Come prepararsi per una carriera in Pen-Testing

14

Attualmente sono un sophmore in SRA di Penn State: programma ICS (Cyber Security) e IST: Dev program. Il mio obiettivo è che quando mi laureo posso diventare Pen-Tester. Sto cercando consigli su come imparare a diventare un buon pen-tester e professionista della sicurezza.

Ho qualche esperienza di programmazione, ma non direi che sono eccessivamente a mio agio in nessuno. Ascolto la sicurezza ora! ogni settimana e assicurati di capire di cosa stanno discutendo. Sono estremamente a mio agio nell'insegnarmi nuove abilità, semplicemente non so su cosa dovrei lavorare.

La mia domanda è questa: i pentesters possono consigliare un solido piano d'azione su quali tecnologie / linguaggi dovrei provare a imparare e come posso applicarlo? Mi scuso se questa domanda è eccessivamente vaga. Grazie per il tuo tempo e considerazione.

    
posta Jesse 19.09.2012 - 03:47
fonte

2 risposte

5

Il test delle penne è un tipo di consulenza e, come ogni tipo di consulenza, tanto di ciò che è importante non è tecnico, quindi oltre ad apprendere alcuni programmi e specialmente script (perl, python) mi concentrerei sull'apprendimento di come le aziende lavorano e come lavorare all'interno di una. Avere un tester di penna che sappia come trovare le vulnerabilità e sfruttarle è una cosa, avere uno che può stare in piedi di fronte a dei bigwigs e convincerli a dare un sacco di soldi ai loro datori di lavoro per i loro servizi è una cosa molto rara e di maggior valore. Ottenere quel primo lavoro sarà molto più facile se i datori di lavoro vedono qualcuno che possono mettere con un cliente.

Scopri la terminologia aziendale, gli acronimi, il ciclo di vita dello sviluppo del software, il budget di spesa delle aziende e la struttura e la governance tipiche dell'azienda. Impara le capacità di presentazione. Il test delle penne è un buon punto di partenza, ma probabilmente non vorrai rimanere bloccato perché esiste un blocco di anzianità che non potrai mai superare, quindi dovrai sviluppare le tue capacità di sicurezza oltre a quelle. Non sarai in grado di diventare un esperto in queste materie in un'università; molto di questo viene dall'esperienza, ma puoi imparare abbastanza da distinguerti dal resto del branco.

    
risposta data 19.09.2012 - 10:21
fonte
4

Una carriera nei test delle penne è una cosa rara. Di solito inizi con una carriera in una società di consulenza aziendale e in qualche modo finisci con il team di sicurezza. Inoltre, un serio test delle penne spesso riguarda tanto la sicurezza fisica e l'aderenza alle policy in generale quanto il software. Un sacco di ciò che devi imparare è appreso "sul posto di lavoro", in un lavoro o in un altro.

Consiglio vivamente di non pianificare in modo specifico una carriera nei test delle penne e invece di prepararmi a diventare un guru / oracolo della sicurezza e del software in qualsiasi azienda i tuoi viaggi ti portino. Se conosci davvero le tue cose (non solo fingi), allora tendi a farti notare e ad individuare un lavoro interessante. Se quello che ti piace, allora è una buona cosa. Si traduce anche in competenze altamente negoziabili per i concerti futuri. Le piccole aziende possono avere meno del lavoro interessante da fare, ma hai una maggiore possibilità di essere scelto per farlo.

Come suggerito, le abilità di sicurezza sono acquisite attraverso l'esperienza piuttosto che l'osmosi mentale. La sicurezza riguarda tutto il " getcha " che non avresti catturato a meno che non fossi stato qui prima, ma dall'altra parte del recinto. E ci sono molti modi (legali) per imparare il mestiere. Open-source è sempre un punto di partenza utile. Quasi tutto di importanza può essere avuto gratuitamente una volta che hai un computer decente. Ad esempio, le macchine virtuali consentono di creare complesse configurazioni di rete senza hardware di leasing.

Forse la cosa più importante; trascorri del tempo libero attorno a persone che fanno cose che vuoi conoscere. Le persone con cui lavori, per esempio. Sii gentile e cerca di essere d'aiuto, ma assicurati di non infastidirli. È incredibile quali abilità utili puoi raccogliere se tieni le orecchie aperte e molte persone vogliono solo qualcuno che le ascolti. Anche le connessioni personali sono il fattore più importante nell'aprire le porte per un lavoro nuovo e interessante.

Utilizza il tuo tempo libero per qualcosa di utile . Programmazione, lettura, hacking hardware, ecc. C'è una ragione per cui non entri in questo campo senza goderti quello che fai: è perché non saresti qui se passassi il tuo tempo libero a fare qualcos'altro.

Per quanto riguarda le lingue: C non è opzionale, ma è un posto terribile da cui iniziare. È spietato e inutile e ti fa cadere dritto in profondità. Python è sia utile che semplice, il che lo rende una buona idea. Perl è anche probabilmente non opzionale, anche se è leggermente meno semplice. È importante comprendere .NET e Java, ma non è fondamentale che tu sia bravo a programmare per loro. Una volta che sai come programmare, le nuove lingue diventano molto più facili. Ma la programmazione prende un tipo di pensiero strutturale astratto che è molto difficile da imparare per alcune persone. La sicurezza IT generale tende a fare molto affidamento su Linux / BSD poiché le persone IT preferiscono solitamente. Ma la sicurezza aziendale di solito si affida molto a Windows per motivi che gli antropologi stanno ancora cercando di capire.

As a side note, take what you hear on SN with something of a grain of salt. It's certainly an interesting show primarily because Leo is extraordinarily skilled at what he does. But Steve is as confident when he's wrong as he is when he's right, and his ideas and suggestions are a little off-kilter. I still listen to it for the news primarily because the alternatives are so painful on the ears, and in fact I've contributed an unusually large percentage of the featured "feedback". But still, bear in mind that the accuracy is only about as good as the average newspaper story -- you only notice where the mistakes are when you already know the subject matter. And I occasionally find myself shouting "no no no" at my computer when I listen to it. Though he's probably no worse than your average eccentric officemate.

    
risposta data 19.09.2012 - 11:41
fonte

Leggi altre domande sui tag