LINUX.ORG.RU

Что должен знать специалист ИБ на старте

 


1

3

Здравствуй, ЛОР. Собственно, вопрос в топике. Хотелось бы узнать и для атакующей (пентест), и для защищающей стороны.

Если я хочу стать специалистом с нуля, с чего мне начинать?

П.с ВУЗ не предлагать, так как в планах есть, однако хотелось бы прийти туда, уже зная на что делать упор и параллельно учиться.

Unix/Linux, сети (на разных уровнях OSI), программирование (C, Python, JavaScript), базы данных, криптография + всякая теория по безопасности (модели нарушителя, контроль доступа, риски, основные стандарты и т.п.). Это будет в универе и можно начать по этому списку готовиться. Ну и конечно посмотреть фильм Хакеры.

pento ★★★★★ ()
Последнее исправление: pento (всего исправлений: 2)
Ответ на: комментарий от pento

Что должен знать специалист ИБ?

" pento: Unix/Linux, сети (на разных уровнях OSI), программирование (C, Python, JavaScript), базы данных, криптография + всякая теория по безопасности (модели нарушителя, контроль доступа, риски, основные стандарты и т.п.). Это будет в универе и.. "

и это ни черта не значит.

DAGAZ ()

Здравствуй, ЛОР. Собственно, вопрос в топике. Хотелось бы узнать и для атакующей (пентест), и для защищающей стороны.

Если я хочу

Хочешь, хочешь? - тогда делай, делай! Открой для себя мир CTF и там уже ясно станет - что тебе интереснее. От самого сильного интереса и пляши. Общайся по интересам. Через сколько в универ?

DAGAZ ()
Последнее исправление: DAGAZ (всего исправлений: 1)
Ответ на: комментарий от pento

сам всё знаешь

Угу. Потому что на выходе - в лучшем случае - получится эникейщик, а в худшем - потерявшийся человек. Бог должен быть один. Специалиста ИБ следует рассматривать как надстройку над программером/сисадмином/сетевиком/датером/.. - и тогда всё будет хорошо.

DAGAZ ()
Последнее исправление: DAGAZ (всего исправлений: 1)

Что должен знать специалист ИБ на старте

Уголовный кодекс страны пребывания, контакт хорошего адвоката. Хаха.

Например: (блин, ссылка потерялась) банк нанял пентестеров тестировать периметр, а когда они проникли, арестовал их. Суд был в сентябре этого года. )

aol ★★★★★ ()
Ответ на: комментарий от DAGAZ

Безопасность - это процесс, так? Так. Поэтому, можно сказать, что есть лишь Осознанные и Неосознанные участники [одного коллективного процесса]. И что предлагается - 1)запустить шаровую молнию под названием «Cпециалист по ИБ», 2) повесить на него ответственность за чих каждого, 3) закрыть глаза на то, что он такой же как и все человек(со своими слабостями), , , ,

Бля, дремучее видение.

https://youtu.be/L0g_SBpGNHQ

DAGAZ ()
Последнее исправление: DAGAZ (всего исправлений: 1)
Ответ на: комментарий от DAGAZ

Одним из.

А в чем принципиальное различие между безопасником потратившим 1/3 своей жизни на одно ремесло, а вторую треть на саму безопасность, и другим, потратившим сразу 2/3 на безопасность?

anonymous ()

Если у тебя нет существенной моральной травмы, либо близких в крупной конторе, которые «помогут», то не иди в эту область.

ИБ это дно, на мой взгляд, но деньги за труд будут существенные платить, особенно если учитывать затраты на этот самый труд. Собственно, так в любом Б в РФ, в 99% случаев.

Говорю как представитель этих самых, 95% поехавшие (я то думаю что все 100, но для приличия 5% убрал), и это те кто не сбежал через три года, около сотни коллег.

Серьёзно, выучи лучше веб и перекатывайся раз в два-три года на новый стек, чем " такое".

anonymous ()
Ответ на: комментарий от anonymous

Информационную безопасность следует воспринимать: как некий эксепшн, дополнительный механизм, понимание(которое нужно выработать) [Чтобы соответствовать]. Это как перейти от человека прямоходящего к человеку разумному. - за тебя это никто не сделает (и не сможет сделать). А безопасность - исключительно об этом. Ты должен «писать чистый код»

Вы мол «ходите», а я заместо вас «думать буду», (за всех вас) - это а) мошеничество б)глупость, наверное.

5.3 /thread %)))

DAGAZ ()
Последнее исправление: DAGAZ (всего исправлений: 2)
Ответ на: комментарий от DAGAZ

Если же тебя манит дух хакинга, игры в одни ворота - то нет никакого старта. И не нужно идти обучаться на «специалиста». — Нет пути.

Достаточно быть человеком увлечённым, думающим, умеющим рыть. - Сидеть там изучать протоколы, прислушиваться к неведомому - я не знаю. Этим нужно болеть.

DAGAZ ()
Ответ на: комментарий от DAGAZ

Основная позиция - это аудит информационной безопасности. Проверять объекты на вшивость, проводить их аттестацию, проектировать защищенные решения. Вот сюда целиться самое разумное. С чего начать? - хм. Ну CTF - это всяко хорошее решение. А так, наверное, с книг.

DAGAZ ()
Ответ на: комментарий от DAGAZ

Понял тока что безопасник это просветленный...

Еще раз, а то размылось всё:

В чем принципиальное различие между безопасником, который потратил 1/3 жизни на ремесло программирования, вторую треть на безопасность, от того кто две трети потратил на безопасность?

Почему первый айс, второй нет? Потому что первый понял что-то, чего не поймёт второй? Глубокую жызненую филосифию поди?!

anonymous ()
Ответ на: комментарий от anonymous

В чем различие между тем, кто потратил 1/3 жизни на ремесло программирования, вторую треть на безопасность

этот программист

от того кто две трети потратил на безопасность?

а этот не нужен ))

Почему первый айс, второй нет?

Потому что, если обе части уравнения умножить или разделить на одно и то же число, не равное нулю, то корни уравнения останутся прежними. +)))

DAGAZ ()
Последнее исправление: DAGAZ (всего исправлений: 1)
Ответ на: комментарий от anonymous

Как знать. Объективно говоря, я не вижу поводов для подобной торжественности. Торжественности чего над чем? Поле выравнивается, и в конечном счёте всё успокоится. Любая система стремится к равновесию.

DAGAZ ()
Ответ на: комментарий от DAGAZ

Объективно говоря, я не вижу поводов для подобной торжественности. Торжественности чего над чем?

Жабы над гадюкой. Или наоборот. Все равно. Белый рынок иб скучный до безобразия. И бедный. Питаться багбаунти, или открыть ооо и пилить сертификаты для инвесторов... давать в жопу государству через раз... Успокаивать себя, и своё любопытство ресёрчем, который худо-бедно да есть...

О чем тут можно жалеть? Цирк. И всегда белая зона будет цирком безопасности. Что бы чем не сменялось.

anonymous ()

Если я хочу стать специалистом с нуля, с чего мне начинать?

  1. Стать блэкхэтом
  2. Попасться на чем-то крупном, так чтобы попасть в заголовки новостей
  3. Сесть в американскую тюрьму
  4. Освободиться досрочно
  5. PROFIT!
annulen ★★★★★ ()
Последнее исправление: annulen (всего исправлений: 1)

Лучше не надо, это довольно скучная работа с кучей поехавших. Будешь либо аудит проводить, либо, от скуки, через впн пытаться взломать соцсети сотрудников предприятия, куда устроишься. Интересные темы канешн и в ИБ есть, но больно уж рутина... рутинная.

Deleted ()
Ответ на: комментарий от anonymous

Белый рынок иб скучный до безобразия. И бедный.

Они просто ничего не знают о ИТ безопасности. Для 99% ИТ безопасность это мозгоебство. Больше мозгоебства больше безопасности. Зачем платить много за какую-то непонятную ИТ безопасность, если можно взять кого-то, трахать ему мозг и думать что от этого появляется безопасность.

Пока не появится руководство которое не будет считать наличие корреляции между мозгоебством и ИТ безопасностью, спроса на реальную ИТ безопасность не будет.

anonymous ()

Если я хочу стать специалистом с нуля, с чего мне начинать?

Количество вакансий и среднюю з/п для твоей страны обитания. Возможно дальше вопросы отпадут

vasily_pupkin ★★★★★ ()

Есть такой дипломированный специалист в НИИ, в котором я работаю. Как результат, везде куча дыр. И почти везде одинаковый пароль, который я давно через эти дыры узнал. А сам ИБ-шник занимается только обыкновенным стукачеством и сочинением идиотских приказов.

anonymous ()
Ответ на: комментарий от anonymous

От человека и его испорченности тоже много зависит.

Я однажды собрал список около 100 инструкций по ИТ безопасности, отнес список уважаемому здесь товарищу и сказал что ложил на список ибо нет времени это все прочесть. Кроме того это все фигня которую написали только потому что комуто надо было отчитался о проделанной работе.

Обвиняли меня в сабртаже, угрожали, настучали на верх. Через пол года вызвали «на верх» сказали что сами прочли все 100 инструкций :)))))) и решили что 75 из них - фигня, а 35 стоит прочесть и написать отчет, что типа соблюдаем.

Отказался писать очеты, о том чего нет, остальные написали.

По тихоньку, при наличии времени, реально внедрял требуемое 35- тью инструкциями. Сначала внедрял, тестировал, когда было все готово и отлажено, строчил «идиотский» приказ и только после подписи руководителя «дергал рубильник». Конечно с 35 выбрал только 10 которые считал наиболее полезными и интересными, а на остальное так и не хватило времени.

anonymous ()

Сейчас всё действительно интересное в ИБ насквозь спецслужбами разных мастей и происхождений «крышуется». И не только в РФ. Но в РФ похоже местами совсем до маразма уже доходит. Даже официально ты не сможешь ни криптографией заниматься, ни написанием защищенных систем, ни взломом того и другого. Только с лицензиями и сертификатами и с «кураторами». Так что сначала задумайся, а оно тебе надо в гадючник лезть?

Или «по чистому» будешь только всякой херней страдать, заниматься составлением и утверждением кучи дурацких инструкций.

anonymous ()
Ответ на: комментарий от ados

Конечно же математику

Из-за таких людей, явно принадлежащих к геям, я пошёл разбираться в математике. Нашёл только геев, пару статей и всё. Но, хотелось то бороться с хакерами в сетях вероятного противника... А это всё вообще никак не коррелирует с математикой. Уж тогда бы философию и психологию рекомендовали.

anonymous ()
Ответ на: комментарий от anonymous

«кураторами»

А вот эти бл@дь отдельного упоминания достойны. У тебя статья или делаешь бизнес? Давай делись, и пофиг что этот тупорыл безыдейный даже от ментов тебя «отмазать» не в состоянии.

anonymous ()
Ответ на: комментарий от anonymous

официально ты не сможешь ни криптографией заниматься, ни написанием защищенных систем

Какой закон, указ или постановление это запрещает делать в РФ?

http://constitution.kremlin.ru

Статья 23 (защита использования средств шифрования)
2. Каждый имеет право на тайну переписки, телефонных переговоров, почтовых, телеграфных и иных сообщений. Ограничение этого права допускается только на основании судебного решения.

Статья 24 (защита персональных данных)
1. Сбор, хранение, использование и распространение информации о частной жизни лица без его согласия не допускаются.

Статья 29 (защита сетей передачи данных)
1. Каждому гарантируется свобода мысли и слова.

4. Каждый имеет право свободно искать, получать, передавать, производить и распространять информацию любым законным способом. Перечень сведений, составляющих государственную тайну, определяется федеральным законом.

5. Гарантируется свобода массовой информации. Цензура запрещается.

Статья 44 (защита разработки любого ПО, включая безопасные ОС и всю крыптографию)
1. Каждому гарантируется свобода литературного, художественного, научного, технического и других видов творчества, преподавания. Интеллектуальная собственность охраняется законом.

Статья 51 (защита паролей и секретных ключей)
1. Никто не обязан свидетельствовать против себя самого, своего супруга и близких родственников, круг которых определяется федеральным законом.

2. Федеральным законом могут устанавливаться иные случаи освобождения от обязанности давать свидетельские показания.

Статья 56 (частичное ограничение только в черезвычайных ситуациях)
1. В условиях чрезвычайного положения для обеспечения безопасности граждан и защиты конституционного строя в соответствии с федеральным конституционным законом могут устанавливаться отдельные ограничения прав и свобод с указанием пределов и срока их действия.

2. Чрезвычайное положение на всей территории Российской Федерации и в ее отдельных местностях может вводиться при наличии обстоятельств и в порядке, установленных федеральными конституционным законом.

3. Не подлежат ограничению права и свободы, предусмотренные статьями 20, 21, 23 (часть 1), 24, 28, 34 (часть 1), 40 (часть 1), 46 — 54 Конституции Российской Федерации.

anonymous ()
Ответ на: комментарий от anonymous

я пошёл разбираться в математике.

С математикой разбираться нет смысла, она или в тебе есть или её нет.

это всё вообще никак не коррелирует с математикой.

Предложу два варианта ИТ безопасности:

1. Чем больше мозготраха тем будет больше ИТ безопасности и никакой корреляции с математикой.

2. Математически доказанная модель програмно-апаратная реализация которой дает определенные гарантии безопасности не зависимо от наличия отсутствия мозготраха. Корреляция мозготраха и ИТ безопасности отсутствует.

Как ты думаешь которая из моделей есть правильная? Когда речь идет о гарантиях безопасности ответ очевиден - только мат модель может дать гарантии. Мозготрах это субъективная вероятность, связанная с дрессировкой индивида и никакой гарантии ИТ безопасности дать не может.

Хороший пример работы математиков в ИТ безопасности.

В РФ очень плохое в ИТ наследство. К большому сожалению ИТ специалисты и молекулярные биологи в СССР подвергались репрессиям и геноциду от государства!

anonymous ()
Ответ на: комментарий от anonymous

Какой закон, указ или постановление это запрещает делать в РФ?

99-ФЗ «О лицензировании отдельных видов деятельности», КоАП РФ Статья 13.13, УК РФ Статья 171. Дальше сам найдешь

anonymous ()
Ответ на: комментарий от anonymous

Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 02.08.2019) «О лицензировании отдельных видов деятельности»

Статья 12. Перечень видов деятельности, на которые требуются лицензии 1. В соответствии с настоящим Федеральным законом лицензированию подлежат следующие виды деятельности:

1) разработка, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации, техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств (за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

4) разработка и производство средств защиты конфиденциальной информации;

5) деятельность по технической защите конфиденциальной информации;

«Кодекс Российской Федерации об административных правонарушениях» от 30.12.2001 N 195-ФЗ (ред. от 02.08.2019)

КоАП РФ Статья 13.13. Незаконная деятельность в области защиты информации 1. Занятие видами деятельности в области защиты информации (за исключением информации, составляющей государственную тайну) без получения в установленном порядке специального разрешения (лицензии), если такое разрешение (такая лицензия) в соответствии с федеральным законом обязательно (обязательна), - влечет наложение административного штрафа на граждан в размере от пятисот до одной тысячи рублей с конфискацией средств защиты информации или без таковой; на должностных лиц - от двух тысяч до трех тысяч рублей с конфискацией средств защиты информации или без таковой; на юридических лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией средств защиты информации или без таковой.

2. Занятие видами деятельности, связанной с использованием и защитой информации, составляющей государственную тайну, созданием средств, предназначенных для защиты информации, составляющей государственную тайну, осуществлением мероприятий и (или) оказанием услуг по защите информации, составляющей государственную тайну, без лицензии - влечет наложение административного штрафа на должностных лиц в размере от четырех тысяч до пяти тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией созданных без лицензии средств защиты информации, составляющей государственную тайну, или без таковой.

«Уголовный кодекс Российской Федерации» от 13.06.1996 N 63-ФЗ (ред. от 02.08.2019)

УК РФ Статья 171. Незаконное предпринимательство

1. Осуществление предпринимательской деятельности без регистрации или без лицензии в случаях, когда такая лицензия обязательна, если это деяние причинило крупный ущерб гражданам, организациям или государству либо сопряжено с извлечением дохода в крупном размере, за исключением случаев, предусмотренных статьей 171.3 настоящего Кодекса, - наказывается штрафом в размере до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период до двух лет, либо обязательными работами на срок до четырехсот восьмидесяти часов, либо арестом на срок до шести месяцев.

2. То же деяние:

а) совершенное организованной группой;

б) сопряженное с извлечением дохода в особо крупном размере, - наказывается штрафом в размере от ста тысяч до пятисот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до трех лет, либо принудительными работами на срок до пяти лет, либо лишением свободы на срок до пяти лет со штрафом в размере до восьмидесяти тысяч рублей или в размере заработной платы или иного дохода осужденного за период до шести месяцев либо без такового.

anonymous ()
Ответ на: комментарий от anonymous

Прочел, по идее государство должно как-то защищать некомпетентных потребителей от горе шифровальщика с XOR и супер безопасников с M$ Windows.

Идея сама по себе правильная, а вот практика злоебучей реализации в РФ, как всегда...

К сожалению, в РФ применение Конституционных Норм и реализация принципа верховенства права искареженна: Роскомнадзор начал монтаж оборудования для изоляции рунета (комментарий) Роскомнадзор начал монтаж оборудования для изоляции рунета (комментарий)

По этому без реального применения против тебя выше упомянутых, очень спорных законов в части нарушения Конституционных прав и свобод, ты не можешь подавать в Конституционный суд жалобу о нарушении гарантированных Конституцией прав Что должен знать специалист ИБ на старте (комментарий)

anonymous ()
Ответ на: комментарий от anonymous

(за исключением случая, если техническое обслуживание шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя);

Какому-то лицу надо настроить хороший антивирус, сетевой экран с обнаружением вторжений, верификацию целостности системы и систему шифрования каналов с удаленными офисами. Лицу это надо для своих нужд. Для реализации всего вышеописанного лицо нанимает Васю по договору. Где крыминал?

anonymous ()
Ответ на: комментарий от anonymous

Если Васю трудоустраивают в штат - то типа ок, если договор или ГПХ, то см. выше

Васю берут на работу по договору на конкретный период, под конкретную задачу. Тоесть работает 2 месяца пока не зделает о чем договаривались, а по истечении договора его стороны не продлевают. Договор строчный, с явным указанием даты окончания трудовых отношений.

Вася не является ИП, ООО, .... Вася это физическое лицо.

anonymous ()
Ответ на: комментарий от anonymous

по договору на конкретный период, под конкретную задачу

работа по трудовому договору - работа по должности, штатному расписанию и профессии, а если предметом предметом соглашения является результат работы или услуги.... короче, учите матчасть, очень больно бьют, когда ее не знаешь (с)

anonymous ()
Ответ на: комментарий от anonymous

работа по должности, штатному расписанию и профессии

Да, работаю по должности «инженер программист» (сысадмин) с 9 до 18 и это есть моя профессия.

В трудовую книжку прошу не записывать, а нафига мне там записи по месяцу. Отдел кадров принимает на работу, трудоустройство официальное, все налоги с ЗП платятся, ЗП белая. А какая разница в строке договора месяц, год или пять лет?

anonymous ()
Ответ на: комментарий от anonymous

предметом соглашения является результат работы или услуги

Да, в договоре, или должностной инструкции явно прописаны должностные обязанности, что и когда Вася должен сделать. Где в этом крыминал?

anonymous ()

с чего мне начинать?

Быть параноиком в некоторой степени. Нет, серьёзно. Разбираться в том какие актуальные угрозы и как это делается. Для этого желательно не просто знать что вот так можно сделать, а понимать как это сделать. От понимания как делается, идёт понимание как защитить.

Иметь контакт с теми, кто на противоположной стороне.

Ну и люди, они никогда не меняются. Учитывай человеческий фактор.

Riniko ★★ ()
Ответ на: комментарий от Riniko

Ну и люди, они никогда не меняются. Учитывай человеческий фактор.

Можно сразу проектировать такие системы которые не зависят от человеческого фактора. Дрессировать человека можно инструкцией на прямую, без гарантий ее исполнения ибо «человеческий фактор» или технологией исключить возможность ошибки человека и дать гарантии соблюдения инструкции даже без ее знания оператором.

anonymous ()
Ответ на: комментарий от anonymous

Можно сразу проектировать такие системы которые не зависят от человеческого фактора. Дрессировать человека можно инструкцией на прямую, без гарантий ее исполнения ибо «человеческий фактор» или технологией исключить возможность ошибки человека и дать гарантии соблюдения инструкции даже без ее знания оператором.

Как же раздражают глупые люди... Про ограбления банков запланированные руководством вы ничего не слышали?

P. S. ТС, безопасники это край, идти туда следует когда тебя даже в условные дворники не берут. У тебя будут СРАЗУ проблемы с ментальным здоровьем.

anonymous ()