it-swarm-korea.com

엔트리 레벨 보안 기술을 산업의 문제로보고 있습니다. 어떻게해야합니까?

자, 우리는 회사에 보안을 개선하고 IT 직원에게 교육을 제공하고 CEO 등을위한 프레젠테이션을 제공하지만 매년 다른 사람들이 떠날 때마다 새로운 졸업생 그룹이 회사에 데려오고 일반적으로 두 가지 관점 중 하나를 갖습니다.

  1. 보안?
  2. 보안 파시스트!

우리 중 일부가 스코틀랜드에서하려고하는 것 중 하나는 회사 (은행, 법 집행 등)가 학생 (강의, 워크샵, 여름 학교)을위한 교육 세션을 용이하게하는 것입니다. 회사는 무료로 자원을 제공하고 있으며 (자신은 경험이있는 졸업생의 이점을 이해합니다) Chartered Institute of Information Security 가능한 많은 지역.

스코틀랜드뿐만 아니라 모든 곳에서 모든 사람과 관련이 있어야 하므로이 문제를 개선하기 위해 무엇을 할 수 있습니까? 문제는 사라지지 않고 실제로는 커지고 있지만 기업은 그들이 할 때까지 심각하게 받아들이지 않습니다. 신문이 다른 사람을 겨냥 할 때까지만 심하게 타격을받습니다.

회사는 보안 정책을 가지고 있지만 위에서 아래로 문화가 있습니까? "아니오"가 쉬운 대답입니다. 우리는 문화를 정상에 고치려고 노력하지만, 일반적으로 그것은 돌아올 수없는 높은 노력이므로 바닥에 들어갈 수 있습니까? 학생과 신입생을 교육하십시오!

물론 문제는 학생들이 일반적인 학생 정신과 반대되는 보안에 대해 듣고 싶지 않다는 것입니다.

[편집[email protected] D.W와 같은 보안 과정을 수강하지 않는 한. 지적 되었으나, 여기서 우리는 많은 보안 파시스트들을 얻을 수 있습니다. 보안에 대한 잔인 함, 현실에 대한 초점이 충분하지 않고 이상적인 시나리오보다 적음]

그래서

  • 학생들과 졸업생들이 무엇에 관심이 있습니까?
  • 회사/대학/조직에서 어떤 일이 일어날까요?
  • 당신에게 가장 큰 승리는 무엇입니까?
  • 당신은 무엇을 듣고 지쳤습니까?
  • 귀사에 대체 솔루션이 있습니까? 약?

커뮤니티에 적합하다고 생각되는 주요 학습 포인트가있는 경우 커뮤니티로 가져 오십시오!

----------- 현상금이 추가되었습니다. 2 정말 좋은 답변이지만, 내가 본 것처럼 더 많은 관점과 관련 문제 (보안에 대한 CEO 등을 교육하는 방법)를 향상시키는 데 필수적인 것으로 정말로 감사하게 생각합니다.

29
Rory Alsop

지난 몇 년 동안 제가 가장 큰 인상을받은 것 중 하나는 비용과 위험 사이의 균형 인 보안에 대한 새로운 초점입니다. 비용이 악용 위험을 초과하면 보안 솔루션을 구현해서는 안되며 비용과 위험을 모두 진단하기 어려울 수 있습니다.

이 핵심 개념에 대해 내가 가장 좋아하는 것은 기본적으로 "모든 크기에 맞는"솔루션이 없다는 아이디어를 요구한다는 것입니다. 보안 설계는 소프트웨어 솔루션이나 솔루션을 설계하는 것만큼이나 기술입니다. 그것은 (1) 단서와 (2) 나치 사이의 중간 지점을 제공합니다.

보안에 익숙하지 않은 독자에게 제공 할 때는 도전으로 여기고 싶습니다. 도전은 안전한 기능을 만드는 것입니다. 이유 내 기능의 경우 필수 목표를 달성하기 위해 제공합니다. 퍼즐 같은 괴짜와 이것은 당신이 그것을 얻을 때 아주 멋진 퍼즐입니다.

내가 원할 수있는 모든 자금과 시간을 확보했다면 보안 주제를 일련의 퍼즐로 소개 한 학부 및 대학원 프로그램 모두에 대한 보안 집중을 만들었습니다. "이 기술을 사용하게 된 문제는 무엇입니까?"로 시작한 다음 "기술은 어떻게 작동합니까?" "어떤 문제가 발생할 수 있습니까?"

질문이있는 한 :

학생과 졸업생에게 관심이있는 것은 무엇입니까?

그들은 의미있는 일과 업계에서 좋은 일을 할 수있는 기회를 원합니다. 보안은 두 가지 모두로 표현 될 수 있다고 생각합니다. 보안이 항상 "아니오"라고 말하는 것이 아니라 사람들이 업무를 효율적으로 수행 할 수 있지만 비즈니스에 대한 위험은 거의없는 영리한 솔루션을 생각해 내면 그 작업이 매우 의미가 있다고 생각합니다. 또한 보안 대단 함으로서의 직업이 부족한 적이 없기 때문에 항상 그 경험에 대한 개인적인 경험으로 이야기하게되어 기쁩니다.

귀하의 회사/대학/조직에서 무엇이 효과가 있습니까?

아마 특이한 사람 일 것입니다. 저는 방위 계약 업체에서 일합니다. 안보는 우리 기업 문화의 한 부분으로 세상이없는 세상을 구상하는 데 문제가 있습니다. 그러나 내가 가장 자주 발견하는 것은 괴짜들이 무례한 과정에 빠진다는 것입니다. 보안 세부 사항에 대한 노예 준수가 필요한 보안 (특히 물리적 보안) 측면이 많이 있습니다. 요컨대, 사람들이 "엔지니어 방지"방법을 찾도록 동기를 부여 할 수 있습니다. 예를 들어 "밤이 끝날 때 큰 금속 금고에 안전한 물건을 고정시키기 위해 무엇을 할 수 있습니까? " 때때로 사람들은 정말 창의적인 해결책을 제시합니다.

당신을위한 가장 큰 승리는 무엇입니까?

개인적으로 저는 도전을 좋아합니다. 나는 안전한 일을하는 것을 좋아하고, 보안은 재미의 한 부분입니다. 또한 신입 엔지니어가 보안 대단함을 생각하기 시작할 때 빛이 들어오는 것을 정말로 좋아합니다. 그리고 회사 문화에 대해 내가 좋아하는 것 중 하나는 다른 사람들이 스스로 보안을 통해 생각하도록 돕는 것이 직업과 사회 계약의 큰 부분이라는 것입니다.

무엇에 대해 들었습니까?

나는 규칙이 "멍청하다"는 말에 조금 지쳤습니다. 그들은 지루할 수도 있지만, 바보라고 생각하면 일반적으로 충분히 큰 그림을 보지 못합니다.

슬프게도 다른 한편으로, 나는 또한 매우 안전한 근무 환경의 의무가 누군가가 빨리 움직일 수 없다는 것을 말하는 것에 지쳤습니다. 보안 속도가 느려지는 것은 아닙니다. 특히 속도 저하의 유일한 원인이 빨간색 테이프인지 궁금 할 때는 그렇지 않습니다.

18
bethlakshmi

글쎄, 나는 보안에 대해 신경 쓰지 않았기 때문에 (학생들에 대한 관심을 분명히 말할 수있다.) 학생 친구보다 보안에 조금 더 관여했다는 사실을 추가하면 이것이 어디로 가고 있는지 알 수 있습니다.

내가 가진 주요 문제는 단순히 학교에서 물건이 어떻게 작동하고 어떻게 성과 적으로 수행해야하는지 들었습니다. 당신이 듣지 못하는 것은 결코 보안 적으로하지 말아야 할 것입니다. 또한 코스는 너무 빡빡해서 가능한 한 많은 것을 다루기 위해 실제로 뛰어 다니지 만 실제로 주제에 들어 가지 않습니다.

학교에서는 최종 디플로마를위한 몇 가지 프로젝트를 수행했지만 시간 계획, 프로젝트 완료 및 작업 상태에 대해서만 평가를받습니다. 보안 문제에 대한 평가를받은 적이 없습니다. 프로젝트는 가장 원시적 인 SQL-Injection 또는 XSS 시도에도 영향을받을 수 있으며 여전히 60 (또는 국가에 따라 1 또는 A +)에서 총 60 점을 얻을 수 있습니다.

따라서 문제는 학생의 일반적인 무관심뿐만 아니라 학교가 학생에게 왜 중요한지, 왜 더 나은 사이버 세계를 위해 발명 된 모든 위대한 보안 도구를 사용 하는지를 보여주지 않기 때문이라고 생각합니다. 개선의 여지가 많다고 생각합니다.

10
Mike

일반적으로 회사의 보안 대응 팀 (Security Response Team)의 프레젠테이션은 학생, 경영진 또는 개발자로 구성되어 있는지 여부에 관계없이 청중을 포착합니다.

다른 이야기를하는 데있어 매우 비효율적 인 것으로 입증되었습니다 (비공식 이니셔티브를 기반으로 함). 이 이야기 중 일부는 화가 난 개발자들에게 중점을 두 었으며 다른 일부는 무고한 사람은 "아무도 그것을 악용하지 않을 것입니다!" 또는 ... 물론, 당신은 실제로 이러한 다른 사건들이 보안 전문가들에 의해 어떻게보고되는지 그리고 문제를 해결하는데 몇 달이 걸렸는지를 보여 주어야합니다.

이러한 이야기가 주어지면 악용을 제시하고 약한 코드가 사라지지 않는다고 가르치고 안전한 프로그래밍 또는 위협 분석을 소개하거나 ...

7
Phoenician-Eagle

저는 사람들이 보안을 추상적 인 것이 아닌 실제 로 생각하게하는 가장 좋은 방법은 컴퓨터와 이혼 한 실제 기본 교장을 가르치는 것입니다. 물리적 보안과 컴퓨터 보안의 차이점으로 시작하십시오.

  1. 보안 시도가 너무 많기 때문에 사람들은 보안을 해제합니다. 3 번의 시도 실패 후 잠금, 시스템에 대한 물리적 액세스, 키 로거 및 드라코 니안 암호 정책.

  2. 위협 트리 : 학생들이 자신의 위협 트리를 개발하도록합니다. 누군가가 3 개월마다 변경해야하며 4 개의 다른 클래스의 문자를 사용해야하는 12 개의 문자 암호를 알아 내거나 라이브러리 시스템을 키로그 할 가능성이 더 높습니까? 아이들은 장난을 잘하고 종종 물리적 보안을 파괴해야하므로 그것을 활용하십시오.

  3. 무서운 공격을 보여줍니다. 검은 모자에는 일반적으로 스니핑 한 모든 명확한 텍스트 계정을 보여주는 부끄러운 벽이 있습니다 (암호 및 일부 주소는 차단합니다). 캠퍼스 전체에서 실시간 일반 텍스트 세션을 수행해야하는 앱은 보안의 중요성을 안고 있습니다.

  4. 악용 된 사이트의 예 이 blog 에 삽입 된 cialis 스팸을 확인하십시오. 부끄러운 일입니다. 스팸은 캐나다 약국 사기에 연결됩니다. 다른 컴퓨터가 수정 되었기 때문에 링크가 끊어졌습니다. 아마도 동유럽에서 나온 매우 체계적이고 정교한 사기입니다. 그들은 크랙 된 시스템에서 IP를 블랙리스트에 올리지 않도록 아주 작은 웹 서버를 운영합니다.

4
Bradley Kreider

나는 학생들이 보안에 대해 듣고 싶지 않다는 전제를 공유하지 않습니다. 학부 컴퓨터 보안 과정을 가르칩니다. 컴퓨터 과학 부서에서 가장 인기있는 과정 중 하나입니다 (가장 인기있는 것은 아니지만 그 이상입니다).

이해해야 할 것은 대부분의 대학/대학이 평생 동안 지속될 개념과 원리를 가르치는 데 관심이 있다는 것입니다. 이에 비해 5 년 동안 쓸모가없는 교육 기술이 우선 순위가 낮습니다. 따라서 원하는 소프트웨어에 대한 기술 교육이 필요한 경우 회사는 직원을 교육하여이를 제공해야 할 것입니다. 그러나 보안에 대해 생각하는 방법을 알고있는 사람, 공격자처럼 생각하는 방법을 알고있는 사람, 보안의 기본 원칙에 익숙한 사람을 원한다면 잘 설계된 대학 커리큘럼이 제공 할 수있는 것입니다.

나는 미래의 졸업생 고용주들과 이야기를 나 security으며, 그들이 우리의 보안 과정을 수강하는 학생들이 보안 나치로 나온다고 불평하는 것을들은 적이 없습니다. 반대로, 고용주로부터 얻는 가장 일반적인 의견은 다음과 같습니다. 더 많은 강의에 보안에 대한 자료를 더 추가 할 수 있습니까?

나는 이것이 당신의 인식과 다르다는 것을 알고 있지만, 당신은 did 더 많은 관점을 요구합니다. 이 내 꺼야.

4
D.W.

나는 당신의 주장에 동의합니다. 우리는 두 개의 캠프가있는 것 같습니다. 우리는 컴퓨터 XX 산업의 모든 학생들에게 보안의 기본 사항에 대해 교육해야합니다. 우리 대학에서는 모든 컴퓨터 정보 시스템 (CIS)과 컴퓨터 정보 기술 (CIT) 전공이 제 입문 infosec 코스를 수강하도록합니다. CIT 전공은 또한 infosec 코스에서 최소한 한 번의 추적을 받아야합니다.

모든 학생들에게 최소한 infotro 수업을 요구하는 것은 상황을 개선하기위한 첫 번째 단계입니다. 그러나 그것이 충분하다고 생각하지 않습니다. 코스를 가르치는 방식도 중요하다고 생각합니다. 예를 들어, 나는 적어도 일주일에 한 번 "정보 보안은 컴퓨터 보안 만이 아니라"고 학생들에게 상기시키는 습관을 만듭니다. 저는 기술적 인 사람들로서 컴퓨터 시스템을 남용하기 위해 할 수있는 모든 일에 대해 자세히 설명하는 경향이 있다고 생각합니다. 그것은 알파 괴짜처럼 보이려고하는 일종의 방법입니다 (내가 할 수있는 것을 보아라. 아무도 안전하지 않다 ...). 재미있는 기술에 집중하고 다른 모든 것을 무시하면 두 캠프 사이에서 쐐기를 운전하는 것처럼 보입니다. 나치들은 그것을 먹고 졸업 할 때 우스운 (그리고 비 효과적인) 정책을 시행하기를 원합니다. infosec 경력을 찾고 있지 않은 학생들은 수업을 견뎌내고 보안에 대한 단서가 없으며 나치의 정책에 저항하기로 결정했습니다.

저에게는 재미있는 멋진 infosec 기술에 대해 학생들을 가르치고 infosec이 펜 테스트, 빈 스캔, av 등 그 이상이라는 것을 이해하도록 돕는 것 사이에 균형을 맞추려고 노력합니다. 해킹 할 수있는 격리 된 네트워크의 시스템. infosec에 관심이없는 학생들조차도 이것을 즐기는 것 같습니다. 바라건대 그들은 infosec에 대한 증오없이 조금 더 현명하게 졸업합니다.

2
Philip Polstra

졸업생이 시작하기에 적합한 지 궁금합니다.

훌륭한 보안 전문가 (또는 실제로 모든 전문가)는 최소한 비즈니스, 그리고 아마도 IT/IS에 대한 좋은 근거가 필요하다고 주장 할 수 있습니다. 대학에서 누군가를 데려 가서 바로 infosec에 넣으면 Security Nazi가 끝나지 않을 가능성이 훨씬 높아집니다.

아마도 접근 방식은 회사 내의 팀 리더/주니어 관리자 수준에 초점을 두어야합니다. 그들은 이미 회사의 밧줄, 영향을 미치고 설득하고 정치를 다루는 방법을 알고 있으며 틈새 시장을 찾고 있습니다. 이제 IT에있는 경우 아마도 infosec 또는 IT sec 경로 (또는 둘 다)로 갈 수 있습니다. 전문가가 아닌 사람은 infosec에 중점을 두어 2 년에 걸쳐 IT 부서로 편입해야 할 수도 있습니다. 그러나 미래의 지도자들이 안보 친화적이되도록 노력하고 있다면 에너지를 공급할 수있는 곳입니다.

2
James Rigby

나는 당신이보고있는 것과 같은 문제를 보았지만 대규모 다국적 기업의 운영 보안 프로그램 리더로 일하면서 부분적인 해결책을 찾았습니다. 나는 몇 명의 주요 경영진과 새로운 대학원생을위한 정말 좋은 시작 프로그램을 지원할만큼 운이 좋았습니다. 기존의 접근 방식은 간단했습니다.이 회사는 새로 졸업 한 엔지니어 및 CS 유형의 블록을 고용하고 2 년 계약에 서명 한 다음 해당 시간 동안 여러 그룹/직책을 통해 회전시킵니다. 예를 들어 대규모 트렁크 스위치를 지원하는 데 몇 개월을 소비 한 다음 동일한 스위치에 대한 새 코드를 작성하는 데 몇 개월이 걸릴 수 있습니다. 다른 사람들은 새로운 하드웨어를 개발하는 데 시간이 걸리고 네트워크 관리를 지원하는 데 시간을 할애 할 수 있습니다. 각 신입생이 어떤 그룹으로 갈 것인지 결정하는 것은 신입 사원과 다양한 조직의 기술, 욕구 및 요구의 조합이었습니다.

내가 추가 한 비트는이 새로운 졸업생이 동일한 유형의 실제 보안 노출을받을 수있는 일련의 옵션을 포함하는 것이 었습니다. 우리는이 새로운 사람들이 IT 보안 그룹으로부터 IT 보안을 배우기위한 계획을 세웠고, 함께 일할 수있는 몇 가지 사고 대응 그룹이 있었고, 때로는 정책을 돕는 부부도있었습니다. 이런 식으로, 그들이 프로그램의 마지막에 영구적 인 위치를 제공 받았다고 가정 할 때, 그들은 보안에 대한 어느 정도의 이해력을 가지고 있으며 실제 세계에서 이와 관련된 도전을합니다.

그러나, 나는 그러한 프로그램이 대부분의 고용주에게 현실적이지 않다는 것을 이해합니다. 그러나 동일한 기본 노출을 제공하는 몇 가지 여름 인턴 유형 위치를 훨씬 저렴한 비용으로 구성 할 수 있습니다. 저의 경험은 기술 인력이 보안 영역의 실제 과제와 기회에 노출됨에 따라 그들의 접근 방식이보다 합리적이고 균형 잡힌다는 것입니다. 시간이 많이 걸리지 않는다는 것을 빨리 알게되었습니다. 그들이 실제로 일을하기 위해 충분히 배워야 할 필요는 없었으며, 단지 현실에 대한 확실한 이해를 얻을 수있었습니다. 대부분의 경우 보안 팀과 함께 2 개월 (여름 방학 기간)은 매우 긍정적 인 결과를 얻을 수있는 충분한 경험을 제공했습니다.

1
The IMT