it-swarm-es.com

Veo las habilidades de seguridad de nivel de entrada como un problema para la industria: ¿qué podemos hacer al respecto?

De acuerdo, empujamos a las corporaciones para mejorar la seguridad y brindar capacitación al personal de TI y presentaciones de sensibilización a los CEO, etc., pero cada año se ingresa un nuevo grupo de graduados a las empresas cuando otros se van, y generalmente tienen una de dos perspectivas:

  1. seguridad?
  2. fascista de seguridad!

Una de las cosas que algunos de nosotros estamos tratando de hacer en Escocia es facilitar sesiones de capacitación para estudiantes (conferencias, talleres, prácticas de verano) por parte de compañías (bancos, fuerzas del orden público, etc.), pero hay una verdadera lucha para comprar, a pesar de que las empresas están ofreciendo sus recursos de forma gratuita (bueno, entienden los beneficios para ellos de obtener graduados con algo de experiencia) y organizaciones como Chartered Institute of Information Security patrocinan a muchos de nosotros para brindar capacitación en Muchas áreas como sea posible.

¿Qué podríamos hacer para mejorar esto? No solo en Escocia, sino en todas partes, ya que debería ser relevante para todos ... el problema no va a desaparecer, de hecho se está agravando, pero las empresas no lo toman en serio hasta que son golpeados gravemente, e incluso solo hasta que los periódicos se dirigen a otra persona.

Las empresas tienen políticas de seguridad, pero ¿tienen una cultura de arriba a abajo? "No" es la respuesta fácil. Tratamos de arreglar la cultura en la parte superior, pero generalmente eso es un gran esfuerzo sin retorno, ¿podemos entrar en la parte inferior? Educar a los estudiantes y nuevos graduados!

El problema es, por supuesto, que los estudiantes no quieren escuchar acerca de la seguridad, ya que va en contra del espíritu estudiantil habitual :-)

[editar - a menos que estén tomando un curso de seguridad, como @ D.W. señaló, pero de ahí es de donde obtenemos muchos de los fascistas de seguridad: exageración en la seguridad, falta de enfoque en el mundo real, menos que escenarios ideales]

Entonces

  • ¿Qué les interesa a los estudiantes y graduados?
  • ¿Qué funcionaría en su empresa/universidad/organización?
  • ¿Cuál es la mayor victoria para ti?
  • ¿Qué estás harto de escuchar?
  • ¿Su organización tiene una solución alternativa? ¿acerca de?

Si tiene puntos clave de aprendizaje que cree que son apropiados para la comunidad, ¡hagámoslos llegar a la comunidad!

----------- Recompensa añadida. 2 respuestas realmente buenas, pero realmente agradecería muchos más puntos de vista, tal como lo veo, y el problema asociado (Cómo educar a los CEO, etc. sobre seguridad) como cosas esenciales para mejorar.

29
Rory Alsop

Una de las cosas que más me han impresionado en los últimos años es el nuevo enfoque en la seguridad como un equilibrio entre costo y riesgo. No se debe implementar una solución de seguridad si el costo excede el riesgo de explotación, y tanto los costos como los riesgos pueden ser difíciles de diagnosticar.

Lo que más me gusta de este concepto central es que básicamente exige la idea de que no existe una solución de "talla única". Diseñar la seguridad es tanto un oficio como diseñar una solución o una parte de software. Ofrece un punto medio entre (1) despistado y (2) nazi.

Al presentarlo a una audiencia nueva en seguridad, me gusta presentarlo como un desafío: el desafío es hacer algo que sea seguro dentro de lo razonable por la funcionalidad que debe proporcionar para cumplir con su objetivo. A los geeks les gustan los acertijos y este es un acertijo bastante bueno cuando te pones a ello.

Si tuviera toda la financiación y el tiempo que pudiera desear, crearía una concentración de seguridad para los programas de pregrado y posgrado que introdujeran temas de seguridad como un conjunto de acertijos. Comenzaría con "¿cuál fue el problema que causó el uso de esta tecnología?", Y luego "¿cómo funciona la tecnología?" y "¿qué problemas puede causar?"

En cuanto a las preguntas:

¿Qué le interesa a los estudiantes y graduados?

Quieren un trabajo significativo y la oportunidad de un buen trabajo en la industria. Creo que la seguridad se puede presentar como ambas cosas. Si ve la seguridad no como decir "no" todo el tiempo, sino como encontrar soluciones inteligentes que permitan a las personas realizar su trabajo de manera eficiente pero con poco riesgo para el negocio, entonces creo que el trabajo es extremadamente significativo. Además, nunca me ha faltado un trabajo como un nerd de seguridad, por lo que siempre me alegra hablar por experiencia personal sobre eso.

¿Qué funcionaría en su empresa/universidad/organización?

Probablemente soy un caso atípico: trabajo para un contratista de defensa. La seguridad es una parte tan importante de nuestra cultura corporativa que tengo problemas para imaginar el mundo sin ella. Sin embargo, lo que encuentro con más frecuencia es que los geeks apestan en el proceso de memoria, y hay MUCHOS aspectos de seguridad (especialmente seguridad física) que requieren una adhesión servil a los detalles de seguridad. Hasta cierto punto, puedo motivar a la gente para que descubra formas de "hacer pruebas a prueba de ingeniería", por ejemplo, "¿qué puede hacer para asegurarse de que encierra la caja fuerte en la caja fuerte de metal al final de la noche? " A veces la gente encuentra soluciones realmente creativas.

¿Cuál es la mayor victoria para ti?

Personalmente, me encanta el desafío. Me gusta hacer que las cosas seguras funcionen, y la seguridad es una parte adicional de la diversión. También realmente me gusta ver que se enciende la luz para los ingenieros más nuevos cuando comienzan a pensar como un nerd de seguridad. Y una de las cosas que me gustan de mi cultura corporativa es que ayudar a otras personas a pensar en la seguridad por sí mismos es una gran parte del trabajo y del contrato social.

¿De qué estás harto de escuchar?

Estoy un poco harto de que me digan que las reglas son "estúpidas". Pueden ser tediosos, pero si crees que son estúpidos, entonces generalmente no estás viendo una imagen lo suficientemente grande.

Lamentablemente, en el otro extremo, también estoy cansado de que me digan que los mandatos de un entorno de trabajo altamente seguro significan que alguien no puede moverse rápidamente. Seguro no es lento, especialmente cuando me pregunto si la única razón de la lentitud es la burocracia.

18
bethlakshmi

Bueno, ciertamente puedo decir mi parte del "ethos estudiantil" porque a mí tampoco me importaba (o no me importaba lo suficiente) la seguridad. Agregue el hecho de que estaba un poco más involucrado en la seguridad que mis amigos estudiantes, puede decir a dónde va esto.

El principal problema que tuve fue simplemente que en la escuela, te dicen cómo funcionan las cosas y cómo debes hacerlo en función del rendimiento. Lo que no le dicen es lo que nunca debe hacer en materia de seguridad. Además, el curso es tan apretado que en realidad estás saltando para cubrir tanto como sea posible, pero sin entrar realmente en un tema.

En la escuela hicimos algunos proyectos para nuestro diploma final, pero solo se lo califica por planificación del tiempo, finalización del proyecto y estado de trabajo. Nunca estás calificado en temas de seguridad. Su proyecto podría ser susceptible incluso a los intentos de inyección de SQL o XSS más primitivos y aún podría obtener 60 puntos de 60 (o 1, o A + dependiendo de su país).

Así que creo que el problema radica no solo en el desinterés común del estudiante, sino también porque las escuelas no le muestran al estudiante POR QUÉ es importante y cómo usar todas las grandes cosas de seguridad que se inventaron para un mundo cibernético mejor. Creo que hay MUCHO margen de mejora.

10
Mike

Por lo general, una presentación del equipo de respuesta de seguridad de una empresa captura a la audiencia ya sea que esté compuesta por estudiantes, gerentes o desarrolladores.

Ha demostrado ser bastante eficiente (se basó en una iniciativa informal) para contar historias diferentes. Algunas de estas historias se centraron en algunos desarrolladores enojados que dejaron puertas traseras, otras en algunos inocentes "¡nadie explotará eso!" o ... y, por supuesto, tendrá que mostrar cómo los profesionales de seguridad informan realmente sobre estos casos diferentes y cuántas personas al mes fueron necesarias para solucionar los problemas.

Teniendo en cuenta esas historias, puede presentar el exploit y luego enseñarles que el código débil no desaparece, y luego presentar la programación segura o el análisis de amenazas o ...

7
Phoenician-Eagle

Parte del problema es que la seguridad es generalizada: estudiar "seguridad" por sí solo apenas tiene sentido. Tienes que estudiar la seguridad en contexto. Contraste con "bases de datos", donde tiene sentido impartir un curso semestral sobre el tema. No quiero decir que un curso semestral sobre seguridad sea malo, solo que es insuficiente. La mayoría de los cursos en el plan de estudios de informática que tomé podrían haber pasado una semana discutiendo las implicaciones de seguridad del tema:

  • la mayoría de los cursos de matemáticas: relevancia para la criptografía
  • algoritmos: cripto
  • interacción humano-computadora: psicología de la seguridad, la seguridad y la usabilidad
  • arquitectura de la computadora: hardware criptográfico, interfaces, soporte hw para SO seguro
  • sistemas operativos: la mayoría de los aspectos del sistema operativo están relacionados con la seguridad
  • etc.

En realidad, también tomé clases de negocios, y es aplicable allí igualmente:

  • gestión de operaciones: seguridad física
  • contabilidad: solo hablaron de débitos y créditos, no hablan sobre por qué
  • comportamiento organizacional: nuevamente, psicología de la seguridad; cultura corporativa

Atraviesa casi todo. Pero los instructores ya están ocupados tratando de empaquetar toda la información de su curso en los estudiantes que no hay tiempo extra para gastar en algo "periférico". Esta sería una vía para atacar el problema: persuadir a los instructores de que la seguridad es un tema importante para discutir como parte de su curso en [~ # ~] x [~ # ~] .

El problema no parece tan diferente del problema relacionado que enfrentan los gerentes de desarrollo: cómo obtener graduados con habilidades básicas, punto. Algunos profesores universitarios se preocupan mucho por esto: una conversación con un miembro amable del profesorado puede ayudar a poner algunos de los problemas al frente y al centro. Hablé con un jefe de departamento de CS y él estaba muy interesado en escuchar sobre qué industria estaba interesada en los graduados. Su motivación era simple: para mantener la matriculación, necesitaba graduados para obtener buenos trabajos: los padres no enviarán a los niños a una escuela donde terminen desempleados después de la graduación. Si habla con una docena de ex alumnos y gerentes de contratación de empresas locales y escucha los mismos problemas, él va a hacer ajustes al plan de estudios. Incluso los profesores titulares se ven afectados por los recortes presupuestarios y de personal que resultan de la baja de la matrícula.

Un enfoque para obtener graduados con habilidades básicas es contratar pasantes. He trabajado para algunas compañías donde esta es una práctica común, y parece funcionar bien para ambas partes: el el interno tiene un conjunto de habilidades más comercializables, gana un buen sueldo (en comparación con un empleo alternativo para estudiantes, por ejemplo, entrega de pizza o venta minorista) y expande su red personal; la compañía tiene a alguien con habilidades básicas que probablemente pueda contratar después de la graduación sin grandes costos de reclutamiento, los pasantes son baratos (en comparación con el costo de contratar profesionales a tiempo completo). Sin embargo, este no es un almuerzo gratis, hay costos:

  • Tienes que reclutar a los pasantes, entrevistar, contratar, etc.
  • Los pasantes no saben nada y necesitan una buena cantidad de atención del personal profesional para ser útiles.
  • Existe el riesgo de contratar bozos que pasan todo el día navegando por la web o chateando con amigos.

Este es un enfoque "egoísta": la empresa no está haciendo nada para ayudar necesariamente a la industria en general, solo se está ayudando a sí misma. Pero creo que termina beneficiando a la industria porque tiende a aumentar el nivel de habilidad del grupo de talentos graduados. (De hecho, "perdimos" (no pudimos contratar) un par de pasantes después de la graduación, ¡y alguna otra compañía afortunada obtuvo un graduado bien entrenado!)

Vengo de un fondo de programación/desarrollo. Una actividad en la que participé durante la escuela fueron las competencias de programación. Veo que IISP tiene membresía estudiantil; ¿tienes capítulos de estudiantes en varias escuelas? ¿Podría organizar algún tipo de competencia relacionada con la seguridad? No lo sugiero casualmente, sería mucho trabajo. Puede que ni siquiera desarrolle las habilidades específicas de nivel de entrada que está buscando, pero podría aumentar la conciencia que está buscando. Recuerde, solo es interesante si es divertido y desafiante.

Posibilidades:

  • Los equipos compiten para encontrar agujeros en un paquete de software dado. Variante: la fuente está disponible, audite el código fuente.
  • Los equipos compiten cara a cara para penetrar en la red de sus oponentes. Variantes:
    • Imponer restricciones, p. los usuarios deben tener acceso remoto, inalámbrico, etc.
    • Información privilegiada maliciosa: el equipo contrario controla un nodo en su red. Detectar y responder.
  • Los equipos compiten para analizar malware, implementar contramedidas.
5
bstpierre

Creo que la mejor manera de hacer que la gente piense en la seguridad como una cosa real en lugar de abstracta es enseñar los principios básicos reales, divorciados de las computadoras. Comience con la seguridad física y las diferencias entre eso y la seguridad de la computadora.

  1. Las personas descartan la seguridad porque gran parte es teatro de seguridad: bloqueo después de 3 intentos fallidos, acceso físico a las máquinas, registradores de claves frente a políticas de contraseña draconianas.

  2. Árboles de amenazas: deje que los estudiantes desarrollen sus propios árboles de amenazas. ¿Es más probable que alguien registre la máquina de la biblioteca o descubra su contraseña de 12 caracteres que debe cambiar cada 3 meses y usar 4 clases diferentes de caracteres? Los niños son excelentes para hacer bromas y a menudo tienen que subvertir la seguridad física, así que aproveche eso.

  3. Demuestra hazañas de miedo. En el sombrero negro, generalmente tienen un muro de vergüenza que muestra todas las cuentas de texto claro que olfatearon (bloquean las contraseñas y algunas de las direcciones). Una aplicación que debería tener sesiones de texto sin cifrar en tiempo real en todo el campus daría a conocer la importancia de la seguridad.

  4. Ejemplos de sitios explotados. Echa un vistazo al spam de cialis insertado en este blog . Es vergonzoso. Los enlaces de spam a la estafa de farmacia canadiense. Los enlaces están rotos porque la otra máquina ha sido reparada. Es una estafa muy organizada y sofisticada supuestamente fuera de Europa del Este. Ejecutan servidores web muy pequeños en máquinas crackeadas para evitar que las IP aparezcan en la lista negra.

4
Bradley Kreider

No comparto su premisa de que los estudiantes no quieren escuchar sobre seguridad. Doy un curso universitario de seguridad informática. Es uno de los cursos más populares en nuestro departamento de informática (no es el más popular, pero está allí).

Una cosa a entender es que la mayoría de los colegios/universidades están interesados ​​en enseñar conceptos y principios que durarán toda la vida de un estudiante. En comparación, la enseñanza de habilidades que pueden quedar obsoletas en 5 años es una prioridad menor. Por lo tanto, si lo que desea es capacitación en habilidades para el software del día, las empresas probablemente necesitarán proporcionar eso capacitando a sus empleados. Pero si desea personas que sepan cómo pensar en la seguridad, que sepan cómo pensar como un atacante, que estén familiarizados con los principios fundamentales de seguridad, eso es algo que puede proporcionar un plan de estudios universitario bien diseñado.

He hablado con futuros empleadores de nuestros graduados, y nunca los escuché quejarse de que los estudiantes que toman nuestro curso de seguridad salen como nazis de seguridad. Por el contrario, el comentario más común que recibo de los empleadores es: ¿puede agregar más material sobre seguridad en más de sus cursos?

Me doy cuenta de que esto difiere de sus propias percepciones, pero usted lo hizo pide más puntos de vista. Esto es mío.

4
D.W.

Estoy de acuerdo con tu afirmación. Parece que tenemos dos campamentos de estudiantes. Necesitamos educar a todos los estudiantes en la industria de la informática XX sobre los conceptos básicos de seguridad. En mi universidad, forzamos a todas las especialidades en informática de sistemas (CIS) y tecnología de información de computadoras (CIT) a tomar mi curso introductorio de infosec. CIT major también tiene que tomar al menos un seguimiento en el curso infosec.

Exigir a todos los estudiantes que tomen al menos una clase introductoria de infosec es un primer paso para mejorar la situación. Sin embargo, no creo que sea suficiente. Creo que la forma en que se imparte el curso también es importante. Por ejemplo, tengo la costumbre de recordarles a los estudiantes que "la seguridad de la información no es solo seguridad informática" al menos una vez por semana. Hago esto porque creo que, como personas técnicas, tendemos a profundizar en los detalles de todas las cosas que podemos hacer para abusar de los sistemas informáticos. Es una forma de tratar de parecer un geek alfa (mira lo que puedo hacer, nadie está a salvo ...). Centrarse estrictamente en las cosas tecnológicas divertidas e ignorar todo lo demás parece abrir una brecha entre los dos campos. Los nazis se lo comen y quieren imponer políticas ridículas (e ineficaces) al graduarse. Los estudiantes que no buscan una carrera infosec solo aguantan la clase y siguen sin tener idea de la seguridad y también están decididos a resistir las políticas nazis.

Para mí, trato de lograr un equilibrio entre enseñarles a los estudiantes sobre la tecnología divertida y divertida de infosec y ayudarlos a comprender que infosec es mucho más que pruebas de pluma, escáneres vuln, av, etc. sistemas en una red aislada que pueden piratear. Incluso los estudiantes que no están interesados ​​en infosec parecen disfrutar esto. Esperemos que se gradúen un poco más sabios y sin odio por todo lo que infosec.

2
Philip Polstra

Me pregunto si los graduados son el lugar adecuado para comenzar.

Es discutible que un buen profesional de seguridad (o de hecho cualquier profesional) necesite una buena base en los negocios al menos, y probablemente en TI/IS. Sacar a alguien de la universidad y ponerlo directamente en infosec significa que es mucho más probable que terminen como nazis de seguridad.

Quizás el enfoque debería ser enfocarse en el nivel del líder del equipo/gerente junior dentro de las empresas. Ya conocen las cuerdas corporativas, cómo influir, persuadir y lidiar con la política, y están buscando su nicho. Ahora, si están en TI, entonces probablemente puedan ir a la ruta infosec o IT sec (o ambas); alguien de un entorno no especializado en tecnología podría tener que centrarse en infosec y acceder al departamento de TI durante un par de años. Pero ahí es donde pondría mis energías si buscara asegurarme de que los líderes del futuro fueran amigables con la seguridad.

2
James Rigby

Veo los mismos problemas que está viendo, pero encontré una solución parcial mientras trabajaba como líder de programas de seguridad de operaciones para una gran multinacional. Tuve la suerte de contar con el apoyo de un par de ejecutivos clave y un programa de inicio realmente bueno para nuevos graduados. El enfoque preexistente era simple: esta compañía contrataría a un bloque de ingenieros recién graduados y tipos de CS, los firmaría con un contrato de 2 años y luego los rotaría a través de cada uno de varios grupos/puestos durante ese tiempo. Podrían, por ejemplo, pasar unos meses dando soporte a un interruptor de enlace grande, y luego pasar varios meses escribiendo un nuevo código para ese mismo interruptor. Otros pueden dedicar tiempo a desarrollar nuevo hardware y luego dedicar tiempo a la administración de la red. La decisión sobre a qué grupos iría cada nuevo graduado fue una combinación de habilidades, deseos y necesidades, tanto de los nuevos empleados como de las diversas organizaciones.

Lo que agregué fue incluir un conjunto de opciones para que estos nuevos graduados reciban los mismos tipos de exposición a la seguridad en el mundo real. Elaboramos planes para que estas nuevas personas aprendan la seguridad de TI del grupo de seguridad de TI, tuvimos un par de grupos de respuesta a incidentes con los que podrían trabajar, e incluso ocasionalmente tuve un par de ayuda en la política. De esta forma, cuando aterrizaron en cualquier lugar (suponiendo que se les ofreciera un puesto permanente al final del programa) tenían cierto nivel de comprensión de la seguridad y sus desafíos asociados en el mundo real.

Dicho todo esto, entiendo que dicho programa no es realista para la mayoría de los empleadores. Sin embargo, podría ser posible reunir un par de puestos de pasante de verano que brinden la misma exposición básica, a un costo muy reducido. Mi experiencia es que, a medida que las personas técnicas se exponen a los desafíos y oportunidades reales en el espacio de seguridad, su enfoque se vuelve más razonable y equilibrado. Rápidamente descubrimos que tampoco lleva mucho tiempo. No era necesario que aprendieran lo suficiente para hacer el trabajo, solo que obtenían una sólida comprensión de la realidad. En la mayoría de los casos, un par de meses (aproximadamente la duración de las vacaciones de verano) con un equipo de seguridad proporcionó una experiencia más que suficiente para tener un resultado muy positivo.

1
The IMT