kramselund jereminsen

Vi mangler IT-sikkerhedsfolk, apply within

Jeg sendte for nyligt et skriv afsted som startede med:

Manglen på IT-folk er tydelig og manglen på IT-sikkerhedsresourcer er skræmmende. Vi står overfor et væld af trusler, og situationen forværres næsten dag for dag. Det er fakta for danske netværk, danske virksomheder og organisationer.
Vores værn er en hård kerne af IT-sikkerhedsfolk som dagligt traver rundt og gør deres bedste. Vi er dog for få, alt for få. Hvis man kunne klone sig selv ville jeg straks overveje det.

Det blev et par dage efter til et tweet der blandt andet indeholdt:

Ting der kan skræmme mig, manglen på IT-folk.
Specielt manglen på IT-sikkerhedsfolk
Vi har ekstrem mangel som gør hele branchen usund på flere måder.
Der er ikke ledige ressourcer til at udføre opgaverne, hvilket betyder at sikkerheden falder
Skræmmende 2022 udsigter

https://twitter.com/kramse/status/1460217359160033284

Der var en del aktivitet på tweetet, og derfor prøver jeg nu at samle tankerne lidt. Til dette indlæg er det officielle soundtrack en playliste med Smooth Jazz, måske kan det berolige mig lidt https://open.spotify.com/playlist/37i9dQZF1DXdwTUxmGKrdN?si=6c245232729b...

Advarsel: Dette indlæg er baseret på min begrænsede viden. Jeg er underviser, og med stort held har jeg fået lov til at undervise i ting jeg brænder for. Jeg har ingen stor pædagoisk baggrund og dette indlæg skal derfor tages med mindst et par kilogram salt.

Er formel uddannelse i IT-sikkerhed nødvendig

I forlystelsesparker står der skilte med, you must be this tall to ride, underforstået, man skal have en hvis minimumshøjde for at køre med.

Eksempelvis skal man være mindst 132cm for at køre med Dæmonen i Tivoli
https://www.tivoli.dk/da/haven-og-forlystelser/forlystelser/daemonen

Illustration: Pearson education

Vi har ikke samme krav indenfor IT-sikkerhed. Specielt har vi ikke krav om formel uddannelse. Hov, men jeg har set jobopslag der kræver CISSP, CEH, kandidatuddannelse og 10 års erfaring.

Det er helt rigtigt, mange opslag søger en enhjørning som kan IT-sikkerhed, pentest, arbejde fra A til Z, arbejde selvstændigt og skrive gode rapporter.

Bemærk at jeg her ændrede kandidatuddannelse til skrive gode rapporter, det er en ting jeg har med fra min datalogi cand.scient fra DIKU. Jeg lærte at læse og skrive, selvfølgelig på et andet niveau end folkeskolen. Tilsvarende kan man lære og udføre opgaver uden at have taget en specifik certificering.

Min egen IT-sikkerhedsviden bunder primært i interesse og selvlærte ting. Min adgang til akademiske papers via Internet og FTP gjorde at jeg fandt papers som
The Internet Worm Program: An Analysis af Eugene H. Spafford

Dem læste jeg over cornflakes som en ung studerende i starten af 1990erne. Der var ikke dengang IT-sikkerhedsuddannelser og der var næsten ingen kurser på DIKU, måske lidt kryptering i et fag. Det er bedre i dag, men der er meget få formelle uddannelser. De fleste i vores branche er derfor i stort omfang selvlærte og drevet af egen interesse. Nogle har eksperimenteret sig til viden, andre har læst bøger og mange har været i communities - herunder konferencer.

Det har også været min vej, en masse bøger og en masse konferencer.

Så du kan også starte i IT-sikkerhed, og hvis du har viden og erfaringer fra andre jobs i din karriere så brug den.

Du behøver ikke formel uddannelse.

Dit fundament

Jeg arbejder på KEA og underviser på Diplom i IT-sikkerhed som er efteruddannelse efter en studieordning der er næsten magen til Professionsbachelor i IT-sikkerhed. Så hvorfor siger jeg at uddannelse ikke er nødvendig?! Misforstå mig ikke, uddannelse er ekstremt vigtigt, og jeg har udvidet min kontrakt som underviser på KEA af samme årsag.

Jeg siger som jeg gør fordi et krav kan fungere som gatekeeper, altså holde folk ude af branchen, hvilket jeg ikke mener er gavnligt. Vi har jo alle de folk som allerede er i branchen, hvor en stor del ikke har hverken uddannelse eller certificeringer. Vi har også en mangel og vi har ikke kapacitet til at uddanne alle dem vi gerne vil.

Så hvis du har lyst og mulighed så kan du tage formel uddannelse, kurser og certificeringer. Gør det. Jeg mener der er mange fordele og man får typisk et andet og bedre overblik. Det er dog ikke den eneste vej og ikke vejen for alle.

Faktisk kan du komme igang med din nuværende viden og genbruge den til at skabe god sikkerhed.

Eksempler, og husk det er kun meget få.

Hvis du kan skrive og sætte et dokument op kan du skrive en IT-sikkerhedspolitik, en incident response policy eller de mange andre dokumenter som indgår i et ISMS En struktureret tilgang til dokumenter og styring er nødvendig. Der skal tales til ledelse, medarbejdere, høres mange grupper. Godkendes og vedligeholdes. Undervejs vil det være nødvendigt at spørge organisationen om mange ting og koordinere.

Awareness træning er et andet område som er meget vigtigt i organisationer. Mennesker, adfærd og en god dosis diplomati er her gode skills at have. Dette hænger forøvrigt sammen med ændringer af processer, identifikation af uheldig brug af IT.

Ovenstående begynder allerede at ligne projektledelse så alle erfaringer med projektledelse, mennesker, processer fra andre fag kan være en stor hjælp i sikkerhedsarbejde.

Hvis du har specifikke færdigheder som eksempelvis Windows Server og Active Directory vil du også kunne skære en niche ud ved at finde et af værktøjerne til audit af AD og lære det. Det vil kunne give næsten alle danske virksomheder nogle konkrete råd til opdatering af infrastrukturen.

Der er altså rige muligheder for at du kan udnytte dit eksisterende fundament til at gå i retning af IT-sikkerhed.

IT-sikkerhed er gruppearbejde

En anden vigtig pointe indenfor IT-sikkerhed er at det er gruppearbejde.

Vi kan ikke selv nå det hele og afdække alle opgaverne. Vi har brug for både tekniske
og ikke tekniske kompetencer, samt en masse bindeled imellem grupperne.

Vi ser også at det er nødvendigt med udveksling af erfaringer mellem organisationer. Det betyder at hvis du kan indgå i sådanne fælleskaber kan du skabe bedre sikkerhed.

I den forbindelse kom jeg måske med en lille hvid løgn ovenfor, undskyld.

Løgnen er at du ikke behøver en minimumsviden, for faktisk vil jeg for din egen skyld anbefale at du sørger for at have nogle grundbegreber på plads indenfor IT-sikkerhed. Det vil lette samarbejdet hvis man kan bruge nogle fagtermer og det vil også være nødvendigt for at dykke ned i litteraturen og deltage mere effektivt på konferencer og communities.

Hvis du ikke har IT-viden/IT-sik overhovedet, men synes det lyder spændende, anbefaler jeg således to bøger fra Nostarch.

Den første giver en introduktion til infosec og indeholder en masse definitioner som du vil have glæde af at kende.
Foundations of Information Security: A Straightforward Introduction
by Jason Andress ISBN-13: 9781718500044

Den anden bog er mere teknisk, men indeholder gode beskrivelser af de kerneprotokoller som alle netværk benytter.
Practical Packet Analysis, 3rd Edition
Chris Sanders ISBN-13: 9781593278021

Dernæst omgiv dig med IT-sikkerhed, kom på Bornhack og lignende events.

Næste skridt

Hvis du er kommet hertil og vil have nogle flere konkrete råd så vil jeg anbefale at se på nedenstående links.

Et foredrag jeg holdt på BornHack Getting Started in Network and Security desværre ikke optaget, men præsentationen er på Github

Mine lektionsplaner fra mine kurser på KEA Kompetence er helt åbne og indeholder boglister, links til papers og alle materialer er på Github. Så kan du i ro og mag sætte dig for at læse de kapitler i eget tempo.

En del af mine kurser har ligeledes øvelseshæfter, med relativt små opgaver. Du kan eksempelvis se på Nmap workshop og sætte dig for at du vil scanne dit eget netværk hjemme. Når du har øvet dig på det kan du lave en scanning af organisationens eksterne adresser. Husk at bede om lov og aftale på forhånd.
https://github.com/kramse/security-courses/tree/master/courses/pentest/n...

Mit materiale til kommunikation og netværkssikkerhed har øvelseshæfte med +65 opgaver du kan tygge dig igennem.
https://github.com/kramse/security-courses/tree/master/courses/networkin...

Sæt dig sammen med nogle andre og lær parallelt, parallel leg for voksne :-)

Old skool referencer

Hvis du tænker IT-sikkerhed lyder spændende kan jeg også anbefale en tur tilbage i tiden.

Jeg har ofte anbefalet bogen the Cuckoos Egg af Clifford Stoll https://en.wikipedia.org/wiki/The_Cuckoo%27s_Egg_(book) - som jeg har med hans autograf. Det er som at læse en spionroman og handler om en astronom som ender med at skulle optrevle et hackerangreb.

Hvis du er mere teknisk anlagt så læs de gamle papers nedenfor og forklar mig hvorfor vi ikke har løst problemer med eksempelvis buffer overflows og spoofing.

Security problems in the TCP/IP protocol suite, S. M. Bellovin samt *A Look Back at “Security Problems in the TCP/IP Protocol Suite” *

Hint: vi gør IT-sikkerhed forkert, så måske skal vi have folk med anden erfaring og et nyt syn på til at hjælpe os.

Efterskrift - diversitet

Jeg har ikke ovenfor berørt emnet, men hvis du - ja dig - ikke er med til at byde diversitet velkommen indenfor IT-sikkerhedsområdet. Ja, så er vi ikke venner og så kan DU faktisk undværes indenfor IT-sikkerhed.

Jeg tilslutter mig BornHack Code of Conduct , og jeg betragter det efterhånden som standard at vi har den slags og gør vores bedste for at følge dem. Dette er btw ikke et oplæg til diskussion.

PS HumbleBundle

Da jeg har et mindre misbrug af bøger er HumbleBundle også en vigtig kilde til materiale, og der har været en masse sikkerhedsbundles og hacking bundles. Så følg med der også. Eksempelvis er der et Python bundle pt. https://www.humblebundle.com/books/python-programming-oreilly-books

Kommentarer (4)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

Hvis du kan skrive og sætte et dokument op kan du skrive en IT-sikkerhedspolitik, en incident response policy eller de mange andre dokumenter som indgår i et ISMS En struktureret tilgang til dokumenter og styring er nødvendig. Der skal tales til ledelse, medarbejdere, høres mange grupper. Godkendes og vedligeholdes.

Husk at kontrollere graden af efterlevelse. Det er ISO 27001's punkt A.18.2.2 Compliance with security policies and standards.

  • 1
  • 0
#3 Rune Hansen

Jeg vil tillade mig at være lidt "fræk" og sige (med stor respekt for Henrik Kramselund Jereminsen) at den største hindring pt. er at det er svært at lære de store log-management, SIEM, SOAR systemer at kende hvis ikke man er på arbejdsmarkedet, da de koster en hel del. Der er stortset kun Graylogs, ELK, Wazuh, OSSEC, thehive project, Shuffler og en håndfuld andre open source systemer tilgængelige. Skal du penteste er det ofte et krav at du har en OSCP, hvilket du også skal have en arbejdsgiver til at betale for osv.

Mit umiddelbare indtryk er at ofte ender efterspørgslen sådan ca. hér: "Er du god til Splunk?" (el lign. platform).

  • 2
  • 0
#4 Henrik Kramselund Jereminsen Blogger

Det er ikke frækt at sige sin mening :-)

For at tage det sidste først, jeg ser sjældent at OSCP er et krav, omend de måske skriver at det er et ønske i job opslag. Da jeg var i VIGILANTe, tilbage for snart 20 år siden havde vi altid to jobopslag på hjemmesiden, et til senior og et til junior. Vi kunne bruge begge typer.

Mht open source vs kommercielle systemer, så har jeg en helt specifik anbefaling til alle - se også foregående blog omkring logning. Afprøv altid open source løsningerne. Et Proof of Concept kan laves relativt simpelt og alle erfaringer man får er brugbare.

En af erfaringerne er at det er "for bøvlet" og man gerne vil bruge mange penge på en kommerciel løsning. Det kan også være man finder ud af at nogle dele er vigtigere for ens organisation end andet. Det gør at man er bedre klædt på til at vurdere HVILKEN en af de kommercielle løsninger der vil passe bedst. Man kan stille de rigtige spørgsmål til leverandørerne.

Når man så som arbejdstager har mulighed for at lege med open source løsningerne, så giver det stadig en masse begreber og erfaring som alt andet lige vil være gavnligt, selvom organisationen måske har valgt Splunk eller andet. De leder ofte med en alt for lang, og specifik liste over tekniske krav, hvor de imho burde se mere på mennesket.

  • 3
  • 0
Log ind eller Opret konto for at kommentere