Training etc ISO 27xxx

Aveti vreo idee de cursuri (lynda, pluralsight etc), materiale etc?

Multumesc.

Nu inteleg la ce te referi mai exact.

Edited by BraviaAmpero, 08 March 2019 - 10:59.

InfoSec

ISO/IEC

https://en.wikipedia...EC_27000-series

 OriginalCopy, on 08 martie 2019 - 11:50, said:

Da, Infosec. 27001.

Evident ca m-am uitat la carti pe Amazon, dar sunt cam multe si niciuna nu pare ca are suficient rating.

Edited by aaaa4567, 11 March 2019 - 18:52.

Nu inteleg de ce te intereseaza daca au rating  si nu inteleg ce vrei sa obtii daca citesti acele harti ?

Initiator ai idee ce e cu ISO 27xxx? Certificarea aia o obtii in urma unui audit, nu o obtii tu ca persoana o obtine compania. Si auditul ala implica niste chestii specifice care daca sunt respectate se da certificarea respectiva altfel nu. Caz concret, companie care nu a obtinut certificarea deoarece parcarea pentru clienti avea o crapatura foarte mica in asfalt. Baremul era din pacate altul.
Pe scurt tu trebuie sa faci curatenie in curtea proprie (sa stii sa faci acest lucru, sa respecti niste standarde, proceduri, etc) si mai apoi vine auditorul / comisie / echipa / cum vrei sa le zici si verifica cum sta treaba in curtea ta. La sfarsit zic da sau nu.

pai acolo si eu incercam si eu sa ajung.Insa  @OP doreste probabil sa se specializeze in audit pe securitate, insa certificare o va da in fata unei comisii de ethical hackers probabil si acolo se va opri.
De ce ? pai ca sa fii certificat de un ethical hacker atunci tu la randul tau trebuie sa ai skill-uri native de hacker, iar unul din skilluri este ca un hacker niciodata nu va intreba pe nimeni , ce sa faca
unde sa se duca, cum sa faca. Asta face un hacker, se descurca pe cont propriu si inventeza ad-hock solutii pt probleme care se ivesc la moment.

Insa @OP cere sfaturi de indrumare/orientare pt un domeniu unde se presupune ca mai tot timpul poti inventa diferite "sisteme de navigatie", doarece asta face un expert in securitate,
inventeaza /cauta solutii de navigare de-a intra intr-un sistem securizat fara autorizatie, descopera sau declanseaza  comportamente ale unor subsisteme si observa anomalii de care poate profita.
Anomaliile sunt acolo(orice sistem are anomalii) ideea este cum sa-ti dai seama se la declansezi si mai ales sa te duci direct la problema.

Ori daca pt simple absolut banale informatii ai nevoie de indrumare de altii , adica ai nevoie de ajutor  in ceea ce priveste "navigatia" clar ca acest domeniu nu este de tine.

@BraviaAmpero: Ce vorbesti matale acolo se cheama White Hacker sau Penetration Tester, PenTester, astia nu au treaba cu ISO 27xxx. Un Pentest se efectueaza pentru a vedea in ce masura sunt efective "controalele" de securitate (security controls) stabilite si folosite de o companie iar rezultatele sunt folosite pentru a imbunatati aceste controale. O companie poate alege sa efectueze teste de penetrare ca pregatire inainte de un audit in urma caruia primeste sau nu certificarea ISO de mai sus.

Un analist de securitate nu trebuie sa fie si un pentester bun chiar poate avea zero skill de pentesting. Treaba unui analist e alta, la ce te duce gandul cuvantul analist. Expertii in cybersecurity au si cunostiinte de pentesting, de forensics, de incidend handling, etc. Dar astia sunt cei cu ani de experienta in spate care au lucrat la proiecte la care altii doar viseaza.

Eu stiu ca cine lucreaza cu standarde  in domeniul X, atunci inginer il acel domeniul este( ca asta fac inginerii, lucreaza cu standarde)
https://resources.wo...job-description
E white-hacker, doarece cine poate intelege securitatea unui sistem, ca sa-l poata testa, poate sa creeze si solutie software pt remedierea problemelor.Este toata ziua inginerie in securitatea sistemelor.
Iar denumirea diplomata a unui hacker este de inginer in securitatea sistemelor(parerea mea).

De asemeni din cele enuntate de tine mai sus, ca o analogie eu asa am inteles:
Ca de fapt analist-programator ar  fi doua meserii .Unul doar ar analiza si altul ar propune solutii la cele analizate anterior de catre celelalt.
Ar fi ceva de genul:
-Eu doar analizez, sunt analist, daca vrei rezolvarea unei probleme  angajeaza un programator care sa implementeze cele descoperite de mine.
-Bine dar jobul este de analist-programator
-Nu, nu, la mine sunt separate.

Din pacate (pt altii) la mine nu sunt separate :analist-programator  = un singur job care intruneste:  analiza si implementarea de software, ca solutie la problemele
depistate in urma analizei.

Prin analogie, la fel am si parerea despre white hacker(inginer in securitatea sistemelor)

Edited by BraviaAmpero, 13 March 2019 - 00:17.

Parerea ta, eu iti zic din perspectiva unei persoane care a lucrat intr-o companie care are ca si activitate cybersecuritatea. Respectiva companie are echipa de pentesteri / white hackeri, din ce am inteles cel mai bun pentester din Romania face parte din acea echipa. Majoritatea oamenilor care lucrau acolo nu erau si white hacker / pentesteri, poate aveau ceva cunostiinte de pentesting / hacking desi nu bag mana in foc ca ar fi avut sau nu.
Ah si Security+, Cybersecurity Analist+, CISSP, SSCA, nu vorbesc despre analist / inginer securitate ca despre un white hacker. Pentest+, CEH, OSCP, OSCE sunt cursuri / certificari pentru cei care vor o cariera in pentesting, cei care doresc sa devina white hackeri.

Deci depinde ce doreste initiatorul mai exact. Legat de titlu am zis in primul meu post, nu exista materiale, cursuri, training-uri video pentru ISO 27xxx. Daca initiatorul e interesat de cybersecurity atunci poate incepe cu CompTIA Security+, CompTIA Cybersecurity Analist+ si poate trece la ISC² SSCA si ISC² CISSP sau pe la SAN, GCIH (GIAC Certified Incident Handler sper sa fi nimerit acronimul). Daca doreste pentesting atunci cursul pentru CEH e de el apoi pregatire minutioasa pentru OSCP. Asta daca vrea sa obtina si certificari. Daca doreste sa aibe cunostiinte fara a da si certificarile recomand aceleasi cursuri plus alte multe care exista.

Ca analist / inginer de securitate nu trebuie sa stiu sa fac ceea ce face un pentester, trebuie sa stie ce e de facut pentru a preintampina incidente de securitate. Nu trebuie sa stie ce exploit poate fi folosit de un user malitios ca sa intre folosindu-se de o bresa intr-un ferestre server X, in schimb trebuie sa stie ca acea versiune a respectivului OS are o problema care se rezolva prin patch-ul Y si sa instaleze acel patch.

Am vazut ceva training-uri video legate de securitatea cibernetica si intradevar traineri sunt persoane cu 20 - 25 de ani vechime care au lucrat la proiecte mari si care au si cunostiinte de hacking. Dar la 20 - 25 de ani experienta este ceva normal.

Edited by MembruAnonim, 13 March 2019 - 13:30.

 BraviaAmpero, on 11 martie 2019 - 23:33, said:

Da, asa am auzit si eu ca defapt in maternitati se dau testele astea de hacker. Iti da moasa una la fund dupa care te pune direct in fata unui terminal.

 BraviaAmpero, on 11 martie 2019 - 23:33, said:

Asa-i, un hacker adevarat nu intreaba oameni de pe strada cum se ajunge la adresa X. NICIODATA!

Astea sunt povesti din filme, un pen tester e si el un om normal. Ca toata lumea, majoritatea timpului face chestii banale, probabil e angajat si are un sef care ii da taskuri. Trebuie si el sa citeasca carti de pe Amazon, daca macar pe alea 2 ale lui Tannenbaum nu le-a citit (sau ceva similar) e destul de rau.

<seriously>
ISO 27001 n-are nici o treaba cu hackerii, e o chestie birocratica din care consultantii si auditorii fac o gramada de bani. Basically trebuie sa iti faci impreuna cu consultantul 1001 de reguli si proceduri interne. El te intreaba chestii de genul "Ce faci daca..." si tu trebuie sa ai pregatit un raspuns la orice traznaie ii trece lui prin cap. E foarte distractiv daca ala e vre-un guru cu idei six sigma. Problema e ca iti afecteaza la modul foarte serios modul de lucru, eu cred ca majoritatea mimeaza implementarea si a doua zi dupa ce pleaca auditorul nici dracu nu mai respecta toate procedurile alea pt. ca cel mai probabil nu mai reusesti sa lucrezi. Cine a implementat 27001 si se tine de el sa dea cu piatra
</seriously>

Edited by andrei_0, 14 March 2019 - 16:45.

 andrei_0, on 14 martie 2019 - 16:43, said:

Dap, i se spune autodidactism

Quote

Asta este o cerinta  necesara pt orice programator, nu neaparat hacker.
<seriously>
Esti pe o strada straina(ai in fata un subsistem al unui sistem)  si vrei sa ajungi la adresa X (si trebuie sa identifici in acel subsistem, o sectiune de cod critica)
Dai anunt la ziar ca nu esti capabil in a identifica acea sectiune ?
Pt ca daca da, atunci dau si eu anunt la ziar ca am nevoie de un programator adevarat si nu de un ratacit pe strazi.
</seriously>

Edited by BraviaAmpero, 19 March 2019 - 12:28.

Ce parte din "ISO 27xxx nu are treaba cu programarea" nu ai inteles?

Pai are pt ca cei care fac astfel  de specializari trebuie sa fie mai intai  hacker iar ca sa fie hacker mai intai trebuie sa fie programator, altfel poti sa iei oricine de pe strada si il pui
sa faca un sondaj despre securitate  si nu sa te certifice.Il poti invarti pe degete cum vrei tu daca este habarnist rau de tot in securitate software  exact cum fac iluzionistii pe scena.
Uite iepurele, nu e iepurele.A fost vreodata un iepure ?  

Certificarea are sens doar daca cel care ma certifica este expert in securitatea software(adica este un white hacker) ca de aceea platesc acea certificare , ii platesc cunostiintele si
experienta acelui hacker care imi identifica mie vulnerabilitati ale sistemelor mele si nu stau sa pierd vremea cu orice dorel care vrea sa faca cu mine sondaje stradale despre
securiteatea software.In cazul din urma ar fi o pierdere imensa de timp atat pentru mine cat si pentru el.

Edited by BraviaAmpero, 19 March 2019 - 18:45.

Uite cine vorbeste despre habarnism.

Stop bullshitting people.

@BraviaAmpero: Nu ai nici o idee despre Securitate si despre audit si despre ISO 27xxx. Nu trebuie sa fie nimeni nici un fel de programator. Securitate inseamna si turnicheti la intrarea in cladire, usi rotative, 2 usi (se inchide prima se deschidea a doua sau cum zice englezul dead man's trap, sper ca am tinut minte exact termenul), camere, alarma, paznici, ganduri, caini, cititoare pentru carduri, cititoare biometrice, parole, hash-uri, criptare, etc. In lista anterioara cate elemente sunt prezente care sa necesite skill de programator? Un pentester sau un hacker (astia nu sunt si analisti / ingineri securitate) are nevoie de skill de programator, mai un php, mai un perl, mai un python, mai un powershell sa livrezi un payload, etc.

Tu faci confuzi grava intre infosec, pentesting, audit, hacker, etc.

Edited by MembruAnonim, 19 March 2019 - 18:49.

Certificarile alea sunt folosite pentru a fi puse la dosarul de licitatii ca sa dovedesc ca sunt compliant cu ce standarde doreste benificiarul , de acea conteaza foarte mult cine face certificarea. White hacker sau dorel ?

ISO/IEC 27001 requires that management:
Systematically examine the organization's information security risks, taking account of the threats, vulnerabilities, and impacts;
Design and implement a coherent and comprehensive suite of information security controls and/or other forms of risk treatment (such as risk avoidance or risk transfer) to address those risks that are deemed unacceptable; and
Adopt an overarching management process to ensure that the information security controls continue to meet the organization's information security needs on an ongoing basis.
Note that ISO/IEC 27001 is designed to cover much more than just IT.

Deci ISO/IEC 27001 are la baza securitatea informatiei + altele, dar nucleul de baza este securitatea informatiei iar cand discutam despre securitatea informatiei vorbim despre hackeri.

Quote

Un hacker este analist /inginer in securitate nativ. N-ai cum sa nu fii hacker daca nu analizezi inainte sistemul in sine, raspunsul sistemului la anumiti stimuli(payloaduri) si nu stii
care sunt metologiiile de proiectare a sistemelor de securitate, pe care le poti afla in functie de tipul de raspunsul  sistemului targetat fata de tipul de payload la care este supus sistemul.

Edited by BraviaAmpero, 19 March 2019 - 19:09.