セキュリティについて学ぶためのリソース
現在、コンピュータサイエンスの学位を取得しているところですが、コンピュータのセキュリティについてはほとんど知りません。
セキュリティの基礎を学ぶための(このサイト以外の)良いリソースは何ですか。良いリソースは、具体的にはそれぞれがどのようなセキュリティを目指しているかによって、おそらく異なると思います。
私はこのLinux Security HOWTOを見てきました: http://tldp.org/HOWTO/Security-HOWTO/index.html
質問は言い換えることができます:私の状況で誰かを雇わざるを得なかった場合(堅固な知識のアルゴリズム/データ構造、いくつかの言語と異なるプログラミングパラダイム、および基本的なUnixの知識)、それらをどのように読み/学習させますか?
「コンピュータセキュリティ」は非常に幅広い分野であるため、これは答えるのが難しい質問です。
一般的なコンピュータセキュリティ関連のものだけを探している場合は、 Richard Bejtlich をフォローし始めます。 -たとえば、Tao of Network Security Monitoringから:
「セキュリティは、認識されているリスクの許容レベルを維持するプロセスです。国際コンピュータセキュリティ協会の教育担当元ディレクターであったミッチカベイ博士は、1998年に「セキュリティはプロセスであり、最終的な状態ではない」と書いています。セキュリティポリシーの遵守が最後に確認された後は、どの組織も「安全」と見なすことはできません。マネージャーが「私たちは安全ですか?」 「確認させてください」と答えるべきです。彼または彼女が尋ねた場合、「明日は安全ですか?」 「わからない」と答えるべきですそのような正直さは一般的ではありませんが、この考え方は長期的には組織に大きな成功をもたらすでしょう。」
Bruce Schneier と、ほとんどの SANSリソース もお勧めします。
-ジョシュ
Ross Anderson'sSecurity Engineering を強くお勧めします。第1版と第2版は、上記のリンクから無料でPDFとして入手できます。
第1章から:
セキュリティエンジニアリングとは、悪意、エラー、またはミスに直面しても信頼できるシステムを構築することです。専門分野として、完全なシステムを設計、実装、およびテストし、既存のシステムを環境の変化に合わせて適応させるために必要なツール、プロセス、および方法に焦点を当てています。
コミュニティー側:IRCは友達のimoです。それ以外の場合は私が気に入っています:
- r/netsec
- SecurityTube (およびそれらの Questions ポータル)
- うまくいけば ITsecurity ここに他のstackoverflowポータル(「セキュリティ」タグを探す)
書かれたリソースについては、FreeBSDハンドブックの セキュリティセクション が非常に役に立っています。コンピュータセキュリティは大きな展望です-何を求めているかによります。
あなたが言ったように、それはあなたが参照しているセキュリティの分野に本当に依存します...
アプリケーションのセキュリティ情報を探している場合は、直接 [〜#〜] owasp [〜#〜] にアクセスしてください。そこから始めましょう。
強力なIT経験を証明できない限り、セキュリティコンサルティングやセキュリティ監査の役割を直接採用しない組織はさまざまです。これは、実際の運用環境におけるセキュリティのより丸みのある実用的な見方を構築するのに役立ちますが、セキュリティの学位を取得した新卒者を採用したとき、セキュリティのアイデアを理想的な'しかし、実用的なレベルでは機能しない位置。
私が最も成功裏に採用した分野の例-ネットワーキングおよびファイアウォール(Cisco、チェックポイント、テレコムなど)、コンピューターサイエンスの学位、セキュリティおよびフォレンジックの学位。
そして、彼らにとって私の最も有用なトレーニング-経験豊富なプロとの仕事で、最初に監査の役割を果たし、次にコンサルティングを行います。
情報セキュリティに関する膨大な種類の本が無料で入手できます。あなたが必要なトピックを持っている場合に備えて、シンプルなグーグルは取り引きをします!
以下、その世界に入るための必需品としての私の個人的な推奨事項:
ソフトウェア開発ライフサイクルにセキュリティを統合する方法。あなたはMicrosoft SDL(それはそれを読んで各トピックに別々に慣れるのにいくらかの時間を費やすでしょう)、Building Security In(例えばBSIMM ...)を得るでしょう。 、セキュリティ要件、安全なプログラミング...それでカバーする必要があります(サブトピックの重要性を参照したとおり)セキュリティテスト、ファズテスト、コードレビュー、...
一方、技術固有のセキュリティソリューションを学ぶ必要がありますhtmlフレームのセキュリティ ...、アプリケーション層からDBMSまでのアクセス制御モデル、セキュリティプロトコル、およびそれらが使用される理由、セキュリティWebテクノロジーおよびRESTful WebサービスまたはSOAPベースのWebサービス。
フレームワークとIDE、.Netフレームワークなどによって提供されるセキュリティプロパティ...
これらをグーグルで検索してみてください。役立つリンクを取得できなかった場合は、コメントを残していただければ提供できます。
Safari Books Online: http://www.safaribooksonline.com/
コンピューターのセキュリティと暗号化におけるAmazonのベストセラー: http://www.Amazon.com/gp/bestsellers/books/377560011/
NYU:Polyには、オンラインでのペンテストに関するセキュリティコースがあります。 侵入テストと脆弱性分析
学ぶための最良の方法は、そうすることを楽しむことです。それが私が「ウォーゲーム」やハックチャレンジが好きになった理由です。
私はチェックアウトします: http://hackquest.com/
そしてまた:
http://www.overthewire.org/wargames/
私が使用するビデオチュートリアルと講義について:
何かを保護する方法を学ぶことは、そのレベルがどのように機能し、何が弱点であるかを深く理解することを意味します。リスク評価も重要です。
セキュリティサイト、メーリングリスト、書籍へのリンクはたくさんあると思いますが、実際には、システムの弱点を理解し、起こり得る脅威を評価することがすべてです。
一般に、何かをセキュリティで保護するための最良のリソースは、そのことを手動で行うことと、自分自身の批判的思考です。
Security.stackexchnageで寛大な人々から多くの提案を受けています。ただし、コンピューターのセキュリティについて学ぶための素晴らしい情報源も共有しています。それは http://opensecuritytraining.info/ です。ここのチュートリアルはほとんどの基本をクリアし、前進する準備がすべて整います。
それ以外にも、次のようなさまざまなハッキング会議のアーカイブを調べることをお勧めします。