-se ativamente nestes fóruns e comunidades, não só é possível expandir o seu conhecimento, mas também construir ligações significativas. À medida que você participa e contribui, as chances de conhecer mentores em potencial que reconheçam sua paixão e dedicação aumentam significativamente. Lembre-se de que a orientação em segurança cibernética não envolve apenas aprender o básico; trata-se de orientação, feedback e compreensão das nuances do mundo da proteção digital em rápida evolução.


Faça uso de ferramentas gratuitas

Ao embarcar em sua jornada de segurança cibernética, é essencial se familiarizar com a infinidade de ferramentas gratuitas disponíveis. Essas ferramentas, amplamente reconhecidas e utilizadas por profissionais da área, podem aumentar significativamente sua experiência de aprendizagem:


  • Wireshark:

    • Descrição: Um analisador de pacotes de código aberto, o Wireshark permite aos usuários ver o que está acontecendo em sua rede em um nível microscópico. É amplamente utilizado para solução de problemas de rede, análise, desenvolvimento de software e protocolo de comunicação e educação.
    • Recurso: A ferramenta vem com uma variedade de documentação oficial e guias para ajudar os recém-chegados a compreender suas funcionalidades.
  • OWASP ZAP (proxy de ataque Zed):

    • Descrição: Desenvolvido pelo OWASP (Open Web Application Security Project), o ZAP é um scanner de segurança de aplicativos da web gratuito e de código aberto. Ajuda a encontrar vulnerabilidades de segurança em aplicativos da web enquanto você os desenvolve e testa.
    • Recurso: Novos usuários podem se beneficiar dos recursos da ferramenta documentação oficial e vários guias contribuídos pela comunidade.
  • Edição da comunidade Metasploit:

    • Descrição: Parte do Projeto Metasploit, esta edição é uma ferramenta gratuita de teste de penetração que ajuda a verificar vulnerabilidades e gerenciar avaliações de segurança. Ajuda na descoberta, análise e exploração de vulnerabilidades.
    • Recurso: Metasploit fornece uma infinidade de tutoriais e guias do usuário para diversas funcionalidades.
  • Bufar:

    • Descrição: Como um sistema de prevenção de intrusões de rede (NIPS) e sistema de detecção de intrusões (IDS) de código aberto, o Snort é especialista em realizar análises de tráfego e registro de pacotes em tempo real.
    • Recurso: Iniciantes podem encontrar documentação extensa e uma comunidade de usuários no Site oficial do Snort .
  • OpenVAS (Sistema Aberto de Avaliação de Vulnerabilidade):

    • Descrição: OpenVAS é um scanner de vulnerabilidades completo que vem com vários testes e oferece atualizações para as vulnerabilidades mais recentes. Ele auxilia na identificação de problemas em sistemas e aplicativos.
    • Recurso: A comunidade OpenVAS fornece um conjunto abrangente de documentação para apoiar novos usuários na compreensão e maximização dos recursos da ferramenta.
  • KaliLinux:

    • Descrição: Kali Linux é uma distribuição Linux baseada em Debian voltada para testes de penetração avançados e auditoria de segurança. Ele vem pré-instalado com centenas de ferramentas de segurança integradas, tornando-o um produto básico na comunidade de segurança cibernética.
    • Recurso: Para aqueles que são novos em Kali, o documentação oficial oferece orientação abrangente, desde a instalação até a utilização de sua vasta gama de ferramentas.


Aproveitar os recursos dessas ferramentas não apenas dá aos iniciantes uma compreensão prática de vários domínios de segurança cibernética, mas também fornece uma abordagem prática para combater ameaças potenciais. Lembre-se de explorar a documentação e os tutoriais associados a cada ferramenta, pois eles geralmente contêm uma riqueza de conhecimentos e práticas recomendadas.


Potencial inexplorado e necessidade de orientação

Embora existam autodidatas que conseguem ligar os pontos por conta própria, um grande número de talentos emergentes ainda não fazem parte do ecossistema de segurança cibernética , principalmente porque lhes falta orientação inicial. Ao fornecer orientação prática e direcionada, podemos ajudar a preparar o caminho para uma nova geração de profissionais de segurança cibernética prontos para enfrentar os desafios e oportunidades que este campo em rápida evolução tem para oferecer.


A aprendizagem estruturada pode ser alcançada de várias maneiras, e este guia pretende oferecer uma perspectiva alternativa, vinda de um profissional de segurança cibernética não tradicional que teve a oportunidade única de aprender com hackers genuínos.