Мой нынешний работодатель, Microsoft, заставляет всех сотрудников проходить ежегодное обучение информационной безопасности по нескольким темам. Например, в течение года мы получали много электронной почты фишинга, и в конце нам показали обучающее видео с участием уважаемого сотрудника, обманутого таким способом. Он работал в области, которая требует обширных знаний в сфере ИБ. Короче говоря, ему стоило быть более внимательным к социальной инженерии с помощью фишинговой электронной почты, но случилось то, что случилось. Он поделился своим опытом, в том числе тем, как попался на хорошо продуманную, целенаправленную попытку фишинга. Было интересно видеть, что один из наших технологических лидеров тоже совершает ошибки и рассказывает, как это произошло. Затем он рассказал, что, хотя и был смущен этой ситуацией, не стыдился сообщить об инциденте ради безопасности других. Это было чрезвычайно хорошо продуманное образовательное видео, которое привело к значительно меньшему количеству успешных фишинговых атак. Обучение оказалось настолько успешным, что к командам Microsoft IT security весь год приходили люди, чтобы узнать, не являются ли подозрительно выглядящие, но законные письма фишинговыми. Некоторые даже говорили, что этот случай был слишком показательным.
Другие образовательные видео в предыдущие годы охватывали тему получения паролей путем обмана. Образование может помочь значительно снизить угрозы информационной безопасности.
Темы обучения в сфере ИБ
Обучение в сфере ИБ поставляется во многих вариантах и подходах. В следующих разделах рассматриваются некоторые темы, которыми могут воспользоваться люди, заинтересованные в обучении в сфере ИБ.
Осведомленность в вопросах безопасности конечных пользователей (Security Awareness)
Этот тип обучения обычно готовит конечных пользователей к более безопасному использованию своих компьютеров и устройств. Специалист делится общими формами взлома, которым устройства могут подвергаться, и рассказывает, как обнаруживать и предотвращать атаки, а также сообщать о них. Каждый пользователь должен пройти такой курс, будь то дома, в школе или в офисе. Тренинг должен проводиться не реже одного раза в год и охватывать недавние и наиболее вероятные угрозы. Такого рода обучение обычно требует от 15 минут до нескольких часов в год.
Общие вопросы информационной безопасности
Полезно для специалистов в сфере ИБ и ИТ. Курс должен содержать общий обзор всех типов взлома и вредоносных программ и более подробно описывать самые распространенные и вероятные угрозы. Как правило, этот тип обучения проходит в течение многих дней или недель и может повторяться через какое-то время.
Реагирование на инциденты
Специалисты в сфере ИБ и, в частности, члены групп реагирования на инциденты должны быть обучены тому, как правильно реагировать на инциденты и управлять ими. Это должно быть обязательным обучением для всех сотрудников, которые разделяют эти обязанности. Такого рода тренировки обычно длятся несколько дней и должны повторяться по мере необходимости.
Тренинги, специфичные для операционных систем и приложений
Многие популярные вендоры ОС и приложений предлагают общее и специфичное для продукта обучение безопасности. Обучение по конкретным продуктам может дополнить ваши общие знания в области безопасности, а если в конце выдается сертификат, он может подтвердить знания о конкретном продукте.
Технические навыки
Необходимо научить (и аттестовать) людей обеспечивать техническую безопасность. Это включает в себя обучение навыкам работы с определенными типами продуктов безопасности, такими как брандмауэры, обнаружение вторжений, анализ вредоносных программ, криптография, применение патчей, резервное копирование и т. д.
Сертификация
Существуют десятки сертификатов, связанных с информационной безопасностью. Каждая сертификация способствует общему образованию. Нет правильных или неправильных сертификатов. Тем не менее есть более уважаемые, чем другие. В целом любые сертификаты от следующих организаций широко популярны (в произвольном порядке):
• Международный совет по электронному коммерческому консультированию (EC–Council) (https://www.eccouncil.org/);
• Институт системных администраторов систем безопасности (SANS) (http://www.sans.org);
• Ассоциация вычислительных технологий промышленности (CompTIA) (https://certification.comptia.org/);
• Ассоциация информационных систем аудита и контроля (ISACA) (https://www.isaca.org).
Уважаемые сертификаты также предлагают компании Microsoft, Cisco и RedHat. Это не исчерпывающий список, и существует много других вендоров, которые предлагают отличные экзамены и курсы.
Дополнительные сведения смотрите в моей недавней колонке в InfoWorld по сертификации ИБ: http://www.infoworld.com/article/3115344/security/essential-certifications-for-smart-security-pros.html.
Методы обучения
Существуют десятки способов обучения. Рассмотрим некоторые из них.
Онлайн-обучение
Едва ли вы найдете тесты, сертификаты или темы, которые не сможете освоить с помощью онлайн-обучения. Онлайн-обучение может происходить посредством видео или при помощи комплекса, куда входят тексты, видео, обзоры глав и тестирование компетентности. На многих обучающих платформах есть онлайн-учителя, которым можно задать вопросы. Некоторые предпочитают личных преподавателей в реальном классе, но онлайн-обучение может дать вам почти такой же опыт, как правило, за гораздо более низкую цену.
Взлом сайтов
Существует масса сайтов по обучению безопасности, которые в первую очередь позволяют юридически законно проникнуть на их веб-сайт. Это отличный способ обучения и позволяет начинающему хакеру испытать острые ощущения от взлома чего-то без последствий. Один из моих любимых сайтов такого типа – https://www.hackthissite.org/.
Учебные заведения
Сегодня не так много крупных университетов, колледжей или официальных учебных заведений, где нет учебной программы по информационной безопасности. Хотя это, как правило, дороже, чем другие специальности, всё равно нужно убедиться, что вам будут предложены не пустые разговоры (дипломные заводы, которые на самом деле не готовят вас к хорошей работе). Хорошие образовательные организации часто могут дать очень подробное и всестороннее образование в области безопасности. Многие специалисты в сфере ИБ начинают в технических школах или местных колледжах, а затем в итоге прогрессируют до полных четырехлетних степеней университета или даже дальше.
Тренировочные лагеря
Лагеря boot camps – это места, которые предлагают ускоренную подготовку, обычно ориентированную на получение конкретной сертификации. Например, двухнедельный учебный лагерь может помочь вам получить те же сертификаты, которые вы могли бы получить в технической школе после обучения от одного до двух лет. Я люблю лагеря и в течение двух лет даже преподавал в некоторых. Посещая учебный лагерь, вы должны быть готовы к интенсивной учебе и освоению большого объема информации за короткий период. Для многих людей с насыщенной жизнью учебные лагеря – лучшая альтернатива. Просто убедитесь, что ваш boot camp предлагает гарантии возврата денег или несколько тестов при сертификации.
Корпоративное обучение
Как описано в разделе «Темы обучения в сфере ИБ» этой главы, многие организации предлагают и даже требуют обязательного обучения в сфере ИБ. Крупные компании предлагают частичные или полные программы возмещения расходов на обучение и проводят групповые встречи с сотрудниками по конкретным темам безопасности. Сотрудники считают корпоративные образовательные льготы одним из лучших преимуществ работы в конкретной компании.
Книги
Конечно, глава об образовании не будет полной, если не упомянуть, что книги – отличный способ узнать о какой-либо теме в комфортном темпе и в любом месте. Книги, посвященные компьютерам, как правило, более инклюзивны по своей теме, предлагают обширные введения в новый материал и профессионально редактируются в области технических деталей и грамматики.
Непрерывное соответствующее образование необходимо как конечным пользователям, так и ИТ-персоналу и экспертам по ИБ. Одна из самых распространенных тем, о которой я узнал из интервью со всеми людьми, представленными в этой книге, заключается в том, что большинство из них не перестают учиться, и некоторые даже ежедневно выделяют определенное количество времени на изучение чего-то нового. Берите с них пример!
42. Профиль: Стивен Норткат
Я знаю Стивена почти 20 лет. Он не только жизненно важная часть невероятной организации, занимающейся обучением в сфере ИБ, Института системного администратора, сетей и безопасности (SANS), но и незаменимый человек, если вы пытаетесь отыскать специалиста в конкретной области. Я не вспомню, сколько раз за свою писательскую карьеру обращался к Норткату, когда испытывал сложности с поиском кого-то. Иногда кажется, что он не только знаком со всеми, но и всех удивляет.
Норткат – очень общительный, дружелюбный и при этом рассудительный человек. У него потрясающие идеи, и он умеет уговорить других осуществить их.
Некоторым людям присуща та особая харизма, которая притягивает остальных. Стивен как раз из таких, и я уверен, что именно поэтому SANS привлек его на раннем этапе, когда был еще маленькой организацией. Норткат также был ранним инвестором некоторых из самых прибыльных ИБ-компаний нашего времени, включая Tenable (http://www.tenable.com) и Sourcefire.
Институт SANS (http://www.sans.org) существует с 1989 года и с самого начала предлагал одни из лучших курсов в сфере ИБ. Их сертификаты стали цениться на уровне университетов. Они предлагают две магистерские программы (в области ИБ [MSISE] и управления информационной безопасностью [MSISM]) и три постбакалаврские программы (тестировщик на проникновение и этичность взлома, реагирование на происшествия и техническую кибербезопасность). Они обучили более 100 000 человек, ставших впоследствии одними из самых востребованных преподавателей, многие из которых публикуют книги-бестселлеры. Если вы, будучи работодателем, столкнетесь с тем, у кого есть подобный сертификат, знайте, ваш работник – один из лучших. На мой взгляд, их онлайн-колонка (