Alors, vous souhaitez travailler dans la sécurité?

De temps en temps, je reçois un e-mail d'un étranger passionné me demandant des conseils sur la façon de faire carrière dans la sécurité (informatique, information, cyber… peu importe). C'est bien! Nous avons besoin de personnes plus passionnées, créatives et travailleuses qui veulent travailler à rendre la technologie plus sûre à utiliser. Cela s'avère également être un moyen assez stable financièrement de gagner sa vie.

Il y a beaucoup d'autres articles sur ce sujet exact ¹, mais je vais vous proposer quelques réflexions de haut niveau tirées de ma propre expérience.

AVERTISSEMENT: ce n'est pas comme les films.

Travailler dans le domaine de la sécurité n'est pas comme on le voit à Hollywood. J'ADORE regarder des films et des émissions inspirés des hackers pour la fantaisie et l'évasion, mais le travail quotidien n'est pas (d'après mon expérience) aussi rapide et sexy qu'il en a l'air à l'écran.

Maintenant, c'est vrai pour la plupart des professions, et même si je n'ai jamais passé une journée à déchiffrer du code en streaming dans un repaire souterrain, je pense toujours que c'est un domaine passionnant, important, stimulant et gratifiant dans lequel travailler.

Il n'y a pas de programme standard ou parfait.

La sécurité est un vaste domaine appliqué, interdisciplinaire. Il y a des besoins pour des personnes qui conçoivent et construisent des systèmes sécurisés, des personnes qui essaient de briser les systèmes, des personnes qui essaient de détecter les intrusions et beaucoup de choses entre les deux. Si j'ai appris quelque chose, j'ai appris qu'il n'y a pas de chemin préparatoire unique, standard ou meilleur. Peut-être que cela changera à mesure que le champ mûrit, mais j'en doute. Ce n'est pas non plus comme d'autres domaines professionnels qui nécessitent une accréditation (par exemple la médecine, le droit), qui peut être à la fois libératrice et intimidante.

Indépendamment de la façon dont vous l'acquérez, vous bénéficierez d'une solide compréhension de l'informatique appliquée ou du fonctionnement des ordinateurs et des logiciels. Une grande partie de l'informatique appliquée consiste à résoudre des problèmes avec des couches d'abstraction, et la sécurité consiste souvent à trouver les hypothèses erronées dans ces abstractions ... puis à trouver la meilleure façon de les corriger (ou de les exploiter).

Je l'ai fait en obtenant un diplôme d'ingénieur en informatique d'une université publique. Certains des sujets les plus utiles pour moi étaient les systèmes d'exploitation, les réseaux, l'architecture informatique et les compilateurs. Au-delà de cela, je viens de suivre des cours techniques que j'ai trouvés intéressants (par exemple, traitement du signal numérique, génie biomédical, intelligence artificielle) et j'ai exploré des sujets de sécurité dans les réseaux, les technologies améliorant la confidentialité et la sécurité des applications (web, client) via le travail de projet dans des clubs étudiants et des stages .

Vous bénéficierez également de la compréhension du fonctionnement des personnes (utilisateurs, clients, etc.) qui utilisent la technologie. Si je pouvais remonter le temps à mes journées universitaires plus libres de {soins, d'obligations}, je prendrais des cours de psychologie, de sociologie et de facteurs humains.

Je travaille avec des experts qui ont des antécédents académiques traditionnels similaires (par exemple, des diplômes en génie informatique, en informatique, en mathématiques, etc.). Je connais aussi beaucoup de gens qui ont des antécédents moins typiques (par exemple, la chimie, les études cinématographiques, la psychologie, le graphisme) et des gens qui ont abandonné l'école avant de terminer un diplôme.

En ce qui concerne les certifications de sécurité, je n'en ai pas et je ne pense pas avoir été retenu à cause de cela. Il est possible que certaines industries ou certains pays en aient besoin pour les professionnels de l'infosec, et c'est certainement une chose que certaines personnes raisonnables ont poursuivies - mise en garde!

Culturellement, je recommanderais de lire le Manifeste des hackers ou Comment devenir un hacker, qui sert à la fois d'inspiration et de boussole morale pour de nombreux experts en sécurité. Même si vous ne vous comparez pas à un hacker, il est utile de comprendre l'état d'esprit de certaines des personnes avec lesquelles vous travaillez.

Au-delà de cela, la plupart de ce que je sais, j'ai appris au fil du temps, dans des anecdotes et des pépites d'amis et de collègues, des blogs sur la sécurité, des documents de conférence et des présentations, des listes de diffusion, des groupes de sécurité locaux et d'autres ressources en ligne. Beaucoup de choses dont j'entends parler ou que j'ingère aujourd'hui proviennent de personnes figurant sur ma liste de sécurité Twitter.

Arrêtez de lire, commencez à faire.

Cela s'applique à toute poursuite de carrière, mais obtenez une expérience de travail réelle aussi vite que possible. C'est la meilleure façon de préciser vos intérêts, vos forces et vos domaines de développement futur. Vous comprendrez également mieux en quoi consiste une journée et un environnement de travail normaux, y compris ce que vous aimez et ce que vous n'aimez pas. L'une des expériences professionnelles les plus précieuses de ma vie a été de faire un stage que je détestais car cela m'avait fortement orienté vers une autre direction :)

En ce qui concerne la façon de commencer à acquérir de l'expérience, je n'ai pas de réponse simple. Consultez les salons de l'emploi et les conférences, impliquez-vous dans des clubs ou d'autres organisations, postulez pour des stages et des emplois à temps partiel avec un enthousiasme audacieux. Bien avant de venir chez Google, j'ai nettoyé du fromage nacho séché dans un stand de concession dans le cadre de mon quart de travail régulier en tant que sauveteur de piscine communautaire. Cette petite expérience de travail m'a aidé à obtenir un emploi d'Admin SysAdmin dans un dortoir d'université, ce qui était sans aucun doute pertinent lors d'un entretien pour un stage informatique dans une grande entreprise pharmaceutique. J'ai acquis une expérience logicielle «réelle» (c'est-à-dire sans cours) avec des clubs à l'université, et j'ai trouvé une publication de stage en cybersécurité sur un groupe de discussion scolaire, ce qui m'a probablement donné une expérience de travail juste assez pertinente pour qu'une personne de Google puisse me considérer pour un entretien .

Écrivez le code.

Les meilleurs ingénieurs en sécurité que je connais écrivent également activement du code. Cela leur donne une expérience de première main avec l'écriture de logiciels, y compris l'introduction involontaire mais inévitable de bogues de sécurité. Ce dernier force une réelle empathie pour tous les développeurs. Après tout, il est souvent plus difficile d'écrire du code sécurisé de manière cohérente que de signaler un code non sécurisé.

Si vous ne savez pas par où commencer dans un projet de taille importante, essayez de corriger les bogues dans un projet open source. Tout le monde aime les gens qui corrigent les bugs! Le projet vous remerciera, et c'est généralement un bon moyen d'acquérir une expérience du monde réel et de mettre le pied dans la porte pour de futurs travaux.

Code de rupture.

Passez du temps à trouver des bogues logiciels. Apprenez à utiliser un débogueur, un analyseur de réseau, un proxy de débogage Web et un fuzzer logiciel. Passez du temps dans les terrains de jeux de hackers, disponibles pour tous les niveaux de compétence. J'ai utilisé //www.hackthissite.org pour la première fois lorsque j'étais à l'université et j'ai répertorié quelques autres sites de formation de hackers autoguidés sur //infosec.rocks. Il y a aussi une bonne liste de défis de piratage, de compétitions (par exemple des FFC) et de pertes de temps ici. Ou recherchez et signalez les bogues dans le logiciel que vous utilisez. Il existe de nombreux éditeurs de logiciels qui offrent des récompenses financières pour les bogues de sécurité, y compris Chrome et Google, ainsi que certains projets open source de base couverts par le programme Internet Bug Bounty.

Au-delà de la recherche de bogues vous-même, je vous recommande de suivre et d'apprendre de ce que les autres trouvent (bugtraq, fulldisclosure, oss-sec).

Partager le savoir.

J'ai commencé à apprendre la sécurité à l'université auprès de mes pairs dans un groupe spécial ACM intéressant appelé SigMil, où les membres faisaient des présentations non polies sur des sujets de sécurité qui les intéressaient. Nous avons également organisé un pèlerinage annuel au DEFCON pour assister à des conférences (ce qui était beaucoup plus facile à faire il y a dix ans), acheter des livres ou des magazines sur la sécurité, ou simplement discuter avec des personnes partageant les mêmes idées venant d'autres régions du monde sur ce sur quoi elles travaillaient. Chez Google, j'ai appris BEAUCOUP directement de mes pairs en partageant leur expertise, leurs luttes et leurs idées à moitié cuites.

Le partage des connaissances est important pour plusieurs raisons:

  1. Le partage des connaissances est un moyen nécessaire et efficace pour mettre à l'échelle les meilleures pratiques de sécurité (ou les pièges à éviter) dans une grande organisation ou un projet.
  2. J'apprends presque toujours quelque chose moi-même en préparant une présentation ou en rédigeant de la documentation, c'est donc une bonne fonction de forcer pour moi à découvrir les recoins cachés d'un sujet.
  3. J'apprends presque toujours quelque chose du public, que ce soit à partir de questions, de commentaires ou de discussions de suivi.
  4. Payez-le en avant.

Pratiquez aussi votre communication.

Travailler dans le domaine de la sécurité signifie que vous devrez régulièrement expliquer des problèmes techniques complexes à différents publics, chacun avec un vocabulaire, une expertise et des incitations différents. Vous aurez rarement des métriques universelles sur lesquelles vous appuyer pour décrire la gravité d'une vulnérabilité, et vous n'aurez rien de brillant à montrer lors de la promotion des meilleures pratiques de sécurité. Vous devrez garder les gens imperturbables face au FUD, mais concentré sur l'action en dehors de la crise.

Tout cela nécessite des compétences dans l'art de la communication, et en particulier, l'explication et la négociation. Il est peu probable que vous maîtrisiez cet art à partir de ressources purement techniques, alors pratiquez, publiez et tentez toujours de vous améliorer.

Attendez-vous à travailler dur et parfois à échouer.

C'est peut-être évident, mais cela vaut la peine d'être explicitement appelé.

La sécurité est un travail difficile. Vous devrez constamment apprendre de nouvelles choses, car le paysage technique que vous aurez besoin de sécuriser évolue rapidement beaucoup plus rapidement que notre capacité à déprécier les anciens éléments qui ne sont pas encore entièrement sécurisés. Les acteurs de la menace, qui ont souvent du temps et des ressources de leur côté, s'adaptent également rapidement aux défenses existantes.

La sécurité peut être stressante. Vous avez affaire à des problèmes ambigus, des solutions imparfaites, des données limitées et des menaces réelles pour la sécurité humaine.

Il est difficile de mesurer le succès avec la sécurité et, d'après mon expérience, les gens sont plus susceptibles de remarquer un échec. Lors de la sécurisation de la technologie du monde réel, nous sommes en fin de compte dans le domaine de l'atténuation des risques, et peu importe ce que quelqu'un d'un fournisseur RSA vous dit, il n'y a pas de solution miracle.

(Essayez de) Soyez optimiste.

Ce champ peut être déprimant pour certaines des raisons que je viens d'exposer. Il peut sembler impossible de suivre le rythme de l'innovation technologique et de l'exploitation. Je veux dire, les vulnérabilités de débordement de tampon existent depuis des décennies, mais nous voyons encore régulièrement des exploits à fort impact les exploiter aujourd'hui (2016). Vous entendrez régulièrement les gens crier que la sécurité est impossible, et la situation empire, ou expliquez de manière tout à fait éloquente pourquoi nous échouons tous.

La réalité peut être dure, mais si nous nous concentrons sur le positif et pensons à tout ce que la technologie a offert, c'est assez impressionnant! Ce n'est pas parfait. ça ne sera jamais parfait. Mais je pense que la sécurité de pointe est bien meilleure qu'elle ne l'était il y a 10 ans, nous pouvons faire des choses assez impressionnantes avec un certain niveau d'assurance raisonnable, et c'est quelque chose qui me garde optimiste.

Demander de l'aide.

Ne vous découragez pas si vous rencontrez des secousses. J'ai vu beaucoup de chauvinisme et d'ego dans l'industrie de l'infosec au fil des ans. Il n'est pas rare qu'une conversation (en ligne, lors d'une conférence, où que ce soit) se transforme rapidement en celui qui est le plus élitiste.

Ce n'est peut-être pas l'expérience pour tout le monde, mais j'ai réussi en grande partie grâce au soutien, aux conseils, au mentorat et à l'aide de beaucoup de gens formidables de la sécurité que je considère maintenant comme des amis. Ce n'est PAS parce que vous devez demander de l'aide que vous n'êtes pas fait pour ce travail.

Si vous avez besoin d'aide, demandez-la. Assurez-vous simplement de faire preuve de diligence raisonnable et faites en sorte qu'il soit aussi facile que possible pour les gens de vous aider. La plupart des experts sont assez occupés, vous avez donc beaucoup plus de chances d'obtenir une réponse utile si vous posez une question bien définie avec suffisamment de contexte et sans fautes de frappe.

Bonne chance et bon piratage!

[1] Quelques autres idées de conseils de carrière en sécurité sur lesquelles je suis tombé:

  • Thomas Ptacek, Charlie Miller, Jeremiah Grossman, Richard Bejtlich et Bruce Schneier partagent leurs réflexions sur //krebsonsecurity.com/tag/security-career-advice/
  • Chris Palmer, mon ami et collègue Chrome, partage de solides conseils sur //noncombatant.org/2016/06/20/get-into-security-engineering
  • Michal Zalewski (alias lcamtuf) a partagé 4 leçons simples basées sur ses 20 années de travail (impressionnant et souvent révolutionnaire) dans le domaine de la sécurité: //lcamtuf.blogspot.com/2016/08/so-you-want-to-work-in- security-but-are.html