it-swarm-es.com

Recursos para aprender sobre seguridad

Actualmente estoy terminando una licenciatura en ciencias de la computación, pero sé muy poco sobre seguridad informática.

¿Cuáles son algunos buenos recursos (aparte de este sitio) para aprender los fundamentos de la seguridad. Me doy cuenta de que los buenos recursos probablemente variarán dependiendo específicamente de qué tipo de seguridad se busca cada uno.

He visto este COMO de seguridad de Linux: http://tldp.org/HOWTO/Security-HOWTO/index.html

La pregunta puede reformularse: si se viera obligado a emplear a alguien en mi situación (algoritmos de conocimiento sólidos/estructuras de datos, algunos lenguajes y diferentes paradigmas de programación y conocimiento básico de Unix), ¿qué haría que leyeran/aprendieran?

28
oadams

Esa es una pregunta difícil de responder, porque la "Seguridad informática" es un campo muy amplio:

Si está buscando solo cosas generales de seguridad informática, comenzaría a seguir Richard Bejtlich , autor de un par de libros forenses y de seguridad de redes muy buenos, pero también se ocupa de la mentalidad filosófica de la seguridad informática --Por ejemplo, del ¡Tao de Network Security Monitoring:

La seguridad es el proceso de mantener un nivel aceptable de riesgo percibido . Un ex director de educación de la Asociación Internacional de Seguridad Informática, Dr. Mitch Kabay, escribió en 1998 que "la seguridad es un proceso, no un estado final". Ninguna organización puede considerarse "segura" por ningún tiempo más allá de la última verificación de cumplimiento de su política de seguridad. Si su gerente le pregunta: "¿Estamos seguros?" deberías responder: "Déjame comprobar". Si él o ella pregunta: "¿Estaremos seguros mañana?" debes responder: "No sé". Tal honestidad no será popular, pero esta mentalidad producirá un mayor éxito para la organización a largo plazo ”.

También recomendaría Bruce Schneier , y la mayoría de recursos SANS .

-Josh

13
Josh Brower

Recomiendo encarecidamente Ross Anderson Ingeniería de seguridad . La primera y segunda edición están disponibles como PDF de forma gratuita en el enlace anterior.

Del Capítulo 1:

La ingeniería de seguridad se trata de construir sistemas para que sigan siendo confiables ante la malicia, el error o la desgracia. Como disciplina, se enfoca en las herramientas, procesos y métodos necesarios para diseñar, implementar y probar sistemas completos, y para adaptar los sistemas existentes a medida que evoluciona su entorno.

7
Peter K.

Lado de la comunidad: IRC es tu amigo, imo. De lo contrario, me gustan esos:

Sobre los recursos escritos, encontré extremadamente útil el sección de seguridad del Manual de FreeBSD. La seguridad informática es un panorama enorme, depende de lo que esté buscando.

6
gbr

Como dijiste, realmente depende de a qué campo de seguridad te refieras ...
Si está buscando información de seguridad de la aplicación, vaya directamente a OWASP . Comience allí, muchos lugares para ir después.

5
AviD

Hay una variedad de organizaciones que no emplearán directamente en funciones de consultoría de seguridad o auditoría de seguridad a menos que pueda demostrar una sólida experiencia de TI. Esto ayuda a construir una visión más completa y práctica de la seguridad en un entorno operacional del mundo real, mientras que a veces, cuando he contratado a nuevos graduados de títulos de seguridad, me han exigido tanta capacitación para que sus ideas de seguridad bajen de un "ideal". 'pero posición inviable a un nivel práctico.

Ejemplos de áreas que he contratado con más éxito: redes y firewalls (Cisco, Checkpoint, Telecoms, etc.), grados en informática, grados de seguridad y forenses.

Y mi entrenamiento más útil para ellos: en el trabajo con un profesional experimentado, primero en roles de auditoría y luego en consultoría.

5
Rory Alsop

Hay una gran variedad de libros sobre seguridad de la información disponibles de forma gratuita. ¡Un simple google haría el trato en caso de que tenga los temas necesarios!

De aquí en adelante mi recomendación personal como imprescindible para ingresar a ese mundo:

  • Cómo integrar la seguridad en el ciclo de vida del desarrollo de software. Obtendría el Microsoft SDL (que consumiría parte de su tiempo para leerlo y familiarizarse con cada tema por separado), Building Security In (por ejemplo, BSIMM ...) , requisitos de seguridad, programación segura ... Con eso debe cubrir (como me referí a la importancia de los subtemas) prueba de seguridad, prueba de fuzz, revisión de código, ...

  • Por otro lado, necesitaría aprender las soluciones de seguridad específicas de la tecnología, como seguridad para marcos html ..., modelos de control de acceso desde la capa de aplicación hasta DBMS, protocolos de seguridad y por qué se usan, seguridad para tecnologías web y para servicios web RESTful o SOAP servicios web basados.

  • Propiedades de seguridad ofrecidas por frameworks e IDEs, .Net framework, ...

Intente buscar estos en Google, en caso de que no pueda obtener un enlace útil, podría proporcionarlo solo déjeme un comentario.

3
Phoenician-Eagle

Safari Books Online: http://www.safaribooksonline.com/

Los más vendidos de Amazon en seguridad informática y encriptación: http://www.Amazon.com/gp/bestsellers/books/377560011/

3
Tate Hansen

NYU: Poly tiene todo su curso de seguridad sobre pruebas de lápiz en línea: Pruebas de penetración y análisis de vulnerabilidad

3
Andreas Arnold

La mejor manera de aprender es divertirse haciéndolo. Es por eso que me gustaban los "juegos de guerra" o los desafíos de piratería.

Verificaría: http://hackquest.com/

Y también:

http://www.slavehack.com/

http://www.overthewire.org/wargames/

Para videos tutoriales y conferencias uso:

http://securitytube.net/

3
Chris Dale

Aprender a asegurar algo significa que entiendes, en un nivel profundo, cómo funciona esa cosa y cuáles son sus debilidades. La evaluación de riesgos también es una gran parte.

Estoy seguro de que hay muchos enlaces a sitios de seguridad, listas de correo y libros, pero todo se reduce a comprender las debilidades del sistema y evaluar las posibles amenazas.

En general, el mejor recurso para asegurar algo será ese manual de cosas y su propio pensamiento crítico.

3
jhayes

Tienes muchas sugerencias de la gente generosa de security.stackexchnage. Sin embargo, también estoy compartiendo una gran fuente para aprender sobre seguridad informática. Es http://opensecuritytraining.info/ , los tutoriales aquí aclararán la mayoría de sus conceptos básicos y estará listo para seguir adelante.

Aparte de eso, te sugiero que busques en los archivos de varias conferencias de piratería, como

0
Fennec