Carriere switch richting cybersecurity (ethische hacker)

Met 0 praktijk ervaring en alleen een ongerelateerd MBO diploma is het bijzonder lastig om direct 100% op afstand te werken.

Je moet dus iets van een studie gaan doen, maar ik denk dat het zondrer basiskennis, bijzonder lastig wordt.

Wellicht gewoon een volledige (deeltijd) HBO opleiding?

Je hebt nu Nul ervaring.
De beste route lijkt mij dan een volledige opleiding volgen, die je een basis geeft. Van daar uit kan je verder specialiseren.


Ik begrijp dat als je nu werkt en 25 bent, een voltijd studie lastig te combineren valt.

Is een duale leerweg niet iets? Leren en werken in 1.
Bijv:
https://www.hu.nl/deeltij...ng-duaal?origin=serp_auto

Zodra je in je werk en opleiding meer leert over het gehele vak gebied dan kan je daarna meer focus aanbrengen .

Ik zou eens een weekje gaan besteden aan hack the box. Doe daar eens een cursus "track" en wat practicum.
Vind je het dan nog echt leuk, tijd voor een studie Informatica


Zonder voorkennis zinnig hacker worden is niet voor velen weggelegd.

[ Voor 17% gewijzigd door Boudewijn op 26-10-2024 11:04 ]

Met @Boudewijn en bekijk dan ook eens hack the box acadamy. Naast pentesting zijn er ook tracks gebaseerd op blueteam (SOC analyst wordt nog wel veel gevraagd). Wellicht makkelijker binnen te rollen dan pentesting zonder IT ervaring.

Compleet remote is in beide rollen volgens mij niet heel gebruikelijk. Dan moet je op een zolderkamer 0-days gaan zoeken of als blackhat een playbook volgen (zoals bv de gelekte Conti dat had).

toof schreef op zaterdag 26 oktober 2024 @ 14:15:
Waarom is compleet remote niet gebruikelijk? ik neem aan dat je niet fysiek op locatie hoeft te zijn om te pentesten bijvoorbeeld. Je zoekt bugs of zwakheden in het bedrijf, en rapporteert dit dan en evt middels een presentatie aan het bedrijf. Moet wel lukken op afstand zou ik zeggen, vooral als alle apparatuur gewoon op je laptop zit..

Het kan niet altijd remote omdat er ook gevraagd kan worden om op locatie dingen te testen, binnen de eigen (netwerk)omgeving van de klant. Edit: als ik me verplaats in een werkgever, zou ik het ook helemaal niet fijn vinden om een junior volledig remote te laten werken.

Verder: hackthebox, tryhackme... Daar eens mee beginnen. Qua theorie raad ik je aan om deze gratis course te voldgen. https://www.isc2.org/certifications/cc

CEH kun je tegenwoordig negeren; ik heb begrepen dat de kennis die je daar opdoet zeer gedateerd is.

[ Voor 13% gewijzigd door sOid op 26-10-2024 14:51 ]

Ik denk dat je zonder opleiding in de IT moeilijk snel een goede pentester kan worden. Je zult denk ik een echte opleiding moeten volgen, die leidt tot een erkende pentester certificering zoals OSCP of LPT. Dit zijn pittige examens om te halen, want ze testen praktijkkennis in een labomgeving (zoals Hack the Box, de advanced challenges).

Kijkend naar jouw vooropleiding denk ik dat geen werkgever het zal toestaan om remote te werken. Want met pentesten kun je dingen slopen/verstoren of vastlopen in het testen, maar de klant verwacht wel resultaat. Als beginnende pentester zal je dus meestal in teamverband werken, zeker als je nog niet de erkende certificeringen hebt (en bezig bent deze te behalen).

Vanuit het perspectief van een werkgever vraag ik me af of deze carriereswitch een haalbare kaart is. De investering moet wel terugverdiend worden, dus een werkgever zal moeten zien dat je het potentieel hebt om je in deze technische richting te ontwikkelen.

Zonder enige basis in IT, netwerken en programmeren heb je geen schijn van kans. Eerst heb je die basis nodig en dan kun je met certificaten verder.

toof schreef op zaterdag 26 oktober 2024 @ 17:34:
[...]


Dat is dus wat ik graag wil weten, waar moet ik beginnen...?

Anders lees je mijn post hierboven even

toof schreef op zaterdag 26 oktober 2024 @ 17:56:
[...]


hi, ik heb een duimpje gegeven, en dit advies opgevolgd. ik zal de cursus starten, echter probeer ik van iedereen wat advies mee te krijgen betreft het starten. Thanks voor je advies!

Is de google cybersecurity certificate ook handig of geldverspilling?

Ik zou is met een bachelor ICT beginnen.

toof schreef op zaterdag 26 oktober 2024 @ 17:56:
[...]


Is de google cybersecurity certificate ook handig of geldverspilling?

Het punt van die vendor-specifieke certificaten is dat het vaak alleen relevant is voor producten van die vendor. Zo is het bijvoorbeeld ook met CISCO en Microsoft. De inhoud van deze Google Cybersecurity Certificate ken ik overigens niet.

Sethro schreef op zaterdag 26 oktober 2024 @ 17:57:
[...]


Ik zou is met een bachelor ICT beginnen.

Opmerkelijk advies om meteen een 3 a 4-jarige opleiding aan te raden, terwijl TS eigenlijk nul voorkennis heeft. Ik ben er ook nog niet van overtuigd dat TS een correct beeld van het vakgebied heeft. Dus lekker met gratis/goedkope online trainingen beginnen. Dan proef je aan de stof en zie je of het je ligt.

Een ICT Bachelor kan dan altijd nog (en ik ben ook niet overtuigd van de meerwaarde hiervan).

toof schreef op zaterdag 26 oktober 2024 @ 17:56:
[...]


hi, ik heb een duimpje gegeven, en dit advies opgevolgd. ik zal de cursus starten, echter probeer ik van iedereen wat advies mee te krijgen betreft het starten. Thanks voor je advies!

Is de google cybersecurity certificate ook handig of geldverspilling?

Die is geldverspilling.

Je lijkt echter ongeduldig te zijn en ook niet zelf eigen onderzoek te doen. Dat zijn geen goede matches met een pentest carriere.

@toof Ok mijn laatste reactie, daarna ga ik wat anders doen Check ook deze link om te kijken hoe certificaten zich ten opzichte van elkaar verhouden https://pauljerimy.com/security-certification-roadmap/

Zonder specifieke IT-kennis wordt dit een langdurige opleiding. Je zult minimaal een HBO niveau moeten hebben en losse cursussen gaan jou niet helpen. Bereid je voor op 4-8 jaar intensief avond-werk (bij werk/leer).

Bij pentesten /ethisch hacken is een gedegen it achtergrond erg nuttig. Dus een it (bachelor) papiertje is handig, maar sowieso zelf affiniteit hebben met ict en de drive hebben het zelf te leren.

Echt pentesten (hacken /...) is namelijk niet enkel een paar vaste stappen doorlopen en dat is het dan. Dat zal je helpen met de eenvoudigere zaken als xss, sqli etc.
Maar als je verder wilt moet je meer begrijpen waarom systemen op een bepaalde manier werken. Wat onderliggende systemen /protocollen etc zijn die invloed hebben op het gedrag van de applicatie waar je naar kijkt.

Ik heb beiden succesvol gezien, mensen die formeel in it zijn opgeleid en mensen die nauwelijks een relevante opleiding hebben, maar wel de drive hebben om te leren hoe dingen écht werken.

Ik heb geen zero-to-hero runbook. Maar als je echt verder wilt is hack the box al genoemd (was vroeger meer ctf style, dus zelf uitzoeken) ik weet niet in hoeverre dat begeleid is.

een andere optie zijn de pentest academy community labs, ik heb goede geluiden gehoord over wat betaalde (advanced) labs. Maar er zelf geen ervaring mee. Lijkt iig meer guided.

Het vak is enorm breed, dus probeer te bedenken wat je wilt gaan doen. Web pentesten is denk ik wel makkelijker om binnen te komen met eigen enthousiasme (en inzet) dan wat van de andere gebieden.

Maar zoals reeds gezegd, wees bereid om significant tijd te investeren als je echt ethisch hacker wilt worden.

Ga zelf wat ruiken aan de genoemde opties, doe wat (free) courses en kijk of je wat kunt vinden als web pentester. Vandaar heb je dan wat ervaring en wordt doorgroeien makkelijker. Het mbo vs hbo verhaal wordt daarmee minder belangrijk, aangezien je affiniteit en ervaring kunt laten zien.

Succes, het is een gaaf vakgebied, maar zeker niet makkelijk

Ik vind deze regel uit je TS erg opvallend:

Hacken heb ik altijd interessant gevonden, en ook vaak ben ik hier de dupe van geweest.

Basis dit zou ik zeggen, blijft lekker docu's kijken en richt je op iets anders.

[ Voor 3% gewijzigd door Barrycade op 26-10-2024 20:53 ]

toof schreef op zaterdag 26 oktober 2024 @ 17:34:
[...]


Dat is dus wat ik graag wil weten, waar moet ik beginnen...?

YouTube: Ethical Hacking Full Course for Beginners in 5 Hours [Part-1] 🔥 - 20...

Beginnen doe je door gewoon te doen.

Het is een gaaf vakgebied, maar zonder gedegen kennis blijft het vaak "trial and error" en dat moet je echt liggen.

Mijn ervaring na een aantal jaar op een SOC: de meeste nieuwe collega's ambiëren dit totdat ze erachter komen hoeveel rapportagewerk het is. Een ander deel van de collega's vindt het niet zo leuk meer na een paar avonden proberen zonder enig resultaat en slechts een klein deel (1) deed succesvol OSCP en kan zich, na een periode die hij als "funest voor zijn sociale leven" beschreef, ethisch hacker noemen.

Zoals eerder gezegd. Het is zeker niet voor velen weggelegd, maar begin met hack the box, doe een aantal CTF vm's, kijk of er een hackerspace in de buurt is waar jij lid van kunt worden. Dat soort dingen.

Het is veel rapportagewerk inderdaad. Er is nog wel een verschil of je intern of extern werkt hoeveel voldoening je eruit kan halen, afhankelijk van wat je zoekt natuurlijk. Enerzijds heb je intern soms te doen met interne politiek, en vervelende devvers of managers die het rapport willen downplayen.. Maar het kan ook weer voor voldoening zorgen dat je echt mensen kan helpen met je rapporten en de boel kan verbeteren.

Waar ik werk is het ook groot genoeg dat je non-stop kan pentesten en veel afwisseling hebt in wat voor soort omgevingen en producten je moet pentesten.

Ik zou eens goed gaan kijken naar bestaande opleidingen. EN aangezien je nieuw bent in de IT, zou ik bij het begin beginnen.
Kijk bijvoorbeeld eens naar deze 'cursus'. Je kunt dit gewoon als een 'losse' cursus doen, zonder een hele studie te moeten doen. De vereiste voorkennis, bestaat ook weer uit losse vakken, die je zoals alles bij de OU, gewoon buiten je werktijd, thuis of elders kunt doen.

Mocht je iets van bovenstaande aanbod echt leuk vinden, dan kun je je daarin uiteraard verder verdiepen. Het 'einddoel' pentester worden kun je denk ik voorlopig vergeten. Zeer waarschijnlijk komt er onderweg iets op je pad, dat je vast net zo leuk vindt.

Ik werk veel met security-specialisten én pentesters. Het is een bijzondere groep mensen, die veelal zelf de passie had om zelf de kennis op te doen en te beginnen met hacken. De hackthebox-achtige tools zijn heel leuk, zeer leerzaam, maar als je deze platforms niet binnen enige tijd weet te doorgronden, geef ik je (helaas) weinig kans op het behalen van je einddoel.

pennywiser schreef op zaterdag 26 oktober 2024 @ 20:15:
[...]

YouTube: Ethical Hacking Full Course for Beginners in 5 Hours [Part-1] 🔥 - 20...

Beginnen doe je door gewoon te doen.

BRB eerst even Indiaas leren.

Je kunt hier is mee beginnen, op je eigen tempo en geheel gratis. Gewoon om is te kijken of je het leuk vind.

quote: https://pwn.college/

pwn.college is an education platform for students (and other interested parties) to learn about, and practice, core cybersecurity concepts in a hands-on fashion. In martial arts terms, it is designed to take a “white belt” in cybersecurity through the journey to becoming a “blue belt”, able to approach (simple) cybersecurity competitions (CTFs) and wargames. Our philosophy is “practice makes perfect”.

The platform is maintained by an awesome team of hackers at Arizona State University. It powers much of ASU's cybersecurity curriculum, and is open, for free, to participation for interested people around the world!

Colleges worden opgenomen en zijn oa te bekijken op youtube.

https://pwn.college/cse365-f2024/
https://www.youtube.com/@pwncollege/videos

@toof bedenk goed of je een specialist of generalist wilt zijn. Ofwel wil je echt zelf pentesten en etisch hacken of wil je betrokken zijn in de organisatie ervan etc.

Ik zeg dit, omdat je achtergrond nauwelijks interesse toont in iets wat met IT te maken heeft. Ook je beweegredenen spreken niet voor je in deze.
Daarnaast herken ik eea wel in die zin dat ik zelf enorme interesse heb in bijvoorbeeld AI, maar na heel even Datacamp geprobeerd te hebben, weer ik al dat ik het nooit zelf zal gaan schrijven. Wel wil ik het concept snappen om binnen mijn werk specialisten beter te begrijpen, aan te sturen en het eea organiseren. Probeer dus voor jezelf te bedenken wat je écht heel interessant of leuk vindt en in welke mate.

Daarnaast denk ik, ook in je genoemde vakgebied, dat de succesvolste mensen vooral kei hard werken voor wat ze willen. Ongeacht opleiding. Een opleiding zal natuurlijk wel helpen voor de basis en getuigd ook van volharding en doorzettingsvermogen. Het is echter geen heilige graal.

Je idee klinkt een beetje geromantiseerd, eigenlijk door zowel je idee over ethisch hacken met als motivatie dat je zelf gehackt bent, maar ook door je wens voor volledig remote. Als dat in deze context op deze manier genoemd wordt associeer ik dat onwillekeurig ook een beetje met dromen over rondtrekken in een busje door thailand en ondertussen een beetje verdienen. Zeg maar de insta-lifestyle.

Je bent nu aan het focussen op het 'hoe'. Maar laten we ook eens kijken naar het 'waarom'. Kun je beschrijven hoe in jouw ogen je toekomstige werkdag eruit zou zien en wat je inhoudelijk zou gaan doen?

Ik denk inderdaad dat je beeld incorrect is. Ik ken vele ethische hackers, heb het zelf een paar jaar gedaan en huur ze nu in voor pentests/red teaming. Ik zou stellen dat een goede ethisch hacker 60% hackt en 40% met rapportages bezig is, afstemmen, risico assessments, mitigerende maatregelen opzoeken, enzovoorts.

Ircghost schreef op zaterdag 26 oktober 2024 @ 18:13:
[...]


Die is geldverspilling.

Je lijkt echter ongeduldig te zijn en ook niet zelf eigen onderzoek te doen. Dat zijn geen goede matches met een pentest carriere.

Precies dit. Waar in andere ICT gebieden je genoeg hebt aan analytisch denkvermogen op HBO/WO niveau, vereist goed pentesten dat je nog een stap verder gaat, namelijk dat je vanuit die analyses ook eigenlijk doorlopend bedenkt waar issues zouden kunnen zitten, om die daarna te onderzoeken.

En daarbij heb je dan ook nog eens technische kennis nodig van al die technieken en platformen die je aan het testen bent.

Overigens: hiermee beschrijf ik het ideaalbeeld van een pentester, ik heb sterk het idee dat in de huidige markt er veel pentesters zijn die niet veel verder komen dan werken volgens een script, met allerlei tools, en daar rapportjes over schrijven. Beetje net zoals de automonteur die niet luistert naar het geluid van de lekkende uitlaat, maar alleen maar naar de diagnosecomputer kijkt.

Maar hoe dan ook stap 1: ga op onderzoek uit. En dus niet door 'is xxxx wat' te vragen, maar zelf te lezen en zelf een beeld te vormen. En als je dan denkt dat je het allemaal uitgewerkt hebt, dan kun je hier advies vragen over het door jou uitgwerkte plan.

Vroeger, toen ik een tiener was, bezat ik helaas niet de kennis om te begrijpen wat digitaal toegestaan is en wat niet. Ik heb het dan over zo’n 20-25 jaar geleden, toen ik een jaar of 15 was. Samen met vrienden uit de wijk hadden we een forum opgezet dat uitgroeide tot een marktplaats voor handel in gekraakte servers, met als doel illegale content binnen de community te delen.

Ik heb geen opleiding in de IT gevolgd, maar ademde wel “nullen en enen.” Naast school was ik onbewust fulltime bezig met het ontwikkelen van mijn kennis. Hoe kan ik een SQL-injectie uitvoeren? Hoe kan ik een website scannen op kwetsbaarheden? Welke programma’s hebben een backdoor, en hoe kan ik die benutten? Of, welke tools en kennis heb ik nodig om lokaal zaken uit te schakelen zodra je binnen bent? Ik heb door de passie die ik had onbewust een hele berg ervaring opgedaan over het internet en IT. Inbreken was destijds trouwens wel erg makkelijk, kan ik me nog herinneren. Overigens kwam de realisatie op tijd dat hacken niet de bedoeling is ;-).

Je geeft in je verhaal aan dat je bij nul moet beginnen. Dat hoeft helemaal geen probleem te zijn, zolang je maar over de juiste passie en drive beschikt om de nodige kennis eigen te maken. Ik ben overigens niet helemaal op de hoogte van het kennisniveau dat een huidige ethical hacker moet hebben. Om kwetsbaarheden te kunnen ontdekken, denk ik dat je ook veel kennis nodig hebt over de systemen waarin je de kwetsbaarheid wilt vinden. Gezien de lange reis die je nog voor je hebt, waarom begin je niet bij de “basis”? Bijvoorbeeld door te gaan werken bij een cyber security-bedrijf waar je de beginselen van IT-beveiliging kunt leren. Op die manier kun je ook proeven aan het vakgebied en ontdekken of pentesting/ethical hacking interessant voor je is.

Ik denk dat het verstandig is om eerst een basis te leggen en vanuit dat punt te bepalen of de keuze die je hebt gemaakt tot je verbeelding spreekt. Kijk bijvoorbeeld eens bij ON2IT, die deze maand een “hack-talent”-event hadden voor beginners, een dag waarop ze trainees uitnodigen om hen kennis te laten maken met cyber security. Wellicht organiseren ze dit evenement nog eens, of kunnen ze je helpen met informatie?

https://on2it.net/nl/traineeship-cybersecurity/

CodeCaster schreef op zondag 27 oktober 2024 @ 01:05:
[...]

BRB eerst even Indiaas leren.

Oh haha wat ik bedoelde is er zijn leermiddelen genoeg. Gewoon beginnen ipv, vragen hoe je moet beginnen, dat is vaak een slecht teken, als het je intrinsiek genoeg interesseert laat je je niet tegenhouden, dan zat je al lang dag en nacht met een Kali vm videos te kijken en dingen uit te proberen. Die interne drive heb je nodig nmm, anders is dit niet echt geen vakgebied waar je zomaar echt vanaf 0 kan beginnen. Ja beginnen van 0 kan wel, maar je komt jezelf later dan tegen.

Beginnen = doen, voornamelijk omdat je het zelf wilt weten en niet voor een papiertje.

Overigens heb ik dat Youtube channel inderdaad met een quick search gevonden, maar wel opgeslagen omdat ik zelf ook nog engelstalige videos over Mysql stored procedures en views zag.

[ Voor 42% gewijzigd door pennywiser op 27-10-2024 11:08 ]

Je kunt nu al remote aan de slag als ethisch hacker, namelijk met bug bounty
Intigriti
HackerOne
BugCrowd
En andere programma's die vast wel kan googlen.

Er is al meerdere keren hackthebox.com aangeraden. Dat is een prima start punt.

*knip* Graag serieus reageren

[ Voor 86% gewijzigd door ZieMaar! op 28-10-2024 10:00 ]

@MijnAccount daar kom je dan niet ver zonder kennis

Het helpt wel om publieke reports te lezen en de vulnerability in andere software (proberen) op te sporen. Daarnaast publieke exploits lezen en uitproberen/verbeteren/in andere taal reproduceren/etc. Als je echt wil leren diff je daarna de gepatchte versie met de kwetsbare versie en test je of er een bypass is.

Nadeel van bugbounties zijn: veel concurrentie (dus duplicate reports == geen geld), programmas welke unresponsive zijn of aangeven dat je vulnerability al bekend is (maar nooit in een changelog als patched voorbij komt ) ...

Maar eerst moet je een fundament leggen:
"vroegah" was Comptia Network+ / CCNA wel een goede basis en dan aangevuld met OS of web kennis. Dat kan nog steeds maar een deel komt volgens mij ook terug in de beginner certs van Ofsec en HTB. Die heb ik echter nooit behaald.

Je kunt ook de fysieke kant + social engineering op. Dat is minder technisch en de typische nerd valt hier vaak af. Maar dan moet je "remote" laten vallen als eis.

*knip* AI reacties zijn hier niet welkom.

[ Voor 95% gewijzigd door Zr40 op 27-10-2024 19:58 ]

Als ik TS was zou ik een stap terug nemen, en een keer een dag mee gaan lopen met iemand die dit werk uitvoert. Kijk een beetje in het rond in de eigen omgeving, of benader een paar bedrijven met dusdanige diensten om te kijken of het mogelijk is een dag mee te lopen.

In documentaires wordt iedere vorm van IT skills vaak hopeloos geromantiseerd. Is natuurlijk ook al snel de enige manier dat het een beetje weg te kijken is voor de gemiddelde kijker. Ethical hackers stappen nog net de Matrix niet in.

Je gaat uiteindelijk flink wat tijd van je leven investeren om een stap als deze realistisch te maken. Dan is het tevoren fijn om te weten of dit je echt een beetje zal gaan bevallen.

Zoals vele al gezegd hebben,je zal eerst IT'er moeten worden voor je je kan specialiseren. Security testing is een vakgebied waar je alleen binnenkomt met een zeer gedegen vooropleiding en een goede reputatie. Je hebt een CV met ervaring nodig. Het is een van de moeilijkste sectoren om in te komen en de concurentie is enorm.

Maar als dat echt is wat je wilt moet je er vol voor gaan. Een paar jaar studie zijn niets op een werkzaam leven.

Wat ik me, als ik heel eerlijk ben, afvraag als ik je berichten lees...is of je de IT/cyber security echt super interessant vindt en het je droom is om in die sector te werken, of dat je vooral heel graag vanuit huis wilt werken omdat je die flexibiliteit nu mist.

Als dit je droom is en je hebt 0 kennis en ervaring, dan lijkt me dat je eerst meerdere jaren moet investeren , meelopen, zichtbaar zijn, feedback vragen.
Alles vanaf je zolderkamer lijkt me niet de juiste weg en ook niet de juiste werkethiek om je droom achterna te gaan.

Denk dat alles hierboven al geschreven is maar ik zie security/pentester als verdieping wat je pas kunt worden nadat je IT gewoon zelf heel erg goed beheerst.

Dus ik zou eerst investeren om een goede allround IT'er te worden met conceptuele kennis hoe de systemen werken. Een prima startpunt vanuit het MBO is dan Systeembeheer/software ontwikkelaar maar nog belangrijker misschien: Je moet de diepe interesse hebben in IT en er hobby matig ook mee bezig zijn.

Toen ik 10 jaar geleden bij een Big4 kwam solliciteren voor cybersecurity was een van de belangrijke vragen: Wat doe je prive met IT, hoe ziet jouw "meterkast serverkast eruit"

Ik zou daar mee beginnen en dan over 5-10 jaar kijken: zou ik de verdieping naar security kunnen maken