¿Pensando en una carrera de ciberseguridad? Lea esto – Krebs sobre seguridad


Miles de personas se gradúan de colegios y universidades cada año con títulos de ciberseguridad o ciencias de la computación solo para descubrir que los empleadores están menos que entusiasmados con sus habilidades básicas y prácticas. Aquí hay un vistazo a una encuesta reciente que identificó algunas de las brechas de habilidades más grandes, y algunas reflexiones sobre cómo aquellos que buscan una carrera en estos campos pueden destacarse mejor de la multitud.

Prácticamente todas las semanas, KrebsOnSecurity recibe al menos un correo electrónico de alguien que busca consejos sobre cómo entrar en la seguridad cibernética como carrera. En la mayoría de los casos, los aspirantes preguntan qué certificaciones deben buscar o qué especialización en seguridad informática podría tener el futuro más brillante.

Raramente me preguntan qué habilidades prácticas deberían buscar para hacerse candidatos más atractivos para un trabajo futuro. Y aunque siempre presento cualquier respuesta con la advertencia de que no poseo certificaciones o títulos relacionados con la computadora, hablo con ejecutivos de nivel C en seguridad cibernética y reclutadores de forma frequent y con frecuencia les pido sus impresiones de la actualidad. candidatos de trabajo de ciberseguridad.

Un tema común en estas respuestas ejecutivas de nivel C es que muchos candidatos simplemente carecen de experiencia práctica con las preocupaciones más prácticas de operar, mantener y defender los sistemas de información que impulsan sus negocios.

Por supuesto, la mayoría de las personas que acaban de graduarse con un título carecen de experiencia práctica. Pero felizmente, un aspecto algo único de la ciberseguridad es que uno puede obtener un buen grado de dominio de las habilidades prácticas y el conocimiento fundamental a través del estudio autodirigido y el antiguo ensayo y error.

Un consejo clave que casi siempre incluyo en mi respuesta a los lectores implica aprender los componentes centrales de cómo las computadoras y otros dispositivos se comunican entre sí. Digo esto porque el dominio de las redes es una habilidad basic sobre la que se basan muchas otras áreas de aprendizaje. Intentar conseguir un trabajo en seguridad sin una comprensión profunda de cómo funcionan los paquetes de datos es un poco como intentar convertirse en un ingeniero químico sin dominar primero la tabla periódica de elementos.

Pero no confíes en mi palabra. El instituto SANS, una firma de investigación y capacitación en seguridad con sede en Bethesda, Maryland, realizó recientemente una encuesta a más de 500 profesionales de ciberseguridad en 284 empresas diferentes en un esfuerzo por descubrir qué habilidades encuentran más útiles en los candidatos para el trabajo, y cuáles son las que con mayor frecuencia faltan.

La encuesta le pidió a los encuestados que clasificaran varias habilidades de «crítica» a «no necesaria». El 85 por ciento clasificó la creación de redes como una habilidad crítica o «muy importante», seguida de un dominio del sistema operativo Linux (77 por ciento), Home windows (73 por ciento), técnicas comunes de explotación (73 por ciento), arquitecturas informáticas y virtualización (67 por ciento ) y datos y criptografía (58 por ciento). Quizás sorprendentemente, solo el 39 por ciento clasificó la programación como una habilidad crítica o muy importante (volveré sobre esto en un momento).

¿Cómo calificaron los profesionales de ciberseguridad encuestados su grupo de posibles candidatos para el trabajo en estas habilidades críticas y muy importantes? Los resultados pueden ser reveladores:

«Los empleadores informan que la preparación de seguridad cibernética de los estudiantes es en gran medida inadecuada y se sienten frustrados porque tienen que pasar meses buscando antes de encontrar empleados calificados de nivel de entrada si se puede encontrar alguno», dijo Alan Paller, director de investigación en el Instituto SANS. «Presumimos que el comienzo de un camino hacia la resolución de esos desafíos y ayudar a cerrar la brecha de habilidades de seguridad cibernética sería aislar las capacidades que los empleadores esperaban pero no encontraron en los graduados de seguridad cibernética».

La verdad es que algunos de los profesionales de seguridad informática más inteligentes, perspicaces y talentosos que conozco hoy en día no tienen ninguna certificación relacionada con la informática. De hecho, muchos de ellos ni siquiera fueron a la universidad o completaron un programa universitario.

Más bien, entraron en seguridad porque tenían una pasión apasionada e intensa sobre el tema, y ​​esa curiosidad los llevó a aprender todo lo que pudieron, principalmente leyendo, haciendo y cometiendo errores (muchos de ellos).

Menciono esto para no disuadir a los lectores de obtener títulos o certificaciones en el campo (que puede ser un requisito básico para muchos departamentos corporativos de RR. carrera bien remunerada

Más concretamente, sin el dominio de una o más de las habilidades mencionadas anteriormente, simplemente no será un candidato a un trabajo terriblemente atractivo o sobresaliente cuando llegue el momento.

¿PERO CÓMO?

Entonces, ¿en qué debería centrarse y cuál es la mejor manera de comenzar? Primero, comprenda que si bien hay un número casi infinito de formas de adquirir conocimiento y prácticamente no hay límites para las profundidades que puede explorar, ensuciarse las manos es la forma más rápida de aprender.

No, no estoy hablando de irrumpir en la red de alguien o piratear un sitio world wide web deficiente. Por favor no hagas eso sin permiso. Si debe dirigirse a servicios y sitios de terceros, quédese con aquellos que ofrecen reconocimiento y / o incentivos para hacerlo. a través de programas de recompensas de errores, y luego asegúrese de respetar los límites de esos programas.

Además, casi todo lo que quieras aprender haciendo puede ser replicado localmente. ¿Esperando dominar técnicas comunes de vulnerabilidad y explotación? Existen countless free of charge recursos disponible kits de herramientas de explotación especialmente diseñados como Metasploit, WebGoaty distribuciones de Linux personalizadas como Kali Linux que están bien respaldados por tutoriales y movies en línea. Luego hay una serie de herramientas gratuitas de reconocimiento y descubrimiento de vulnerabilidades como Nmap, Nessus, OpenVAS y Nikto. De ninguna manera es una lista completa.

Configure sus propios laboratorios de piratería. Puede hacer esto con una computadora o servidor de repuesto, o con components antiguo que sea abundante y barato en lugares como eBay o Craigslist. Herramientas de virtualización gratuitas como VirtualBox puede hacer que sea sencillo ser amigable con diferentes sistemas operativos sin la necesidad de components adicional.

O busca pagarle a alguien más para configurar un servidor virtual en el que puedas hurgar. Amazon&#39s Servicios EC2 son una buena opción de bajo costo aquí. Si desea probar las aplicaciones world-wide-web, puede instalar cualquier número de servicios net en computadoras dentro de su propia crimson area, como versiones anteriores de WordPress, Joomla o sistemas de carrito de compras como Magento.

¿Quieres aprender redes? Comience por obtener un libro decente sobre TCP / IP y realmente aprendiendo la pila de red y cómo interactúa cada capa con la otra.

Y mientras absorbe esta información, aprenda a usar algunas herramientas que pueden ayudarlo a poner en práctica sus nuevos conocimientos. Por ejemplo, familiarícese con Wireshark y Tcpdump, herramientas útiles en las que confían los administradores de red para solucionar problemas de red y seguridad y para comprender cómo funcionan las aplicaciones de red (o no). Comience por inspeccionar su propio tráfico de pink, navegación internet y uso diario de la computadora. Intente comprender qué están haciendo las aplicaciones en su computadora mirando qué datos están enviando y recibiendo, cómo y dónde.

EN PROGRAMACIÓN

Mientras se puede programar en idiomas como Vamos, Java, Perl, Pitón, C o Rubí puede o no estar en la parte remarkable de la lista de habilidades demandadas por los empleadores, tener uno o más idiomas en su conjunto de habilidades no solo lo hará una contratación más atractiva, sino que también hará que sea más fácil aumentar su conocimiento y aventurarse en niveles más profundos de dominio.

También es probable que, dependiendo de la especialización de seguridad que termine persiguiendo, en algún momento encontrará que su capacidad para expandir ese conocimiento es algo limitada sin comprender cómo codificar.

Para aquellos intimidados por la idea de aprender un lenguaje de programación, comience familiarizándose con las herramientas básicas de línea de comandos en Linux. Aprender a escribir scripts básicos que automatizan tareas manuales específicas puede ser un paso maravilloso. Además, un dominio de crear scripts de shell pagará grandes dividendos por la duración de su carrera en casi cualquier función técnica que involucre computadoras (independientemente de si aprende un lenguaje de codificación específico).

CONSIGUE AYUDA

No se equivoque: al igual que aprender un instrumento musical o un nuevo idioma, adquirir habilidades de ciberseguridad requiere mucho tiempo y esfuerzo para la mayoría de las personas. Pero no se desanime si un tema de estudio dado parece abrumador al principio solo tómate tu tiempo y sigue adelante.

Por eso es útil tener grupos de apoyo. Seriamente. En la industria de la ciberseguridad, el lado humano de las redes toma la forma de conferencias y reuniones locales. No puedo enfatizar lo suficiente lo importante que es para su cordura y su carrera involucrarse con personas de strategies afines de forma semi-regular.

Muchas de estas reuniones son gratuitas, incluyendo Eventos BSides de seguridad, Grupos DEFCONy Capítulos de OWASP. Y debido a que la industria de la tecnología sigue estando desproporcionadamente poblada por hombres, también hay una serie de reuniones de seguridad cibernética y grupos de miembros orientados a las mujeres, como el Sociedad de Mujeres de Cyberjutsu y otros listado aquí.

A menos que viva en el medio de la nada, es probable que haya una serie de conferencias y reuniones de seguridad en su área normal. Pero incluso si reside en los boonies, la buena noticia es que muchas de estas reuniones se están volviendo virtuales para evitar la peste continua que es la epidemia de COVID-19.

En resumen, no cuente con un título o certificación para prepararse para los tipos de habilidades que los empleadores esperarán comprensiblemente que posea. Puede que no sea justo o como debería ser, pero es probable que desarrolle y fomente las habilidades que servirán a sus futuros empleadores y la empleabilidad en este campo.

Estoy seguro de que los lectores aquí tienen sus propias strategies sobre cómo los novatos, los estudiantes y aquellos que contemplan un cambio de carrera hacia la ciberseguridad pueden enfocar mejor su tiempo y esfuerzos. Por favor, siéntase libre de sonar en los comentarios. Incluso puedo actualizar esta publicación para incluir algunas de las mejores recomendaciones.


Etiquetas: Alan Paller, Grupos DEFCON, Cómo entrar en seguridad, Kali Linux, Metasploit, Nessus, Nikto, Nmap, OpenVAS, OWASP, SANS Institute, Stability BSides, TCP / IP, Tcpdump, Virtualbox, Webgoat, Wireshark, Women of all ages&#39s Modern society of Cyberjutsu

Esta entrada se publicó el viernes 24 de julio de 2020 a las 6:20 pm y se archiva en Cómo entrar en seguridad.
Puede seguir cualquier comentario a esta entrada a través del feed RSS 2..

Puedes saltar hasta el closing y dejar un comentario. Pinging no está permitido actualmente.



Enlace a la noticia initial