paint-brush
Вы не учитесь в одиночку: структурированное руководство для новичков в области кибербезопасностик@davidecarmeci
13,652 чтения
13,652 чтения

Вы не учитесь в одиночку: структурированное руководство для новичков в области кибербезопасности

к Davide Carmeci12m2023/11/11
Read on Terminal Reader

Слишком долго; Читать

Погрузитесь в целостное руководство по кибербезопасности, в котором рассказывается о практическом обучении для начинающих, значении наставничества и списке бесплатных инструментов. Независимо от того, являетесь ли вы новичком или прогрессируете, это руководство гарантирует, что вы хорошо подготовлены к развивающейся среде цифровой безопасности.
featured image - Вы не учитесь в одиночку: структурированное руководство для новичков в области кибербезопасности
Davide Carmeci HackerNoon profile picture
0-item



Присоединение к сфере кибербезопасности в качестве стороннего специалиста без технического образования стало для меня преобразующим путешествием. Что меня сразу поразило в этой отрасли, так это ее неустанный темп и волнующие вызовы, которые она постоянно ставит. Общаясь с профессионалами в этой области, я был воодушевлен их огромной поддержкой новичков, которые искренне проявили желание учиться. Однако я быстро обнаружил преобладающее мнение: от новичков ожидается, что они будут независимыми самообучающимися. Это может быть пугающим ожиданием, особенно если учесть, что многие потенциальные новички в сфере кибербезопасности по своей сути не являются самообучителями. Хотя врожденное любопытство, несомненно, является ценной чертой, важно понимать, что многим людям, даже тем, у кого огромный потенциал, нужна структурированная структура, чтобы сделать свои первые шаги в этой обширной области.


За последние несколько лет был достигнут значительный прогресс в заполнении дефицита кадров в отрасли. Однако по состоянию на 2023 год, согласно исследованию ISC2 Cybersecurity Workforce Study , в сфере кибербезопасности во всем мире было создано 440 000 новых рабочих мест (рост на 8,7% в годовом исчислении), но ошеломляющие 4 миллиона должностей остались незаполненными (рост на 12,6% в годовом исчислении). . Этот огромный разрыв является результатом несоответствия между потребностями работодателей в опытных специалистах и реальной нехваткой таких специалистов.


Решение этой нехватки кадров заключается в сосредоточении внимания на ранних этапах карьеры потенциальных специалистов по кибербезопасности, особенно молодых студентов. Как сообществу, крайне важно, чтобы мы снабдили молодежь инструментами, необходимыми для изучения кибербезопасности как жизнеспособного варианта карьеры. Ключевым моментом является предложение структурированных, практичных и доступных путей обучения. Ниже приведены некоторые шаги и примеры того, как это сделать.


Структуры обучения, такие как NIST-NICE

Структура NIST-NICE делит работу в области кибербезопасности на семь категорий высокого уровня: анализ, сбор и эксплуатация, расследование, эксплуатация и обслуживание, надзор и управление, защита и защита и безопасное обеспечение. Каждая категория дополнительно разделена на области специализации и рабочие роли, что обеспечивает комплексную схему карьерного роста.

Таблица 1. Категории рабочих ролей NICE Framework

Категория

Описание

Количество рабочих ролей

Безопасное предоставление (SP)

Концептуализирует, проектирует, закупает и/или создает безопасные ИТ-системы. Отвечает за аспекты развития системы и/или сети.

11

Эксплуатация и обслуживание (OM)

Обеспечивает поддержку, администрирование и обслуживание, необходимые для обеспечения эффективной и результативной работы и безопасности ИТ-систем.

7

Надзор и управление (OV)

Обеспечивает лидерство, управление, руководство или развитие и пропаганду, чтобы организация могла эффективно проводить работу по кибербезопасности.

14

Защити и защити (PR)

Выявляет, анализирует и устраняет угрозы внутренним ИТ-системам и/или сетям.

4

Расследование (IN)

Расследует события или преступления в области кибербезопасности, связанные с ИТ-системами, сетями и цифровыми доказательствами.

3

Анализировать (АН)

Выполняет узкоспециализированный анализ и оценку поступающей информации о кибербезопасности, чтобы определить ее полезность для разведки.

7

Собирайте и эксплуатируйте (CO)

Обеспечивает специализированные операции по отрицанию и обману, а также сбор информации о кибербезопасности, которая может быть использована для сбора разведывательной информации.

6


Эта таблица демонстрирует широкий спектр ролей в сфере кибербезопасности. Понимая эти категории, новички могут лучше подготовиться к более индивидуальной и осознанной карьерной траектории.

Чтобы получить полное представление о структуре NIST-NICE и получить доступ к множеству ресурсов, предназначенных для начинающих, можно посетить Ресурсный центр NICE по началу работы .

Цель — изучить различные аспекты кибербезопасности и определить, где страсть пересекается с мастерством. Поскольку кибербезопасность — это динамичная область, у человека всегда есть возможность меняться, учиться и развиваться.


Подружитесь с настоящими хакерами

Сообщество кибербезопасности исключительно поддерживает новичков. Даже опытные профессионалы часто готовы поделиться советами и советами и невероятно доступны новичкам. Секрет знакомства с этими людьми заключается в посещении живых мероприятий.


Взаимодействие в режиме реального времени на личных мероприятиях предлагает спонтанные вопросы, дискуссии и возможность более глубокого понимания. Речь идет не только о впитывании знаний; это также о сети. Эти площадки предоставляют прекрасную возможность для установления значимых связей, потенциально ведущих к наставничеству, трудоустройству или даже к совместным проектам. Кроме того, на многих таких собраниях проводятся живые соревнования или практические семинары, на которых участники могут применить теорию на практике, часто под руководством эксперта.


Вот почему посещение очных мероприятий может быть настолько полезным для энтузиаста кибербезопасности:


  • Демонстрация навыков: принимайте непосредственное участие в соревнованиях или семинарах, оттачивая навыки в реальном времени.
  • Будьте в курсе: Кибербезопасность постоянно развивается. Примите участие в свежих, передовых дискуссиях, которые, возможно, еще не дошли до широкого онлайн-сообщества.
  • Моральная поддержка: делитесь опытом и проблемами со сверстниками. Приятно и мотивирую знать, что другие сталкиваются с похожими проблемами.


Когда дело доходит до площадок, выделяются некоторые платформы и организации:


  • OWASP (Проект безопасности открытых веб-приложений): его глобальные отделения, известные своим пониманием веб-уязвимостей, регулярно проводят встречи и семинары.
  • BSides : Эти мероприятия, проводимые сообществом, предлагают более уютную и интимную обстановку для дискуссий и обучения.
  • DEF CON : Один из хакерских съездов. Это отличное место для тех, кто хочет глубоко погрузиться в хакерство и кибербезопасность.

Планируя участие, вот несколько советов:


  • Принимайте активное участие: не будьте просто пассивным участником. Присоединяйтесь, спрашивайте, обсуждайте!
  • Подготовьтесь: просмотрите расписание мероприятия, запишите интересующие его сессии и изучите спикеров.
  • Продолжение: Вы познакомились с кем-то интересным? Напишите им благодарственное письмо или простое сообщение после мероприятия. Это может стать началом ценных отношений.

Итак, если вы стремитесь углубить свои знания и сеть в области кибербезопасности, посещение таких мероприятий может стать ступенькой к вашей следующей большой возможности.


Участвуйте в конкурсах и хакатонах CTF.

Задачи Capture The Flag (CTF) — это соревнования, в которых участники решают головоломки кибербезопасности, начиная от криптографии и заканчивая уязвимостями веб-приложений. Эти задачи предлагают новичкам практический опыт решения реальных проблем кибербезопасности . Например, мероприятие DEF CON CTF ежегодно привлекает глобальную аудиторию и предлагает головоломки, подходящие для всех уровней навыков.

Участие в решении проблем CTF напрямую коррелирует с несколькими областями, изложенными в рамках NIST-NICE:


  • Анализ (AN): расшифровка криптографических головоломок в CTF оттачивает навыки, относящиеся к категории «Анализ», где оценивается поступающая информация о кибербезопасности.

  • Защита и защита (PR). Устранение уязвимостей во время CTF расширяет возможности участника в выявлении, анализе и смягчении угроз для ИТ-систем, что тесно связано с категорией «Защита и защита».

  • Расследование (IN): некоторые CTF связаны с криминалистическими проблемами, что соответствует категории «Расследование», где исследуются события кибербезопасности или преступления, связанные с ИТ-системами.

  • Безопасное обеспечение (SP): Решение задач, в которых участники должны защищать или укреплять системы, отражает категорию «Безопасное обеспечение», уделяя особое внимание проектированию и созданию безопасных ИТ-систем.


Погружаясь в CTF, новички не только получают ценный практический опыт, но и лучше понимают различные роли и области, которые могут их заинтересовать в рамках NICE. Он предоставляет реальный и увлекательный способ изучения и углубления конкретных навыков в области кибербезопасности.


Присоединяйтесь к кампаниям Bug Bounty

В рамках кампании по вознаграждению за обнаружение ошибок компании стимулируют этических хакеров находить и сообщать об уязвимостях в их системах. Эта практика становится все более распространенной среди ведущих технологических компаний, осознающих ценность глобального пула независимых исследователей безопасности. Например, такие технологические гиганты, как Google, Facebook, Apple, Microsoft и Twitter, запустили свои собственные программы вознаграждения за обнаружение ошибок, поощряя этических хакеров выявлять и ответственно раскрывать потенциальные недостатки безопасности в своих платформах. Предлагая эти кампании, эти организации не только повышают безопасность своих систем, но и способствуют симбиотическим отношениям с сообществом кибербезопасности. Например:


  • Программа вознаграждения за уязвимости Google (VRP) вознаграждает исследователей, которые обнаруживают уязвимости безопасности в продуктах и услугах Google. Сумма их вознаграждения может варьироваться от 100 до более 30 000 долларов США, в зависимости от серьезности ошибки и затронутого продукта. В некоторых исключительных случаях присуждались еще более высокие награды. VRP от Google сыграл важную роль в обеспечении безопасности таких продуктов, как Google Chrome, Android и Google Cloud Platform.
  • Программа Apple Security Bounty приглашает исследователей безопасности находить уязвимости в iOS, macOS и другом программном обеспечении Apple. Выплаты могут быть весьма существенными: вознаграждения за наиболее важные проблемы достигают 1 миллиона долларов. Это отражает приверженность Apple обеспечению конфиденциальности и безопасности пользователей.

Такие платформы, как Bugcrowd, Hackerone и Intigrity, также упростили этот процесс, выступая в качестве посредников, связывающих этических хакеров с организациями, в том числе с теми, которые могут не иметь независимых программ, таких как Google или Apple. Как только уязвимость обнаружена и о ней сообщается через эти платформы или непосредственно компаниям с установленными программами, она подвергается процессу проверки. В случае подтверждения исследователь может получить финансовое вознаграждение, признание или и то, и другое.


Сосредоточьтесь на практическом обучении

Для новичков существуют лабораторные занятия на базе веб-браузера. Эти лаборатории позволяют пользователям практиковаться в контролируемой среде прямо в своих браузерах. Хотя эти платформы удобны и просты в доступе, они могут не полностью воспроизводить сложности и тонкости реальных систем. Это хорошие вводные инструменты, но по мере того, как пользователи продвигаются в своем путешествии по кибербезопасности, они могут показаться им менее сложными.


С другой стороны, существуют виртуализированные среды, требующие доступа VPN. Эти платформы предлагают среды, практически идентичные реальной инфраструктуре компании. Виртуализированные сценарии тщательно разработаны для имитации реальных сетей, серверов и рабочих станций. Когда пользователи подключаются через VPN, они чувствуют себя так, как будто они действительно находятся внутри действующей сети, обеспечивая уровень аутентичности, которого может не хватать в лабораториях с использованием веб-браузера. Среда такого типа позволяет более глубоко изучить инструменты, тактики и процедуры, эффективно обучая участников бороться с реальными угрозами кибербезопасности. Тщательное обучение в этих условиях гарантирует, что участники готовы к работе и полностью подготовлены к решению многогранных задач, с которыми они могут столкнуться в своей карьере в области кибербезопасности.


Пройдя оба типа обучения, кандидаты смогут оценить степень сложности задач кибербезопасности и лучше отточить свои навыки, чтобы стать эффективными профессионалами.

Вот список бесплатных или доступных практических учебных ресурсов по кибербезопасности для начинающих:


  • OverTheWire : представляет собой серию военных игр, предназначенных для обучения принципам безопасности от основ до продвинутых концепций. Это отличная отправная точка для новичков, желающих изучить команды Linux и простые методы тестирования на проникновение.


  • Укоренить меня : Эта платформа предлагает более 300 задач в разных областях, чтобы помочь пользователям улучшить свои навыки взлома. Он обеспечивает практический подход к изучению сетевой безопасности, безопасности веб-приложений и многого другого.


  • Академия ПортСвиггера : эта академия, разработанная создателями Burp Suite, предлагает бесплатное практическое обучение веб-безопасности. Он охватывает широкий спектр тем, от базовых до сложных веб-уязвимостей.


  • PWNX.io : предоставляет курсы для начинающих в сочетании с практическим опытом обучения на основе VPN, имитирующим реальные сценарии кибербезопасности.


  • PWN.колледж : Платформа, предназначенная в первую очередь для студентов, желающих узнать о кибербезопасности. Он предлагает образовательные модули, адаптированные для разных уровней навыков.


  • ПопробуйтеHackMe : онлайн-платформа, которая помогает изучать кибербезопасность посредством практических виртуальных лабораторий. Его геймифицированные задачи варьируются от самых базовых до более сложных и подходят для пользователей всех уровней навыков.


  • Взломайте коробку: Платформа, которая предоставляет различные лаборатории и задачи по кибербезопасности. Хотя он подходит для пользователей всех уровней квалификации, некоторые задачи могут быть очень сложными, что делает его идеальным для тех, кто хочет выйти за рамки основ.


  • ТКМ Безопасность: TCM Security предлагает курсы по кибербезопасности для самостоятельного обучения, которые охватывают такие темы, как тестирование на проникновение, обучение безопасности и соблюдение требований. Кроме того, они предоставляют сертификаты, которые все больше завоевывают репутацию в отрасли.


Упомянутые выше ресурсы представляют собой лишь краткий обзор многих инструментов и платформ, которые завоевали внимание и признание в сообществе кибербезопасности. Область обучения кибербезопасности обширна, и список ценных ресурсов выходит далеко за рамки того, что представлено здесь. Кроме того, в Интернете доступно множество проектов с открытым исходным кодом и другой контент, который может способствовать улучшению процесса обучения.


Специализированные форумы и веб-сайты, о которых я подробно расскажу в следующем абзаце, могут оказаться неоценимыми в поиске отзывов и отзывов других членов сообщества. Эта обратная связь дает представление о качестве новых ресурсов, которые постоянно выпускаются.


Используйте социальные сети и форумы, чтобы найти наставника

В обширной сфере кибербезопасности руководство опытного человека может иметь решающее значение. Такие платформы, как LinkedIn, могут быть особенно полезны не только для налаживания связей, но и для поиска потенциальных наставников. Внимательно просматривая профили, присоединяясь к соответствующим группам и активно участвуя в обсуждениях, вы можете продемонстрировать свое рвение и привлечь внимание опытных специалистов, готовых помочь новичкам.


Discord, платформа, изначально созданная для геймеров, превратилась в центр различных профессиональных сообществ.


Специализированные форумы и веб-сайты еще больше расширяют возможности:


  • Сообщества Reddit по кибербезопасности: такие платформы, как Кибербезопасность Reddit и Нетсек Сабреддиты переполнены профессионалами и энтузиастами, обсуждающими последние тенденции, проблемы и решения в области безопасности. Нетсекстуденты Subreddit специально разработан для студентов и новичков, создавая благоприятное пространство для вопросов и рекомендаций.

  • Форумы по безопасности Wilders: погрузитесь в дискуссии о конфиденциальности, безопасности и защите данных в Интернете на Форумы по безопасности Вилдерса . Широкий спектр тем и сообщений означает преданное делу сообщество, что делает его бесценным ресурсом по всем темам, связанным с кибербезопасностью.

  • MalwareTips и Antionline Forums: такие сайты, как Советы по вредоносному ПО и Антионлайн — это динамичные сообщества, где можно участвовать в углубленных дискуссиях по различным аспектам безопасности, от угроз вредоносного ПО до сетевой безопасности.

  • Сообщество Bleeping Computer и Spiceworks: такие форумы, как Пипящий компьютер и Форум безопасности Spiceworks посвящены всесторонним обсуждениям, связанным с безопасностью, от брандмауэров и VPN до менеджеров паролей и атак вредоносных программ.

  • Хаклидо: уникальная платформа, Хаклидо здесь собираются самые талантливые хакеры, чтобы поделиться знаниями, опытом и рекомендациями. Это богатый источник практических идей и примеров из реальной жизни.


Активно участвуя в этих форумах и сообществах, можно не только расширить свои знания, но и построить значимые связи. По мере того, как вы участвуете и вносите свой вклад, шансы встретить потенциальных наставников, которые признают вашу страсть и преданность делу, значительно возрастают. Помните, наставничество в области кибербезопасности – это не просто изучение основ; речь идет о руководстве, обратной связи и понимании нюансов быстро развивающегося мира цифровой защиты.


Используйте бесплатные инструменты

Отправляясь в путешествие по кибербезопасности, важно ознакомиться с множеством доступных бесплатных инструментов. Эти инструменты, широко признанные и используемые профессионалами в этой области, могут значительно улучшить ваш опыт обучения:


  • Вайршарк:

    • Описание: Анализатор пакетов с открытым исходным кодом Wireshark позволяет пользователям видеть, что происходит в их сети на микроскопическом уровне. Он широко используется для устранения неполадок в сети, анализа, разработки программного обеспечения и протоколов связи, а также обучения.
    • Ресурс: Инструмент поставляется с рядом официальная документация и руководства чтобы помочь новичкам понять его функциональные возможности.
  • OWASP ZAP (прокси-сервер Zed Attack):

    • Описание: Разработанный OWASP (Open Web Application Security Project), ZAP — это бесплатный сканер безопасности веб-приложений с открытым исходным кодом. Это помогает находить уязвимости безопасности в веб-приложениях во время их разработки и тестирования.
    • Ресурс: Новые пользователи могут извлечь выгоду из этого инструмента. официальная документация и различные руководства, предоставленные сообществом.
  • Metasploit Community Edition:

    • Описание: Эта версия является частью проекта Metasploit и представляет собой бесплатный инструмент для тестирования на проникновение, который помогает проверять уязвимости и управлять оценками безопасности. Это помогает в обнаружении, анализе и эксплуатации уязвимостей.
    • Ресурс: Metasploit предоставляет множество учебные пособия и руководства пользователя для различных функций.
  • Фыркнул:

    • Описание: Являясь системой предотвращения вторжений в сеть (NIPS) и системой обнаружения вторжений (IDS) с открытым исходным кодом, Snort умеет выполнять анализ трафика в реальном времени и регистрацию пакетов.
    • Ресурс: Новички могут найти обширную документацию и сообщество пользователей на Официальный сайт Snort .
  • OpenVAS (Открытая система оценки уязвимостей):

    • Описание: OpenVAS — это полнофункциональный сканер уязвимостей, который включает в себя множество тестов и предлагает обновления для последних уязвимостей. Он помогает выявлять проблемы в системах и приложениях.
    • Ресурс: Сообщество OpenVAS предоставляет полный комплект документации для поддержки новых пользователей в понимании и максимальном использовании возможностей инструмента.
  • Кали Линукс:

    • Описание: Kali Linux — это дистрибутив Linux на базе Debian, предназначенный для расширенного тестирования на проникновение и аудита безопасности. Он поставляется с предустановленными сотнями интегрированных инструментов безопасности, что делает его основным продуктом в сообществе кибербезопасности.
    • Ресурс: Для новичков в Кали: официальная документация предлагает комплексное руководство, начиная от установки и заканчивая использованием огромного набора инструментов.


Использование возможностей этих инструментов не только дает новичкам практическое понимание различных областей кибербезопасности, но также обеспечивает практический подход к борьбе с потенциальными угрозами. Не забудьте изучить соответствующую документацию и учебные пособия для каждого инструмента, поскольку они часто содержат богатые знания и передовой опыт.


Неиспользованный потенциал и необходимость руководства

Хотя есть самообучающиеся, которым удается самостоятельно соединить точки, огромное количество подающих надежды талантов еще не являются частью экосистемы кибербезопасности , главным образом потому, что им не хватает начального руководства. Предоставляя целевые и практические рекомендации, мы можем помочь проложить путь новому поколению профессионалов в области кибербезопасности, готовых принять вызовы и возможности, которые может предложить эта быстро развивающаяся область.


Структурированное обучение может быть достигнуто различными способами, и это руководство призвано предложить альтернативную точку зрения, исходящую от нетрадиционного профессионала в области кибербезопасности, который имел уникальную возможность учиться у настоящих хакеров.