Sådan kommer du i gang med IT-sikkerhed
Der er tusind veje til at arbejde med IT-sikkerhed i Danmark i dag, og de færreste af dem er den direkte.
I Danmark findes der ingen dedikeret bachelor- eller kandidatuddannelse i IT-sikkerhed i det offentlige uddannelsessystem. Derimod berører rigtigt mange af programmør- og IT-uddannelserne sikkerhed på en eller anden måde, ofte i form af valgfag.
Inden for den private kursussektor bugner det til gengæld med certificeringer, efteruddannelse og kurser indenfor stort set alle nicher af IT-sikkerhed.
Samtidig sidder der rigtigt mange selvlærte IT-sikkerhedsmedarbejdere og -chefer i virksomhederne, der aldrig har fået papir på deres kompetencer.
For at gøre livet lidt lettere for nuværende og fremtidige studerende inden for IT-området har SAMDATA Magasinet fået tre eksperter til at videregive deres bedste tips.
Hvilke områder det vigtigt at dygtiggøre sig indenfor, hvis man vil arbejde med IT-sikkerhed?
”Det er bydende nødvendigt, at man læser op på kryptering. Når man kender principperne er det vigtigt at kunne bygge bro til kryptering i praksis. Det er også nødvendigt at udarbejde en generel politik for hvilket algoritmer, protokoller og parametre man tillader i sin organisation.
Patch management, vedligeholdelse og fortsatte gentagelser i en struktureret evighed. De færreste har overblik over alt, der findes på netværket rundt omkring. Det betyder, at når der kommer mange nye sårbarheder hver dag, så er det en opgave i sig selv at finde ud af, om man er påvirket.
Automatisering er ligeledes et område, man skal sætte sig ind i. IT-sikkerhedsfolk skal kende både lidt programmering og have en github-konto.
Defense-in-depth er mere et begreb end et område, men det er et princip som går på tværs af al IT-sikkerhed. Begrebet betyder basalt set, at man ved at lægge flere forhindringer i vejen for en angriber, kan tåle svagheder i delkomponenterne. Vi skal altså ødelægge forudsætningerne for, at angrebet lykkedes.”
Hvad er den farligste faldgrube, når man kaster sig over at studere IT-sikkerhed?
”De farligste faldgruber indenfor IT-sikkerhed er for mig at tro, at man bliver færdig og at der findes “absolut sikkerhed”. Niveauet af sikkerhed falder henover tid. Man skal således hellere implementere løbende processer, der sikrer, at man kommer rundt til alle systemer, kommer igennem alle checklister, og informerer alle ansatte om reglerne for brug af IT og data. Det betyder endvidere, at man løbende skal holde sig opdateret, fordi ting som var sikre i går med tiden bliver rasende usikre.”
Hvad er dit yndlingsværktøj, når du arbejder med IT-sikkerhed?
”Nmap, fordi det både kan bruges offensivt og defensivt. Programmet er en motor, som kan scanne mange IP-adresser på kort tid, og desuden har et helt programmeringssprog, Lua. Det betyder, at hver gang der kommer en ny sårbarhed som f.eks. Heartbleed, er der altid nogen som skriver et Lua/NSE script, som kan teste for sårbarheden. Eksempelvis kunne jeg scanne mere end 20.000 IP-adresser for Heartbleed på under 10 minutter og få en kortere liste med måske 10 servere, der skulle ses efter. Det er ekstremt tidsbesparende og tvingende nødvendig i dag.”
Hvad er den vigtigste huskeregel til folk, der arbejder med IT-sikkerhed?
”Sikkerhed er en proces, ikke et produkt.”
Hvilke områder det vigtigt at dygtiggøre sig indenfor, hvis man vil arbejde med IT-sikkerhed?
”Sikkerhed er jo et bredt begreb, der både dækker en juridisk del, procesdelen og den teknologisk del. Den vigtigste tommelfingerregel er, at man skal være interesseret i konstant at lære. Det er en verden, der hele tiden ændrer sig, så man skal hele tide lære nyt.”
Hvad er den farligste faldgrube, når man kaster sig over at studere IT-sikkerhed?
”Man kan blive så fagligt specialiseret inden for en bestemt teknologi, at man ikke længere kan bruge sine evner, hvis teknologien den forældes. Det er en faldgrube, som også gælder andre, f.eks. de analoge fotografer.”
Hvad er dit yndlingsværktøj, når du arbejder med IT-sikkerhed?
”For mig er det vigtigste ikke et værktøj, men en disciplin, nemlig dialog. Det er igennem dialogen med ledelsen og teknikerne, at der skabes mest værdi.”
Hvad er den vigtigste huskeregel til folk, der arbejder med IT-sikkerhed?
”At man bevarer sin sunde fornuft. Sikkerhed kræver en pragmatisk tilgang. Det bliver let sort-hvidt, hvor man enten har en laissez faire-tilgang, hvor alt er okay, eller er sortseer og ikke tillader noget. Ingen af yderpunkterne giver mening. Derfor er der behov for en pragmatisk tilgang.”
Hvilke områder det vigtigt at dygtiggøre sig indenfor, hvis man vil arbejde med IT-sikkerhed?
”Det er begrænset hvad man kan lære på skolebænken eller læse i en bog. Søg udfordringer, fx. binær analyse med crackme’s eller deltag i capture-the-flag konkurrencer. Prøv først, og går du i stå – findes der typisk analyser af udfordringerne på internettet.”
Hvad er den farligste faldgrube, når man kaster sig over at studere IT-sikkerhed?
”Implementation af kryptografi er næsten umuligt at gøre korrekt. Selv standardbiblioteker er svære at bruge korrekt.”
Hvad er dit yndlingsværktøj, når du arbejder med IT-sikkerhed?
”En shell (kommandolinje) er mit vigtigste værktøj, da jeg tit har brug for at blande en masse værktøjer med ad-hoc scripts og logfilsanalyse. Yndlingsværktøjet er for tiden er GNU Parallel, der gør det let at parallelisere arbejdsgange.”
Hvad er den vigtigste huskeregel til folk, der arbejder med IT-sikkerhed?
”Det er altid nemmere at angribe systemer, end at forsvare. Planlæg derfor ud fra det vilkår, at man allerede er blevet hacket: Adskil enkelte systemer fysisk og logisk, lad ikke systemerne stole på hinanden. Begræns indsamling og adgang til data, til det absolut minimale.”
Skriv en kommentar
This site uses Akismet to reduce spam. Learn how your comment data is processed.