Verwijderd schreef op woensdag 16 mei 2012 @ 07:56:
Hallo, ik heb bijna mijn MsInfoSysSec afgerond en heb certificaten zoals CISSP, maar wil mij nu wat meer richting pentesting ontwikkelen. Aangezien ik nog als systeembeheerder werk doe ik niet zoveel ervaring op en zonder ervaring krijg je geen baan als pentester.
Nu zijn er een paar opties voor mij: een eigen "bedrijfje" naast mijn normale werk runnen. Ik heb daar sinds vandaag toestemming voor van mijn baas, maar hoe begin je daar mee?
Ik kan ook een soort van vrijwilligerswerk doen in die richting. Ik heb me een keer aangemeld voor een soort charity instelling die afrikaanse overheden beveiligde, maar die hebben nooit gereageerd.
Iemand een idee voor freelance / vrijwilligerswerk in de pentesting wereld?
Zit je nog steeds in het buitenland of zoek je werk gewoon hier in NL?
Vrijwillig zou ik daar niet zo snel aan beginnen, tenzij je dat zou kunnen verpakken in één of andere stichting die dan op een andere manier weer zijn funds krijgt. Want zonder inkomen wordt het toch wel lastig is het niet?
Freelance pentestklussen zijn er bijna niet. Vaak komen dergelijke 'taken' voort uit reeds bestaande interne audit procedures, en worden ze uitgevoerd door bijvoorbeeld een sysadmin, security ops of auditors. (Een beetje afhankelijk van het soort controle).
Slechts een enkele keer zie je een dev-team vragen om bijvoorbeeld een pentest op een platform, app of service, maar dat is zelden. Security is en blijft voor de meeste organisaties een ondergeschoven kindje, of is belegd als taak bij een beheerder. Pas bij grotere organisaties (en waar de belangen vaak wat groter zijn) zie je dat pentesting op één of andere manier ingebed is in het bedrijfsproces: banken, verzekeraars, overheden, high-tech firma's, etc. En dan is alsnog de vraag of ze die kennis (al dan niet deels) van buiten betrekken, of daar in het kader van 'vertrouwen' liever hun eigen mensen hebben zitten.
Pentesting is overigens iets waar vrij veel te vinden is tegenwoordig. Je zult eerst eens moeten kijken wat je precies ligt. De meesten met achtergrond in beheer beginnen vaak bij netwerksecurity, dus algehele scans van netwerken (nmap), kijken of je open services kunt vinden en deze proberen uit te buiten (metasploit). Je hebt honderden youtube video's met aanvallen tot in detail uitgelegd, boeken over het onderwerp, en met een computer met veel RAM en VMware kun je in principe vrij snel aan de slag een omgeving op te bouwen met wat lekke OS-en en services. Kwestie van doen dus.
Met opdrachten moet je dus een beetje geluk hebben, zeker als de kansen gering zijn je het in je netwerk kunt vinden of geen bestaande contacten hebt in 'het wereldje'. In dat geval kun je beter eerst werkervaring opdoen bij een organisatie die jou willen laten groeien in de pentest wereld, alvorens je wellicht daarna iets vor je zelf gaat doen in die sector.
--EDIT--
Dat je in een 'lab' van te voren al weet waar het lek zit is imho niet erg. Het gaat er denk ik meer om dat je de principes snapt achter het lek en dat je die weet te fixen. Want zo denken bedrijven ook: scannen, lek ontdekt? Patchen! Waar ik werk is het scannen volledig geautomatiseerd (en geloof me, dat is een grondig rapportje), en neem ik aan de hand van de resultaten acties om systemen te patchen en verder te hardenen. Maar dan zul je altijd zien: de business gaat voor. Dus als de business voorschrijft dat ze een applicatie nodig hebben ($$$) welke nog op Win95 draait, nemen ze dat risico wel als de baten maar groot genoeg zijn. En dragen ze je natuurlijk uiteraard op om op andere manieren dat systeem te beschermen.
[
Voor 11% gewijzigd door
ebia op 19-05-2012 23:35
]
:strip_icc():strip_exif()/u/34345/crop604df19f86683.jpg?f=community)
:strip_exif()/u/53157/thai4.gif?f=community)
:strip_exif()/u/243981/luckyy_oranje.gif?f=community)
:strip_icc():strip_exif()/u/2646/shine.jpg?f=community)
?/u/70049/crop63eb27fd3d18d_cropped.png?f=community)