Lecciones de la enseñanza de la ciberseguridad: Semana 6

Lecciones de la enseñanza de la ciberseguridad: Semana 6

Como había mencionado anteriormente, este año voy a volver a la escuela. No para tomar clases, sino para dictar un curso en mi alma mater, Fanshawe College. Hice esto hace una década y pensé que era interesante, así que estaba emocionado de intentarlo de nuevo. Además, después de que un amigo mencionó que su hijo quería aprender Python, desarrollé una Introducción a Python dirigida a estudiantes de secundaria a los que enseño semanalmente. Pensé que esto sería un buen forraje para el Estado de Seguridad. Entonces, siempre que tenga algo interesante para discutir, espere encontrarlo aquí.

Esta semana, pensé que sería divertido hablar sobre las herramientas del oficio y elegir la herramienta adecuada para el trabajo. Casi todo lo que he hecho a lo largo de los años ha implicado trabajar con herramientas. Aunque las herramientas y los trabajos han cambiado, no estoy seguro de que mi enfoque para seleccionar la herramienta haya cambiado.

Trasfondo

Antes de que pudiera conducir, estaba trabajando en el taller de hojalatería con mi papá. Tenía conocimientos prácticos sobre el freno, la máquina de Pittsburgh y los rodillos antes de saber cómo hacer un plato de sopa (estoy seguro de que a mis padres les encantaría contarles sobre la vez que quemé la sopa de tomate). Creo que la lección más importante que aprendí fue trabajar con tijeras de hojalata (tijeras de aviación o compuestas). Piense en estos como tijeras de hoja de metal de alta resistencia con mangos en verde, rojo y amarillo.

He visto a personas pelear con estos porque algunas personas simplemente no se dan cuenta de que las tijeras verdes cortan a la derecha, las tijeras rojas cortan a la izquierda y las tijeras amarillas cortan en línea recta. Dependiendo de cómo esté cortando su metal, querrá elegir el par correcto de tijeras. Más adelante en mi vida, mientras trabajaba en centros de atención telefónica (auriculares y teléfonos), cadenas de comida rápida (un método seguro para sacar carne en bolsas del agua hirviendo) y construyendo vigas de techo (nunca subestimes el poder de las herramientas de flejado que funcionan), continué para ver cuán valiosa era la herramienta adecuada para el trabajo.

Relacionado:  Ciberseguridad ejemplos: Tipos y ejemplos de ciberseguridad

Cuando trabajé haciendo sonido e iluminación para un teatro, teníamos un arnés de seguridad en las pasarelas para las luces delanteras que compartían todos los empleados, pero del tamaño de nuestro jefe y de nadie más. Creo que ahora sé por qué solo contrataron estudiantes. Cuando estaba sacando la carne molida del agua hirviendo en un Taco Bell, me dijeron que usara mis manos desnudas porque no tenían pinzas y el único guante de silicona no se ajustaba a mi mano. Trabajos como estos muestran cuán importantes pueden ser las herramientas adecuadas en la vida.

En estos días, trabajando en una computadora, mis herramientas han cambiado, pero son igual de importantes. Puede que no tenga un martillo de hojalata o un rollo de flejes, pero herramientas como Wireshark, Nmap y más hacen la vida más fácil.

Herramientas de enseñanza

A medida que desarrollaba este curso, luché con qué herramientas enseñar. Si bien los conceptos pueden ser similares en varias herramientas, todas tienen sus fortalezas y debilidades. Esta semana, comenzamos a hablar sobre ingeniería inversa y hay herramientas que he usado en el pasado y herramientas que recién comencé a explorar. Si bien las técnicas pueden ser las mismas, la herramienta que seleccione definitivamente juega un papel. ¿Deberían los estudiantes pagar por la herramienta? ¿La escuela comprará la herramienta? ¿La herramienta es tan antigua que nunca la usarán de manera realista?

Al final del día, aunque anteriormente enseñé los conceptos básicos usando Immunity Debugger y estoy más familiarizado con IDA Pro, decido que ghidra fue la elección correcta. Es una herramienta gratuita y moderna con muchas capacidades. En este caso, la elección de la herramienta que seleccioné no fue realmente difícil porque me dio la mayor parte de lo que quería sin tener que usar varias herramientas y sin costar mucho dinero a mis alumnos. Sin embargo, todos tomamos estas decisiones todos los días y me pregunto si la lección que enseñé incluía suficiente información para ayudar a mis alumnos a seleccionar la herramienta adecuada en el futuro.

Relacionado:  Cómo hacer un análisis de los hechos en ciberseguridad: pasos y consejos

Si tuviéramos un tiempo ilimitado juntos, podría cubrir todo, pero nuestro tiempo es limitado y nuestras conversaciones se ven afectadas por el aprendizaje a distancia que nos impone el COVID-19. No quiero pasar de 10 a 15 horas repasando cómo seleccioné la herramienta que estamos usando, qué pros y contras sopesé y por qué llegué a este resultado específico. Estoy seguro de que no quieren pasar de 10 a 15 horas escuchando esa serie de conferencias. Todo se reduce a que necesito tener la esperanza de haber transmitido el valor de la herramienta que seleccioné y las otras opciones disponibles para explorar.

Escogiendo tus herramientas

Pasé mis días pensando en los mundos de la gestión de vulnerabilidades y la gestión de la configuración de seguridad y creo que nunca he considerado que los dolores que tuve mientras decidí qué herramientas enseñar a mis alumnos son algunos de los mismos dolores que experimentan nuestros clientes cuando seleccionan sus herramientas Costo, valor, características, soporte, etc., etc. La lista de consideraciones puede crecer relativamente larga. A medida que adquiere más experiencia en un campo, se vuelve mucho más fácil elegir las herramientas correctas por las razones correctas, pero cuando está aprendiendo un nuevo campo, necesita confiar en otros. Podrían ser vendedores que solo quieren su comisión, podría ser un proveedor que quiere su logotipo en más lugares, o podría ser un profesor, con la esperanza de haber tomado la decisión correcta.

Espero que mis estudiantes se den cuenta cuando se gradúen en un par de meses que a veces tomarán decisiones equivocadas… habrá un momento en que elegirán la herramienta equivocada para el trabajo. También espero que se den cuenta de que escoger la herramienta equivocada no es necesariamente un fracaso, sino una oportunidad para aprender. No me gustaría clavar un clavo en una pared con una llave inglesa, pero un martillo de hojalatero funcionará casi tan bien como un martillo de carpintero. La verdadera importancia es que identifique la funcionalidad subyacente que necesita y hacerlo requiere un conocimiento de lo que está haciendo. Eso es lo que espero impartir a mis alumnos, suficiente conocimiento para que cuando tengan que elegir las herramientas de su oficio, sepan cuáles son esas herramientas. Si eligen la mejor o la peor herramienta, no hay nada que pueda hacer al respecto, pero si eligen la herramienta incorrecta, probablemente haya fallado en mi trabajo.

Relacionado:  El estado de la seguridad: Polonia

Consejos finales

Así como tiendo a suplicar a nuestra industria en mis otras publicaciones, hoy haré lo mismo. No se preocupe si un nuevo empleado no elige la mejor herramienta, preocúpese si elige la herramienta incorrecta. Si lo hacen, explíqueles lo que están haciendo mal, pero déles la oportunidad de aprender. A mis alumnos se les dio la opción de elegir sus propios temas de proyectos finales y una lista de formatos de presentación. Siento que algunos formatos fueron mejores que otros y que algunos temas contribuirán a un mejor aprendizaje y posibles puntos de discusión de entrevistas futuras, pero esa fue su decisión. Todo lo que puedo hacer es evaluarlos sobre las elecciones que hicieron y la implementación de esas elecciones.

Para los estudiantes, asegúrese de conocer el trabajo que está haciendo y comprenderlo antes de elegir una herramienta. Wireshark no ayudará si necesita ejecutar un escaneo de puertos y Nmap no ayudará si necesita realizar una captura de paquetes. En realidad, todo se remonta a esos recortes de hojalatero que recogí cuando tenía 10 años. Todos cortan metal, solo tuve que luchar contra mi herramienta en algunos casos para cumplir mi tarea… al menos no era una navaja de bolsillo, eso podría haber tomado un tiempo.

Publicaciones Similares