El Mejor Camino para Convertirse en un Ingeniero de Seguridad de Aplicaciones (Aplication Security Engineer)
En pocas palabras, los ingenieros de seguridad de aplicaciones ayudan a proteger las aplicaciones de software que son desarrolladas y ofrecidas por la organización como servicios de software para empleados internos o para los clientes. Esto implica consideraciones de seguridad en todas las etapas del ciclo de vida del desarrollo del software, incluido el diseño, la codificación y el desarrollo seguro, las pruebas y las etapas de implementación. Hay muchas formas de encontrar vulnerabilidades de seguridad en las aplicaciones, estos abarcan desde el análisis de código estático (que escanea el código fuente y las bibliotecas), el análisis de código dinámico (que escanea el código a medida que se ejecuta) o las pruebas de penetración (utiliza herramientas para detectar las debilidades de las aplicaciones). Sin embargo, más allá de las metodologías y herramientas, es importante tener una cultura de seguridad y desarrollar la mentalidad de un atacante.
El primer ingeniero de seguridad titulado, Jeff Williams, ha recorrido su propio camino para convertirse en un ingeniero de seguridad de aplicaciones, cuando General Electric, a fines de la década de 1990, propuso una tarea de desarrollo de aplicaciones, también le pidieron que verificara y revisara el código para detectar fallas de seguridad antes de alojarlos en Internet. A pesar de que el equipo de ventas aceptó la propuesta, fue Jeff Williams y el equipo técnico los que enfrentaron el desafío de aprender a revisar y crear códigos seguros, arquitectura de seguridad de aplicaciones, modelos de amenazas y mucho más. Desde este proyecto, Williams ha contratado a cientos de ingenieros de seguridad de aplicaciones y ahora es CTO y cofundador de Palo Alto, un proveedor de seguridad de aplicaciones con sede en California.
Williams enfrentó muchos momentos difíciles en su viaje para convertirse en ingeniero de seguridad debido a la falta de capacitación profesional, sin embargo, a medida que la importancia de la seguridad de la aplicación va ganando relevancia, tenemos amplias oportunidades para aprender y convertirnos en un ingeniero de seguridad de la aplicación. Si está pensando en ingresar a este segmento de seguridad, lo primero es lo primero, es importante averiguar cómo puede cambiar a este rol de su puesto de trabajo actual, sin embargo, primero debe comprender la función de trabajo de un ingeniero de seguridad de aplicaciones.
Para convertirse en un ingeniero de seguridad de aplicaciones que pueda explotar aplicaciones para encontrar vulnerabilidades y protegerlas, es importante tener lo básico. Las siguientes son algunas cosas para comenzar.
Paso: 1 Comience con su educación
Junto con la calidad de la educación, también importa el valor de la certificación y el lugar donde se certifica. Aprovechar los cursos en línea lo ayudará en su camino, pero prepárese para seguir aprendiendo a lo largo de su trayectoria profesional, ya que la seguridad de las aplicaciones es un tema en constante crecimiento.
Debería poder entender y escribir aplicaciones web usando lenguajes front-end, como HTML, Java, JavaScript, PHP o .NET, y tener la capacidad de entender una aplicación mirando el código.
EC-Council es el organismo de acreditación de ciberseguridad líder en el mundo que opera en 145 países y es propietario de muchos cursos de ciberseguridad, incluido el Ingeniero de Seguridad de Aplicaciones Certificado (C | ASE). C | ASE es un programa de certificación que le brinda una visión global de la seguridad de la aplicación, este programa prepara a los profesionales del software con las habilidades necesarias que los empleadores buscan entre los candidatos a nivel mundial.
Paso: 2 Combina los requisitos previos
El trabajo de un ingeniero de seguridad de aplicaciones es de naturaleza técnica, junto con habilidades de gestión; Por lo tanto, el candidato, antes de continuar con un programa de seguridad de aplicaciones, debe tener una sólida formación técnica. Otras habilidades gerenciales y de liderazgo requeridas pueden desarrollarse en el trabajo.
C | ASE admite dos habilidades de programación: Java y .NET. Un candidato con un mínimo de 2 años de experiencia en cualquiera de estos lenguajes de programación puede perseguir C | ASE.
Los lenguajes de programación han atraído a muchos desarrolladores a lo largo de los años debido a su naturaleza de código abierto, independencia de lenguaje, interoperabilidad y facilidad de implementación. Sin embargo, la capacitación y la práctica a menudo no hacen hincapié en los problemas de seguridad, C | ASE llena este vacío.
Paso: 3 Practica para la Perfección
“En Estados Unidos, la experiencia es más que un título”. – Forbes
La seguridad no se trata de aprender, se trata principalmente de implementar. Al ser nuevo en seguridad de aplicaciones, es posible que no tenga la experiencia requerida, pero como desarrollador, siempre puede hacer uso de su posición actual, comience a implementar los conocimientos y habilidades que ha aprendido a través de este programa en su trabajo actual. Esto te da una oportunidad de aprendizaje en tiempo real, simultáneamente, pasa tiempo de calidad practicando el tema.
La exhaustiva gama de laboratorios de EC-Council le brinda una exposición práctica a los desafíos de la vida real. Los estudiantes de EC-Council también se benefician del privilegio de acceder a iLabs, que es una plataforma virtual en tiempo real, por lo que C | ASE viene alineado con los laboratorios que brindan a los estudiantes una experiencia sólida de trabajo en diferentes proyectos de seguridad de aplicaciones.
Paso: 4 Obtener certificaciones
Cuando esté seguro de sus habilidades y conocimientos que ha adquirido a lo largo del curso de estudio, es hora de que obtenga la certificación. El aprendizaje y la finalización del curso no califican para ser un ingeniero de seguridad de aplicaciones competente a menos que se presente para el examen y obtenga la certificación.
C | ASE tiene un examen en línea con una duración de 2 h, con 50 preguntas. Para obtener esta certificación, el candidato debe pasarlo con un 70% o más. Como C | ASE es compatible con .NET y Java, el formato del examen será diferente para ambos desarrolladores.
La certificación C | ASE se ha desarrollado en asociación con expertos en desarrollo de aplicaciones y software de todo el mundo, esto asegura que ha adquirido los conocimientos y habilidades profesionales requeridos que a menudo son considerados por los empleadores en todo el mundo.
Paso: 5 Diseña tu propia aplicación segura
Ahora es el momento de cambiar de marcha y ensuciarse las manos con algo de codificación. Agarra a un amigo para que sea un ejercicio de programación en pareja; Esto traerá diferentes puntos de vista y patrones de codificación sobre la mesa.
Elija un caso de uso popular (lista de tareas, calendario, etc.) e intente diseñar una aplicación web para ello. Al desarrollar la aplicación, asegúrate de usar bibliotecas populares o código repetitivo (¡si tienen anti-patrones de seguridad aún mejor!). Este paso ayudará a comprender las antitramas comunes y las dificultades específicas del idioma, además del código del lado del cliente (HTML, JS), necesitará un código del lado del servidor y una base de datos, estos los puede ejecutar localmente o en una instancia en la nube. Ahora que la aplicación está en funcionamiento, intente romper la aplicación, encuentre y aproveche las vulnerabilidades en ella, es posible que encuentre vulnerabilidades introducidas por usted o las bibliotecas / plantilla que utilizó.
Dado que la aplicación ahora está dañada, ¡es hora de arreglarla! Clasifique las vulnerabilidades en grupos: diseño e implementación, en función de cuándo podrían haberse identificado y corregido y trate de abordar estos problemas sin renunciar a la funcionalidad o la usabilidad. Comprender cómo solucionar problemas lo ayudará a ser mejor para detectar fallas o evitar correcciones, esto se puede hacer usando el enfoque de caja negra o caja blanca.
Ahora es el momento de avanzar y aceptar el desafiante rol de un ingeniero de seguridad de aplicaciones. Recuerde, la certificación correcta puede ayudar a abrir la puerta a una gran variedad de oportunidades, para obtener más detalles sobre C | ASE, visite https://etic-solutions.net/etic/cursos/ec-council/case
Fuente: EC-Council