Ervaringen in de IT Security

(IT) Security is een enorm breed werk werkveld met veel specialisaties aan zowel IT als business kant. Op basis van je eigen ervaring en interesses kan je proberen te vinden waar je past. Het is de afgelopen jaar flink in nieuws/geweest/gegroeid en dat zal alleen maar meer worden.

Security certificaten zijn belangrijk om mee te beginnen maar zeggen uiteindelijk niet of je het echt snapt.

Functies waar je o.a. aan denken zijn:
Penetration tester - beveiligd van systemen testen binnen afgesproken scope en spelregels
Security analist - (technisch) advies geven over (nieuwe) systemen
IT auditor - Controleren of binnen de afgesproken normen wordt gewerkt
Security Architect - IT Architectuur gericht op beveiligingscomponenten
Information Security Officer - Beleid defineren, prioriteiten stellen icm business
Information Risk Officer - Adviseur naar management, projecten en medewerkers over lopende en nieuwe security ontwikkelingen

Bijna alle bovenstaande functies bestaan ook met woordje cyber ervoor. Dit klinkt beter en toont aan dat het vakgebied nog in ontwikkeling is

Veel security trainingen vragen ook dat je enkele jaren ervaring hebt als netwerkbeheerder of systeembeheerder van Windows of Linux/Unix. Dit zodat je al weet hoe bepaalde zaken werken.

Overigens moet je er ook rekening mee houden dat veel functies binnen het security gebied HBO+ zijn en niet MBO. Voor penetration tester/security analist en dergelijke functies geldt dat minder, maar dan wordt er vaak een behoorlijk brok ervaring gevraagd (met certificering) om het verschil te compenseren.

Mythio schreef op donderdag 17 juli 2014 @ 09:44:
Overigens moet je er ook rekening mee houden dat veel functies binnen het security gebied HBO+ zijn en niet MBO. Voor penetration tester/security analist en dergelijke functies geldt dat minder, maar dan wordt er vaak een behoorlijk brok ervaring gevraagd (met certificering) om het verschil te compenseren.

Ik sluit me hierbij aan. Bijna alles is HBO+ en waar daar vanaf geweken wordt dan betreft dat veelal technische rollen waar men de eigen competentie kan staven met aantoonbare skills en ervaring (geen certificaten).

Kijk maar eens op: https://www.fox-it.com/nl/werken-bij-fox-it/vacatures/

Eigenlijk komt het er op neer dat niet zo zeer bepaalde opleidingen of trainingen worden gevraagd, maar vooral dat je heel erg uitblinkt in een bepaald vakgebied, bijvoorbeeld development, netwerk architectuur of systeembeheer.

Overigens redelijk vaak betrokken bij audits, mijn taak is om de auditreporten te analyseren en met name aan te geven waar de false positives zitten, over algemeen komt uit zo een test weinig schokkende dingen, eigenlijk laatst voor eerst meegemaakt dat er een ernstig lek in een webapplicatie zat omdat een patch nooit was toegepast. Voor de rest heb je vooral vaak te maken met information disclosure of wat zaken met lagere prioriteit.

raptorix schreef op donderdag 17 juli 2014 @ 12:53:
Overigens redelijk vaak betrokken bij audits, mijn taak is om de auditreporten te analyseren en met name aan te geven waar de false positives zitten, over algemeen komt uit zo een test weinig schokkende dingen, eigenlijk laatst voor eerst meegemaakt dat er een ernstig lek in een webapplicatie zat omdat een patch nooit was toegepast. Voor de rest heb je vooral vaak te maken met information disclosure of wat zaken met lagere prioriteit.

Met name black box testing heeft zeer grote beperkingen. En als het dan ook nog eens voornamelijk geautomatiseerd is met marginale creatieve menselijke inbreng dan kun je er helemaal je vragen bij stellen. M.i. is dergelijk werk primair erop gericht om een get out of jail kaart te bemachtigen.

Wat is de meerwaarde om met black box testing toevallig een vulnerability te vinden, terwijl een middag kijken naar hoe het systeem / source code in elkaar steekt laat zien dat het development team geen kaas van security heeft gegeten en het dus eerder de vraag is waar de vele vulnerabilities zullen zitten. Dat los je dus niet op met testen maar met een secure development lifecycle.

Ik heb het zelf ook eens gedaan. Een paar devices gepakt en black box begonnen. Daarna grey/white box de zaak elemaal afgepeld. De resultaat/tijd ratio is met white box extreem veel beter wat resulteert in veiliger producten.
De bevindingen waren ook wel wat serieuzer dan wat je schetst waarbij de black box bevindingen bepaald niet hoeven te correleren met de algemeen mate van veiligheid (toevallige vulnerability in een verder veilige oplossing qua opzet t.o.v. vele potentiele vulnerabilities in een houtje-touwtje oplossing).

De echte meerwaarde bied je door vroeg in het R&D proces creatief mee te doen. Bizar genoeg zijn dergelijke functies relatief schaars. Testing hoort daarna te komen als finale controle. Maar het lijkt wel of de balans in de security wereld andersom is met meer effort en skill aan de testing (en operations) kant dan de ontwikkel kant.

SDLC evengalist zou het beroep van de komende jaren moeten zijn Om de weg te bereiden voor meer technische security solutions vakmensen

[ Voor 8% gewijzigd door Rukapul op 17-07-2014 13:50 ]

Rukapul schreef op donderdag 17 juli 2014 @ 13:33:
[...]

Met name black box testing heeft zeer grote beperkingen. En als het dan ook nog eens voornamelijk geautomatiseerd is met marginale creatieve menselijke inbreng dan kun je er helemaal je vragen bij stellen. M.i. is dergelijk werk primair erop gericht om een get out of jail kaart te bemachtigen.
knip

Mee eens, het voordeel van dit soort automatische testen is dat het relatief weinig effort kost, overigens zie ik op gebied van security ook heel vaak problemen op gebied van user registration flow, kwam zelf laatst nog site tegen waarmee je inlogt met emailadres, echter toen ik mijn profiel wijzigde naar een email adres van een andere gebruiker kon ik vrolijk onder zijn naam inloggen

Dat snap ik, wat ik voornamelijk probeerde duidelijk te maken is dat je met MBO N4 + CEH + Cisco niet snel een security functie zult vinden. Hoogstens netwerkbeheerder waar iets aan security bijzit (firewalls, soms IPS). Als je echt iets met security wilt doen waarbij security je hoofdwerkzaamheden zijn, kun je beter een HBO gaan doen na het MBO. Mocht je dat niet willen, houd er dan rekening mee dat je eerst een paar jaar als netwerkbeheerder aan de slag zult moeten voordat je naar een security functie kunt groeien. Succes!

Is dit misschien iets voor je?

http://www.imf-online.com...al_Forensisch_Analist.php