IT Biztonsági képzések

 ( dkaro | 2016. június 5., vasárnap - 11:19 )

Sziasztok!
Az új munkahelyemen IT biztonsággal kapcsolatos feladataim is vannak és elkezdte piszkálni a fantáziámat, hogy ezen a vonalon mozogjak tovább. Milyen jellegű tanfolyamokon, képzéseken lehet érdemes elindulni?
Nem etikus hacker képzést keresek hanem biztonság menedzsmenttel kapcsolatos képzéseket. Ahogy kerestem CISA és CISM tanfolyamokat találtam de ahogy olvastam ehhez azért bőven kell előismeret. Van valami tanfolyam sorozat amin érdemes elindulni? Illetve, hogy érdemes ebbe belekezdeni?

Hozzászólás megjelenítési lehetőségek

A választott hozzászólás megjelenítési mód a „Beállítás” gombbal rögzíthető.

Mostanában nagyon felkapott, mondhatni "divat" lett ez a téma, több helyen kínálnak - méreg drágán - különböző tanfolyamokat, de nekem az a véleményem, hogy ha nem ebben nőttél fel, nem vagy már amúgy is "hard-core" szinten benne, akkor egy-egy tanfolyammal nem sokra mész - talán még teljesen érteni sem fogod.
Sokkal inkább ajánlom az ezzel kapcsolatos különböző előadásokat, meetup-okat, ahol személyesen, "haveri alapon" tudsz konzultálni a szakmában már rutinosabbakkal.

----------------------------------^v--------------------------------------
"Probléma esetén nyomják meg a piros gombot és nyugodjanak békében!"

Nem várok csodát, nem 1-2 tanfolyamon akarom elsajátítani a tudás inkább egy "útvonalat" keresek amin el lehet indulni és pár év múlva már használható tudás ad. Persze előadásokat keresni jó ötlet illetve a munkám során amibe belefutok annak utána olvasok de még sem ugyan az a kettő.

sub

Szerintem a biztonságtechnika az nem csak egy tanfolyamon megtanulható checklist kérdése hanem egy habitus. Összességében véve a hibákat az agy hátsó lebenyében hátulról és (ki)fordítottan, szénné elemezve tudod megtalálni, de a legjobb ha nemcsak megtalálni tudod a hibát hanem patch-et is készíteni rá akár. ASM és cpp ismerettel együtt jár hogy ismered a működési elvet, érted és megérted az összefüggéseket.

Nagyon sok wannabe h4xx0r létezik, de még csak scriptek futtatását is a Stackoverflow nézik meg, vagy fizetnek egy-egy törésért, és nem tanulnak semmit az egészből csak felhasználói a meglévő töréseknek. Szerintem ahhoz hogy rátalálj biztonsági résekre vagy alapvetően a témakörrel foglalkozz mindenképpen érdemes ismerni messze a scriptnyelveken túl magát az elvet a működés mögött amit látsz. Persze mint mondtam, az OWASP top 10 listákat, KALI és egyéb dolgokat meg lehet tanulni, de akinek nem ez az életstílusa az szerintem kevésbé találja meg az igazi réseket.

Persze ki is lehet alakítani ezt a gondolkodásmódot, csak ahhoz belülről kell megváltoznod, feltéve hogy nem vagy már ilyen - ugye nem ismerlek szóval elnézést ha már eleve ilyen habitusú vagy :)

A gyakorlat sem árt (pl. saját sandboxban és nem másnál :) ), és persze megmutatni hogy miben vagy több mint a többi scriptkiddie vagy akár szimpla "a next gombra rá mert kattintani ezért máris h4xx0r".

Remélem ez segít :)

Köszi a bő választ, de mint írtam nem hacker képzést keresek.

Mindig érdekelt, hogy lehet az egyik nélkül jól csinálni a másikat. :) Ez olyan mint a NEIH meg a heartbleed (két hónapja hirdették, hogy milyen veszélyes sebezhetőség amikor a sitejuk végig affected volt)

Szerintem nem kell hackernek lenni ahhoz hogy valakiből IT sec manager legyen. Legalábbis ahol eddig láttam nem volt erre szükség.
Az ilyen managernek nem az a feladata, hogy kódokat bújjon és hegesszen hanem az ismert 0dayes sérülékenységek foltozásáról gondoskodjon, tudja helyén kezelni az adott rendszerek fontosságát, tisztában legyen a risk managemettel stb. Elég kevés olyan multit ismerek ahol lenne etikus hacker. Inkább igénybe vesznek különböző sérülékenységkereső szolgáltatásokat és riasztásokat és azok alapján javítják a rendszerüket.

Ez valoban igy van. Szerintem azert latsz ilyen fura valaszokat a kerdesedre mert sokaknak nem tiszta az egesz IT security szakma felepulese/feledatai.
Ha aztmondod IT security mindenki arra gondol hogy mekkora l33th4xx0r akarsz lenni, vagy hogy az vagy. Te vagy az etikus hekkerek gyongyszeme, aki egy golyostollal meghaxolja a CIA rendszeret.
Pedig mar akkor is IT securitysnak szamitasz ha elvegzel egy CISA-t, es CISA-kent maximum excel tablakat fogsz bujni nem petnetration tesztinget csinalni.
Sot ha csinalsz egy ISO270005-ot akkor is IT security-s pozicioba fognak felvenni. Egy csomo IT security-s egesz nap csak splunkot configolnak. Ok l33th4x0r-ook? Kozelrol sem.
A legtobb securitys egesz nap csak szabalyzasokat ir vagy dogunalmas auditokat csinal, folyamatokat ellenoriz. Lehet azt se tudja mi az az ASM. :D
Szoval azt mondanam van egy jo adag koasz a fejekben az IT security szakmat illetoen.
Szerintem menj el kulonbozo konferenciakra(Etical Hacking conf/Hacktivity/ISACA eloadasok) es ott beszelgess a jelenlevokkel. Biztos tudnak okos tanacsokat adni.

Nem tudtam, hogy ennyire szerteágazó, de mentségemre, ha excel tábla és szabályzatírás a feladat nem is nekem találták ki. (igaz, elképzelni se tudom, hogy védenek ezek magukban meg egy informatikai rendszert :))

Pedig ez talán a legfontosabb része.
Jó ideje tudjuk, hogy az ember a leggyengébb láncszem. Azt pedig csak a munkafolyamataik szabályzásával tudod kezelni. Azt is tudjuk, hogy minden rendszert fel lehet törni. A kérdés csak az, hogy megéri-e? Más szóval ha a rendszeredet nem csak a megszokott botnetek által generált háttérzajtól akarod megvédeni, rögtön egy bonyolult szervezési és analizálási feladattá vadul az egyszerű műszaki problémának tűnő ügy. Amit jelenlegi ismereteink szerint sajnos csak rengeteg papír melóval lehet kezelni (dokumentálni, dokumentálni, dokumentálni). Bár az is tény, hogy ezt sokan nem, vagy szarul csinálják.
Mondjuk holnap lesz az ISACA-nak egy konferenciája a Telekom székházban. Ha még van hely, akkor érdemes lehet beugrani, hogy picit ránézz hogyan lehet szemlélni ezt a világot.

Zavard össze a világot: mosolyogj hétfőn.

Igaz, de ez esetben Human Securitynek kellene hívni. ;)

3 evig dolgoztam finance governance teruleten. Ez is IT security megsem tudok egy rendszerbe betorni (sokszor meg a key birtokaban sajat gepre is masodszorra jutok be :D).

Az IT security szakma iszonyat szerteagazo. En az SOD-ert(Segregation of Duty) voltam felelos es kulonbozo security reportokat futtattam es elemeztem (kinek milyen role-ja van a kulonbozo rendszerekben es ezek milyen visszaelesre adnak lehetoseget)

És esetleg valami tanács kézpésekre?:)

Ha hasonlot akarsz csinalni akkor a CISSP jo valasztas lehet. Illetve system specifikusan is erdemes lehet kivalasztani egyeb tanfolyamot attol fuggoen mit szeretnel csinalni (pl csak egy bizonyos rendszert auditalni pl SAP vagy teljesen atfogo belso auditalassal akarsz foglalkozni es kepesnek lenni atlatni hogy mi mit okozhat onnantol kezdve hogy letrehozzak a usert (erre ki adhat ki felhatalmazast milyen role kerul neki kiosztasra milyen adatokkal fog dolgozni etc etc)

Utóbbi érdekelne.

Mert nem informatikai rendszert kell megvédeni, hanem információt. Nagyon nem ugyanaz a kettő. :) Az information security (nem IT security!) kiterjed egy csomó nem-IT kérdésre, pl. a fizikai access controlra, vagy akár arra is, hogy az irodai papírszemetet hogyan kell kezelni.

Jó de a topic címe IT biztonság. ;)

vavhab:
Köszi a megerősítést. Lehet perverzen hanzik de engem érdekel ez a része.:)

gemnon:
Ahhoz, hogy megfelelően védve legyen egy rendszer igen nagy részben azon múlik, hogy vannak a folyamatok szabályozva.

Nem véletlen szerintem, hogy mindenki azt hitte, hogy "hacker"-kedni akar, ugyanis IT biztonság != Információbiztonsággal (IT biztonság: sérülékenységvizsgálat, rendszer- és szoftvervizsgálat és társaik; információbiztonság: biztonságirányítás, kockázatelemzés, audit, tudatosítás és társaik). Ami inkább őt érdekli azt nem IT biztonságnak nevezik hanem inkább információbiztonságnak, ami a CISA és az ISO 27000 szabványcsalád témája. Bár igaz ami igaz, sokan nem igazodnak el a különbségek miatt.

Az NKE-n tudtommal van ilyen képzés, ott van vmi információbiztonsági vezető képző. Ez nagyjából fedi szerintem ami téged első körben érdekelhet. De ezek a tanfolyamok csak az alapot adják meg, a többi utána (mint ahogy másban is) rajtad múlik.
{_}>

Köszi ezt néztem, de ez leginkább az állami intézmények védelmével foglalkozik ott ha jól tudom külön szabályoknak kell megfelelnie az intézménynek. Én pedig az állami szférába többet nem szeretném betenni a lábam mint munkavállaló.:)

Az állami intézményekben is hasonló infrastruktúrát kell védeni és ugyanazok a fenyegetések vannak mint máshol. A törvényi szabályozásokról meg nem is biztos, hogy baj ha tudsz. Amúgy meg ott vannak a nemzetközi képzések, ha ez nem szimpatikus. ISACA konferencia pont a héten lesz csütörtökön.
{_}>

Nemzetközi érdekelne és leginkább az, hogy ott hol érdemes kezdeni.

No keresgéltem tovább. Ahogy nézem it risk management-el kellene elindulni.
Ezekkel a tanfolyamokkal van valakinek tapasztalata?
euzert.hu
training360

Én az alap nem sec. orientált dolgokkal mondhatni "tisztában vagyok". Leginkább önképzem magam, pl. mostanában docsis/cpe sec (lásd másik topic :D) és "Tempest" / egyéb rádiós dolgokra feküdtem rá, teljesen magamtól.
Véleményem szerint a témában olvasás csak egy alap dolog, _csinálni_ is kell elkötelezetten, és kell egyfajta gondolkodásmód felvétele is hozzá. Aztán majd meglátom mi lesz az egészból, de erős a kisértés a specializálódásra (igen, ebből a szempontból még van mit fejlődnöm, sokfelé tud forgácsolódni a figyelmem egyelőre...)

Mit értesz alap dolgok alatt?

Műszaki Info, Cisco, Novell "alap" certek... hivatalosan kb. ennyi, de érzésem szerint jelenlegi tudásom 85% nem suliból vagy tanfolyamokról származik :D

Jah én MS vonalon mozgok. Sajnos mivel általában különböző szabványoknak kell megfelelni ezért ezt jobban szeretném valamilyen oktatáson elsajátítani.:)

Majd ha kell valami, majd megcsinálom :) Egyelőre elég, aztán majd meglátjuk, mit hoz az élet... hála a jó égnek, gyorsan tanulok.

subs

Ne foglalkozz a sok elitista hozzászólással, sose késő az ilyesmit elkezdeni. ;)

Ráadásul nem is kell mindenkinek a biteket tologatni jobbról-balra és túlcsordítani mindent, ugyanannyira fontosak a rendszerszervezési akadályok megfelelő leküzdései és azok biztonságos megoldásai... :)

+1

Köszi, nem bátortalanítanak el, csak sajnos konkrétumot senkitől se kaptam.:)