In assoluto la domanda che più mi viene posta da chi vuole iniziare a studiare/lavorare in ambito info. sec ed in particolare nel mondo della sicurezza offensiva, quindi principalmente chi vorrebbe lavorare come penetration tester, ricercatore, red teamer, ecc.

Non c’è, ovviamente, una risposta universale per diversi motivi e inizio proprio dal cercare di fare un po’ di chiarezza sul perché, quando fate questa domanda a qualcuno che ha qualche anno di esperienza alle spalle, otterrete il più dille volte una risposta del tipo “dipende”, con tanto di risatina sotto i baffi.

Da cosa dipende

Il mondo dell’info security è immenso e nel giro di pochi anni si sono sviluppate aree di specializzazione che presentato diversi gradi di complessità. Di fatto nessuno può sapere tutto e, dovendo pensare anche in ottica di una collocazione professionale, bisogna fare i conti quasi immediatamente con degli ambiti di interesse. Quindi un fattore rilevante è costituito dagli ambiti del mondo informatico che ci interessano.

Metto in evidenza l’appartenenza della sicurezza informatica come materia al mondo dell’informatica come scienza in quanto pare sia un elemento spesso dimenticato/sottovalutato: mi capita spesso di dialogare con aspiranti Penetration Tester che non hanno interesse ad acquisire competenze informatiche. Sorry, non si può fare. Per costruire un percorso in ambito info sec. bisogna essere degli informatici.

Passaggio obbligato e primo grande scoglio a quanto pare: sembra che alcune figure professionali siano particolarmente affascinanti viste dall’esterno e sembrano perdere il loro fascino quando si scopre la mole di cose da studiare. Potremmo riassumere questo aspetto con il termine “passione”, che indubbiamente serve per affrontare un percorso che richiede uno sforzo, ma preferisco far leva sul concetto di motivazione, il perché che ci anima. Inutile girarci attorno, se si tratta di un’ambizione sociale o economica ci sono moltissime strade che si possono valutare ad un percorso di studio così verticale. Per intraprendere questa strada la motivazione deve essere forte, deve piacerci l’argomento e deve “riuscirci”.

Infine va considerato il nostro backgroud e le nostre soft skills: ovvero che attitudine abbiamo. Come accennavo ad inizio post l’argomento è così vasto ed il grado di complessità è così elevato da dover considera come elemento fondamentale anche la nostra attitudine personale ed il nostro mindset. Tutto si impara, intendiamoci, ma se – per fare un esempio – abbiamo una scansa capacità comunicativa sarà inevitabilmente più difficile per noi eccellere in un ambito che richiede molta comunicazione.

Qualche suggerimento di base

Discutendone anche con la community, soprattuto durante alcune Twitch Live e su Telegram, siamo riusciti a trovare una sintesi di alcuni punti di partenza sempre cercando di considerare la vastità dell’argomento.

La sintesi che qui riporto tocca la sfera tecnica e mi riservo di fare qualche video-approfondimento in futuro. Possiamo considerare tre macro-ambiti tecnici di cui dobbiamo avere almeno una infarinatura di base:

• come funzionano i sistemi operativi, sia Windows che Unix/Linux, sia client che server
• come funzionano le reti
• conoscenza di almeno un linguaggio di scripting e basi di programmazione

Non voglio affermare che sia obbligatorio avere queste conoscenza di base, la mia opinione è che eventuali carenze le pagherete care in termini di efficacia e comprensione del mondo info sec.

Non meno importante è la scelta del percorso professionale, per fare un esempio: un PenTester che lavora in ambito Web ha skills verticali differenti rispetto ad un PenTester che lavora su infrastrutture di rete o in ambiente cloud. Le skills di base sono le stesse ma la maturazione delle skills specialistiche andrà in direzione dell’ambito di applicazione. Per capire qualche ambito potrebbe per noi essere più interessante / stimolante / gratificante dobbiamo necessariamente avere un’idea generale del mondo informatico, quindi dobbiamo aver buttato un occhio ai diversi contesti. Va considerato che la materia richiede molta pratica, è un ciclo continuo diviso in fasi: “studio, provo, applico, miglioro”.

Con l’occasione segnalo che ho ripristinato lo slot settimanale per i one-to-one aperti a tutti: https://calendly.com/roccosicilia/one-to-one. Lo scopo resta quello originale: dedicare a tutti quelli che lo desiderano uno spazio per parlare di quello che volete in ambito info sec.