Quali sono le opzioni per passare alla carriera in IT Security? [duplicare]

5

Al momento lavoro come software / sviluppatore web con circa otto anni di esperienza, tuttavia ho sempre avuto un interesse per la sicurezza IT e spero ora di spostare la mia carriera in questa direzione.

Mi stavo chiedendo quali aree della sicurezza IT potrebbero offrire una progressione naturale dallo sviluppo di software / web e quali potrebbero essere le certificazioni applicabili? O se una "progressione naturale" è importante anche se trovo che un altro settore sia di maggiore interesse. Per esempio. Trovo che i test di penetrazione siano davvero interessanti, ma non sono sicuro che le mie competenze esistenti possano essere utilizzate qui.

Inoltre, mi chiedo se è troppo tardi per fare un cambiamento come questo e forse avrei dovuto farlo prima? (Sono sui trent'anni) Se decido che è troppo tardi, è ancora mia intenzione fare l'up-skill in questo settore perché molto probabilmente aiuterà il mio software / sviluppo web comunque (è anche interessante e qualcosa che voglio fare comunque!).

Sono abbastanza entusiasta dell'idea di portare la mia conoscenza della sicurezza a un livello superiore, di imparare nuove competenze e di ottenere alcune certificazioni, ecc., ma voglio provare a stabilire una direzione chiara per me stesso, quindi non solo vagare senza meta.

Grazie in anticipo!

    
posta 01.03.2013 - 10:52
fonte

2 risposte

3

Provenire da uno sviluppatore di software è certamente una risorsa importante da avere quando si cerca di entrare in sicurezza IT. È una risorsa importante per i test di penetrazione poiché è possibile analizzare il codice per i punti deboli e se si dispone di una buona formazione sul funzionamento effettivo dei sistemi, dovrebbe essere molto utile per ottenere una buona comprensione di come funziona la crittografia (praticamente, se non in teoria) oltre a comprendere i meccanismi oltre gli attacchi comuni.

Per quanto riguarda i certificati, sono personalmente un fan di CISSP. L'ultima volta che ho guardato è stato un po 'più approfondito di Security + sebbene sia passato un po' di tempo dal momento che li ho seriamente confrontati. Altri buoni modi potrebbero essere concentrarsi sui libri sulla scrittura di un codice sicuro e lavorare da lì. Consiglierei anche di visitare siti come Hack This Site.Org dove puoi effettivamente provare diversi attacchi e vedere come funzionano. Includono anche alcune sfide di programmazione e debugger che potrebbero essere di interesse come sviluppatore.

    
risposta data 01.03.2013 - 15:05
fonte
3

Bene ... se esiste un'area di sicurezza IT in cui le tue competenze potrebbero avere un uso che è pentesting. Come sviluppatore di software / web sai come funziona un programma / web, quindi dovresti sapere quale parametro, modulo, ecc. Possono essere sfruttati. Inoltre, con l'esperienza di programmazione puoi andare oltre e analizzare il codice dalla sua fonte, non solo provando gli attacchi comuni nei siti web.

Tutto ciò che è stato detto riguarda il web pentesting. Dopo aver appreso di questo (ti raccomando Il manuale dell'hacker dell'applicazione Web - Difetti e sfruttamento dei difetti di sicurezza e wargames), dovresti passare alle vulnerabilità dei servizi (qui è dove entrano in gioco scanner e framework di porte come Metasploit ).

Anche con l'esperienza di programmazione potresti entrare in Scientology.

Ultimamente le persone tendono a mettere in relazione la sicurezza IT con l'hacking e la guerra informatica, e non è vero. Ti sto dicendo questo perché ho letto ultimamente persone che vogliono entrare in sicurezza perché a causa di notizie recenti pensano che sia come un "film di Hollywood". Se sei in questo gruppo di persone, continua a programmare, non avrai successo in sicurezza e non ti sentirai a tuo agio con il tuo lavoro.

Per quanto riguarda le certificazioni, penso che tutti dovrebbero avere Security + perché tratta le nozioni di base sulla sicurezza. Dopo ... beh, quando hai una sicurezza + saprai come affrontare la tua carriera.

    
risposta data 01.03.2013 - 14:36
fonte

Leggi altre domande sui tag