IT security manager požadavky

[Radim Nový]

Dobrý den přeji všem chtel bych se vas jako odborniku v IT zeptat, co by mel umet spravny odbornik na pocitacovou bezpecnost? jsem jeste studentem stredni skoly, a toto odvetvi me velice zaujalo proto bych chtel vedel co vsechno konretne se musim naucit?? (site,jazyky a jine veci) budu vdecny za kazdou odpoved 
Diky moc predem

[Reklama]

[smoofy]

a co od toho ocekavas? bezpecnost siti a serveru nebo spise firemni bezpecnost, ohranu dat etc? Site budou nezbytnost, programovani alespon zakladni C, bash, python a v neposledni rade operacni systemy od microsoftu, linux a UNIX. Co se tyce bezpecnosti siti a systemu tak velice dobre materialy jsou zde:
http://www.offensive-security.com/. Ze vseobecnych znalosti mluvou certifikaci bych se vydal A+, Network+, Security+ a pote se zameril bud na nektere specifictejsi certifikace zabyvajici se problematikou bezpecnosti (ethical hacker etc.) urcite stoji za zminku nektere ze zakladnich certifikaci cisco. Certifikacni zkousky nejsou samy o sobe tak drahe (relativne), obrovsky drahe jsou vetsinou skoleni. Pokud se dokazes ucit sam z materialu (vetsina je pokoutne ke stazeni na netu, ale nikomu to nerikej) tak nemas problem. Nejlepsi nastroje pro trenink je pak obstojnej laptop s linuxem, nejakej ten virtualizator (virtual box, vmware player) na testovani OS a GNS na testovani siti. Nepotrebujes hromadu zeleza a s dostatecne velkym diskem nasimulujes temer cokoliv.

[buy viagra]

taky zalezi asi jestli chces bejt manager nebo technicky pracovnik, v tom je velky rozdil. Manager managuje lidi a nemusi znat nejnovejsi exploit techniky a vsechny flagy TCP paketu, kazdopadne i tak asi ty site, programovani, operacni systemy by mel umet imho dobre (orientovat se dobre a hbyte, v podstate cim vice vedomosti a zkusenosti, tim lepe). Manager musi mit dobre people skills, soft skills, umet vest lidi atd. Jinak trhu afaik chybi IT pracovnici, takze imho nebude problem se zamestnanim (Praha, Brno), staci mit dobry zaklad (umet dobre ty technicke veci), nejaky vzdelani, pak  nekde naberes praxi, kde se remeslu naucis konkretne (te vychovaj). U IT security imho plati "cim vice vis a znas veci, tim lepe", hlavne ty low level teda hth

[buy viagra]

jeste sem zapomnel k tem managerum rict, ze by meli byt reprezentativni (dobre vystupovani) atp. - to je velmi cenne u manageru imho, protoze dela prezentace a hodne mluvi atp.

[Radim Nový]

Super dekuji moc za tolik informaci  tak se vrhnu do studia siti, OS atd...

[Reklama]

[Mirek Prýmek]

Čteš Bezpečnostní střípky, které tady na Rootu vychází? Pokud je budeš číst včetně všech odkazů, myslím, že rychle zjistíš, o čem vlastně ta bezpečnost v praxi je...

Jinak pokud ti jde skutečně o management, tak si myslím, že je to víc o znalosti metodik (ne jen bezpečnostních, ale i projektového řízení apod.) než o jednotlivých technologiích. Zkus si třeba pro začátek něco málo přečíst o ITIL, Six Sigma apod. - možná zjistíš, že by tě to nebavilo a raději bys než manažera dělal bezpečnostního specialistu.

[smoofy]

Stan se hackerem a nenech se chytit. Po par letech se prihlas k par utokum a prohlas ze jsi presel k bilejm kloboukum a mas o praci postarano.

[upalse]

Chceš být manažerem po škole? Taková pohroma!
Ono se to nezdá ale dobří manažeři jsou o tom že dokáží lidi chápat, motivovat a celkově dobře s ubermensch vycházet, mají hodně kontaktů. Úroveň znalostí problematiky je skoro až na posledním místě. Hlavně ty kontakty.

Chceš-li si vydělávat tím že řešíš exploity, ziskové je nejlépe prostě hledat a prodávat ať už černejm (různé phishing gangy) nebo bílejm figurkám (Coseinc, ZDI, iDefense, Secunia, Immunity..), případně si založit vlastní gang (v cz např Nethemba).

Bejt zašitej v ňákym megacorpu je ve srovnání s tim dost hatecore, ale lidi to berou kvůli jistotám nebo proto že jim ta kultura vyhovuje (tj jsou to manažeři).

[martin]

Docela mě překvapuje, že zdejší odborníci neuvedli:

ČSN ISO/IEC 27000
ČSN ISO/IEC 27001
ČSN ISO/IEC 27002
ČSN ISO/IEC 27003
ČSN ISO/IEC 27004
ČSN ISO/IEC 27005
ČSN ISO/IEC 27006
ČSN ISO/IEC 27011
ČSN ISO/IEC 27031
ČSN ISO/IEC 27033
ČSN ISO/IEC 27035
ČSN ISO/IEC 27799
+ další, které se připravují

Holt pro některé odborníky je bezpečnost v IT jen o exploitech :-(

[Ivan]

V realu ve velkych korporacich je IT Security manager clovek, kterej nic moc neumi i kdyz je velice dobre placeny. A vsem lidem okolo sebe rika co vsechno nejde, a hazi klacky pod nohy ostatnim. Pro takovou karieru potrebujes ostry lokty a dobry self-promotion.

Pokud te opravdu zajima pocitacova bezpecnost, tak se koukni na www.nsa.gov a tam si najdi security guidelines pro jednotlivy OS.

V realu ale prace security managera spociva v papirovani. Vetsinou jde o to, ze tvoje firma potrebuje ziskat nejakou certifikaci a tak security manager ve spolupraci s nejakou drahou poradenskou firmou sepise stohy smeric, ktery se nasledne ulozi do skrine a pada na ne prach.

[Sword]

Hacker se člověk nestane jen tak, musí se tak narodit ja bych ti osobně doporučoval podívat se na kryptografií, sítě, perl a jazyk C !! Samozřejmě pak bash, unixové systémy a windows

[upalse]

Docela mě překvapuje, že zdejší odborníci neuvedli:

ČSN ISO/IEC 27000

ISO27K se dodrzuje asi tolik jako ISO9K - tzn neni od veci generovat penize udelovanim certifikaci firmam, podobne jako certifikace lidem (cissp). Prakticky je ale oboji o nicem.

Takze jo, je to o tech exploitech. Protoze v tech papirech nikde neni napsany "Ne, neklikej na .doc prilohu ve kery je msword 0day"). Jednoduse proto ze takova jest denni praxe a utocnici se orientuji na realitu dne, nez na to co by "melo byt".

[martin]

ISO27K se dodrzuje asi tolik jako ISO9K - tzn neni od veci generovat penize udelovanim certifikaci firmam, podobne jako certifikace lidem (cissp). Prakticky je ale oboji o nicem.

Takze jo, je to o tech exploitech. Protoze v tech papirech nikde neni napsany "Ne, neklikej na .doc prilohu ve kery je msword 0day"). Jednoduse proto ze takova jest denni praxe a utocnici se orientuji na realitu dne, nez na to co by "melo byt".

Ale je tam napsané, že máš takový papír vyrobit.

Většina větších problémů je způsobena procesními problémy. Chyby softwaru jsou a budou. Důležitější je chybám předcházet - opět metodická záležitost a vyrovnávat se s jejich následky (řízení rizik). Testování software systémem blackbox (script kiddies) je pochopitelně také důležité, ale je to spíš doplňková metoda, při které se jednoduše přehlédne většina problémů. Bohužel snad všichni studenti vidí pod IT bezpečností právě jen tuhle malou (opravdu malou) část.

[smoofy]

Ono to je ve znacne mire i ovlivneno faktem, ze se u nas bezpecnost velice casto podcenuje. Firmy setri na nespravnych mistech a pak se divi. Je jedno jestli se jedna o malou, stredni nebo nadnarodni spolecnost, nicmene cim nize klesate, tim vice je bezpecnost opomijena. Nejvetsim problemem bezpecnosti celkove je lidsky faktor, protoze to, ze Vam citliva a supertajna data vynese z firmy zamestnanec ktereho jste oskubali na premiich je daleko pravdepodobnejsi, nez-li ze jste se stali cilem profesionalniho hackera.

[upalse]

Většina větších problémů je způsobena procesními problémy. Chyby softwaru jsou a budou. Důležitější je chybám předcházet - opět metodická záležitost a vyrovnávat se s jejich následky (řízení rizik). Testování software systémem blackbox (script kiddies) je pochopitelně také důležité, ale je to spíš doplňková metoda, při které se jednoduše přehlédne většina problémů. Bohužel snad všichni studenti vidí pod IT bezpečností právě jen tuhle malou (opravdu malou) část.

Hrani pokru je taktez o rizeni rizik Urcite se nehadam ze korektne implementovane procesy jsou k nicemu. Jen se pozastavuji nad tim ze z toho prakticky lezou nesmysly protoze si laskavi generatori cancu neuvedomuji souvislosti. Napriklad je velice caste zakazovat odchozi http jednak kvuli tomu aby lidi v ofisech necuceli do fejsbucku, ale druhak kdyz uz se nejaky ten trojan prifari, nema se jak dovolat domu. Zde je prave ten problem protoze to zastavi 99% necilenych utoku (rizeni rizik) ale rozumny utocnik umi vyuzit postranni kanaly na ktere se zapomina (typicky dns/email/smb pipe...).

Script kiddie (rozumej nessus/metasploit) pristup nikdy nikoho nehacknul/nezachranil a kazdej normalni clovek s takovym security "guru" vyrazi dvere. A 0day zranitelnosti bych takto zrovna nenazyval (presto ze se pouzivaji pouze v kvantech malych), ponevadz vzkutku byvaji prvotnim a cenenym vstupnim bodem.

O cemze tady flejmujem? Smeteni technickeho aspektu ze stolu s tim ze to zachrani nejaky papiry je dosti kratkozrake. Stejne tak jako je kratkozrake pro utocniky ignorovat vyse uvedene ISO standarty.