Beveiligingsbedrijven / Ethical hacking in NL

Hoi allemaal,

Ik wil op redelijk korte termijn een carriere switch maken richting de ethical hacking.

Hiervoor heb ik nu bij 1 bedrijf gesoliciteerd (sinds ik het afgelopen weekend heb laten 'klikken' bij mezelf ).

Vanuit dit bedrijf kreeg ik terug dat https://www.elearnsecurit...enetration_testing/enroll dat een goed 1e certificaat was om te halen. Entry-lvl ethical hacking. Vervolgens over een paar maanden weer contact. Uiteraard plan ik om dan allang met mijn OSCP bezig te zijn. (Dus, al verder te zijn als dat ze nu hebben aangegeven)

Als ik de stof zo bekijk gaat dit inderdaad geen probleem vormen. Ik heb zelf toch de ambitie om z.s.m. mijn oscp te gaan halen, en op iets langere termijn ook osce. (en de advanced cursussen ook maar, als we dan toch bezig zijn.. )

Nu, het probleem: Ik kan cursussen doen en certificaten halen wat ik wil. Zonder bedrijven om bij te soliciteren heb je daar zo weinig aan.

Op dit moment gevonden, regio: zuid /midden nederland zo'n beetje:
- Secura (contact gehad dus)
- DongIT (Al lijkt dit web+pentest bedrijf-in-1 te zijn, en ik ga niet terug de php development wereld in)
- SecureLink (Al ik daarvan het red-team bedrijf bedoel. SecureLink doet volgens mij zelf blue-teaming ). Dit heb ik een hele tijd terug op goed geluk serieus gevonden via een ander topic op tweakers waar het in een willekeurig bericht stond.)

De rest v/d bedrijven zitten, naar het lijkt, omgeving Amsterdam en omstreken.

Ik zoek iets in zuid nederland ( R'dam,Utrecht, Den bosch, Eindhoven, Tilburg, Breda), die streken zo ongeveer zoek ik iets.

Laat mijn google-fu mij in de steek, of is de situatie in alles behalve Amsterdam en omstreken echt zo... "leeg" ? Of mis ik iets wat de wereld wel snapt, maar ik blijkbaar nog niet doorheb?

Vacaturebank / tweakers carriere tab-je en varianten hierop, lijken dezelfde database te gebruiken voor zover ik zie.

Alle informatie wordt zeer op prijs gesteld!

Zaratrass schreef op dinsdag 2 april 2019 @ 20:34:
Ambitie genoeg!! Helemaal top, echter verkijk je niet op OSCP. Ik heb goeie hackers gezien die het niet halen omdat ze te weinig ervaring hebben.

Kijk dus nog even goed ernaar voordat je je hierop stort. Wellicht eerst beginnen met CEH? Boek is goed te doen en maakt veel duidelijk in de achterliggende techniek.

Je kan bij Atos kijken of ze functies hebben?

Allicht handig om te vermelden; hier een lijst met boeken die ik of doorgenomen heb, of in bezig ben, danwel op korte termijn doorheen ga.
Windows Internals
What pakes it pages
Practical Reverse engineering
Windows debugging
Device Drivers
Applied Cryptography
Linux forensics
The art of memory forensics
Rethinking public key infrastructures and certificates
Applied networking security monitoring
The shellcoders handbook
Security Engineering
CISSP
Windows Forensics
IDA Pro
CEH
Practical Malware Analysis
Android security internals
De intel cpu intruction set manual

CEH is gelukkig veelal bekende stof, maar ik ga er nog eens doorheen.

Iets met "Falen is geen optie"

Atos heeft een functie die lijkt op wat ik zoek, maar dat is in Amstelveen / nog verder. Vandaar mijn geillustreerde cirkel-der-steden. Het lijkt nogal prut te zijn, zuid nederland...

Oke, wauw. Heerlijke community dit

ex87 schreef op woensdag 3 april 2019 @ 13:34:
Klinkt als Fox-IT materiaal (nee ik werk er zelf niet): https://www.fox-it.com/nl/werken-bij-fox-it/vacatures/

Ik werk zelf in de security hoek (we hebben ook een red team) dus mocht je interesse hebben om er wat meer over te praten kan/mag je altijd een DM sturen.

Vanwaaruit trek je de conclusie van Fox-IT materiaal? Ik zal je zoiezo een DM sturen.

orf schreef op woensdag 3 april 2019 @ 13:43:
https://www.computest.nl/nl/ is misschien ook iets om naar te kijken (en net als mijn bovenbuurman werk ik hier ook niet).

Ik zal ze eens mailen. Thanks.

SmurfLink schreef op woensdag 3 april 2019 @ 14:01:
Ik weet niet of ze in de zuidelijke regio's zitten, maar de MIVD/AIVD doet ook vrij veel met ethical hacking. Wellicht eens de moeite waard om naar te kijken. De grote consultancytokos zijn ook altijd wel een optie, daar kan je zelfs nog een opleiding krijgen in veel gevallen.

MIVD/AIVD is me te overheid-achtig. Middels mn ervaring als developer ben ik er achter dat ik en overheid geen gigantisch goede match zijn wbt cultuur/werkwijze.

Consultancytoko's klinkt erg generiek. Heb dan ook even geen concrete voorbeelden voor mezelf wbt die toko's. Doel je op capgemini/sogeti/accenture partijen of.. ? Zit ik er gigantisch naast?

sh4d0wman schreef op woensdag 3 april 2019 @ 11:41:
Gooi even OSCP als zoekterm door diverse vacature sites en je zult ook wat kleinere pentest bedrijven tegen komen. Welke daarvan in het zuiden zitten weet ik niet maar is over de grens kijken anders ook een optie? Cyber security is hot en je bent gedreven.

Pas met alle boeken wel op dat je een goed overzicht kan houden. Ik wilde ook graag alles kunnen/weten maar op den duur heb je zo veel info dat het overzicht weg is. Maak dus een goed studie plan en test methodology.

Werk jezelf bijvoorbeeld eerst door webapp vulnerabilities, daarna network services, en dan door naar OS level. IoT / Mobile kun je daarna vrij eenvoudig oppikken denk ik.

Indien je OSCP wilt behalen: installeer Kali, download de syllabus en zoek vulnerable VM's welke daar bij aansluiten. CTF's vind ik voor pentesting minder interessant. Bug bounty programma's zoals hackerone of bugcrowd zijn nuttig om je skills in de praktijk te brengen en een CV of blog op te bouwen. Het kan soms wel frustrerend zijn als men vulnerablities om een vage reden niet accepteert dus wees daar op voorbereid. De eerste uitbetaling zal je daarentegen lang bij blijven

Tip: gebruik gratis resources van Hackerone en Bugcrowd. De eerste heeft een gratis web application testing boek en de laatste heeft LevelUp video's op Youtube waarbij je nuttige tooling in actie ziet.

- OSCP als keyword voor vacatures, neem ik mee.
- Informatie opname is het probleem (vaak) niet. Probleem is om al die informatie samengevat in een interview/solicitatie terug te laten komen
- Ik ga dus ook eerst WAPT halen. Heb ik een baseline van 'hoe moeilijk is de praktijk / certificering eis'.
- Je tip wbt Kali/sylabus e.d. ga ik oppakken na wapt. Gezien OSCP inmiddels aangehaald is als moeilijk. Hoop met een maand door WAPT heen te zijn. (12-16uur per dag in mn weekenden... moet toch een eind komen.. )
- Hackerone / bugcrowd bekijk ik zodra ik wapt heb aangeschaft. Extra begin-stof + resources

Squ1zZy schreef op donderdag 4 april 2019 @ 14:26:

@Ijstheefles Wat ik mis is een richting. Je geeft aan security, maar ook dat is heeeeel breed. Je geeft aan dat je PHP developer bent geweest, maar dat niet meer wil doen. Mijn vraag is dan:

Wat wil je wel? Starten met web pentester als basis, daarna vrij snel malware analysis / zelf de shellcode-exploits e.d. kunnen schrijven / reverse engineering

Ik zie ook in de lijst van "boeken" dat je van de ene kant naar de andere kant gaat.

Van web, naar malware analysis naar management examens zoals CISSP etc.
Klopt, web omdat het het meeste bekende was, maar ik merk dat ik dat na tig jaar wel gehad heb. Zo snel mogelijk malware analysis / reverse engineering.

Er zijn talloze bedrijven te vinden die iets doen met security, maar je zou eerst een richting moeten zoeken denk ik. Je kan je wel breed inzetten, maar de lijst die je opgeeft is onrealistisch. Gezien je achtergrond zou ik toch zeggen web pentester.
Ben op dit moment backend java developer, pakweg 5.5 jaar, maar web pentester is de makkelijkste start. Dan zo snel mogelijk richting het interessant(ere) werk.

CEH zou ik niet doen overigens. In de "security" wereld wordt er zelf lacherig over gedaan. Je OSCP is echt een must, maar ligt er wel aan wat je wil gaan doen.
Had ergens een vermoeden dat als CEH aanbevolen wordt door recruiters e.d., dat het een running joke zou zijn in de community zelf . Fijn dat dat dus een correct vermoeden was.

Wat je echt nodig hebt is ambitie, drive en alles ervoor over hebben om deze richting op te gaan. Ik ging met 0,0 ervaring en geen enkel papiertje naar een security bedrijf omdat ik zelf al veel tijd en geld had zitten in studies. Door middel van een presentatie en 3 gesprekken werd ik aangenomen en nu inmiddels al een tijdje security consultant.
Wat voor presentatie?

Mocht je iets zoeken dan zou je een DM kunnen sturen. Ik werk zelf bij een security bedrijf, maar heb uiteraard ook veel ingangen bij andere bedrijven.
Ben vanaf dit weekend bezig met WAPT, maar zal je dit weekend zoiezo even een DM sturen.

Thanks

--- Oke, ik koop dus net die WAPT cursus.. lachwekkend niveau dit. Hier knal ik vrij snel doorheen, en zsm door met PWK/OSCP. Bij deze geverifieerd dat ik onderschat ben aan de telefoon..

[ Voor 4% gewijzigd door Ijstheefles op 04-04-2019 19:26 ]

Even een aparte reactie gezien de tijd tussen de laatste post en nu;

Inmiddels door WAPT heen aan het gaan dus, en OSCP/PWK staat nog steeds op de planning.

Wel enigzinds een reality-check mbt mijn uiteindelijke ambities en werk dat daadwerkelijk in nl te vinden is. Denk richting reverse engineering / malware analyse / rootkits, dat soort spul. Voorlopig is dat (gelukkig ?) nog geen probleem daar ik eerst deze certs maar is ga halen.

Wbt bedrijven zijn we wel door de inspiratie heen met z'n allen geloof ik. Dus bedankt daarvoor!