Bivši Twitter CISO dijeli svoje savjete za zapošljavanje IT sigurnosti i kibernetičku sigurnost

Kao tvrtki, izgradnja snažnog sigurnosnog tima može biti izazov. S druge strane, ako želite ući u polje kibernetičke sigurnosti, može biti izazovno znati odakle započeti. Imao sam priliku razgovarati o oba ova pitanja s nekim tko je bio tamo, Michael Coates, suosnivač i izvršni direktor tvrtke Altitude Networks.

Coates je počeo IT sigurnost kroz vježbe crvenog tima. Koristio bi društveni inženjering, fizičko testiranje olovke i razne hakove kako bi provalio u mrežu i aplikacije korporativnih klijenata i financijskih institucija. "Bilo je stvarno uzbudljivo naučiti kako se to zapravo radi iz tjedna u tjedan," rekao je Coates, "a onda sjesti i s CIO-om, CTO-om i objašnjavajući to su stvarne stvari koje smo pronašli." Od tada je Coates provodio vrijeme u Open Web Application Security Project (OWASP)

i služio u odboru. Naposljetku je prešao u Mozillu i radio kao direktor osiguranja sigurnosti, a zatim na Twitteru gdje je bio CISO. Slijedi uređeni transkript intervjua.

VIDJETI: Kako izgraditi uspješnu karijeru u kibernetičkoj sigurnosti (besplatan PDF) (TechRepublic)

Izgradnja karijere u IT sigurnosti, od crvenih timova do CISO-a

Račun: Kako ste počeli u području IT sigurnosti?

Michael Coates: Da, područje sigurnosti bilo je divlje područje i imao sam veliku sreću što sam u njemu već više od 15 godina. Prvo sam se upustio u to, mislim kao i mnogi ljudi u području sigurnosti, iz znatiželje, ja bio petljar, želio sam naučiti kako računala rade, kako softver radi, koliko su različite stvari dogodilo se. A kako sam otkrio da postoje karijere u području sigurnosti, stvarno su me privukli. A početak moje karijere u zaštitarstvu, zapravo je bio u crvenim timovima, što je bilo stvarno uzbudljivo jer je tjedan završio tjedan, pozvali bi me u banku ili tvrtku s ciljem provale u tvrtku putem društvenih mreža inženjering; kroz fizičko testiranje olovke; putem hakiranja mreže i aplikacija.

I bilo je stvarno uzbudljivo saznati kako se to zapravo radi iz tjedna u tjedan, a zatim sjediti i s CIO-om, CTO-om i objašnjavati ovo su stvarne stvari koje smo pronašli. I dobili biste odgovor, što je uvijek bilo zanimljivo, "Ne, to nije moguće." Ali učiniti to i imati da to bude prva stvar poput: "Oh, daj da ti pokažem. Zapravo sam to napravio", bio je to stvarno zanimljiv način da se okušam u području sigurnosti.

Tijekom godina napredovao sam u različitim ulogama, fokusirajući se na sigurnost aplikacija niz godina, imajući sjajan angažman u OWASP-u. Također sam bio u odboru OWASP-a i na kraju sam se preselio na Zapadnu obalu gdje sam započeo sigurnosne programe u Mozilli i na kraju je tamo bio šef sigurnosti, štiteći stotine milijuna korisnika s preglednikom Firefox, zajedno s nevjerojatna ekipa. To je bio pravi izazov.

Preuzmite članke Cyberwar i budućnost kibernetičke sigurnosti kao besplatnu e-knjigu u PDF formatu (potrebna je besplatna registracija na TechRepublic)

Onda sam na kraju pronašao put do Twittera. CISO Twittera bio je jednako uzbudljiv. S jedne strane, ljudi kažu: "Pa što biste zapravo trebali zaštititi na Twitteru? Znate, ljudi koriste Twitter kako bi rekli da jedu sendvič sa šunkom za ručak," istina, ali s druge strane to je također globalna platforma u osnovi za slobodu govora. I možete se sjetiti nekih organizacija i režima koji nisu u skladu s tom realnošću. Dakle, zapravo smo imali dosta izazova u cijelom spektru i to je bila vrlo zanimljiva uloga da vidimo što je poput rada na sigurnosti u sustavu u stvarnom vremenu gdje znate, dvije sekunde kašnjenja na odgovor na nešto također su dvije sekunde usporiti. Moramo stvarno obaviti stvari u desecima milisekundi ili brže.

Ali sada sam u Altitude Networks. Napravio sam veliki skok nakon što sam nekoliko godina proveo na Twitteru, kako bih osnovao tvrtku, uglavnom tražeći prostor za koji znamo da nam tamo treba rješenje. I bilo je sveprisutno u drugim tvrtkama, a to je, kako zaštititi podatke u ovom novom prelasku paradigme na Cloud, posebno Cloud suradnju kao što su Google G Suite, Box, Dropbox, itd. Ukratko, na tim je platformama vrlo lako surađivati ​​i dijeliti dokumente s drugim ljudima kada to želite. Također je jednako lako napraviti pogreške i podijeliti ih s pogrešnim ljudima ili biti zlonamjeran ili biti ugrožen. I tako stvarno pokušavamo uvući tu iglu kako bismo omogućili ljudima da koriste te platforme dok imamo sigurnost nad podacima ugrađenu u iskustvo.

Usredotočite se na osnaživanje IT sigurnosti, a ne samo perimetra

Račun: Koji su neki od sigurnosnih izazova s ​​kojima se današnji CISO suočavaju kako se tehnologija razvija?

Michael Coates: Da, promjena u tehnologiji, brzina promjene, doista je izazov za CISO i organizacije. Organizacije se žele brzo kretati. Žele biti okretni i usvojiti novu tehnologiju te iskoristiti prednosti prelaska u oblak ili imati veze s trećim stranama s različitim tvrtkama. Iz sigurnosne perspektive, to je doista izazovno jer se ograda, perimetar, stalno mijenja. Zapravo se rastapa dok razmišljamo o tome. Međusobne povezanosti nastavljaju se povećavati, a ono što želite učiniti iz sigurnosne perspektive jest da ne želite biti tim koji kaže: "U redu, napravit ćemo ovu novu promjenu. Zaustavimo se godinu dana i stvarno procijenimo ovo i razmislimo o svemu što se događa, kako to učiniti savršeno ispravno", jer godina su eoni i ne možete zauvijek odgađati posao. To je stari model sigurnosti gdje ne možete imati te velike točke gušenja koje samo usporavaju sve.

Umjesto toga, iz sigurnosne perspektive, ono što sam smatrao učinkovitim i na Twitteru i na Mozilli bilo je kretanje prema ovom modelu osnaživanja. I jako je u skladu s idejom poput šampiona sigurnosti za koje mislim da je mnogo ljudi imalo uspjeha, ali ono što želimo učiniti je osnažiti timove da donose dobre odluke unutar razumne granice rizika i dati im alate kako bi to mogli učiniti sigurno. To je neka vrsta pristupa utabanom stazom. To je izraz za koji znam da sam puno čuo od Netflixovog sigurnosnog tima, što je sjajno. Gdje na siguran način činite nešto najlakšim. I ovo je doista način na koji kada razmišljate o skaliranju sigurnosnih timova, nikada ne možete imati dva svoja sigurnosna člana u svakom timu u cijeloj tvrtki. Nikada ne biste dobili toliki broj zaposlenih, ali možete pomazati sigurnosne prvake, možete ih trenirati i podučiti načinima kako voditi dobre sigurnosne prakse. I otkrio sam da je to vrlo učinkovito u pomaganju tvrtkama da se brzo kreću.

VIDJETI:Glavni prevarant iza Uhvati me ako možeš govori o kibersigurnosti (besplatni PDF) (TechRepublic)

Sada, druga strana stvari je da, kako nastavljamo usvajati nove paradigme, a Cloud je veliki primjer, to nas navodi na ponovno promišljanje sigurnosti u cjelini. Kao što smo nekada puno vjerovali u to, imali smo velike vatrozide, stoga su loši dečki vani, a dobri su unutra. Ali ne postoji pravi, kao što sam već rekao, perimetar, a ovaj pojam oslanjanja na vatrozid ne prevodi se samo u oblak. I tako sada postoji veliki pomak, a ja sam to pokrenuo na Twitteru, da ne razmišljamo o sigurnosti na stari način, nego prijeđimo na ono što je najvažnije. A ono što je nama u toj tvrtki najvažnije, a i mnogima, jesu podaci. I tako smo usvojili sigurnosnu politiku na prvom mjestu podataka koja kaže, gdje god podaci žive, prvo tamo primijenimo sigurnosne kontrole, a zatim se pomaknimo u koncentričnim krugovima prema van. A to ima dodatnu korist od razmišljanja o stvarnosti unutarnjih prijetnji.

Sada kada je unutarnje i vanjsko stvarno razdvojeno, vaši su zaposlenici prije uvijek mogli biti prijetnja, ali sada imate treće strane, imate ljudi, privremeni radnici, imate međusobne veze sa sustavima i mrežama trećih strana, pa sada postoji kompromis nizvodno koji na kraju prijeti vašem podaci. Dizajnirate na odgovarajući način jer za početak imate svoje sigurnosne kontrole tik uz podatke.

CISO-i, prestanite koristiti certifikate za filtriranje kandidata za poslove sigurnosti

Račun: Koje su najbolje prakse koje tvrtke mogu koristiti za izgradnju jakih sigurnosnih timova?

Michael Coates: Da, stvaranje sigurnosnih timova je izazovno. Postoji mišljenje da sigurnosno područje nema dovoljno osoblja i da nema načina da se ikoga zaposli. I mislim da je to pomalo neiskreno. Izazovno je, nemojte me krivo shvatiti, ali tvrtke si ne čine uslugu kada izgrađuju svoje sigurnosne timove. Pod tim konkretno mislim da u mnogim slučajevima kada pokušavate izgraditi svoj sigurnosni tim, nažalost, tvrtke ponekad nemaju dovoljno sredstava. Tako da zaposle jednu ili dvije osobe, a oni kažu: "U redu, pa mi ćemo dobiti najbolje za tu jednu osobu. Pa odaberimo ovih 15 različitih područja vještina i zaposlimo nekoga tko ih sve poznaje." I možete pogoditi kako se to odvija. Ne možete pronaći te ljude. Prvo, moramo pobjeći od sigurnosnog jednoroga koji ne postoji. Mislim, u tu svrhu, moramo imati snažniji poticaj za dobre proračune za izgradnju timova koji su vam potrebni. Ali pretpostavimo da imate taj broj glava.

Sada kada idete zaposliti te ljude, prvo se odmaknite i pogledajte svoj trenutni tim i recite: "U redu, koje vještine su nam potrebne? Koja područja pokrivanja imamo i kako izgraditi opis posla i ulogu koja stvarno postoji za kandidate? Dakle, pronađimo tu osobu koja je vrlo jaka, to jest, dobrog analitičara za SOC ili dobrog sigurnosnog inženjera ili dobrog sigurnosnog inženjera aplikacija."

VIDJETI: Pokretanje karijere u kibernetičkoj sigurnosti: Insajderski vodič (potrebna je besplatna registracija na TechRepublic)

Nakon toga pokušavate pronaći taj talent. Idite do svog regruta i svojih izvora i sjednite s njima i razgovarajte. “Ovo je osoba kakvu tražim. Ovo su neki primjeri ljudi koji su mi bliski, ali nisu ono što tražim." To je jedan dobar način da dobijete svoje izvore, prva linija napada, zapravo na brodu, tako da izbjegavamo ovaj neuspjeh u kojem vidite one regrutacijske e-poruke koje govore: "Hej, imaš li CISSP? Ili ako nemate CSSP, bit ćete izbačeni iz baze kandidata." To je doista odraz da ste lijeni u svojim praksama zapošljavanja, jer ne biste trebali tražiti samo jednu posebnu certifikaciju ili bilo kakvu; oni su alat za učenje, ali ne nužno i mehanizam filtriranja.

Nakon toga, organizirajte obuku za svoje zaposlenike o tome kako obaviti dobre intervjue i dobro zapošljavanje. Nije lako raditi intervjue, ali trebali bismo biti svjesni stvari poput nesvjesne pristranosti, pa bismo trebali provoditi te treninge. Trebali bismo unaprijed definirati karakteristike onoga što tražimo i odgovore. Sve te stvari pomoći će vam da imate mnogo bolje intervjue i zapravo pronađete ljude. Nakon što završite svoj kraj spektra, druga stvar koju trebate učiniti je izaći vani kao tvrtka koja će privući talente. Potaknite svoj sigurnosni tim da ide na konferencije, govori na događajima, ugošćuje lokalne sigurnosne događaje poput OWASP-a ili BSides-a ili bilo koje druge vrste događaja kojima možete biti sponzor.

To je još jedan dobar način da se pokaže sigurnosnoj zajednici, Hej, ovo je zanimljivo mjesto za rad. Dobit ću priliku komunicirati sa zajednicom. I otkrio sam da je to dobar način za razgovore i privlačenje novih talenata.

Sigurnosni savjet za karijeru: Učenje je dobro, ali bolje je praktično iskustvo

Račun: Što biste savjetovali IT profesionalcima i onima koji se ne bave IT-om koji žele započeti karijeru u kibernetičkoj sigurnosti?

Michael Coates: Dakle, s druge strane, što mislite o tome od strane pojedinca koji se želi probiti u područje sigurnosti? I to je stvarno dobro pitanje. I prije svega, trebamo vas, pa vas molimo. Jedina stvar koju ću istaknuti jest da nema lošeg trenutka za to. Ako ste u školi, ovo je sjajno područje za odmah nakon završetka škole, a ako imate 10 ili 15 godina iskustva u drugom području, još uvijek je dobro vrijeme za promjenu.

I tako dva područja, a ja ću skočiti u njih oba. Dakle, za učenike u školi, pohađajte tečajeve koje možete. Ako želite steći diplomu informatike, steći diplomu informacijske tehnologije, čak i diplomu stila revizije, sve to ima različite puteve u području sigurnosti. Drugo, pronađite sigurnosne laboratorije i aktivnosti i obavite ih. Da je učenje kroz rad daleko najbolja stvar koju možete učiniti. Stoga preuzimajte ranjive web aplikacije, ranjive operativne sustave. Upotrijebite web proxy ili [nečujno] i doista izvršite iskorištavanje. Iznenadit ćete se koliko ćete naučiti kada prijeđete s, "Oh, čitao sam o SQL injekciji," na "Napravio sam to u aplikaciji i zapravo vidim da radi."

VIDJETI: Kako izgraditi uspješnu karijeru u kibernetičkoj sigurnosti PDF preuzimanje (potrebna je besplatna registracija na TechRepublic)

Nakon toga idite na zajednice, sigurnosne sastanke. To je stvarno dobar način da izgradite svoju mrežu i bili biste jako iznenađeni u području sigurnosti kako to ...mreža nije velika. Ukupan broj ljudi u osiguranju nije velik. Dakle, kada ih počnete upoznavati, ulazite u te projekte otvorenog koda. Izgradite mrežu, možda na Twitteru, sigurnosna zajednica je jaka na Twitteru. Našao sam neke ljude koji odu na Twitter i kažu: "Hej, tražim svoj prvi posao u zaštiti. Evo mojih vještina. Pomozi mi." Djeluje jako dobro.

Sad okrećući se, ako ste u industriji 10, 12, 15 godina, zapravo ste izvrsna osoba za prelazak u sigurnost i to bi vas moglo iznenaditi. Razlog je taj što u sigurnosti već gradimo specijalizaciju sigurnosnih vještina na vrhu temeljne sposobnosti. Dakle, razmislite o inženjerima za sigurnost aplikacija. Moraju biti dobri u kodiranju do određenog stupnja, ili inženjeri mrežne sigurnosti, opet, mrežna pozadina. Dakle, ako ste bili u tim različitim ulogama, već imate sve te osnovne vještine koje su ključne za ono što radite.

Stoga počnite proučavati neka postupna znanja o sigurnosti kako biste sebi dali temelj. Tu su neki od sigurnosnih+ certifikata, to su dobri načini da samo počnete i dobijete uobičajeno, stanje u zemlji. Ali tvrtka, možda čak i vaša vlastita tvrtka, bila bi prikladna da vas dovede i obuči o toj inkrementalnoj sigurnosti vještina, a to je nešto što smo zapravo dosta radili na Twitteru i što preporučujem drugim tvrtkama, je izgradnja tog niza vještine. Uzimate nove kandidate iz škole, također uzimate interne zaposlenike koji su izvrsni u tvrtki i obučavate ih tako postupno vještine i odjednom imate ljude koji točno znaju kako temelj svega funkcionira u njihovoj domeni i napreduju u tome sigurnosni prostor.

Dakle, to je stvarno dobra prilika za obje strane. Tvrtke, uzmite interne transfere i obučite ih, a onda zaposlenici krenu naprijed i naprave taj veliki skok u sigurnost. Ti to zapravo možeš i učinit ćeš, napravit ćeš stvarno dobar posao.

ZDNET'S PONEDJELJAK JUTAR OPENER

Monday Morning Opener naša je uvodna salva za tjedan u tehnologiji. Budući da vodimo globalnu stranicu, ovaj uvodnik objavljujemo u ponedjeljak u 8 sati ujutro po istočnom vremenu u Sydneyu, Australija, što je u nedjelju u 18 sati po istočnom vremenu u SAD-u. Napisao ga je član globalnog uredničkog odbora ZDNet-a, koji se sastoji od naših vodećih urednika diljem Azije, Australije, Europe i Sjeverne Amerike.

PRETHODNO U PONEDJELJAK JUTAR OTVARANJE:

• PC ili sklopivi telefon? Evo vaše sljedeće velike dileme oko uređaja
  
• Kina ima Apple uz iPhone
  
• Izvršni direktor Carvane Ernie Garcia o znanosti o podacima, ulaganjima u tehnologiju i ometanju industrije
• Zašto je jedan Java programer prešao na Salesforce i nije se osvrnuo
  
• Kriza s ransomwareom postat će još gora
  
• Adobeova kupnja Omniture prije deset godina, postavila je pozornicu za promjenu oblaka, Experience Cloud
  
• Huawei vjeruje da će njegova zabrana u 5G učiniti zemlje nesigurnima
• Još uvijek ne ostavljajte svoje prijenosno računalo zbog Samsung Galaxy Note 10 Plus
• Šifriranje je stvorilo neriješivu zagonetku za stvarni svijet
  
• Apple će na kraju učiniti ono što Intel nije mogao
• DevOps u oblaku: Najbolje prakse i zamke za implementaciju i razvoj oblaka iz Copada