Frage:
Was sind die Karrierewege im Bereich Computersicherheit?
nealmcb
2011-05-13 03:02:47 UTC
view on stackexchange narkive permalink

Welche Arten von Jobs gibt es, in welchen Organisationen, mit welchen alltäglichen Aufgaben?

Welche Bereiche sind gut für Leute, die die Schule verlassen, und wofür sind gute zweite Karrieren erfahrene Leute aus verschiedenen Disziplinen?

Sicherheit bei drahtlosen Verbindungen. Die beiden am stärksten gefährdeten Nischen sind auch die profitabelsten. CEH (Certified Ethical Hacker) ist eine gute Sache, zusammen mit einem Zertifikat für drahtlose Sicherheit. Es ist die fortschrittlichste Technologie.
Nur ein kleiner Kommentar, aber einer der nützlichsten Grade, die ich jemals für Infosec-Rollen gefunden habe, war Kriminologie. Ein Freund von mir hat Kriminologie gemacht, ich habe Internetanwendungen gemacht, er weiß wenig über Code, arbeitet aber für eine große 5-Bank als Teil eines Teams zur Vorhersage von Bedrohungen. Mir geht es gut, aber vielleicht wäre ein Doppelmajor gut gewesen!
@user8456 CEH ist eigentlich ein wirklich sehr, sehr schlechtes Zertifikat.Es wird von den meisten Infosec-Profis als Witz angesehen.OSCP, CISSP usw. sind weitaus besser.
Vier antworten:
#1
+82
AviD
2011-05-13 03:11:36 UTC
view on stackexchange narkive permalink

So nisch "Sicherheit" auch erscheint, es umfasst tatsächlich einige Haupttypen von Rollen und einige Bereiche der Abdeckung. Diese sind eigentlich ganz anders ...

Allgemeine Rollen:

  • Sicherheitsabteilung der Unternehmens-IT
    Diese Mitarbeiter befassen sich normalerweise hauptsächlich mit der Durchsetzung von Richtlinien, der Prüfung, der Benutzererkennung und der Überwachung , möglicherweise einige unternehmensweite Initiativen (z. B. SIEM, IdM usw.) und eine gelegentliche Reaktion auf Vorfälle. Geben Sie wahrscheinlich auch einen Sicherheits-PoV für den Kauf von Produkten von Drittanbietern (ob COTS oder FOSS) und für jedes Outsourcing-RFP an.
  • Sicherheitsteam in der Entwicklungsgruppe (entweder in Unternehmen oder in Entwicklungsgeschäften)
    Meistens handeln Mit der Schulung und Schulung von Programmierern, einigen Sicherheitstests (oder der Durchführung externer Tests, siehe unten) - dies umfasst sowohl das Testen als auch das Überprüfen von Code, möglicherweise das Definieren von Sicherheitsfunktionen. Bei einigen Organisationen wird das Sicherheitsteam auch Risiken verwalten, an der Bedrohungsmodellierung teilnehmen usw.
  • Externer Berater / Prüfer / Sicherheitstester
    Dies deckt in der Regel in irgendeiner Form alle oben genannten Punkte ab, meistens mit Schwerpunkt auf Penetrationstests, Codeüberprüfungen und Audits auf Einhaltung gesetzlicher Vorschriften (z. B. PCI). Als Sicherheitsexperte fungieren außerdem Ansprechpartner für die anderen Arten von Organisationen, z. B. für die Bereitstellung aller relevanten Ratschläge. Daher wird normalerweise erwartet (obwohl dies nicht unbedingt der Fall ist ;-)), dass sie aktueller sind als jeder andere.
  • Forscher
    Dies kann akademische Forschung wie Kryptologen und auch Forschungsabteilungen in einigen der größeren Sicherheitsanbieter umfassen, die nach neuen Exploits / Viren / Angriffen / Fehlern suchen und suchen / Schadensbegrenzungsmodelle / usw. Diese können tatsächlich sehr unterschiedlich sein, Anbieterforschung wird oft als Produktentwicklung behandelt, während akademische Forschung - nun, ich kann nicht wirklich damit sprechen, da ich nicht weiß ...
  • Ebenso gibt es in allen oben genannten Bereichen unterschiedliche Fachgebiete, und ein Experte in einem Bereich muss in keinem anderen Bereich etwas Intelligentes zu sagen haben:

    • Netzwerksicherheit, z. Router, Firewall, Netzwerksegmentierung und -architektur usw.
    • O / S-Sicherheit, die natürlich weiter nach O / S-Geschmacksrichtungen unterteilt ist (dh Windows-Sicherheitsexperte und Linux-Sicherheitsexperten wissen möglicherweise nicht viel darüber andere Sachen).
    • Anwendungssicherheit - dh wie man sicher programmiert (was erforderlich sein kann, um nach Sprache, Technologie usw. zu unterteilen), aber auch Angriffe auf Anwendungsebene, z.B Web-Angriffe usw.
    • Experten für Risikomanagement - mehr auf die Geschäftsseite ausgerichtet, weniger auf die technischen
    • Compliance-Beauftragten - einige Orte haben diese dediziert und sie sind Experten für alle die einschlägigen Vorschriften und dergleichen (beachten Sie, dass dies eine grenzüberschreitende anwaltähnliche Arbeit ist!)
    • Identitätsarchitekten - für größere, sicherheitsbewusste Organisationen mit komplexen IdM-Implementierungen und dergleichen ...
    Wirtschaftsprüfer und Forensiker befassen sich hauptsächlich mit SIEM / SIM / SOC und auch mit Nachuntersuchungen.

    Darüber hinaus gibt es einige, die sich auf den Aufbau sicherer Systeme (auf jeder Ebene des Stapels) spezialisiert haben, und einige, die ihre Zeit damit verbringen, sie zu brechen - und sie werden nicht immer gemeinsam genutzt Fachwissen.

    Es gibt wahrscheinlich noch mehr Nischen-Nischen, die ich überspringe, aber Sie fangen an, sich ein Bild zu machen ... Wie Sie sehen können, ist das, was ein Sicherheitsmann oder eine Sicherheitsfrau täglich tut so breit und vielfältig wie die Unternehmen, in denen sie arbeiten, und die Systeme, an denen sie arbeiten. Meistens erfordert dies das Verschieben mehrerer Hüte und das Arbeiten an kurzen Aufgaben ... ABER was (normalerweise) gleich bleibt, ist die Anforderung, sich auf die Risiken (und Bedrohungen) zu konzentrieren, unabhängig davon, ob es sich hauptsächlich um eine technische Aufgabe als Definition von Firewall-Regeln handelt oder mit den Geschäfts- und Anwaltstypen über die aktuelle Sicherheitslage der Organisation zu kommunizieren.

    Wie komme ich ins Feld? Idealerweise haben Sie Erfahrung (vorzugsweise Fachwissen) in einem anderen Bereich, die Sie dann auf Sicherheit spezialisieren können.
    Sie waren früher Netzwerktechniker? Beginnen Sie mit dem Fokus auf Netzwerksicherheit und gehen Sie von dort aus weiter.
    Sie sind derzeit Systemadministrator? Wunderbar, Sie haben wahrscheinlich schon ein bisschen an Sicherheit gearbeitet und mehr in diesem Bereich gelernt.
    Sie programmieren seit Ihrer Kindheit und möchten in die Sicherheit wechseln? Fantastisch, Sie sollten bereits etwas über Eingabevalidierung, Kryptografie, Bedrohungsabwehr, sicheren DB-Zugriff usw. gelernt haben. Erfahren Sie mehr, finden Sie heraus, was Sie vermissen, und rufen Sie mich dann an ;-).
    Und so weiter ... Wenn Sie jedoch keinen Hintergrund haben und mit der Sicherheit beginnen möchten, ist dies schwieriger - denn wie ich bereits erklärt habe, wird von den Sicherheitsleuten meistens erwartet, dass sie der Experte em sind > auf was auch immer es ist. Sie können versuchen, sich einem Pentesting-Team anzuschließen und von dort aus zu wachsen ... Der wichtige Teil besteht darin, sich auf das Risikomanagement (und für die technische Bedrohungsmodellierung) zu konzentrieren.

    Ich empfehle außerdem dringend, viele Sicherheitsbücher und Blogs zu lesen (ich mag Bruce Schneiers Sachen) und OWASP für die Anwendungsseite auszuprobieren.

    Sie könnten sich mit der OWASP-Initiative für Bauherren und Brecher verbinden - das passt gut zu einem Ihrer Absätze.
    http://michael-coates.blogspot.com/2011/02/vision-for-owasp.html das?
    @chx danke, aber eh. Grundsätzlich heißt es nur, dass es eine solche Initiative gibt, aber ohne wirkliche Erklärung ...
    Ich mag die Antwort von @john, da sie den CISO erwähnt, der eine aufstrebende Rolle mit einem GROSSEN Lohnpotential zu sein scheint. Zuletzt habe ich nachgesehen, die Gehälter lagen im Bereich von 300 bis 800.000 US-Dollar. Wenn Sie wie Ashley Madison gehackt werden, werden Sie natürlich die erste Person sein, die gefeuert wird.
    @RickChatham CISO ist im Grunde die Führungsebene der ersten Art von Rolle, die ich erwähne, aber fair genug, um einen Ruf zu haben ...
    @RickChatham sagte jedoch, dass der Bereich für CISO in der Regel etwas niedriger ist, und offensichtlich würde er für kleinere / niedrigere Unternehmen ebenfalls weit unter diesem Bereich liegen.
    Ja, meine Zahlen stammen aus diesem Artikel im WSJ: http://blogs.wsj.com/cio/2014/06/19/ciso-salaries-increase-as-boards-seek-security-guidance/
    #2
    +28
    john
    2011-05-13 03:25:49 UTC
    view on stackexchange narkive permalink

    Zur späteren Bezugnahme und Vollständigkeit möchte ich auch hinzufügen, dass die Website UK Cyber ​​Security Challenge eine schöne Liste von 8 verschiedenen Kategorien von Sicherheitsrollen mit Erläuterungen zu den einzelnen Rollen und Beispielrollen enthält definiert vom Institute of Information Security Professionals (IISP) (nach einer Studie, nehme ich an).

    http://cybersecuritychallenge.org.uk/careers/typical- Rollen /

    Ich zitiere den Inhalt hier:

    Manager für Vorfälle und Bedrohungen, Forensiker.

    Auf die eine oder andere Weise ist Ihr Job direkt an der Kohlenseite. Sie können die Sicherheit des Netzwerks Ihres Unternehmens verwalten und Angreifer fernhalten. Sie können für ein Unternehmen arbeiten, das die Netzwerke anderer testet, um deren Sicherheit zu bewerten und zu beraten, wie sie weniger anfällig für Angriffe werden können. Niemand kann alle Vorfälle vermeiden, daher können Sie auch ein Incident Manager sein, der in der Lage ist, in einer Krise schnell zu reagieren und die Auswirkungen zu bewältigen. Es kann schwierig sein, Entscheidungen für das Unternehmen zu treffen. Sie müssen mit anderen Managern zusammenarbeiten, die möglicherweise nicht genau wissen, was passiert ist oder was getan werden muss, um die Systeme wieder funktionsfähig zu machen, aber über die Auswirkungen auf das Unternehmen Bescheid wissen, wenn bestimmte Funktionen gestoppt werden. Möglicherweise müssen Sie eine forensische Analyse durchführen, um zu sehen, wie der Angreifer eingestiegen ist und was er getan hat. Die Planung der Maßnahmen zur Reaktion auf unterschiedliche Vorfälle und die Abwägung der unterschiedlichen Anforderungen ist wichtig, um eine Krise gut zu bewältigen, und Sie sind wahrscheinlich ein wichtiges Mitglied des Business Continuity Planning-Teams. In diesem Bereich gibt es einige sehr technische Aufgaben, bei denen neue Malware untersucht, Gegenmaßnahmen erarbeitet und vieles mehr. Außerdem ist es jetzt natürlich nicht alles in Netzwerken, da mobile Geräte zunehmend mehr Daten speichern und Funktionen ausführen, die bisher nur auf einem Computer möglich waren.

    Beispielrollen in dieser Kategorie: Incident- und Threat-Management und -Reaktion. Incident Manager, Threat Manager, Forensik - Computer - Mobil - und Netzwerk - Analyst, CSIRT, Angriffsermittler, Malware - Analyst, Penetrationstester, Notfallwiederherstellung, Geschäftskontinuität.

    Risikoanalysten und -manager. stark>

    Um dies zu tun, müssen Sie verstehen, wie sich verschiedene Bedrohungen auf ein Unternehmen auswirken, und beraten, welche Risiken abgedeckt und welche eingegangen werden müssen. Das Board wird auf Ihren Rat hören und Sie müssen in der Lage sein, die Risiken in einer nicht technischen Sprache zu erläutern, die die Auswirkungen auf das Geschäft klar zeigt. Einige Risikomanager sind nicht technisch und haben das Geschäft durchlaufen, andere kommen von der technischen Seite des Geschäfts. Einige Personen sind an der Prüfung von Netzwerken beteiligt und stellen sicher, dass Compliance-Probleme verstanden und behandelt werden. In einer Antwort auf unsere Umfrage heißt es, dass diese Personen „mit unseren Kunden über Risiko und Compliance sprechen, das Gesetz, etwaige Gesetzesänderungen erläutern, Schwachstellen identifizieren und Kunden bei der Einhaltung unterstützen“.

    Beispielrollen in diesem Bereich Kategorie: Risikomanagement, Verifikation und Compliance. Risikoanalyst, Risikobewerter, Sicherheitsbeauftragter für Geschäftsinformationen, Prüfer, Prüfer.

    Entscheidungsträger und Strategen.

    Dies sind die Personen, die die Sicherheitsrichtlinien entwickeln Das definiert, wie ein Unternehmen mit vielen verschiedenen Sicherheitsrisiken umgeht. Die richtige Politik ist ein Muss für eine Organisation, um ihren gesetzlichen Verpflichtungen nachzukommen. Menschen dazu zu bringen, Richtlinien umzusetzen, bedeutet, den Menschen zu zeigen, warum die Richtlinien wichtig sind, und das Bewusstsein für die möglichen Konsequenzen zu schärfen, wenn sie den Ratschlägen nicht folgen. Im privaten Sektor haben Sie CISOs (Chief Information Security Officers), die diese Arbeit leiten und häufig von einem Team unterstützt werden. In der Regierung gibt es ITSOs (IT-Sicherheitsbeauftragte) und DSOs (Departmental Security Officers). Das Letztere sind für physische, Personal- und Informationssicherheitsprobleme verantwortlich, und der IT-Sicherheitsbeauftragte berichtet ihnen normalerweise.

    Beispielrollen in dieser Kategorie: Strategie, Richtlinien, Governance. Stratege, Richtlinienmanager, ITSO, DSO, CISO.

    Betriebs- und Sicherheitsmanagement.

    Möglicherweise sind Sie für den Schutz der Daten Ihres Unternehmens in seinen Netzwerken verantwortlich. Laptops oder mobile Geräte. Da wir alle unterschiedliche Arbeitsweisen gewählt haben und die Entwicklung neuer Technologien täglich neue Möglichkeiten schafft, müssen Sie auf dem Laufenden bleiben. Sie können Verschlüsselung und andere Schutzmaßnahmen wie die Regeln für Firewalls, Sicherheitsprotokolle und Vorfallberichte verwalten.

    Beispielrollen in dieser Kategorie: Betriebs- und Sicherheitsmanagement. Netzwerksicherheitsbeauftragter, Systemsicherheitsbeauftragter, Informationssicherheitsbeauftragter, Krypto-Depotbanken, Informationsmanager.

    Engineering, Architektur und Design.

    Wenn Sie die erhalten können Wenn Sie ein System entwerfen, können Sie es Angreifern schwer machen, hineinzukommen. Die Situation ändert sich jedoch täglich, und wenn Sie Schritt halten möchten, müssen Sie schnell laufen. Möglicherweise beschäftigen Sie sich mit Hardware oder Software, Design und Entwicklung oder sicheren Anwendungen. Möglicherweise sind Sie ein talentierter Autor sicherer Software - zu viele unserer Programmierer waren in der Vergangenheit vom Druck getrieben, als Erster auf den Markt zu kommen, und hatten kein ausreichendes Sicherheitsbewusstsein. Sie können Sicherheitstools entwerfen oder verkaufen. Vertrieb und Marketing sind ein wesentlicher Bestandteil des Geschäfts.

    Beispielrollen in dieser Kategorie: Ingenieurwesen, Architektur & Design. Architekt, Designer, Entwicklung, sichere Codierung, Software-Design und -Entwicklung, Anwendungsentwicklung. Sicherheitstools, Implementierung.

    Schulung, Schulung und Sensibilisierung.

    Schulungen sind heutzutage für die meisten von uns ein ständiger Bedarf in der Wirtschaft. Da neue Technologien online gehen, müssen die Mitarbeiter zu verstehen, wie man sie effektiv einsetzt, damit das Unternehmen überleben und sicher erfolgreich sein kann, damit neue Risiken gemanagt werden. Die Experten müssen ebenfalls auf dem neuesten Stand gehalten werden, damit sie neue Angriffsmethoden, neue Methoden zum Sicherheitsmanagement und neue Methoden zur Bewertung und Kommunikation von Risiken verstehen. Einige Vertriebsjobs sind eng auf diese Arbeit ausgerichtet, da sie Kunden über die Anforderungen ihres Geschäfts informieren. Es gibt eine Reihe von Schulungsunternehmen, die sich mit allen Ausbildungsstufen befassen und die besten arbeiten, um ihr Material auf dem neuesten Stand zu halten. Einer der Befragten in unserer Umfrage beschrieb seine Aufgabe wie folgt: „Sensibilisierung für Fragen der Cybersicherheit sowohl intern als auch als Dienstleistung für andere Organisationen. Erstellung, Akkreditierung und Bereitstellung von Cyber ​​Security-Schulungskursen intern und für andere Organisationen als Dienstleistung. “

    Beispielrollen in dieser Kategorie: Bildung, Schulung und Sensibilisierung. Sicherheitsprogramm-Manager.

    Forschung.

    Es gibt viele Forschungsbereiche, von denen einige hochtechnisch und andere viel politikorientierter sind. Einige erstellen komplexe Modelle, um Situationen zu verstehen, die sich schneller ändern, als wir ohne technische Hilfe verstehen können. Andere denken über die Technologien der Zukunft nach und wie sie uns helfen können, die Sicherheit besser zu verwalten. Die Befragten beschrieben die Jobs als „Untersuchung neuer Technologien zum Risikomanagement und Erlernen des Risikomanagements mit neuen Technologien. Die meisten Leute in der Sicherheitsforschung konzentrieren sich auf Ersteres, Krypto, Firewalls usw., letzteres ist jedoch die Sicherung von Internet 2.0 weitaus wichtiger. “ "Auf der Suche nach dem nächsten" großen Ding ""; „Untersuchung der Art und Weise, wie Angriffe in der realen Welt durchgeführt werden. Verfolgung verschiedener Arten von Malware und deren Veränderung, wodurch größere Streiks gegen Kunden verhindert werden können. Erfinden Sie neue Produkte basierend auf dem, was in der realen Welt zu sehen ist, und arbeiten Sie mit Entwicklern zusammen, um diese Produkte herzustellen. “

    Beispielrollen in dieser Kategorie: Forschung. Sicherheitsforscher.

    Anwälte, die auf Beratung und Verfolgung von Internetkriminalität und Datenschutz spezialisiert sind.

    Beratung und Verfolgung von Datensicherheit und Internetkriminalität. Es ist nicht einfach, die Täter dieser Verbrechen zu verfolgen, und Unternehmen benötigen Hilfe, um ihre Verantwortung zu verstehen und die Beweise zusammenzustellen. Seit den Datenverlusten der letzten Jahre hat sich das Gesetz erheblich geändert. Zum Beispiel können Organisationen, die die Daten von Personen auf ihren Systemen nicht ausreichend pflegen, mit einer Geldstrafe von bis zu 0,5 Mio. GBP belegt werden. Daher möchten viele, dass ihre Sicherheitsrichtlinien überprüft werden, um sicherzustellen, dass sie für den jeweiligen Zweck geeignet sind.

    Beispielrollen in dieser Kategorie: Anwalt für Beratung und Strafverfolgung in Bezug auf Datenschutz und Internetkriminalität.

    Du hast recht. Ich habe ihnen eine Mail geschickt und bis sie antworten, habe ich den Text entfernt und die Links verlassen.
    Ich wäre zu 99% sicher, dass es in Ordnung ist, die Informationen hier zu veröffentlichen (Einschränkung - ich bin der Vorsitzende der schottischen Zweigstelle des IISP, und das war die Anleitung, die mir gegeben wurde :-)
    @Rory Alsop Es ist eine Ehre, dass der Vorsitzende eines IISP-Kapitels ein Moderator von SE ist :-) Ich habe heute endlich die Erlaubnis erhalten, den Inhalt zu veröffentlichen, und deshalb habe ich meine Antwort aktualisiert.
    #3
    +4
    P3nT3ster
    2012-03-15 11:46:58 UTC
    view on stackexchange narkive permalink

    Das SANS Institute bietet eine Broschüre zum Thema für 5,00 USD an: Die 20 coolsten Jobs in der Informationssicherheit. Diese Webseite listet die Titel zusammen mit einigen Beispielbeschreibungen auf.

    Gibt es ein PDF davon?
    sicher, aber das PDF ist 6 $
    "Der Kriminalermittler sieht, dass die Bösen ins Gefängnis gehen." Das ist ein traurig komisches Missverständnis darüber, wie erfolgreich Strafverfolgungsbemühungen wirklich sind, um internationale Cyberkriminelle vor Gericht zu bringen. Oder unglaublich traurig. Einer der Beiden. Klingt so, als könnte ich meine 6 Dollar behalten.
    #4
    +4
    schroeder
    2020-05-10 21:27:23 UTC
    view on stackexchange narkive permalink

    Seit diese Frage ursprünglich gestellt wurde, hat die Branche daran gearbeitet, eine Antwort zu finden.

    NISTs Nationale Initiative für Cybersecurity Education (NICE) Cybersecurity Workforce Framework enthält eine endgültige Liste und beschreibt 52 Arbeitsrollen in der Informationssicherheit.

      Autorisieren eines offiziellen / benennenden VertretersSicherheitskontrollassessorSoftwareentwicklerSicherheitssoftwareassessorEnterprise Architect Sicherheitsarchitekt Forschung & Entwicklungsspezialist Systemanforderungen Planer Systemtests und -bewertung Spezialist Informationssysteme Sicherheitsentwicklersysteme Entwicklerdatenbank AdministratorDatenanalytiker WissensmanagerTechnischer SupportspezialistNetzwerkbetriebsspezialistSystem AdministratorSystems Security AnalystCyber ​​Rechtsberater Datenschutzbeauftragter / Datenschutz-Compliance-ManagerCyber ​​Instructional Curriculum Entwickler Cyber ​​Instructor Informationssysteme SicherheitsmanagerKommunikationssicherheitsmanager (COMSEC) ManagerCyber ​​Workforce Entwickler und Manager Cyber-Richtlinien- und StrategieplanerExecutive Cyber ​​Leadership Program Manager IT-ProjektmanagerProdukt-Support-ManagerIT Investment- / Portfolio-ManagerIT-Programm AuditorCyber ​​Defense AnalystCyber ​​Defense Infrastructure Support-SpezialistCyber ​​Defense Incident Responder Vuln Erability Assessment AnalystThreat / Warning AnalystExploitation AnalystAll-Source AnalystMission Assessment SpecialistTarget DeveloperTarget Network AnalystMulti-Disciplined Language AnalystAll Source-Collection ManagerAll Source-Collection-Anforderungen ManagerCyber ​​Intel PlannerCyber ​​Ops PlannerPartner Integration PlannerCyber ​​OperatorCyber ​​Crime InvestigatorLaw Enforcement / CounterInt / pre>
    

    Während einige der oben genannten Punkte möglicherweise nicht in jeder Organisation reine "Sicherheit" sind (z. B. "Softwareentwickler"), ist es möglich, dass sich jede dieser Organisationen ganz oder teilweise auf die Sicherheit in verschiedenen Organisationen spezialisiert.

    Das ist eine riesige Liste, aber ich bin mir nicht sicher, wie nützlich sie in der Praxis wirklich ist.Es wäre interessant zu wissen, wie viele dieser Rollen sich überschneiden und welche tatsächlich getrennte Rollen sind, die getrennte Karrieren mit unterschiedlichen Studien erfordern.
    @reed eigentlich, das ist alles im Rahmen umrissen


    Diese Fragen und Antworten wurden automatisch aus der englischen Sprache übersetzt.Der ursprüngliche Inhalt ist auf stackexchange verfügbar. Wir danken ihm für die cc by-sa 3.0-Lizenz, unter der er vertrieben wird.
    Loading...