Vedo le competenze di sicurezza di livello base come un problema per l'industria: cosa possiamo fare a riguardo?

Una delle cose che mi ha colpito di più negli ultimi anni è la nuova attenzione alla sicurezza come equilibrio tra costo e rischio. Una soluzione di sicurezza non dovrebbe essere implementata se il costo supera il rischio di exploit e sia i costi che i rischi possono essere difficili da diagnosticare.

La cosa che mi piace di più di questo concetto di base è che fondamentalmente richiede l'idea che non esiste una soluzione "taglia unica". Progettare la sicurezza è tanto un mestiere quanto progettare una soluzione o un pezzetto di software. Offre una via di mezzo tra (1) senza clueless e (2) nazista.

Quando lo presentiamo a un pubblico nuovo alla sicurezza, mi piace metterlo là fuori come una sfida: la sfida è rendere qualcosa sicuro entro la ragione per la funzionalità che deve fornire per soddisfare il suo obiettivo. Geeks come puzzle e questo è un bel rompicapo quando ci si abbassa.

Se avessi tutto il finanziamento e il tempo che avrei potuto desiderare, avrei creato una concentrazione di sicurezza per entrambi i programmi undergrad e grad che introducevano gli argomenti di sicurezza come una serie di enigmi. Vorrei iniziare con "qual è stato il problema che ha causato l'utilizzo di questa tecnologia?", E quindi "come funziona la tecnologia?" e "quali problemi può causare?"

Per quanto riguarda le domande:

Cosa vedete studenti e laureati interessati a?

Vogliono un lavoro significativo e un'opportunità per un buon lavoro nel settore. Penso che la sicurezza possa essere presentata come entrambe le cose. Se si considera la sicurezza non come dire "no" tutto il tempo, ma quando si presentano soluzioni intelligenti che consentono alle persone di svolgere il proprio lavoro in modo efficiente ma con pochi rischi per il business, penso che il lavoro sia estremamente significativo. Inoltre, non mi è mai mancato per un lavoro come secchione di sicurezza, quindi sono sempre felice di parlare dell'esperienza personale su quello.

Cosa funzionerebbe nella tua azienda / università / organizzazione?

Sono probabilmente un outlier - Lavoro per un appaltatore della difesa. La sicurezza è una parte della nostra cultura aziendale che ho problemi a immaginare il mondo senza di esso. La cosa che trovo più spesso, però, è che i geek succhiano al processo meccanico e ci sono molti aspetti della sicurezza (in particolare la sicurezza fisica) che richiedono un'adesione schiava ai dettagli di sicurezza. Ad un certo punto, posso motivare le persone a capire come "a prova di ingegnere" le cose - per esempio - "cosa puoi fare per assicurarti di bloccare la cosa sicura nella grande cassastrong di metallo alla fine della notte? " A volte la gente trova soluzioni davvero creative.

Qual è la più grande vittoria per te?

Personalmente, adoro la sfida. Mi piace far funzionare le cose sicure, e la sicurezza è una parte aggiuntiva del divertimento. Mi piace anche molto vedere la luce accendersi per i nuovi ingegneri quando iniziano a pensare come un secchione di sicurezza. E una delle cose che mi piace della mia cultura aziendale è che aiutare gli altri a pensare attraverso la sicurezza per se stessi è una parte importante del lavoro e del contratto sociale.

Di cosa sei stufo di sapere?

Sono un po 'stufo di sentirmi dire che le regole sono "stupide". Possono essere noiosi, ma se pensi che siano stupidi, in genere non vedi un'immagine abbastanza grande.

Purtroppo, dall'altra parte, sono anche stanco di sentirmi dire che il mandato di un ambiente di lavoro altamente sicuro significa che qualcuno non può muoversi velocemente. Sicuro non è uguale lento, soprattutto non quando mi chiedo se l'unica ragione per la lentezza sia la burocrazia.

Beh, certamente posso dire la mia parte dell '"ethos degli studenti" perché anche a me non importava (o non si preoccupava abbastanza) della sicurezza. Aggiungi il fatto che sono stato un po 'più coinvolto nella sicurezza rispetto ai miei amici studenti, puoi dire dove sta andando.

Il problema principale che ho avuto è stato semplicemente quello a scuola, ti viene detto come funziona la roba e come dovresti farlo in termini di prestazioni. Quello che non ti viene detto è quello che non dovresti mai fare in termini di sicurezza. Anche il percorso è talmente stretto che in realtà stai saltando per coprire il più possibile ma senza entrare veramente in un argomento.

A scuola abbiamo fatto alcuni progetti per il nostro diploma finale, ma si ottiene una valutazione solo in termini di pianificazione del tempo, completamento del progetto e stato operativo. Non sei mai stato valutato su problemi di sicurezza. Il tuo progetto potrebbe essere suscettibile anche ai più primitivi tentativi di SQL-Injection o XSS e potresti comunque ottenere 60 punti su 60 (o 1 o A + a seconda del tuo Paese).

Quindi penso che il problema risieda non solo nel comune disinteresse dello studente, ma anche perché le scuole non mostrano allo studente PERCHÉ è importante e come usare tutta la grande sicurezza che è stata inventata per un cyber migliore -mondo. Penso che ci sia molto spazio per migliorare.

Di solito una presentazione dal Security Response Team di un'azienda cattura il pubblico indipendentemente dal fatto che sia composto da studenti, dirigenti o sviluppatori.

Ha dimostrato di essere abbastanza efficiente (basato su un'iniziativa informale) nel raccontare storie diverse. Alcune di queste storie si sono concentrate su alcuni sviluppatori arrabbiati lasciati indietro, altri su alcuni innocenti "nessuno lo sfrutterà!" oppure ... e ovviamente dovrai dimostrare come effettivamente questi diversi casi finiscono per essere segnalati dai professionisti della sicurezza e quanti mesi di persone sono stati richiesti per risolvere i problemi.

Dato queste storie, puoi presentare l'exploit e poi insegnare loro che il codice debole non scompare, e quindi introdurre la programmazione sicura o l'analisi delle minacce o ...

Parte del problema è che la sicurezza è pervasiva: studiare "sicurezza" da solo ha senso. Devi studiare la sicurezza nel contesto. Contrasto con "database", dove ha senso insegnare un corso semestrale sull'argomento. Non intendo dire che un corso semestrale sulla sicurezza sia negativo, solo che è insufficiente. La maggior parte dei corsi nel curriculum di informatica che ho preso potrebbe aver trascorso una settimana discutendo le implicazioni sulla sicurezza della materia:

• la maggior parte dei corsi di matematica: rilevanza per crittografia
• algoritmi: crypto
• interazione uomo-macchina: psicologia della sicurezza, sicurezza e usabilità
• architettura del computer: hardware crittografico, interfacce, supporto hw per il sistema operativo sicuro
• sistemi operativi: la maggior parte degli aspetti del sistema operativo sono correlati alla sicurezza
• ecc.

In realtà, ho preso anche lezioni di business, ed è applicabile anche qui:

• gestione delle operazioni: sicurezza fisica
• contabilità: hanno parlato solo di debiti e amp; crediti, non parlano di perché
• comportamento organizzativo: ancora una volta, psicologia della sicurezza; cultura aziendale

Attraversa quasi tutto. Ma gli istruttori sono già impegnati a cercare di mettere tutte le informazioni del loro corso negli studenti che non c'è tempo da dedicare a qualcosa di "periferico". Questa sarebbe una delle strade per attaccare il problema: persuadere gli istruttori che la sicurezza è un argomento importante da discutere come parte del loro corso su X .

Il problema non sembra tanto diverso dal problema correlato che affrontano i responsabili dello sviluppo: come ottenere i laureati con competenze di base, periodo. Alcuni docenti universitari si preoccupano molto di questo - una conversazione con un membro della facoltà amichevole può aiutare a mettere alcuni dei problemi in primo piano. Ho parlato con una cattedra CS e lui era molto interessato a sapere di quale industria fosse interessata ai laureati. La sua motivazione era semplice: per mantenere l'iscrizione aveva bisogno di un diploma per ottenere un buon lavoro - i genitori non manderebbero i bambini in una scuola dove finiscono per essere disoccupati dopo la laurea. Se parla con una dozzina di ex alunni e assumendo manager di aziende locali e ascolta gli stessi problemi, sta andando ad apportare modifiche al curriculum. Persino i professori di ruolo vengono feriti dal budget e dalle riduzioni del personale risultanti dal calo delle iscrizioni.

Un approccio per ottenere laureati con competenze di base è assumere stagisti. Ho lavorato per alcune aziende in cui questa pratica è comune, e sembra funzionare bene per entrambe le parti: lo stagista ha un insieme di competenze più commerciabili, guadagna una buona retribuzione (rispetto al lavoro alternativo degli studenti, ad esempio la consegna della pizza o al dettaglio) e amplia la propria rete personale; l'azienda ha qualcuno con competenze di base che può probabilmente assumere dopo la laurea senza grandi costi di reclutamento, gli stagisti sono a buon mercato (rispetto al costo di assumere professionisti a tempo pieno). Questo non è un pranzo gratis, però - ci sono dei costi:

• Devi reclutare gli stagisti, intervistare, passare attraverso assunzioni, ecc.
• Gli stagisti non sanno nulla e necessitano di una buona dose di attenzione da parte dello staff professionale per diventare utili.
• Esiste il rischio di assumere Bozos che passano tutto il giorno a navigare in rete o a chattare con gli amici.

Questo è un approccio "egoista": la società non sta facendo nulla per aiutare necessariamente l'industria in generale, si sta solo aiutando da sola. Ma penso che finisca per avvantaggiare il settore perché tende ad aumentare il livello di abilità del pool di talenti. (In effetti, abbiamo "perso" (non abbiamo assunto) un paio di stagisti post-laurea, e qualche altra compagnia fortunata ha avuto un laureato ben addestrato!)

Vengo da uno sfondo di programmazione / sviluppo. Una delle attività a cui ho partecipato durante la scuola erano le gare di programmazione. Vedo che IISP ha l'iscrizione degli studenti; avete capitoli di studenti in varie scuole? Potresti organizzare una sorta di competizione legata alla sicurezza? Non la suggerisco casualmente - sarebbe molto lavoro. Potrebbe anche non sviluppare le abilità specifiche di livello base che stai cercando, ma potrebbe aumentare la consapevolezza che stai cercando. Ricorda, è interessante solo se è divertente e stimolante.

Le possibilità:

• I team competono per trovare buchi in un determinato pacchetto software. Variante: l'origine è disponibile, controlla il codice sorgente.
• Le squadre competono testa a testa per penetrare nella rete dei loro avversari. varianti:
  • Impose restrizioni, ad es. gli utenti devono avere accesso remoto, wireless, ecc.
  • Utente interno malevolo - il team avversario controlla un nodo sulla rete. Rileva e rispondi.
• I team competono per analizzare malware, implementare contromisure.

Penso che il modo migliore per convincere la gente a pensare alla sicurezza come una cosa reale piuttosto che astratta sia insegnare i veri principi di base, separati dai computer. Inizia con la sicurezza fisica e le differenze tra questo e la sicurezza del computer.

1. Le persone abbandonano la sicurezza perché gran parte di esso è il teatro della sicurezza: blocco dopo 3 tentativi falliti, accesso fisico alle macchine, keylogger e policy password draconiane.

2. Alberi delle minacce: lascia che gli studenti sviluppino i propri alberi delle minacce. È più probabile che qualcuno esegua il log delle chiavi della macchina della biblioteca o calcoli la loro password di 12 caratteri che deve cambiare ogni 3 mesi e utilizzare 4 classi di caratteri differenti? I bambini sono bravi a tirar scherzi e spesso devono sovvertire la sicurezza fisica, quindi attingi a quello.

3. Dimostrare exploit spaventosi. Di solito hanno un muro di vergogna mostrando tutti gli account di testo chiaro che hanno annusato (bloccano le password e alcuni degli indirizzi). Un'app che avrebbe dovuto eseguire sessioni di testo in tempo reale in tutto il campus avrebbe colpito l'importanza della sicurezza.

4. Esempi di siti sfruttati. Controlla lo spam cialis inserito in questo blog . È imbarazzante. I link spam alla truffa Canadian Pharmacy. I collegamenti sono interrotti perché l'altra macchina è stata riparata. Si tratta di una truffa molto organizzata e sofisticata apparentemente fuori dall'Europa dell'Est. Gestiscono server Web di piccole dimensioni su macchine danneggiate per evitare di inserire nella lista nera gli IP.

Non condivido la tua premessa secondo cui gli studenti non vogliono sentire parlare di sicurezza. Insegno a un corso universitario di sicurezza informatica. È uno dei corsi più popolari nel nostro dipartimento di informatica (non il più popolare, ma lassù).

Una cosa da capire è che la maggior parte delle università / università sono interessate a insegnare concetti e principi che dureranno per tutta la vita di uno studente. In confronto, le capacità di insegnamento che possono essere obsolete in 5 anni è una priorità inferiore. Quindi, se quello che vuoi è una formazione sulle competenze per il software del giorno, le aziende probabilmente dovranno provvedere a ciò formando le loro assunzioni. Ma se vuoi persone che sappiano pensare alla sicurezza, che sappiano pensare come un aggressore, che hanno familiarità con i principi fondamentali della sicurezza, allora questo è qualcosa che un programma scolastico ben progettato può fornire.

Ho parlato con i futuri datori di lavoro dei nostri diplomati, e non li ho mai sentiti lamentarsi che gli studenti che seguono il nostro corso sulla sicurezza escono come nazisti della sicurezza. Al contrario, il commento più comune che ricevo dai datori di lavoro è: puoi aggiungere più materiale sulla sicurezza in più dei tuoi corsi?

Mi rendo conto che ciò differisce dalle tue percezioni, ma tu hai chiesto più punti di vista. Questo è mio.

Sono d'accordo con la tua affermazione. Sembriamo avere due campi di studenti. Abbiamo bisogno di educare tutti gli studenti nell'industria del computer XX riguardo le basi della sicurezza. Alla mia università, costringiamo tutti i maggiori informatori di computer sis (CIS) e computer informatici (CIT) a prendere il mio corso introduttivo di infosec. CIT major deve anche prendere almeno un follow sul corso infosec.

Richiedere a tutti gli studenti di prendere almeno una lezione introduttiva di infosec è un primo passo verso il miglioramento della situazione. Non penso che sia sufficiente, comunque. Penso che anche il modo in cui viene insegnato il corso sia importante. Ad esempio, ho l'abitudine di ricordare agli studenti che "la sicurezza delle informazioni non è solo la sicurezza informatica" almeno una volta alla settimana. Lo faccio perché penso che come persone tecniche tendiamo a tuffarci fin nei dettagli di tutte le cose che possiamo fare per abusare dei sistemi informatici. È un modo per cercare di sembrare un alfa-geek (guarda cosa posso fare, nessuno è al sicuro ...). Concentrarsi rigorosamente sulle cose divertenti della tecnologia e ignorare tutto il resto sembra guidare un cuneo tra i due campi. I nazisti lo mangiano e vogliono applicare politiche ridicole (e inefficaci) al termine del diploma. Gli studenti che non sono alla ricerca di una carriera infosec sopportano semplicemente la lezione e continuano a non avere fiducia nella sicurezza e sono anche determinati a resistere alle politiche naziste.

Per quanto mi riguarda, cerco di trovare un equilibrio tra insegnare agli studenti il divertente e divertente infosec tech e aiutarli a capire che l'infosec è molto più di penne, vuln scan, av, ecc. Ho una divertente configurazione di gioco per loro con un paio di sistemi su una rete isolata a cui possono attaccare. Anche gli studenti non interessati a infosec sembrano apprezzare questo. Spero che si diplomino un po 'più saggi e senza odio per tutte le cose.

Mi chiedo se i laureati siano il posto giusto per iniziare?

È discutibile che un buon professionista della sicurezza (o, in effetti, qualsiasi professionista) abbia bisogno di un buon radicamento negli affari almeno, e probabilmente in IT / IS. Prendere qualcuno dall'università e metterlo direttamente in infosec significa che è molto più probabile che finiranno con il Security Nazi.

Forse l'approccio dovrebbe essere quello di concentrarsi sul livello di team leader / junior manager all'interno delle aziende. Conoscono già le corde aziendali, come influenzare, persuadere e affrontare la politica - e sono alla ricerca della loro nicchia. Ora, se si trovano in IT, possono probabilmente passare all'infoSec o all'IT sec (o entrambi); qualcuno di un background non tecnologico potrebbe dover concentrarsi su infosec e dedicarsi all'IT sec nel giro di un paio d'anni. Ma è lì che ho messo le mie energie se volevo assicurarmi che i leader del futuro fossero sicuri per la sicurezza.

Vedo gli stessi problemi che stai vedendo, ma ho trovato una soluzione parziale mentre lavoravo come leader dei programmi di sicurezza delle operazioni per una grande multinazionale. Ho avuto la fortuna di avere il supporto di un paio di dirigenti chiave e un ottimo programma di avviamento per i neolaureati. L'approccio preesistente era semplice: questa società avrebbe assunto un gruppo di ingegneri neolaureati e tipi CS, firmandoli con un contratto di 2 anni e poi ruotandoli attraverso ciascuno dei diversi gruppi / posizioni nel corso del tempo. Potrebbero, ad esempio, passare alcuni mesi a supportare un grande interruttore di trunking, quindi ottenere diversi mesi scrivendo un nuovo codice per quello stesso switch. Altri potrebbero richiedere del tempo a sviluppare nuovo hardware, quindi impiegare del tempo a supportare la gestione della rete. La decisione in base alla quale gruppi i nuovi laureati andavano era una combinazione di competenze, desideri e bisogni, sia del nuovo dipendente che delle varie organizzazioni.

Il bit che ho aggiunto è stato quello di includere un set di opzioni per questi nuovi laureati per ricevere gli stessi tipi di esposizione alla sicurezza del mondo reale. Abbiamo messo insieme piani per queste nuove persone per imparare la sicurezza IT dal gruppo di sicurezza IT, abbiamo avuto un paio di gruppi di risposta agli incidenti con i quali avrebbero potuto lavorare e, talvolta, ho persino aiutato un paio di volte sulla politica. In questo modo, quando sono atterrati dove mai (supponendo che gli fosse stata offerta una posizione permanente alla fine del programma) avevano un certo livello di comprensione della sicurezza e le sfide associate nel mondo reale.

Tutto ciò che ho detto, ho capito che un tale programma non è realistico per la maggior parte dei datori di lavoro. Potrebbe essere possibile, tuttavia, mettere insieme un paio di posizioni di stagisti estivi che forniscano la stessa esposizione di base, ad un costo molto ridotto. La mia esperienza è che, mentre le persone tecniche si espongono alle vere sfide e opportunità nello spazio della sicurezza, il loro approccio diventa più ragionevole ed equilibrato. Abbiamo scoperto presto che non ci vuole molto tempo. Non era necessario che imparassero abbastanza per fare realmente il lavoro, ma solo per avere una solida comprensione della realtà. Nella maggior parte dei casi, un paio di mesi (circa la durata della pausa estiva) con un team di sicurezza hanno fornito un'esperienza più che sufficiente per ottenere un risultato molto positivo.