Risorse per informazioni sulla sicurezza

Questa è una domanda difficile a cui rispondere, perché "Computer Security" è un campo molto ampio -

Se stai cercando solo elementi di sicurezza generica per il computer, inizierei a seguire Richard Bejtlich , che ha creato un paio di ottime reti sicurezza e amp; libri forensi - Ma si occupa anche della mentalità filosofica della sicurezza informatica - Per esempio, dal Tao di Network Security Monitoring :

" La sicurezza è il processo per mantenere un livello accettabile di rischio percepito . Un ex direttore dell'educazione per l'International Computer Security Association, il dott. Mitch Kabay, scrisse nel 1998 che "la sicurezza è un processo, non uno stato finale". Nessuna organizzazione può essere considerata "sicura" per qualsiasi momento oltre l'ultima verifica dell'aderenza alla sua politica di sicurezza. Se il tuo manager ti chiede "Siamo sicuri?" Dovresti rispondere, "Fammi controllare." Se lui o lei chiede "Domani saremo sicuri?" Dovresti rispondere "Non lo so". Tale onestà non essere popolare, ma questa mentalità produrrà un maggiore successo per l'organizzazione nel lungo periodo. "

Raccomando anche Bruce Schneier , & la maggior parte delle risorse SANS .

-Josh

Consiglio vivamente Ingegneria della sicurezza di Ross Anderson . La prima e la seconda edizione sono disponibili gratuitamente come PDF nel link sopra.

Dal Capitolo 1:

Security engineering is about building systems to remain dependable in the face of malice, error, or mischance. As a discipline, it focuses on the tools, processes, and methods needed to design, implement, and test complete systems, and to adapt existing systems as their environment evolve.

Lato comunitario: IRC è tuo amico, imo. Altrimenti mi piacciono quelli:

• r / netsec
• SecurityTube (e il loro Domande portale)
• Si spera che ITsecurity qui altri portali stackoverflow (cerca il tag "security")

Riguardo alle risorse scritte, ho trovato estremamente utile la sezione di sicurezza del Manuale di FreeBSD. La sicurezza informatica è un grande paesaggio - dipende da cosa stai cercando.

Come hai detto, dipende molto dal campo di sicurezza a cui ti stai riferendo ...
Se stai cercando informazioni sulla sicurezza delle applicazioni, vai direttamente a OWASP . Inizia lì, un sacco di posti dove andare dopo.

Ci sono una serie di organizzazioni che non impiegheranno direttamente nella consulenza sulla sicurezza o nei ruoli di controllo della sicurezza a meno che non sia possibile dimostrare una strong esperienza IT. Ciò aiuta a costruire una visione più completa e pratica della sicurezza in un ambiente operativo reale, mentre a volte quando ho assunto nuovi laureati in titoli di sicurezza hanno richiesto così tanto allenamento per portare le loro idee sulla sicurezza da un ideale 'ma posizione impraticabile ad un livello pratico.

Esempi di aree che ho assunto con maggior successo da - networking e firewalling (CISCO, Checkpoint, Telecoms, ecc.), laurea in Informatica, sicurezza e medicina legale.

E il mio allenamento più utile per loro - sul posto di lavoro con un professionista esperto, prima nei ruoli di revisione, poi nella consulenza.

C'è una grande varietà di libri sulla sicurezza delle informazioni disponibili gratuitamente. Un semplice google farà l'affare nel caso in cui tu abbia gli argomenti necessari!

Di seguito la mia raccomandazione personale come un must per entrare in quel mondo:

• Come integrare la sicurezza nel ciclo di vita dello sviluppo del software. Otterrai il Microsoft SDL (che impiegherebbe un po 'del tuo tempo a leggerlo e a familiarizzare con ciascun argomento separatamente), Building Security In (es. BSIMM ...) , requisiti di sicurezza, programmazione sicura ... Con ciò dovresti coprire (come ho indicato l'importanza degli argomenti secondari) test di sicurezza , test fuzz , revisione del codice , ...

• D'altra parte avresti bisogno di apprendere le soluzioni di sicurezza specifiche della tecnologia, come sicurezza per i frame html ..., i modelli di controllo degli accessi dal livello applicazione fino al DBMS, i protocolli di sicurezza e perché vengono utilizzati, sicurezza per le tecnologie web e per i servizi web RESTful o servizi web basati su SOAP.

• Proprietà di sicurezza offerte da framework e IDE, .Net framework, ...

Prova googling per questi, nel caso in cui non potresti ottenere link utili, sarei in grado di fornirtelo lasciandomi un commento.

NYU: Poly ha un intero corso sulla sicurezza dei test delle penne online: Analisi dei test di penetrazione e delle vulnerabilità

Il modo migliore per imparare è divertirmi a farlo. Questo è il motivo per cui mi sono appassionato alle sfide dei "wargames" o degli hack.

Vorrei controllare: link

E anche:

link

link

Per le esercitazioni video e le lezioni che uso:

link

Libri in linea di Safari: link

I bestseller di Amazon in Computer Security & Crittografia: link

Imparare a proteggere qualcosa significa capire, a livello profondo, come funziona quella cosa e quali sono le sue debolezze. Anche la valutazione del rischio è una parte importante.

Sono sicuro che ci sono molti link da trovare su siti di sicurezza, mailing list e libri, ma in realtà tutto si riduce alla comprensione dei punti deboli del sistema e alla valutazione delle possibili minacce.

In generale, la migliore risorsa per garantire qualcosa sarà quella manuale delle cose e il tuo pensiero critico.

Hai ricevuto molti suggerimenti dalle persone generose di security.stackexchnage. Tuttavia, sto anche condividendo una grande fonte per conoscere la sicurezza del computer. È link , i tutorial qui cancelleranno la maggior parte delle nozioni di base e sarai pronto per andare avanti.

Oltre a questo, ti suggerisco di esaminare gli archivi di varie conferenze di hacking come

• Defcon: link
• Black Hat: link