É um fato que estamos vivendo uma guerra cibernética que já dura a anos e por conta disso a escassez de profissionais com conhecimentos em Defesa Cibernética vem aumentado muito, além disso, profissões como Engenheiros de Segurança Ofensiva e Defensiva, estão tendo um aumento considerável no mercado internacional.
Aqui no Brasil temos os Analistas de Segurança, sendo um dos principais cargos na área de segurança da informação. E dificilmente vamos ver cargos de engenheiros de segurança, mas não significa que o mercado não precise de pessoas com tais capacidades, ao contrário, o mercado vem procurando profissionais com perfis de Engenheiros.
Mas qual é a diferença de um Analista e um Engenheiro de Segurança?
Aqui no Brasil? Não tem quase nenhuma diferença, são apenas nomenclaturas, porém algumas empresas de grande porte costumam ter analistas de segurança e os engenheiros de segurança.
Já nos Estados Unidos é mais comum a profissão de Engenheiro de Segurança, pois já são cargos diferentes e com requisitos diferentes lá fora, sendo mais comum profissionais com a profissão de Engenheiro.
Mas e a diferença?
Vamos ignorar o mercado de trabalho Brasileiro e o Internacional e apenas nos concentrar na terminologia.
Quando pegamos a diferença desses nomes, o analista se torna mais genérico, muitos recrutadores contratam analistas como se fossem engenheiros também, porém falando de empresas nível corporativas, eles diferenciam as funções do analista e engenheiro da seguinte forma.
Analista de Segurança da Informação: Possui o papel de manter a saúde da segurança da empresa e garantir a conformidade de todos os mecanismos imposto para proteger a informação daquela organização. O Analista ele tem o papel principal de manter a empresa segura e exercer atividades que garante que todo sistema de segurança implementado seja seguido e que não aja nenhum tipo de incidente que afete a organização. Assim mantendo a parte operacional da segurança em conformidade e revisando politicas de segurança e mantendo as melhores práticas de segurança da informação em ação.
Engenheiro de Segurança: O Engenheiro ele tem um papel de trazer novas soluções, implementa-las e garantir que as mesmas sejam configuradas de maneira correta, ordenada e que preencha as necessidades de uma empresa. Geralmente o Engenheiro fica mais com a parte técnica e foca na implementação de mecanismos de proteção e nos testes de vulnerabilidades e avaliação de riscos. E muita das vezes o Engenheiro se junta com o Analista para manter todos os controles de segurança seguro e garantir que tudo se encaixe perfeitamente com o SGSI da empresa.
Enquanto o Analista pode focar tanto no operacional como na parte de Gestão e Conformidade da segurança da informação da empresa. O Engenheiro ele exclusivamente trata da implementação de dispositivos de Segurança e garantir que o mesmo seja configurado corretamente e que não esteja vulnerável.
Porém cada empresa tem sua definição e muita das vezes isso muda, então essa não pode ser a definição correta para o cargo ou também pode ser a mais correta também.
Mas vamos ao que importa
Como se tornar um Offensive and Defensive Security Engineering?
Para alcançar esses cargos, são necessário uma série de tarefas e conhecimentos para isso, não apenas conhecer de soluções ou conhecer de testes de vulnerabilidades.
E é por isso que vou falar um pouco sobre o que é necessário conhecer para atuar em uma dessas duas áreas.
Começando pelo Offensive Security Engineering
Offensive Security Engineering
Quando falamos de Segurança Ofensiva, falamos de testes de vulnerabilidades, analise de vulnerabilidades, gerenciamento de riscos e tudo que engloba o Red Team.
Então quando paramos para analisar cada tópico que se encaixa para um profissional de segurança ofensiva, vamos ter:
- Conhecimentos em PenTest (Infraestrutura, Aplicações Web, Físico, Mobile)
- Conhecimentos em Gerenciamento de Riscos
- Conhecimentos em Analise de Vulnerabilidade (SAST, DAST, IAST) e Gestão de Vulnerabilidades
- Conhecimentos em Threat Intelligence
- Conhecimentos em Metodologias, Normas e Padrões (OSSTM, NIST, MITRE, FISMA, HIPPA, PCI, ISO 27K)
- Conhecimentos em Analise Forense Computacional
- Conhecimentos em Segurança de Aplicação
- Conhecimentos em Engenharia Reversa
- Conhecimentos de Programação em Baixo e Alto Nível
- Conhecimentos em desenvolvimento de relatórios e politicas
- Conhecimentos de OSINT
- Conhecimentos de Técnicas de Engenharia Social
- Conhecimentos em desenvolvimento de exploits
- Conhecimentos em Servidores Windows e Linux
- Conhecimentos em Linguagens de Scripts (Bash e Powershell)
Geralmente são esses conhecimentos que profissionais de Segurança Ofensiva tem para atuar no mercado profissional como Red Team Professional ou um Engenheiro de Segurança Ofensiva.
Claro que são apenas conhecimentos que você pode adquirir na sua jornada, mas não é o requisito principal das vagas, isso tudo depende da empresa que esta contratando, pois geralmente você vai notar vagas que pedem conhecimentos em Scanners de Vulnerabilidades e PenTest Avançado, além de certificações que são um diferencial enorme.
Certificações e Treinamentos:
https://www.offensive-security.com/
http://www.iacertification.org/
https://www.elearnsecurity.com/
https://www.pentesteracademy.com/
https://www.giac.org/certifications/cyber-defense
E caso você tenha interesse de ter mais detalhes sobre essas certificações: https://www.linkedin.com/pulse/como-se-tornar-um-engenheiro-e-mestre-em-offensive-dos-santos/
E tem outros artigos falando de algumas certificações também, seja elas da eLearning Security, Offensive Security ou ECCOUNCIL
Fora isso, tem certificações que focam em produtos também que trás conhecimentos sobre determinadas ferramentas e métodos também , além de outros treinamentos para conhecimentos a parte que você pode encontrar pela internet em sites como Udemy, Eduonix, Alura, Coursera, IC-CERTS, Fortinet, ITMaster e etc…
Dicas:
- Desenvolva ferramentas de PenTest para práticar
- Brinque com CTFs e Laboratórios práticos (HTB, Vulnhub, Capture the flags)
- Estude métodos de ataques avançados, escalação de privilégios, pivoting e etc
Defensive Security Engineering
Quando falamos de Segurança Defensiva, falamos de implantação de hosts securitys, politicas de segurança, Hardening, Analise de Vulnerabilidades, Mitigação de riscos e etc
E quando paramos para analisar cada tópico atrelado
- Conhecimentos em Monitoramento e Analise de redes
- Conhecimentos em Resposta a Incidentes
- Conhecimentos em Mitigação de Riscos
- Conhecimentos em Servidores Linux e Windows
- Conhecimentos em Endpoints Security
- Conhecimentos em Redes de Computadores e Arquitetura de Redes
- Conhecimentos em Linguagens de Scripts
- Conhecimentos em Forense Computacional
- Conhecimentos em Normas, Padrões e Metodologias
- Conhecimentos Gestão de Riscos e Vulnerabilidades
- Conhecimentos em Implantação de Firewall, IDS e IPS
- Conhecimentos em Desenvolvimento Seguro
- Conhecimentos em Backup
- Conhecimentos em Segurança de Cloud
- Conhecimentos em Politicas de Segurança
- Conhecimentos em Threat Intelligence
- Conhecimentos em Segurança Fisica
- Conhecimentos em Gestão de Patches e Hardening
Esses são alguns conhecimentos que um Engenheiro de Segurança Defensiva tem para proteger uma organização contra os mais diversos tipos de ataques, seja ataques direcionados ou não direcionados.
Obvio que tudo depende da empresa que você vai trabalhar e os requisitos que ela possui para atuar nesse cargo, geralmente você não aplica todos esses conhecimentos descritos, porém é sempre bom conhecer e aprender.
Certificações e Treinamentos
https://www.defensive-security.com/training-workshops
https://www.cdse.edu/catalog/index.html
https://www.giac.org/certifications/cyber-defense
Fora isso, você tem treinamentos de produtos que ensinam a mexer com uma determinada ferramenta e até métodos por trás destas ferramentas.
Certificações de defesa são mais de produtos do que conceitos propriamente dito, seja ela certificações de uma empresa de Firewall, Antivírus, Hosts Securitys ou que vendem outro tipos de sistemas de segurança.
Dicas:
- Suba laboratórios locais
- Aprenda a implementar cada sistema de segurança
- Estude métodos de proteção avançado
- Tente atrelar a teoria e a prática junto
Em conclusão, se você quer se tornar um Engenheiro de Segurança, monte planos de estudos e escolha uma área que você quer seguir, seja ela Ofensivo ou Defensivo.
Views: 361