Veo las habilidades de seguridad de nivel de entrada como un problema para la industria. ¿Qué podemos hacer al respecto?

Navega tus respuestas
28

Bueno, impulsamos a las empresas a mejorar la seguridad, y brindamos capacitación al personal de TI y presentaciones de concienciación a los directores ejecutivos, etc., pero cada año se trae a las empresas un nuevo grupo de graduados cuando otros se van, y generalmente tienen uno de dos. perspectivas:

  1. security?
  2. seguridad fascista!

Una de las cosas que algunos de nosotros intentamos hacer en Escocia es facilitar sesiones de capacitación para estudiantes (conferencias, talleres, prácticas de verano) a cargo de empresas (bancos, autoridades policiales, etc.), pero existe una verdadera lucha por comprar. a pesar de que las compañías están ofreciendo sus recursos de forma gratuita (bueno, entienden los beneficios para ellos de obtener graduados con algo de experiencia) y organizaciones como el Institute of Los profesionales de seguridad de la información patrocinan a muchos de nosotros para proporcionar capacitación en tantas áreas como sea posible.

¿Qué podríamos hacer para mejorar esto? No solo en Escocia, sino en todas partes, ya que debería ser relevante para todos ... el problema no va a desaparecer, de hecho está creciendo, pero las empresas no lo aceptan en serio hasta que sean golpeados gravemente, e incluso entonces solo hasta que los periódicos se dirijan a otra persona.

Las empresas tienen políticas de seguridad, pero ¿tienen una cultura desde arriba hacia abajo? "No" es la respuesta fácil. Tratamos de fijar la cultura en la parte superior, pero generalmente es un gran esfuerzo sin retorno, ¿podemos llegar desde la parte inferior? ¡Educar a los estudiantes y recién graduados!

El problema es, por supuesto, que los estudiantes no quieren escuchar sobre seguridad, ya que va en contra de la ética habitual de los estudiantes :-)

[editar - a menos que estén tomando un curso de seguridad, como @ D.W. señalado, pero de ahí es de donde sacamos a muchos de los fascistas de la seguridad: exageramos en la seguridad, no nos centramos lo suficiente en el mundo real, menos que en los escenarios ideales]

Entonces

  • ¿Qué ves interesados en los estudiantes y graduados?
  • ¿Qué funcionaría en tu empresa / universidad / organización?
  • ¿Cuál es la mayor victoria para ti?
  • ¿Qué estás harto de escuchar?
  • ¿Su organización tiene una solución alternativa? acerca de?

Si tiene puntos de aprendizaje clave que cree que son apropiados para la comunidad, ¡entréguenlos a la comunidad!

----------- Bounty añadido. 2 respuestas realmente buenas, pero realmente apreciaría muchos más puntos de vista, ya que veo esto, y el problema asociado (Cómo educar a los CEO, etc., sobre seguridad) como cosas esenciales para mejorar.

    
pregunta Rory Alsop 21.01.2011 - 03:41
fuente

9 respuestas

18

Una de las cosas que más me han impresionado en los últimos años es el nuevo enfoque en la seguridad como un equilibrio entre costo y riesgo. No se debe implementar una solución de seguridad si el costo supera el riesgo de explotación, y los costos y los riesgos pueden ser difíciles de diagnosticar.

Lo que más me gusta de este concepto básico es que básicamente exige la idea de que no existe una solución "talla única". Diseñar seguridad es tanto un oficio como diseñar una solución o un trozo de software. Ofrece un término medio entre (1) despistado y (2) nazi.

Al presentarlo ante un público nuevo en materia de seguridad, me gusta plantearlo como un desafío: el desafío es hacer que algo sea seguro dentro de lo razonable para la funcionalidad que debe proporcionar para cumplir su objetivo. A los geeks les gustan los rompecabezas y este es un rompecabezas bastante bueno cuando te pones a ello.

Si tuviera toda la financiación y el tiempo que podría desear, crearía una concentración de seguridad para los programas de licenciatura y de posgrado que introdujeron temas de seguridad como un conjunto de rompecabezas. Comenzaría con "¿Cuál fue el problema que causó que se usara esta tecnología?" Y luego "¿Cómo funciona la tecnología?" y "¿qué problemas puede causar?"

En cuanto a las preguntas:

¿Qué ves interesados en los estudiantes y graduados?

Quieren un trabajo significativo y la oportunidad de un buen trabajo en la industria. Creo que la seguridad se puede presentar como ambas cosas. Si considera que la seguridad no dice "no" todo el tiempo, sino que se le ocurren soluciones inteligentes que permiten que las personas realicen su trabajo de manera eficiente pero con poco riesgo para el negocio, creo que el trabajo es sumamente significativo. Además, nunca me ha faltado un trabajo como nerd de seguridad, por lo que siempre me alegra hablar de esa experiencia personal.

¿Qué funcionaría en tu empresa / universidad / organización?

Probablemente soy una persona atípica: trabajo para un contratista de defensa. La seguridad es una parte tan importante de nuestra cultura corporativa que tengo problemas para visualizar el mundo sin ella. Sin embargo, lo que más a menudo encuentro es que los geeks apestan en el proceso de memoria, y hay MUCHOS aspectos de la seguridad (especialmente la seguridad física) que requieren una adhesión escasa a los detalles de seguridad. Hasta cierto punto, puedo motivar a la gente para que averigüe formas de hacer cosas "a prueba de ingeniería", por ejemplo, "¿qué puede hacer para asegurarse de que guarda la cosa segura en la caja fuerte de Big Metal al final de la noche? " A veces las personas vienen con soluciones realmente creativas.

¿Cuál es la mayor ganancia para ti?

Personalmente, me encanta el desafío. Me gusta hacer que las cosas seguras funcionen, y la seguridad es una parte adicional de la diversión. También me gusta mucho ver cómo se encienden los ingenieros más nuevos cuando empiezan a pensar como un nerd de seguridad. Y una de las cosas que me gustan de mi cultura corporativa es que ayudar a otras personas a pensar en la seguridad es una parte importante del trabajo y del contrato social.

¿De qué estás harto de escuchar?

Estoy un poco harto de que me digan que las reglas son "estúpidas". Pueden ser tediosos, pero si crees que son estúpidos, generalmente no estás viendo una imagen lo suficientemente grande.

Lamentablemente, en el otro extremo, también estoy cansado de que me digan que los mandatos de un entorno de trabajo altamente seguro significan que alguien no puede moverse rápidamente. Seguro no es lento, especialmente cuando me pregunto si la única razón para la lentitud es la burocracia.

    
respondido por el bethlakshmi 08.02.2011 - 21:58
fuente
9

Bueno, ciertamente puedo contar mi parte del "espíritu estudiantil" porque a mí tampoco me importó (o no me importó lo suficiente) la seguridad. Agregue el hecho de que estuve un poco más involucrado en la seguridad que mis amigos estudiantes, puede decir a dónde va esto.

El principal problema que tuve fue simplemente que en la escuela, te dicen cómo funcionan las cosas y cómo debes hacerlo en cuanto al rendimiento. Lo que no te dicen es lo que nunca debes hacer en cuanto a seguridad. Además, el curso es tan estrecho que en realidad estás saltando para cubrir lo más posible pero sin llegar realmente a un tema.

En la escuela hicimos algunos proyectos para obtener nuestro diploma final, pero solo te calificas a tiempo de planificación, finalización del proyecto y estado de trabajo. Nunca eres calificado en temas de seguridad. Su proyecto podría ser susceptible incluso a los intentos de inyección SQL o XSS más primitivos y aún podría obtener un total de 60 puntos de los 60 (o 1, o A + según su país).

Así que creo que el problema radica no solo en la falta de interés común del estudiante, sino también en que las escuelas no le muestran al estudiante POR QUÉ es importante y cómo usar todas las grandes cosas de seguridad que se inventaron para un mejor ciberespacio. -mundo. Creo que hay mucho espacio para mejorar.

    
respondido por el Mike 21.01.2011 - 09:40
fuente
7

Por lo general, una presentación del Equipo de Respuesta de Seguridad de una compañía captura a la audiencia, ya sea que esté formada por estudiantes, administradores o desarrolladores.

Ha demostrado ser bastante eficiente (se basó en una iniciativa informal) para contar historias diferentes. Algunas de estas historias se enfocaron en algunos desarrolladores enojados que se fueron a la puerta trasera, otras en algunas inocentes "¡nadie explotará eso!" o ... y, por supuesto, tendrá que mostrar cómo en realidad estos diferentes casos terminan siendo denunciados por profesionales de la seguridad y cuántos meses por persona fueron necesarios para solucionar los problemas.

Dadas esas historias, puede presentar el exploit y luego enseñarles que el código débil no desaparece, y luego presentar la programación segura o el análisis de amenazas o ...

    
respondido por el Phoenician-Eagle 21.01.2011 - 09:04
fuente
5

Parte del problema es que la seguridad es generalizada: estudiar la "seguridad" por sí mismo apenas tiene sentido. Tienes que estudiar la seguridad en contexto. Contraste con las "bases de datos", donde tiene sentido enseñar un curso semestral sobre el tema. No quiero decir que un curso de semestre sobre seguridad sea malo, solo que es insuficiente. La mayoría de los cursos en el plan de estudios de informática que tomé podrían haber pasado una semana discutiendo las implicaciones de seguridad de la materia:

  • la mayoría de los cursos de matemáticas: relevancia para crypto
  • algoritmos: crypto
  • interacción de la computadora humana: psicología de la seguridad, seguridad y usabilidad
  • arquitectura de la computadora: hardware criptográfico, interfaces, compatibilidad con hw para sistemas operativos seguros
  • sistemas operativos: la mayoría de los aspectos del sistema operativo están relacionados con la seguridad
  • etc.

En realidad, también tomé clases de negocios, y es aplicable allí también:

  • gestión de operaciones: seguridad física
  • contabilidad: solo hablaron sobre débitos & créditos, no hablan de por qué
  • comportamiento organizacional: nuevamente, psicología de la seguridad; cultura corporativa

Corta a través de casi todo. Pero los instructores ya están ocupados tratando de empaquetar toda la información de su curso en los estudiantes que no hay tiempo extra para gastar en algo "periférico". Esta sería una forma de atacar el problema: persuadir a los instructores de que la seguridad es un tema importante para discutir como parte de su curso en X .

El problema no parece tan diferente del problema relacionado que enfrentan los gerentes de desarrollo: cómo obtener graduados con habilidades básicas, punto. A algunos profesores universitarios les importa mucho esto: una conversación con un miembro de la facultad amigable puede ayudar a poner algunos de los problemas en primer plano. Hablé con un jefe del departamento de CS y él estaba muy interesado en escuchar sobre lo que la industria estaba interesada en los graduados. Su motivación era simple: para mantener la inscripción, él necesitaba graduados para obtener buenos empleos: los padres no enviaban a sus hijos a una escuela donde terminaban sin empleo después de graduarse. Si habla con una docena de ex alumnos y gerentes de contratación de compañías locales y escucha los mismos problemas, va a hacer ajustes al currículo. Incluso los profesores titulares se ven perjudicados por el presupuesto y los recortes de personal resultantes de la caída de la inscripción.

Un enfoque para obtener graduados con habilidades básicas es contratar pasantes. He trabajado para algunas compañías donde esto es una práctica común, y parece funcionar bien para ambas partes: el pasante ha un conjunto de habilidades más comercializables, gana una buena paga (en comparación con un empleo estudiantil alternativo, por ejemplo, entrega de pizza o venta al por menor) y expande su red personal; la compañía tiene alguien con habilidades básicas que probablemente puede contratar después de la graduación sin costos de reclutamiento grandes, los pasantes son baratos (en comparación con el costo de contratar profesionales a tiempo completo). Esto no es un almuerzo gratis, sin embargo, hay costos:

  • Tienes que reclutar a los internos, entrevistar, pasar por la contratación, etc.
  • Los pasantes no saben nada y necesitan una buena cantidad de atención por parte del personal profesional para poder ser útiles.
  • Existe el riesgo de contratar bozos que pasan todo el día navegando por la web o chateando con amigos.

Este es un enfoque "egoísta": la compañía no está haciendo nada para ayudar necesariamente a la industria en general, solo se está ayudando a sí misma. Pero creo que termina beneficiando a la industria porque tiende a aumentar el nivel de habilidad del grupo de talentos que se gradúan. (De hecho, "perdimos" (no contratamos) a un par de pasantes después de la graduación, ¡y otra compañía afortunada obtuvo un graduado bien entrenado!)

Vengo de un fondo de programación / desarrollo. Una de las actividades en las que participé durante la escuela fueron las competencias de programación. Veo que IISP tiene membresía estudiantil; ¿Tienes capítulos de estudiantes en varias escuelas? ¿Podría organizar algún tipo de competencia relacionada con la seguridad? No lo sugiero a la ligera, sería mucho trabajo. Puede que ni siquiera desarrolle las habilidades específicas de nivel de entrada que está buscando, pero podría aumentar la conciencia que está buscando. Recuerda, solo es interesante si es divertido y desafiante.

Posibilidades:

  • Los equipos compiten para encontrar agujeros en un paquete de software dado. Variante: la fuente está disponible, audite el código fuente.
  • Los equipos compiten cabeza a cabeza para penetrar en la red de sus oponentes. Variantes:
    • Imponer restricciones, por ejemplo, los usuarios deben tener acceso remoto, inalámbrico, etc.
    • Información confidencial maliciosa: el equipo contrario controla un nodo en su red. Detectar y responder.
  • Los equipos compiten para analizar el malware e implementar contramedidas.
respondido por el bstpierre 01.11.2011 - 14:30
fuente
4

Creo que la mejor manera de hacer que las personas piensen en la seguridad como algo real en lugar de abstracto es enseñar a los verdaderos principios básicos, divorciados de las computadoras. Comience con la seguridad física y las diferencias entre eso y la seguridad de la computadora.

  1. La gente descarta la seguridad porque gran parte de ella es teatro de seguridad: bloqueo después de 3 intentos fallidos, acceso físico a las máquinas, registradores de claves y políticas de contraseñas draconianas.

  2. Árboles de amenazas: permita que los estudiantes desarrollen sus propios árboles de amenazas. ¿Es más probable que alguien pueda registrar la máquina de la biblioteca o averiguar su contraseña de 12 caracteres que debe cambiar cada 3 meses y usar 4 clases diferentes de caracteres? Los niños son excelentes para hacer bromas y, a menudo, tienen que subvertir la seguridad física, así que aproveche eso.

  3. Demuestra hazañas aterradoras. En Black Hat, por lo general, tienen un muro de vergüenza que muestra todas las cuentas de texto claro que han olfateado (bloquean las contraseñas y algunas de las direcciones). Una aplicación que debería permitir sesiones de texto claro en tiempo real en todo el campus podría impactar la importancia de la seguridad.

  4. Ejemplos de sitios explotados. Echa un vistazo al spam cialis insertado en este blog . Es vergonzoso. Los enlaces de spam a la estafa de farmacia canadiense. Los enlaces están rotos porque la otra máquina ha sido arreglada. Es una estafa muy organizada y sofisticada supuestamente de Europa del Este. Ejecutan servidores web muy pequeños en máquinas con grietas para evitar que las direcciones IP estén en la lista negra.

respondido por el rox0r 08.02.2011 - 18:32
fuente
4

No comparto su premisa de que los estudiantes no quieren escuchar sobre seguridad. Enseño un curso de seguridad informática de pregrado. Es uno de los cursos más populares en nuestro departamento de informática (no es el más popular, pero está allá arriba).

Una cosa que hay que entender es que la mayoría de las universidades están interesadas en enseñar conceptos y principios que durarán toda la vida de un estudiante. En comparación, las habilidades de enseñanza que pueden quedar obsoletas en 5 años tienen una prioridad más baja. Por lo tanto, si lo que desea es capacitación en habilidades para el software del día, las compañías probablemente deberán proporcionarla mediante la capacitación de sus empleados. Pero si quieres personas que saben cómo pensar sobre seguridad, que saben cómo pensar como un atacante, que están familiarizados con los principios fundamentales de la seguridad, eso es algo que puede proporcionar un plan de estudios universitario bien diseñado.

He hablado con futuros empleadores de nuestros graduados, y nunca les he escuchado quejarse de que los estudiantes que toman nuestro curso de seguridad salen como nazis de seguridad. Por el contrario, el comentario más común que recibo de los empleadores es: ¿puede agregar más material sobre seguridad en más de sus cursos?

Me doy cuenta de que esto difiere de tus propias percepciones, pero hiciste pedir más puntos de vista. Esto es mío.

    
respondido por el D.W. 09.02.2011 - 08:33
fuente
2

Estoy de acuerdo con su afirmación. Parece que tenemos dos campos de estudiantes. Necesitamos educar a todos los estudiantes en la industria de la informática XX sobre los conceptos básicos de seguridad. En mi universidad, forzamos a todos los estudiantes de sistemas de información por computadora (CIS) y de tecnología de información en computadora (CIT) a que tomen mi curso introductorio de infosec. CIT major también tiene que tomar al menos un seguimiento en curso infosec.

Requerir que todos los estudiantes tomen al menos una clase de introducción de información de seguridad es un primer paso para mejorar la situación. Sin embargo, no creo que sea suficiente. Creo que la forma en que se enseña el curso también importa. Por ejemplo, tengo el hábito de recordar a los estudiantes que "la seguridad de la información no es solo la seguridad de la computadora" al menos una vez a la semana. Hago esto porque creo que, como técnicos, tendemos a sumergirnos en los detalles de todas las cosas que podemos hacer para abusar de los sistemas informáticos. Es una forma de tratar de parecer un geek alfa (mira lo que puedo hacer, nadie está a salvo ...). Centrarse estrictamente en las cosas divertidas de la tecnología e ignorar todo lo demás parece abrir una brecha entre los dos campos. Los nazis se lo comen y quieren imponer políticas ridículas (e ineficaces) al graduarse. Los estudiantes que no están buscando una carrera infosec soportan la clase y continúan sin tener idea de la seguridad y también están decididos a resistir las políticas de los nazis.

Para mí, trato de encontrar un equilibrio entre enseñarles a los estudiantes sobre la tecnología de infosec divertida y ayudarles a comprender que infosec es mucho más que exámenes de pluma, análisis de vulnerabilidades, av, etc. Tengo una configuración de lugares para ellos muy divertida. con un par de sistemas en una red aislada que pueden hackear. Incluso los estudiantes que no están interesados en infosec parecen disfrutar de esto. Esperemos que se gradúen un poco más sabios y sin odio por todas las cosas infosec.

    
respondido por el Philip Polstra 05.10.2011 - 20:51
fuente
2

Me pregunto si los graduados son el lugar adecuado para comenzar.

Se puede argumentar que un buen profesional de seguridad (o incluso cualquier profesional) necesita al menos una buena base en los negocios, y probablemente en TI / IS. Tomar a alguien de la universidad y ponerlo directamente en infosec significa que es mucho más probable que terminen siendo nazis de seguridad que no.

Quizás el enfoque debería ser enfocarse en el nivel de líder de equipo / gerente junior dentro de las empresas. Ya conocen las cuerdas corporativas, cómo influir, persuadir y tratar con la política, y están buscando su nicho. Ahora, si están en TI, entonces probablemente puedan ir por la ruta infosec o IT sec (o ambas); Es posible que alguien con antecedentes no tecnológicos tenga que concentrarse en la información y que se adapte a la seguridad informática durante un par de años. Pero ahí es donde pondría mis energías si quisiera asegurar que los líderes del futuro sean amigables con la seguridad.

    
respondido por el James Rigby 06.10.2011 - 01:03
fuente
1

Veo los mismos problemas que está viendo, pero encontré una solución parcial mientras trabajaba como líder de programas de seguridad de operaciones para una gran multinacional. Tuve la suerte de contar con el apoyo de un par de ejecutivos clave y un programa de inicio realmente bueno para los nuevos graduados. El enfoque preexistente era simple: esta empresa contrataría a un bloque de ingenieros recién graduados y tipos de CS, los firmaría para un contrato de 2 años y luego los rotaría a través de cada uno de varios grupos / posiciones durante ese tiempo. Podrían, por ejemplo, pasar unos meses apoyando un conmutador de enlace grande, y luego obtener varios meses escribiendo un nuevo código para ese mismo conmutador. Otros pueden dedicar un tiempo a desarrollar nuevo hardware y luego dedicar tiempo a la administración de la red. La decisión sobre los grupos a los que iría cada nuevo graduado fue una combinación de habilidades, deseos y necesidades, tanto del nuevo empleado como de las diversas organizaciones.

El bit que agregué fue incluir un conjunto de opciones para que estos nuevos graduados reciban los mismos tipos de exposición a la seguridad en el mundo real. Reunimos planes para que estas nuevas personas aprendieran la seguridad de TI del grupo de seguridad de TI, teníamos un par de grupos de respuesta a incidentes con los que podían trabajar, e incluso de vez en cuando un par ayudaba en la política. De esta manera, cuando aterrizaron donde sea (asumiendo que se les ofreció una posición permanente al final del programa) tenían un cierto nivel de comprensión de la seguridad y sus desafíos asociados en el mundo real.

Dicho todo esto, entiendo que este programa no es realista para la mayoría de los empleadores. Sin embargo, podría ser posible juntar un par de posiciones de tipo pasante de verano que brinden la misma exposición básica, a un costo muy reducido. Mi experiencia es que, a medida que los técnicos se exponen a los desafíos y oportunidades reales en el espacio de seguridad, su enfoque se vuelve más razonable y equilibrado. Rápidamente descubrimos que tampoco lleva mucho tiempo. No era necesario que aprendieran lo suficiente para realizar el trabajo, solo que obtuvieran una comprensión sólida de la realidad. En la mayoría de los casos, un par de meses (aproximadamente la duración de las vacaciones de verano) con un equipo de seguridad brindó experiencia más que suficiente para obtener un resultado muy positivo.

    
respondido por el The IMT 29.07.2012 - 17:45
fuente

Lea otras preguntas en las etiquetas

¿El modo 'ver-fuente' del navegador evita los ataques de secuencias de comandos? ¿Qué dice esto? Está en MD5 [cerrado]