web-dev-qa-db-ja.com

ペンテストでのキャリアに備える方法

私は現在、ペンシルベニア州のSRA:ICSプログラム(サイバーセキュリティ)およびIST:Devプログラムの2年生です。私の目標は、卒業したらペンテスターに​​なることです。私は、より良いペンテスターとセキュリティ専門家になる方法を学ぶ方法についてのアドバイスを探しています。

プログラミングの経験は多少ありますが、あまり快適ではないとは言えません。 Security Nowを聴きます!毎週、私は彼らが何を話しているのか理解していることを確認してください。私は自分に新しいスキルを教えることに非常に満足しています。

私の質問はこれです。私が学ぼうとしているテクノロジーや言語、およびそれをどのように適用できるかについて、確実な行動計画をペンテスターが推奨できますか?この質問が曖昧すぎる場合はお詫び申し上げます。あなたの時間と配慮していただきありがとうございます。

penetration-testuser-education
15
Jesse

ペンのテストは一種のコンサルティングであり、あらゆるタイプのコンサルティングと同様に、重要なことの多くは非技術的なものであるため、プログラミング、特にスクリプト(Perl、python)の学習に加えて、ビジネスの仕組みと1つの中で作業する方法。脆弱性を見つけて悪用する方法を知っているペンテスターを持つことは1つのことです。ビッグウィッグの前に立ち、彼らのサービスに雇用者に多くのお金を与えるように説得できる人を持つことは非常にまれで、より価値があります。雇用主がクライアントと一緒に配置できる誰かを見ている場合、その最初の仕事を得るのははるかに簡単です。

ビジネス用語、頭字語、ソフトウェア開発のライフサイクル、企業が予算をどのように取得して費やすか、そして典型的な企業構造とガバナンスについて学びます。プレゼンテーションスキルを学びます。ペンテストは開始するのに適した場所ですが、上に行くことのできない年功序列があるため、そこに行きたくないので、それ以上にセキュリティスキルを伸ばしたいと思うでしょう。大学でこれらの科目の専門家になることはできません。その多くは経験に由来しますが、パックの残りの部分から自分自身を始めるのに十分なことを学ぶことができます。

6
GdD

ペンテストのキャリアはまれです。通常、あなたはビジネスコンサルティング会社でのキャリアから始まり、どういうわけかセキュリティチームに行き着きます。また、深刻なペンのテストは、ソフトウェアの場合と同様に、物理的なセキュリティと一般的なポリシーの順守に関するものです。あなたが学ぶ必要のある多くのことは、「仕事で」、ある仕事か別の仕事で学ばれます。

私は特にペンテストのキャリアのために計画を立てないことを強くお勧めします。代わりにあなたの旅行があなたを連れて行くどんな会社でもソフトウェアとセキュリティの第一人者/オラクルになる準備をします。 (ふりだけでなく)自分のことを本当に知っていると、興味深い仕事に気づき、選抜される傾向があります。それがあなたが楽しむものなら、それは良いことです。また、将来のギグのための非常に市場性の高いスキルに変換されます。中小企業は行うべき興味深い仕事の少ないかもしれませんが、あなたはそれを行うために選ばれる可能性が高くなります。

示唆されているように、セキュリティスキルは、メンタルオスモシスではなく、経験を通じて獲得されます。セキュリティは「gotcha」がすべてです。これまでにここに来たことがなければ、フェンスの向こう側にいなければ捕まえなかったでしょう。そして、貿易を学ぶための多くの(合法的な)方法があります。オープンソースは、いつでも始められる便利な場所です。適切なコンピュータがあれば、ほぼすべての重要なものが無料で利用できます。たとえば、仮想マシンを使用すると、ハードウェアをリースすることなく複雑なネットワーク構成を作成できます。

おそらく最も重要です。あなたが学びたいことをする人々の周りに自由な時間を費やしてください。たとえば、一緒に仕事をしている人。親しみやすく、役立つように心がけますが、迷惑にならないようにしてください。耳を開いたままにしておくと、どのような便利なスキルを身につけることができるのかは驚くべきことです。多くの人は、耳を傾けてくれる人を求めているだけです。また、個人的なつながりは、新しく興味深い仕事の扉を開く上で最も重要な要素です。

あなたの自由な時間を何か役に立つものに使う。プログラミング、読書、ハードウェアハッキングなど。自分の仕事を楽しむことなしにこの分野に入れないのには理由があります。それは、自由な時間を他のことに費やしていたならここにいなかったからです。

言語に関して:Cはオプションではありませんが、最初はひどい場所です。それは容赦がなく、役に立たず、あなたを深いところにまっすぐに連れて行きます。 Pythonは便利でシンプルなため、かなり良いアイデアです。Perlもオプションではありませんが、多少シンプルではありません。NETとJavaを理解することは重要ですが、あなたは彼らのためのプログラミングが得意です。プログラミングの方法を理解すれば、新しい言語ははるかに簡単になります。しかし、プログラミングは、一部の人々が学ぶのが非常に難しい一種の抽象的な構造的思考をとります。/BSDはIT担当者が好むのが普通ですが、企業セキュリティは通常、人類学者が未だに理解しようとしている理由から、Windowsに重点を置いています。

余談ですが、SNで聞いたことを、一粒の塩のようなもので捉えてください。レオは彼の仕事に非常に熟練しているので、それは確かに興味深いショーです。しかし、スティーブは自分が間違っているときも、正しいときも自信を持っており、彼のアイデアや提案は少し奇抜です。主に代替案が耳に痛いので、ニュースを聞くために私はまだそれを聞いています、そして実際、私は特集された「フィードバック」の非常に大きな割合を貢献しました。しかし、それでもなお、正確さは平均的な新聞の記事と同じくらい良いだけであることを覚えておいてください-あなたは主題をすでに知っているときに間違いがどこにあるのか気づくだけです。そして、私は時々自分のコンピューターでそれを聞いているときに "no no no"と叫んでいることに気づきます。彼はおそらくあなたの平均的な風変わりなオフィスメイトよりも悪くはありません。

4
tylerl