Como começar uma carreira em cibersegurança?

Este artigo foca-se em carreiras nas áreas técnicas em segurança da informação e cibersegurança.

No mês de Outubro celebramos o #CyberAwarenessMonth. Desde que organizámos o webinar “Carreiras em Cibersegurança” têm surgido vários contactos a pedirem-nos orientação para poderem aprender mais sobre a área.

Como ponto de partida, aconselhamos assistirem ao webinar onde exploramos diferentes áreas de atuação, quais as competências necessárias para prosseguir uma carreira na área, o contexto actual em Portugal, como promover a diversidade e inclusão na área e, por fim, os desafios que enfrentamos no global.

São inúmeras as áreas e sectores onde é possível trabalhar na área de cibersegurança, desde desempenhar funções mais exigentes do ponto de vista técnico até funções que requerem mais “soft skills”. A par da aprendizagem baseada nos recursos técnicos que listamos de seguida, aconselhamos-te a procurar aconselhamento com profissionais da área e/ou programas de mentoria. A Women4Cyber Foundation tem um programa de mentoria destinado a mulheres e raparigas que queiram iniciar uma carreira na área mas existem muitos mais.

A cibersegurança é uma área em constante evolução e mudança pelo que esta lista de recursos estará, também ela, em constante evolução.

Para já, sugerimos dares uma vista de olhos a estes recursos gratuitos:

• Centro Nacional de Cibersegurança | Cursos de e-learning e C-Academy
• Cisco Networking Academy
• Skills for All with Cisco
• ISC2
• Fortinet
• EISnt
• Cinel

De seguida, vais poder encontrar recursos mais direcionados para conseguires trabalhar nas seguintes funções: Security Analyst, Security Engineer, Security Architect, Security Administrator, Security Consultant e Security Software Developer. E, ainda, Intrusion Detection Specialist, Incident Responder, Vulnerability Manager e Penetration Tester (a.k.a. Ethical Hacker ou Pen-Tester).

Introdução à cibersegurança

[Cybrary] Introduction to IT & Cybersecurity

Este curso gratuito oferece uma introdução a várias opções de carreira na área de cibersegurança com perfil técnico, incluindo as responsabilidades associadas a cada cargo, quais as competências necessárias e certificações úteis. Adicionalmente, também contém demonstrações de algumas das ferramentas usadas e funções desempenhadas por profissionais com estes cargos.

[Udemy] Information Security Management Fundamentals for Non-Techies

Destinado a uma audiência não-técnica, este curso cobre os conceitos básicos de cibersegurança, e prepara-te para compreender a linguagem e os termos usados na área de cibersegurança, por exemplo:

• Princípios chave de cibersegurança (confidencialidade, integridade, autenticação, autorização, defesa em profundidade, não-repúdio, etc)
• Gestão de Ciber-risco
• Asset Management
• Controlo de Acessos
• Ameaças de Segurança (Malware, Buffer Overflows, Ransomware, Rootkits, Zero Day Attacks)
• Outras ameaças e Vulnerabilidades (Social Engineering, Ataques comuns)
• Segmentação de Rede e Isolamento
• Segurança de Redes (VPN, firewalls, proxy servers, honeypots, IDS/IPS)

[Cybrary] Information Security Fundamentals

Adequado para profissionais que procuram entrar na área de cibersegurança ou transitar de uma carreira em IT para cibersegurança, este curso abrange os fundamentos de redes e conceitos de cibersegurança, que constituem a base de qualquer profissional da área.

Formação técnica

Se pretendes prosseguir uma carreira técnica em cibersegurança, deves começar por familiarizar-te com as ferramentas que são usadas para desempenhar muitas das tarefas de um profissional de cibersegurança. Nomeadamente, o sistema operativo Linux e pelo menos uma linguagem de scripting, como por exemplo, python e/ou bash.

• [The Linux Academy] Introdução a Linux é um curso bastante acessível que cobre as várias ferramentas e técnicas normalmente usadas por utilizadores e administradores de sistemas Linux.
• [MIT Open Courses] Introduction to Computer Science and Programming in Python é direcionado para indivíduos com pouca ou nenhuma experiência de programação.
• [linuxhint]Bash Scripting Full Course é um curso introdutório de Bash scriptng.
• [Free Code Camp] Learn Python — Full Course for Beginners é um curso gratuito que explora todos os conceitos essenciais de python.

O que são os famosos CTF’s?

Capture The Flags (CTFs) são competições nas quais os participantes tentam resolver um conjunto de desafios aplicando técnicas e conhecimentos de cibersegurança. À semelhança dos jogos ou dos quebra-cabeças, estes desafios são construídos por etapas e níveis de dificuldade, tornando-se, por isso, uma maneira estimulante de explorar e desenvolver novas competências técnicas. Os CTF’s são exercícios simuladores dos “hackings” que vulgarmente encontramos nos filmes e à imagem do “Hacker na cave”. Em larga escala, estas competições são muito utilizadas para encontrarem vulnerabilidades nos programas e prevenir futuros ataques. Há pessoas que fazem carreira em resolver CTF’s, através da participação em concursos onde existe muitas vezes um prémio final de elevado valor monetário.

Como podes treinar? Em qualquer uma destas plataformas:

• bi0s
• HackTheBox
• ctf101
• picoCTF (sugerimos este walkthrough)
• OverTheWire
• pwn.college
• TryHackMe

Boa sorte!

Sobre as certificações profissionais

Apesar de ter certificações profissionais não ser um pré-requisito para trabalhar na área de cibersegurança, estas podem ser úteis para demonstrarem determinado nível de conhecimento.

O currículo de certificações também pode ser um bom guia para um plano de estudo individual, uma vez que cobrem os tópicos mais relevantes para os domínios que abrange.

Organizados por graus de dificuldade do mais acessível para o mais exigente, sugerimos os seguintes certificados:

CompTIA Network+

Esta certificação não é específica para cibersegurança, no entanto oferece uma boa base acerca de como computadores e redes comunicam umas com as outras e boas práticas, abrangendo os seguintes tópicos:

1. Desenho e implementação redes funcionais
2. Configuração, gestão e manutenção de dispositivos de rede essenciais
3. Como utilizar dispositivos como switches e routers para segmentar o tráfego de rede e criar redes resilientes
4. Identificação das vantagens e desvantagens das configurações de redes existentes
5. Implementação de segurança, padrões e protocolos de rede
6. Troubleshooting problemas de rede
7. Apoiar a criação de redes virtuais

Aqui podes encontrar uma playlist que cobre o conteúdo desta certificação no YouTube.

CompTIA Security+

Esta é uma certificação de nível introdutório em cibersegurança. Confere o conhecimento básico necessário para qualquer função técnica na área e serve como um bom ponto de partida para funções de nível intermediário. Esta certificação cobre os seguintes domínios:

1. Ataques, ameaças e vulnerabilidades
2. Arquitetura e design
3. Implementação
4. Operações e resposta a incidentes
5. Governance, risco e conformidade

Aqui podes encontrar uma playlist que cobre o conteúdo desta certificação no YouTube.

Certified Ethical Hacker (CEH)

Esta é uma certificação indicada para quem tem interesse em cibersegurança ofensiva (pentesting). Valida a capacidade de um profissional para a utilização de técnicas ofensivas (hacking) para identificar e solucionar vulnerabilidades em redes de segurança existentes.

Esta certificação cobre os seguintes tópicos:

1. Introdução ao Hacking Ético
2. Footprinting and reconnaissance
3. Scanning Networks
4. Enumeração
5. Redes de sistema
6. Ameaças de malware
7. Sniffing
8. Engenharia social
9. Denial-of-Service
10. Hacking de sessão
11. Hackeando servidores web
12. Hacking Aplicações Web
13. Injeções de SQL
14. Hacking Redes sem Fios
15. Hacking Plataformas Móveis

Esta certificação é indicada somente para indivíduos com boas fundações de cibersegurança.

Aqui podes encontrar uma playlist que cobre alguns dos tópicos desta certificação no YouTube.

Offensive Security Certified Professional (OSCP)

O OSCP é o mais exigente dos certificados que sugerimos e existem mais 2 níveis disponíveis. Este programa testa não só as tuas capacidades técnicas mas também o teu mindset para seres um bom Pen-Tester.

Abaixo estão listados alguns guias de preparação que podem ser úteis na preparação para o OSCP:

• Utimate OSCP Preparation Guide
• HackTheBox VM List
• IppSec

Outros recursos a explorar

Hacksplanning

Maioritariamente direcionado para web developers, o Hackspanning é um website gratuito e explica o passo-a-passo de “hackear” aplicações interactivas, como por exemplo um website, de uma forma muito simples e acessível. A metodologia utilizada é muito prática dando as ferramentas para cada web developer poder testar as suas aplicações de forma a conhecer e explorar as suas vulnerabilidades (SQL injections, XSS, CSRF, etc) e poder actuar sobre elas, protegendo os sistemas. No final de cada tópico, a plataforma disponibiliza quizzes para testar o nível de conhecimento.

The Linux Academy

A Linux Academy oferece vários cursos gratuitos nas mais variadas áreas, apenas disponível em inglês. Aqui ficam dos cursos que aconselhamos:

• Secure Software Development: Requirements, Design, and Reuse (LFD104x) cobre os fundamentos de desenvolvimento de software seguro, nomeadamente: (1) Identificação dos requisitos de segurança de um sistemas, (2) Princípio de Design Seguro e (3) Como selecionar, adquirir e reutilizar third-party software de modo seguro.
• Secure Software Development: Implementation (LFD105x) foca-se em como implementar software seguro e ações práticas para proteger as aplicações e sistemas de ataques comuns.
• Secure Software Development: Verification and More Specialized Topics (LFD106x) foca-se na validação/verificação de software seguro. Analisa as diferentes abordagens possíveis, estáticas e dinâmicas, e como podem ser aplicadas, assim como identificar o modelo de ameaças e aplicar capacidades criptográficas.

MIT Open Courses

O Massachusetts Institute of Technology (MIT) publica recursos educativos dos seus cursos online, através da iniciativa MIT OpenCourseWare, gratuitamente.

• Computer Systems Security, inclui os seguintes tópicos: Modelos de ameaças, Separação de Privilégios, Segurança de Sistemas Operativos, Aplicações Web, Hardware, Dispositivos Móveis e de Redes.
• Cryptography and Cryptanalysis apresenta uma introdução aos mecanismos criptográficos modernos.
• Network and Computer Security é um curso mais avaçado que inclui, entre outros, os seguintes tópicos Encriptação, Hashing, Partilha de Segredos, Cifras em Bloco, Assinaturas Digitais.

FreeCodeCamp

Este canal de YouTube contém várias playlists sobre os mais diversos tópicos de Ciência dos Computadores. Selecionámos duas das listas sobre cibersegurança:

• Linux for Ethical Hackers (Kali Linux Tutorial)
• Full Ethical Hacking Course — Network Penetration Testing for Beginners

Cybrary

Cybrary é uma plataforma para desenvolvimento profissional nas áreas de IT e cibersegurança. Através de uma combinação de vídeos on-demand, labs virtuais e quizzes, esta plataforma oferece cursos de preparação para vários certificados profissionais (CISSP, Security+, etc) e ainda Career Paths que cobrem as competências necessárias para assumir vários cargos de cibersegurança (SOC Analyst, Security Engineer, CISO, etc).

Cousera

Cousera é uma plataforma com dezenas de cursos online nos mais variados tópicos. Aqui ficam alguns dos que recomendamos:

• Hacking and Patching — University of Colorado
• Security Analyst Fundamentals Specilization — IBM
• Systems and Application Security — (ISC)²

Udemy

Udemy é plataforma oferece milhares de cursos profissionais de diversas áreas. Estes são alguns dos cursos que recomendamos na área de cibersegurança:

• Risk Management for Cybersecurity and IT Managers
• The Absolute Beginners Guide to Cyber Security 2021
• CIHE — Certified Incident Handling Engineer

Podcasts

• Darknet Diaries, explora histórias reais de ciber-ataques.
• The Privacy, Security, & OSINT Show, notícias correntes sobre privacidade, segurança digital e open source intelligence (OSINT).
• CyberWork, focado em carreiras em cibersegurança.

Canais de Youtube

• computerphile
• John Hammond
• NetworkChuck
• CyberMentor
• HackerSploit

Conferências/Summits/Webinars

• Black Hat
• NoNameCon
• SANS Cybersecurity Summits
• IEEE Symposium on Security and Privacy
• Women in Cybersecurity (WiCys)

Repositórios

• How to Secure Anything, reúne tudo o que precisas de saber sobre como proteger sistemas e aplicações.
• Awesome Cyber Security, coleção de software, bibliotecas, documentos, livros e recursos sobre cibersegurança.
• Learning Computer Security, guião para aprender sobre conceitos de cibersegurança, organizado por níveis.
• Application Security Engineer Interview Questions, compilação de perguntas frequentes de entrevistas posições Application Security Engineer.

Este artigo foi construído com base em referências partilhadas por várias pessoas que trabalham na área da segurança da informação. Se também achaste o artigo útil, por favor, clica nos botões “Clap” e/ou “Recommend”, desta forma ajudas a que esta compilação de recursos chegue a mais pessoas. Para receberes, em primeira mão, as nossas publicações, segue-nos aqui.

Por fim, se tiveres alguma dúvida ou sugestão de melhoria, ficaremos contentes por receber feedback e poder ajudar através das nossas redes sociais ou do women4cyberportugal@gmail.com.