Cuando Equifax fue asaltado a fines del año pasado, una de las mayores brechas de seguridad en la historia reciente, Fletcher Heisler quería asegurarse de que los ingenieros de seguridad supieran exactamente lo que sucedió de inmediato y cómo solucionarlo.
Eso es parte del objetivo de Cazador2, una nueva plataforma de aprendizaje en línea para ingenieros de seguridad que está diseñada para enseñarles cómo manejar este tipo de infracciones de una manera más práctica. Hunter2 tiene como objetivo poner en marcha laboratorios de capacitación centrados en escenarios del mundo real para enseñar a los ingenieros exactamente por qué algo se rompió en una aplicación web y cómo solucionarlo. Los ingenieros trabajan a través de aplicaciones web receptivas, que se ejecutan en un servidor completamente funcional, que incluyen algunos escenarios creados a partir de eventos del mundo real, como el truco de Equifax. Es esencialmente como un juego, en el que intentan romperlo y arreglarlo, excepto que no sucede exactamente en el mundo real. Hunter2 sale de la clase de invierno de 2018 de Y Combinator.
“Tratamos de mantener cada lección en el contexto de lo que sucede en la industria y lo que sucede en la naturaleza”, dijo Heisler. “Creamos un laboratorio en 20 minutos que replica perfectamente la vulnerabilidad. Los ingenieros pueden ponerse manos a la obra. Los capacitamos: esto es lo que sucede, esto es lo que deberían haber hecho, estas son las mejores prácticas que deberían haberse seguido y parchearán el código. Una cosa es enseñar un tema en abstracto y decir, cuidado con la inyección de SQL, otra es relacionar esto con algo que sucedió”.
Hunter2 nació de alguna manera como una respuesta a los programas de capacitación para ingenieros dentro de las empresas donde se registran durante algunas horas cada año para asegurarse de que estén actualizados con el entorno de seguridad actual en la Web. Pero a medida que los lenguajes de desarrollo continúan evolucionando rápidamente y los nuevos marcos como NodeJS se vuelven cada vez más populares, estos programas a veces se encuentran en modo de recuperación, dijo Heisler. Eso, y el enfoque debe ser más práctico, en lugar de una clase de video típica.
Luego, los ingenieros pasan por una serie de desafíos para identificar sus fortalezas y debilidades. Si se encuentran con problemas, profundizan más en las habilidades en las que necesitan algo de trabajo. Piense en ello como el tipo de capacitación en cumplimiento que podría necesitar para organizaciones más grandes, excepto que es un control de rutina para asegurarse de que conoce todas las habilidades adecuadas para abordar los problemas a medida que surjan.
Hay muchas industrias que deben ser más conscientes de la seguridad, como la atención médica, por ejemplo, y deben asegurarse de que sus ingenieros estén capacitados y listos para los nuevos escenarios a medida que surgen. Hunter2 pretende ser una especie de impulso para unirse a esas empresas, y un ingeniero volverá a consultar durante un par de horas cada mes para asegurarse de que todavía están trabajando esos músculos, por así decirlo. Las empresas pueden personalizar el contenido que ven con sus propios tipos de vulnerabilidades, y Hunter2 ayuda a crear contenido para que sus ingenieros trabajen.
“[We have a problem with] la capacitación tradicional, porque se basa en presentaciones de diapositivas y videos, es mucho más difícil de actualizar”, dijo Heisler. “Se necesita mucho tiempo para mantenerse al día con la nueva tecnología. No es como si fuéramos a crear milagrosamente medio millón de expertos en seguridad cibernética en el próximo año o dos. Lo que podemos hacer es enseñar esas habilidades básicas a un número de personas que se están convirtiendo no solo en desarrolladores sino en trabajadores tecnológicos en general. Eso se convertirá en una pieza mucho más fundamental de cada rol en los próximos dos años. De esa manera, podemos ahorrar mucho tiempo y dinero por adelantado al brindar esas habilidades de seguridad a las personas adecuadas que trabajan en tecnología o que se dedican a la tecnología, pero que aportan la mentalidad correcta”.
Esa idea de enseñar en un entorno simulado o más práctico es un área que está despertando cada vez más interés. Si observa sitios como Codecademy, hay algunos lugares que están tratando de enfocarse en hacer en lugar de mirar para enseñar a las personas a codificar y comenzar a lidiar con más escenarios del mundo real.
Después de todo, si está en el proceso de aprender a programar, uno de los consejos que la gente le dará es probablemente “vaya a trabajar en un proyecto”, y ese tipo de congelamiento para averiguar qué tipo de proyecto. puede ser una gran barrera de entrada para aprender a aplicar esas habilidades. Hunter2 tiene como objetivo construir su propio entorno virtual para manejar este tipo de escenarios, en lugar de solo simulaciones, para ofrecer su propio sabor de cómo enseñar cómo manejar estos problemas.
“En realidad, no tiene el control total sobre su acceso, lo que hemos hecho es poner lecciones a la izquierda y un servidor a la derecha”, dijo Heisler. “Hay un par de plataformas similares, pero aún simulan el acceso. La diferencia es que hay tiempo para el entrenamiento práctico del teclado. Tener tiempo para explotar o parchear parece ser la forma correcta de enseñar las lecciones. Creo que gran parte de la educación en seguridad que proviene de la seguridad tradicional proviene del hecho o de los espacios académicos”.
Source link