Куда копать дальше по информационной безопасности?

Question

[Молзв Реках]

Всем привет.
Я что то остановился в развитии и не знаю куда идти.
Изначально я пришел в информационную безопасность что бы научится разрабатывать антивирусы.
Вот я более менее овладел unix системой, знаю методы защиты и атак на Wifi сети и Веб приложения.
Куда копать дальше? Ну не конец же это, не чувствую себя супер безопасником который знает все проникновения и защиты от них.
Так же недавно прочитал книгу "Социальная инженерия. Социальные хакеры".
Если говорить подробнее про проникновения на Веб-приложения, то я про то, что знаю как использовать различные рода XSS, DOS и SQL на веб-сайты\сайтах.
Вопросы:
Посоветуете книги которые я обязательно должен прочитать что бы повышать ДОПОЛНИТЕЛЬНЫЕ знания по информационной безопасности, будь то веб\декстоп (C++\C\Python). (Плиз не советуйте по TCP\IP я уже работал с сокетами и знаю как они работают)
Что нужно прочитать что бы научится программировать микроконтроллеры, USB киллеры, Raspberry Pi и всякие другие приколы?)

Comments

[Moskus]

Стесняюсь спросить, а вы кроме технологической части что-то изучали? Потому что ИБ - это, кроме множества частных случаев, зависящих от технологий, еще и фундаментальные вещи вроде оценки рисков, построения модели угроз и т.п.
Потому что без этого вы - как столяр, который умеет доски строгать и пилить, а шкаф или стол он все равно не соберет нормальный никогда.

[Молзв Реках]

Moskus, Хм... Даже не знаю, я не думаю что это стоит учить, вроде это в характере должно быть, или я неправильно понял?

[sim3x]

Молзв Реках,

Сколько у вас практического опыта?
Сколько ctf?
Сколько уже работаете по профилю?

[Moskus]

Молзв Реках, "учить" вообще ничего не стоит, нужно "изучать". Нет, в характере ничего такого быть не должно (да и точно нет лично у вас, раз вы такие вопросы задаёте).

[АртемЪ]

Молзв Реках,

Даже не знаю, я не думаю что это стоит учить, вроде это в характере должно быть, или я неправильно понял?

Именно это стоит учить.
А вот вещи которые вы упомянули - их можно и не учить.
Они являются необязательными, хотя и желательными в некоторых случаях для безопасника.

Answer 1

[Рональд Макдональд]

Прочитал ерунду.
Вы не безопасник. Хотите в безопасность - идите в ВУЗ на профильную специальность.
Сейчас же вы то тут, то там хватаете какие-то пенки абсолютно без понимания, что вы, вообще, делаете.

Comments

[Молзв Реках]

без понимания, что вы, вообще делаете

Нет, чаще всего когда я использую те или иные скрипты, я заглядываю в исходники и разбираю как они работают.
Разбираю что они делают и каким алгоритмом идут.

Хотите в безопасность - идите в ВУЗ на профильную специальность.

А мне говорили нужно саморазвиваться...
Прикольно, что в школе меня не научили не одному языку программирования, мне пришлось самому всё это учить, и на удивление, получилось.
У нас даже в школе с самого рождения присваивают синдром Windows.
Однажды я спросил у одноклассников про unix подобные системы, ответ как и у отличников так и у двоечников был одинаков, они вообще не знали что это.
О чём речь, мы ведь изучаем программирование в 9 классе, и то, пишем код в блокноте.
Я считаю что я выбрал верный путь.

[Рональд Макдональд]

Молзв Реках,

Прикольно, что в школе меня не научили не одному языку программирования, мне пришлось самому всё это учить, и на удивление, получилось.

У всех так.

У нас даже в школе с самого рождения присваивают синдром Windows.

О, да у нас тут линуксоид!

О чём речь, мы ведь изучаем программирование в 9 классе, и то, пишем код в блокноте.

На ЕГЭ на бумаге вообще будете писать. Это нормально.

Саморазвитие - это хорошо, но только в совокупности с нормальным академическим образованием.

[Молзв Реках]

Рональд Макдональд,

О, да у нас тут линуксоид!

Наоборот, я пользуюсь линуксом как второй ОС.
Т.к на Windows большая аудитория - там можно быстрее развиться.
Насчёт синдром Windows - я считаю что неправильно думать, что в мире есть только одна ОС.

[Рональд Макдональд]

Наоборот, я пользуюсь линуксом как второй ОС.

Но ведь я так и сказал?

неправильно думать, что в мире есть только одна ОС.

Большинству вообще плевать на какие-либо ОС. Мир не крутится вокруг IT.

Answer 2

[athacker]

Коллеги выше правильно говорят. Частные знания о некоторых самых простых векторов атаки типа XSS или SQL injection -- это даже не верхушка айсберга, это снежинка на его вершине.

ИБ включает в себя массу самых разных методологий, процессов и технических средств. Попробуйте хотя бы основы системного подхода к ИБ почитать: https://habr.com/ru/company/vps_house/blog/343110/

Answer 3

[АртемЪ]

Ну не конец же это, не чувствую себя супер безопасником который знает все проникновения и защиты от них.

Ну во первых безопасник не обязательно должен знать все способы проникновения и защиты от них. Более того этого знать просто невозможно.

Задача безопасника - грамотно оценивать ценность информации, определять векторы возможных атак, и уже на основании этого выстраивать сбалансированную защиту.
Т.е начинать надо с оценки информации, рисков, формального определения типов атак, и подсчетов экономической целесообразности.
А уж потом - когда план защиты написан, утвержден и подписан - тогда начинается работа с кодом и с людьми.

Большая часть работы безопасника не имеет никакого отношения к указанным вами вещам, вроде XSS, методов защиты и атак на Wifi сети и Веб приложения, и.т.п.

Что нужно прочитать что бы научится программировать микроконтроллеры, USB киллеры, Raspberry Pi и всякие другие приколы?)

Книжки, какие нибудь. Или в интернете интересующую информацию поискать.
К ИБ это не имеет никакого отношения.

Answer 4

[CityCat4]

Что нужно прочитать что бы научится программировать микроконтроллеры, USB киллеры, Raspberry Pi и всякие другие приколы?)

Зачем?
Вы хотите работать в ИБ или же это просто увлечение? Если просто увлечение - ну почитайте, что в гугле сможете найти.
Если же работать - то большая часть работы безопасника - она нудная, скучная и иногда выглядит скажем так, сомнительной с моральной точки зрения обычного человека.
Ну, разве только Вам удастся пристроиться специалистом по форензике в крупную контору типа ЛК.

Comments

[Молзв Реках]

Зачем?

Ну я хочу быть тем, кто как раз знает как работает система и постоянно задаётся вопросом "а что можно еще сделать с этим?)".
Т.е я хочу придумывать всякие штуки которые будут ломать, взламывать, обходить системы, но при этом знать как они работают и уметь обходить их.
Скорее всего я неправильно сказал, не "безопасником" а "инженером по кибербезопасности" скорее всего так.

Если же работать - то большая часть работы безопасника - она нудная, скучная и иногда выглядит скажем так, сомнительной с моральной точки зрения обычного человека.

Да мне и не нужно весело.
Скажем так, мне это подходит.