web-dev-qa-db-ja.com

エントリレベルのセキュリティスキルを業界の問題と見なしています。それについて何ができますか?

わかりました。それで、私たちは企業にセキュリティを向上させ、ITスタッフにトレーニングを提供し、CEOなどに意識のプレゼンテーションを提供しますが、毎年、卒業生の新しいバッチが他の人が去るにつれて企業に持ち込まれます。

  1. セキュリティ?
  2. セキュリティファシスト!

スコットランドで私たちがやろうとしていることの1つは、企業(銀行、法執行機関など)による学生向けのトレーニングセッション(講義、ワークショップ、夏のプレースメント)を促進することですが、実際に購入しても苦労しています。企業はリソースを無料で提供しています(まあ、彼らはある程度の経験で卒業生を受け入れることの利点を理解しています)および Chartered Institute of Information Security などの組織を支援して、できるだけ多くのエリア。

これを改善するために私たちが何ができるか-スコットランドだけでなく、あらゆる場所で、すべてに関連するはずです...問題は解消されていません。実際、それはますます大きくなっていますが、企業はそれを真剣に受け止めませんひどい打撃を受け、それでも新聞が他の誰かを狙うまでは。

企業にはセキュリティポリシーがありますが、上から下までの文化がありますか? 「いいえ」は簡単な答えです。私たちはカルチャーを上から修正しようとしますが、通常、それはノーリターンのための多大な労力なので、下から入ることができますか?学生や新卒者を教育しましょう!

もちろん問題は、通常の学生の精神に反するため、学生はセキュリティについて聞きたくないということです:-)

[編集-彼らがセキュリティコースを受けていない限り、@ D.W。指摘されましたが、そこから多くのセキュリティファシストを得ることができます-セキュリティの過剰、現実の世界に十分に焦点を当てていない、理想的なシナリオよりも少ない]

そう

  • 学生や卒業生は何に興味を持っていますか?
  • あなたの会社/大学/組織で何が機能しますか?
  • あなたにとって最大の勝利は何ですか?
  • 何を聞いてうんざりしていますか
  • あなたの組織には代替ソリューションがありますか?約?

コミュニティに適切だと思う重要な学習ポイントがある場合は、それらをコミュニティに取り入れましょう!

-----------バウンティを追加しました。 2本当に良い答えですが、私がこれを見るように、さらに多くの見解と、それに関連する問題(セキュリティに関するCEOを教育する方法など)を改善するために不可欠なものとして本当に感謝します。

professional-educationacademia
29
Rory Alsop

ここ数年で最も印象に残っていることの1つは、コストとリスクのバランスとしてのセキュリティへの新たな焦点です。コストが悪用のリスクを超えており、コストとリスクの両方を診断することが難しい場合は、セキュリティソリューションを実装しないでください。

このコアコンセプトについて私が最も気に入っているのは、基本的には「1つのサイズですべてに対応できる」ソリューションは存在しないという考え方を義務付けていることです。セキュリティの設計は、ソリューションやソフトウェアの一部を設計するのと同じくらい技術です。 (1)無知と(2)ナチの間の中間点を提供します。

それをセキュリティに不慣れな聴衆に提示するとき、私はそれをチャレンジとして提示したいです-チャレンジは安全な何かを作ることです理由の範囲内で it 必須その目標を達成するために提供します。オタクはパズルが好きで、これに取り掛かると、これはかなりクールなパズルになります。

資金と時間をすべて確保できたら、セキュリティのトピックをパズルのセットとして紹介する学部と大学院の両方のプログラムにセキュリティを集中させることができます。まずは「この技術が使われたきっかけは何だったのか」、「技術のしくみ」から。そして「それはどんな問題を引き起こすことができますか?」

質問に関する限り:

学生や卒業生は何に興味を持っていますか?

彼らは有意義な仕事と業界で良い仕事をするチャンスを望んでいます。セキュリティは両方として提示できると思います。セキュリティを常に「いいえ」と言うのではなく、人々が仕事を効率的に行えるようにする巧妙なソリューションを考え出すが、ビジネスへのリスクはほとんどない場合、その作業は非常に意味があると思います。また、私はセキュリティオタクとしての仕事に欠けたことは一度もないので、私は常にその経験について話すことができて嬉しいです。

あなたの会社/大学/組織で何が機能しますか?

私はおそらく外れ値です-私は防衛請負業者のために働いています。セキュリティは私たちの企業文化の一部であるため、セキュリティのない世界を想像するのは困難です。しかし、私が最も頻繁に目にするのは、マニアが悪用するプロセスであるということです。セキュリティの詳細(特に物理的なセキュリティ)には、細部まで厳格に遵守する必要があるという側面があります。ある時点で、「エンジニアに耐える」方法を理解するように人々を動機づけることができます。たとえば、「夜の終わりに、安全なものを大きな金属の金庫に閉じ込めることを確実にするために何ができますか?」 」時々人々は本当に創造的な解決策を思いつきます。

あなたにとって最大の勝利は何ですか?

個人的に、私は挑戦が大好きです。私は安全なものを機能させるのが好きで、セキュリティも楽しみの1つです。新しいエンジニアがセキュリティオタクのように考え始めたときに、ライトが点灯するのを見るのも本当に好きです。そして、私の企業文化について私が気に入っていることの1つは、他の人々が自分自身でセキュリティについて考えることを助けることが仕事と社会契約の大きな部分であることです。

あなたは何について聞いてうんざりしていますか?

ルールが「ばかげている」と言われて少しうんざりしています。彼らは退屈かもしれませんが、あなたが彼らが愚かであると思うなら、あなたは一般的に十分に大きな画像を見ていません。

悲しいことに、もう一方の端では、安全性の高い作業環境の義務付けが誰かが素早く動くことができないことを意味していると言われるのにもうんざりしています。セキュアとスローは同じではありません。特に、スローの唯一の理由が赤テープであるかどうか疑問に思っている場合はそうではありません。

18
bethlakshmi

セキュリティについてはあまり気にしていない(または十分に気にしていなかった)ため、「学生の精神」のシェアを確かに知ることができます。私が生徒の友達よりもセキュリティに少し関わっていたという事実を追加すると、これがどこに向かっているのかがわかります。

私が抱えていた主な問題は、単に学校で、物事がどのように機能し、どのようにパフォーマンスの面でそれを行うべきかを教えられたことでした。あなたが言われないことは、セキュリティ面で決してしてはならないことです。また、コースは非常にタイトであり、実際にはできるだけ多くをカバーするためにジャンプしますが、実際には話題に飛び込むことはありません。

学校では、最終的な卒業証書のためにいくつかのプロジェクトを行いましたが、時間の計画、プロジェクトの完了、および作業状態についてのみ評価されます。セキュリティの問題について評価されることはありません。プロジェクトは、最も原始的なSQLインジェクションまたはXSSの試行にさえ影響を受けやすく、60(または国によっては1またはA +)から60ポイントを完全に獲得できます。

したがって、問題は学生の一般的な関心の低さにあるだけでなく、学校が学生に示さない理由でもあると思います。なぜそれが重要であり、より良いサイバー世界のために発明されたすべての優れたセキュリティ機能をどのように使用するかです。改善の余地はたくさんあると思います。

10
Mike

通常、企業のセキュリティ対応チームからのプレゼンテーションは、それが学生、経営者、または開発者で構成されているかどうかにかかわらず、聴衆を捉えます。

さまざまなストーリーを語る上で非常に効率的であることが証明されています(非公式の取り組みに基づいていました)。これらの物語のいくつかは、一部の怒った開発者が裏口を開いたものに焦点を当てたものであり、他のいくつかは無実の「だれもそれを悪用することはない!」または...そしてもちろん、これらのさまざまなケースが実際にセキュリティ専門家によってどのように報告されるのか、そして問題を修正するために何人の月が必要であったかを示す必要があります。

これらの話を踏まえると、エクスプロイトを提示して、弱いコードが消えないことを教えることができます。次に、安全なプログラミングまたは脅威分析を導入するか...

7
Phoenician-Eagle

問題の一部は、セキュリティが普及していることです。「セキュリティ」を単独で研究することはほとんど意味がありません。状況に応じてセキュリティを研究する必要があります。このトピックについて学期のコースを教えることが理にかなっている「データベース」とは対照的です。セキュリティのセメスターコースが悪いと言っているのではなく、それだけでは不十分です。私が履修したコンピュータサイエンスカリキュラムのほとんどのコースでは、主題のセキュリティへの影響について1週間費やすことができました。

  • ほとんどの数学コース:暗号との関連性
  • アルゴリズム:暗号
  • 人間とコンピュータの相互作用:セキュリティ、セキュリティ、およびユーザビリティの心理学
  • コンピュータアーキテクチャ:暗号化ハードウェア、インターフェース、セキュアOSのハードウェアサポート
  • オペレーティングシステム:OSのほとんどの側面はセキュリティに関連しています
  • 等.

実際、私もビジネスクラスを受講しましたが、そこでも同様に適用されます。

  • 運用管理:物理的セキュリティ
  • 会計:彼らは借方と貸方についてのみ話し、なぜについては話しません
  • 組織的行動:繰り返しになりますが、セキュリティの心理学。企業文化

それはほぼすべてを横断します。しかし、講師はすでに、コースのすべての情報を「周辺機器」に費やす時間がないという学生への詰め込みに忙しい。 これは問題への攻撃の1つの道となるでしょう:インストラクターを説得し、セキュリティはコースの一部として議論する重要なトピックであることを([〜#〜] x [〜#〜]

この問題は、開発マネージャーが直面している関連する問題と基本的にはそれほど違いません。一部の大学教員はこれを大いに気にかけています。友好的な教員との会話は、いくつかの問題を前面に出し、中心にするのに役立ちます。私はCS部門の議長と話をしました、そして彼は産業が卒業生から何に興味があるかについて聞くことに非常に興味がありました。彼の動機は単純でした:登録を維持するために、彼は良い仕事を得るために卒業生を必要としました-両親は卒業後に失業してしまう学校に子供を送ることはありません。彼がダースの卒業生と話し、地元企業のマネージャーを雇い、同じ問題を聞いた場合、彼はカリキュラムを調整します。在職中の教授でさえ、入学者数の減少に起因する予算とスタッフの削減により傷つく。

基本的なスキルを備えた卒業生を取得するための1つのアプローチは、インターンを雇うことです。私はこれが一般的な慣行であるいくつかの会社で働いてきましたが、どちらの側でもうまくいくようです。スキルセット、給与の稼ぎ(ピザの配達や小売など、学生の代替雇用と比較して)、個人のネットワークを拡大します。同社には、卒業後、大規模な採用費用をかけずに採用できる基本的なスキルを持つ人がいます。インターンは安価です(フルタイムの専門家を雇う費用と比べて)。ただし、これは無料のランチではありません。

  • インターンの募集、面接、採用などが必要です。
  • インターンは何も知らず、役立つためには専門スタッフの相当な注意が必要です。
  • ネットサーフィンをしたり、友達とチャットしたりするボゾを雇うリスクがあります。

これは「利己的な」アプローチです。会社は業界全体を必ずしも助けるために何もしていません。それは自分自身を助けるだけです。しかし、私はそれがするそれは卒業する人材プールのスキルレベルを高める傾向があるため、業界に利益をもたらすと思います。 (実際、私たちは卒業後に数人のインターンを「失った」(採用に失敗しました)、そして他のいくつかの幸運な会社はよく訓練された卒業生を得ました!)

私はプログラミング/開発の出身です。学校で参加した活動の1つに、プログラミングのコンテストがあります。 IISPには学生会員がいるようです。さまざまな学校に学生の支部がありますか? セキュリティ関連の競争を整理していただけませんか?さりげなくお勧めしません-大変な作業になるでしょう。それはあなたが求めている特定のエントリーレベルのスキルを開発することさえないかもしれませんが、それはあなたが探している意識を高める可能性があります。それが面白くてやりがいのある場合にのみ、それは興味深いことを覚えておいてください。

可能性:

  • チームは、特定のソフトウェアパッケージの穴を見つけるために競争します。バリアント:ソースが利用可能です。ソースコードを監査してください。
  • チームは対戦相手のネットワークを突破するために対戦します。バリエーション:
    • 制限を課します。ユーザーはリモートアクセス、ワイヤレスなどを持っている必要があります。
    • 悪意のある内部関係者-反対するチームがネットワーク上のノードを制御します。検出して応答します。
  • チームはマルウェアの分析と対策の展開を競います。
5
bstpierre

セキュリティを抽象的なものではなくリアルなものとして人々に考えさせる最良の方法は、コンピュータから離婚した実際の基本原理を教えることだと思います。物理的なセキュリティと、それとコンピュータのセキュリティの違いから始めます。

  1. セキュリティの大部分がセキュリティシアターであるため、人々はセキュリティを無視します。3回失敗した後のロックアウト、マシンへの物理的アクセス、キーロガーと厳格なパスワードポリシー。

  2. 脅威ツリー:生徒に独自の脅威ツリーを作成させます。誰かがライブラリマシンにキーログを記録するか、3か月ごとに変更し、4つの異なるクラスの文字を使用する必要がある12文字のパスワードを見つけますか?子供はいたずらをするのが上手で、しばしば物理的なセキュリティを破壊しなければならないので、それを利用してください。

  3. 恐ろしいエクスプロイトを示します。黒い帽子をかぶると、彼らは通常、盗聴したすべてのクリアテキストアカウントを示す恥の壁を持っています(パスワードと一部のアドレスをブロックします)。キャンパス全体でリアルタイムのクリアテキストセッションを行うアプリは、セキュリティの重要性を思い知らされます。

  4. 悪用されたサイトの例。これに挿入されたcialisスパムをチェックしてください blog 。恥ずかしいです。スパムはカナダ薬局の詐欺にリンクしています。他のマシンが修正されたため、リンクが壊れています。それは恐らく東ヨーロッパからの非常に組織化された洗練された詐欺です。クラックされたマシンで非常に小さなWebサーバーを実行して、IPがブラックリストに登録されないようにします。

4
Bradley Kreider

学生がセキュリティについて知りたくないというあなたの前提を共有しません。学部のコンピューターセキュリティコースを担当しています。これは、コンピュータサイエンス学部で最も人気のあるコースの1つです(最も人気のあるコースではありませんが、そこにあります)。

理解しておくべきことの1つは、ほとんどの大学が、学生に一生続く概念と原則を教えることに関心があるということです。それに比べて、5年で廃止される可能性のある教育スキルの優先度は低くなります。したがって、必要なものが今日のソフトウェアのスキルトレーニングである場合、企業はおそらく、採用担当者をトレーニングすることでそれを提供する必要があります。しかし、セキュリティについて考える方法を知っている人、攻撃者のように考える方法を知っている人、セキュリティの基本原則に精通している人が必要な場合は、それは、適切に設計された大学のカリキュラムが提供できるものです。

私は卒業生の将来の雇用主と話しましたが、私たちのセキュリティコースを受講している学生がセキュリティナチスとして出てくるという不満を聞いたことはありません。それどころか、私が雇用主から得た最も一般的なコメントは次のとおりです。セキュリティに関する資料をより多くのコースに追加できますか?

これはあなた自身の認識とは異なりますが、あなたはdidより多くの視点を求めます。これは私のものです。

4
D.W.

私はあなたの主張に同意します。学生キャンプは2つあるようです。セキュリティの基本について、コンピュータXX業界のすべての学生を教育する必要があります。私の大学では、すべてのコンピューター情報システム(CIS)とコンピューター情報技術(CIT)の専攻科目に、インフォセック入門コースの受講を強制しています。 CIT専攻は、infosecコースで少なくとも1人はフォローする必要があります。

すべての学生に少なくとも導入部のinfosecクラスを受講するよう要求することは、状況を改善するための最初のステップです。しかし、それで十分だとは思いません。コースの教え方も重要だと思います。たとえば、少なくとも週に1回は「情報のセキュリティは単なるコンピュータのセキュリティではない」と生徒に思い出させる習慣をつけます。私がそうするのは、技術者として、コンピューターシステムを乱用するために実行できるすべてのことの詳細に飛び込む傾向があると思うからです。これは、アルファオタクのように見える方法の一種です(私にできることを見てください、誰も安全ではありません...)。楽しいテクノロジーに厳密に集中し、その他すべてを無視することは、2つの陣営の間のくさびを動かしているようです。ナチスはそれを食べ尽くし、卒業時にとんでもない(そして効果のない)政策を実施したいと考えています。インフォセックのキャリアを求めていない学生は、クラスに耐え、セキュリティについて無知であり続け、ナチの方針に抵抗することを決意します。

私にとって、私は生徒に楽しいクールなinfosec技術について教えることと、infosecがペンテスト、vulnスキャン、avなどよりもはるかに多いことを理解するのを助けることの間でバランスをとろうとしています。ハッキングされる可能性がある隔離されたネットワーク上のシステム。 infosecに興味がない学生でもこれを楽しんでいるようです。うまくいけば、彼らは少し賢く卒業し、すべての情報セキュリティに対する憎しみなしに卒業します。

2
Philip Polstra

卒業生は始めるのに最適な場所ですか?

優れたセキュリティ専門家(または実際に任意の専門家)が、少なくともビジネスにおいて、おそらくIT/ISにおいて、十分な基盤を必要としていることは間違いありません。大学から誰かを連れて、彼らをinfosecに直接入れるということは、彼らがSecurity Naziになるよりもはるかに可能性が高いということです。

おそらく、アプローチは、企業内のチームリーダー/ジュニアマネージャーレベルに焦点を当てることです。彼らはすでに企業のロープ、政治に影響を与え、説得し、対処する方法を知っており、彼らのニッチを探しています。今や彼らがITに従事している場合、おそらくinfosecまたはIT secのルート(あるいはその両方)に行くことができます。技術者でないバックグラウンドの誰かは、infosecに焦点を当て、数年にわたってIT secに慣れる必要があるかもしれません。しかし、未来のリーダーたちがセキュリティに優しいことを確認するために私が力を注いでいたなら、私はそこにエネルギーを注ぎました。

2
James Rigby

あなたが見ているのと同じ問題がありましたが、大規模な多国籍企業の運用セキュリティプログラムのリーダーとして働いていたときに部分的な解決策が見つかりました。幸運なことに、2人の主要幹部のサポートと新卒者向けの非常に優れた開始プログラムを手に入れることができました。既存のアプローチはシンプルでした。この会社は、新卒のエンジニアとCSタイプのブロックを雇い、2年間の契約に署名してから、その期間にいくつかのグループ/ポジションのそれぞれをローテーションしました。たとえば、大規模なトランキングスイッチをサポートするために数か月を費やしてから、同じスイッチの新しいコードを数か月かけて作成する場合があります。また、新しいハードウェアを開発してから、ネットワーク管理のサポートに時間を費やす人もいます。各新卒者がどのグループに行くかについての決定は、新入社員とさまざまな組織の両方のスキル、欲求、ニーズの組み合わせでした。

私が追加したのは、これらの新しい卒業生が同じタイプの実際のセキュリティにさらされるためのオプションのセットを含めることでした。私たちは、これらの新しい人々がITセキュリティグループからITセキュリティを学ぶための計画をまとめ、協力できるインシデント対応グループをいくつか用意しました。ポリシーを手伝うカップルもときどきありました。このように、彼らがどこにでも着陸したとき(彼らがプログラムの最後に恒久的な地位を与えられたと仮定して)、彼らはセキュリティとそれに関連する現実世界の課題についてある程度の理解を持っていました。

そうは言っても、このようなプログラムはほとんどの雇用者にとって現実的ではないことを理解しています。ただし、大幅に削減されたコストで、同じ基本的なエクスポージャーを提供する夏期インターンタイプの職を2つまとめることができる場合があります。私の経験では、技術者がセキュリティ分野での実際の課題と機会に触れるにつれて、彼らのアプローチはより合理的でバランスの取れたものになります。時間がかからないこともすぐにわかりました。彼らが実際に仕事をするのに十分に学ぶ必要はなく、現実をしっかりと理解するだけでした。ほとんどの場合、セキュリティチームとの2か月間(およそ夏休みの長さ)は、非常に良い結果を得るのに十分な経験を提供しました。

1
The IMT