Manifesto do Engenheiro de Segurança
Que visão um indivíduo de segurança que trabalha no espaço de segurança deve ter? Qual é o papel deles? Eles devem saber o desenvolvimento de software, ou apenas segurança? Eles devem fazer testes, ou devem apenas fornecer direção, que nível de direção devem fornecer? Qual é a responsabilidade deles dentro da organização, que responsabilidade pessoal e ética eles têm? – Essas muitas perguntas respondidas! Esta é a minha declaração de como um engenheiro de segurança deve ser e seus pensamentos /opiniões eu espero que qualquer pessoa que trabalhe dentro do espaço de segurança que eu contrate compartilhar em algum nível.
- Engenheiro Sem Mal
Como uma pessoa que trabalha na segurança, você vai conhecer a roupa mais suja da organização, você aprenderá rapidamente a descobrir onde estão as vulnerabilidades e não estão. Você deve manter essas informações confidenciais e exercer um bom julgamento com quem compartilhar essas informações e quando compartilhar essas informações. Você provavelmente tem conhecimento avançado de ferramentas que podem ser usadas para explorar essas vulnerabilidades e/ou a capacidade de programação para fazê-lo. Você deve agir de forma a proteger sua organização das vulnerabilidades que você tem conhecimento em todos os momentos. Você nunca deve tentar explorar suas organizações vulnerabilidades de segurança para seu próprio benefício, fora da organização.
- Seja Profissional
Um engenheiro de segurança deve se comportar com profissionalismo, honestidade e decoro. Você está lidando com um tema sensível e haverá desentendimentos, discussões que você vai sentir que ganhou às vezes e às vezes perdeu. Você deve se comportar de forma profissional, muitas vezes há coisas além da segurança que precisam ser consideradas sempre. Você não deve deixar que essas situações o dissuadir de suas funções profissionais tragam à tona a próxima questão, ajam com profissionalismo e não tenham medo de falar sobre vulnerabilidades.
Além de ser um profissional e engenharia nenhum mal dentro de sua própria organização, não tente hackear outras empresas, grupos ou pessoas de engenharia social no seu próprio tempo. Suas ações, quer você esteja sendo pago pelo seu tempo ou não, são uma reflexão direta sobre a organização para a qual trabalha. Se você for pego como um engenheiro de segurança tentando se infiltrar em outro negócio que lançará sérias questões sobre o negócio para o qual você trabalha. Você tem as ferramentas para fazer coisas ilegais, não!
Não faça nenhum trabalho de segurança externa para outras organizações. Você não tem ideia das relações comerciais que podem ou não existir dentro de uma grande organização. Fazer trabalho externo dá a aparência de que você não está totalmente discado em seu próprio trabalho, e pode prejudicar as relações comerciais de suas organizações em uma escala maior.
Quando você deixa seu atual local de trabalho, independentemente dos termos que você deixou, você tem a capacidade de causar danos substanciais, por causa dos segredos sujos que você possui. Seja um engenheiro profissional ético e veja o item nº 1 engenheiro sem mal.
- Entenda o Negócio
Tire um tempo para aprender o negócio Acredito firmemente que toda pessoa técnica deve passar algum tempo trabalhando sombreando e aprendendo o negócio em que está trabalhando. Aprender o negócio será incrivelmente benéfico, em 5 hábitos de líderes de segurança altamente eficazes Sarah Vonnegut fala extensivamente sobre alinhar a segurança como um facilitador de negócios em toda a organização, concordo completamente com seus pensamentos sobre isso. Alcançar o alinhamento nesses itens é impossível se você não entender claramente o negócio e como o negócio funciona. O negócio é o seu pão e manteiga, é o que impulsiona o dinheiro que permite que você seja pago, o aspecto de tecnologia e segurança que você traz para a mesa é criticamente importante, mas não mais importante do que o próprio negócio.
Você também tem que entender que a segurança não pode ser intrusiva para o negócio, como vonnegut disse, a segurança deve ser um facilitador de negócios . Se a segurança é obtrusiva e opaca os usuários não podem usuária da tecnologia, e eu já disse isso antes do que é o ponto. O site mais seguro do mundo é aquele que ninguém usa, é também o menos rentável.
- Continue aprendendo
Suas habilidades de segurança não param quando você deixa a universidade, faculdade, treinamento CISSP ou qualquer outro treinamento lá fora, você precisa continuar a aprender, novas tecnologias significam constantemente novos vetores de ataque e novas vulnerabilidades de segurança. Você deve encontrar leitura, novos blogs, artigos de livros. Encontre os autores que você gosta e siga-os no twitter, para que você possa ver quando novas informações saem. Olhe para os líderes de segurança da informação, aprenda a se tornar um líder você mesmo.
Você está aprendendo não deve se limitar ao ambiente no espaço em que trabalha, você precisa se manter relevante e se tornar um especialista no espaço de segurança em que está trabalhando atualmente, mas também manter um conhecimento mais amplo de procedimentos de práticas de modo que você possa se mudar para uma organização diferente ou unidade de negócios com relativa facilidade. A segurança é um tema emergente que cresce mais a cada dia, não é uma indústria em que você pode si mesmo, mas a segurança da informação é um espaço que transcende silos. Um engenheiro de segurança que se silos é alguém que rapidamente se tornará ineficaz.
Mantenha-se no topo do seu conjunto de ferramentas, compartilhe seus conhecimentos e aprenda, um líder de segurança altamente eficaz é um aprendiz autônomo ao longo da vida.
- Saiba como programar
Os engenheiros de segurança mais eficazes são os que sabem escrever código. Isso torna então eficaz por muitas razões, quando você escreve código e, para fazê-lo, você realmente precisa entender a tecnologia e como a tecnologia funciona. O software de escrita permite que você entenda e explore conceitos básicos como programação de rede, programação web, desenvolvimento de desktop e serviços e opções lá dentro.
Isso ajudará você a entender melhor como trabalhar com desenvolvedores de software e arquitetos para explicar por que algum código é vulnerável ou não, o que a coisa certa a fazer é quando apresentado por um difícil desafio de segurança no código. Você também pode ser solicitado a ajudar a escrever padrões de codificação seguros ou práticas recomendadas para a segurança do software e se você não entender vários aspectos que você é que a misericórdia do Google para ajudá-lo a descobrir isso, sim o Google vai começar, no entanto, para ser realmente eficaz, você também deve entender sobre o que você está escrevendo.
Mesmo que sua organização não faça nenhum desenvolvimento de software em si mesma. Entender como escrever softwares ajudará você a entender melhor como as várias ferramentas de segurança que você está usando funcionam.
Uma vez me perguntaram por que uma ferramenta de segurança apenas relatou 4% das vulnerabilidades que deveria ter relatado, várias pessoas que perguntei não sabiam apenas dizendo que é assim que eu uso a ferramenta e, portanto, se a ferramenta não relata uma vulnerabilidade ela não deve existir. – Através de uma investigação mais profunda descobri que este não era realmente o caso, havia algum código executando em um módulo de manipulador HTTP que estava impedindo a ferramenta de completar com sucesso a varredura, com um conhecimento íntimo de programação eu era capaz de deduzir logicamente o que estava acontecendo e, por sua vez, escrever um pedaço de software para contornar o procedimento de bloqueio no módulo HTTP, isso me permitiu explorar totalmente a descoberta inicial e, posteriormente, identificar mais vulnerabilidades.
A programação também permite uma rápida prova de conceito e políticas de teste criativo. Se você não conhece uma linguagem de programação, eu sugiro aprender Python é rápido e é fácil.
- Melhorar a cultura
Por uma razão que eu não posso colocar meus dedos a segurança ainda não é levada a sério, você não pode ser um engenheiro de segurança que diz “Bem, eu tentei”. Você tem que vir trabalhar disposto a educar, falar, bater, impulsionar iniciativas de segurança, tentar não cortá-lo em 2015. Você precisa discutir continuamente e pressionar a urgência de questões de segurança dentro de sua organização.
Mais importante, embora você precise educar todos sobre segurança. Deve ser sua missão pessoal pegar o conhecimento de segurança coletiva de sua organização ou grupo e melhorá-lo. Existem muitas estratégias diferentes para usar, almoço e aprendizados, e-mails, treinamento virtual, treinamento presencial. Você precisa aprender como sua organização responde melhor ao aprendizado e promover mudanças através disso, quando todos começam a pensar em segurança, então a segurança ganha.
- Saiba como fazer o teste de caneta
Aprenda a fazer testes eficazes de penetração, e não quero dizer executar ferramentas como WebInspect, ZAP, MVM ou qualquer coisa do tipo, tirem um tempo para aprender como os atacantes vão tentar quebrar seus aplicativos e, em seguida, quebrá-los vocês mesmos. Aprenda a inspecionar um aplicativo, seja um aplicativo web ou um serviço. Então pense fora da caixa, o teste de penetração é mais do que apenas os passos físicos que um invasor pode tomar para quebrar seu aplicativo ou invadir seu aplicativo, o teste de penetração é, como o malware pode explorar seu aplicativo, o que ele pode fazer, pode gerar um segmento remoto para parecer um pedaço do seu aplicativo, ele pode ler a memória do seu aplicativo, causar um despejo de acidente.
As pessoas dirão que uma vez que o malware esteja no servidor ou na rede, o gabarito está acabado — NÃO ACREDITE NELES! considere um aplicativo com o mínimo de endurecimento de um pedaço de malware pode não ser capaz de ler as strings de conexão (porque eles estão criptografados) na web.config – No entanto, não precisa se, o malware pode criar um thread remoto e executar ele está em Consultas DB. No entanto, se o aplicativo estiver suficientemente endurecido para evitar a execução remota de thread, então o malware será ineficaz neste vetor de ataque.
Deixe as equipes de QA executar as ferramentas extravagantes, aprender a fazer testes de penetração reais, o que requer um conhecimento de programação.
- Questionar Tudo
Respeitosamente questione tudo e qualquer coisa forma uma perspectiva de segurança. Este é o seu pão e sua manteiga, seu sucesso. As chances são de que sua organização será violada, a pergunta que você vai tentar eliminar é o quão severa é a violação, até que ponto. Não aceite um proprietário de aplicativo ou desenvolvedor ou gerente dizendo que algo está seguro. Você tem o direito e a responsabilidade quando acusado de um papel de segurança para verificar por si mesmo. Não deixe o ambiente te derrubar, mantenha uma atitude positiva e questione a questão…