Tweets by @buherablog
profile for buherator at IT Security Stack Exchange, Q&A for IT security professionals

A BitBetyár Blog

Túljártál a nagyokosok eszén? Küldd be a mutatványodat! (e-mail a buherator gmailkomra jöhet)

Full-Disclosure / Névjegy / Coming out


Promó

H.A.C.K.

Címkék

0day (110) adobe (87) adobe reader (21) anonymous (26) apple (60) az olvasó ír (49) blackhat (20) botnet (22) bug (200) buherablog (44) buhera sörözés (39) bukta (49) deface (38) dns (22) dos (29) esemény (82) facebook (26) firefox (64) flash (33) gondolat (31) google (59) google chrome (36) hacktivity (37) hírek (117) incidens (224) internet explorer (88) iphone (35) java (50) jog (22) kína (21) kriptográfia (68) kultúra (21) linux (24) malware (43) microsoft (142) móka (48) mozilla (23) office (26) oracle (40) os x (43) patch (197) php (20) politika (31) privacy (58) programozás (22) safari (34) sql injection (62) windows (85) xss (77) Címkefelhő

Licensz

Creative Commons Licenc

Karrier tippek biztonsági geekeknek

2009.11.01. 12:00 | buherator | 6 komment

Az előző gondolatébresztő folytatása, ismét Dave Schacklaford blogjából, ezúttal 1-1 fordításban. Most arról olvashatjuk el a tutit, hogy mire kell figyelnie az egyszeri IT biztonsággal foglalkozni kívánó kockának/menedzserjelöltnek, aki szeretne előbb vagy utóbb feljebb jutni a ranglétrán. Kicsit ájtíbiznisz szagú, de mond okosokat a fickó, olvassátok:

Lépj ki a termékek világából! Nagyon könnyű elkövetni ezt a hibát, én is elkövettem már régebben. "Sourcefire 3D szakértő vagyok" vagy "Három éve foglalkozom Symantec XYZ-vel" - ezek azok a mondatok, amik kirohasztják az agyadat egy idő után. Tisztában vagy a behatolásanalízis valódi alapjaival? Ez egy jobb kérdés. A lényeg az, hogy tanuld meg a biztonság alapjait, és lásd át a koncepciót ahelyett, hogy mélyreható ismeretekre tennél szert egy ilyen vagy olyan termékben. Persze, szükséged lesz némi termékspecifikus tudásra a munkád során, de ne hagyd, hogy ez uralja a képességeidbe vetett hitedet. 

Nincs olyan dolog a CISSP-ben, ami segíteni fog elvégezni a munkádat [a szerző a tanúsításokkal is foglalkoző SANS munkatársa ;)]. Elnézést hogy annak hívom a CISSP-t ami - tudományos elmélet, szinte teljesen. Jó tisztában lenni vele? Biztosan. És azok kedvéért, akik ismernek, nagy híve vagyok az önmarketingnek. ugyanakkor már szinte minden lehetséges biztonsági munkát végeztem, és még soha nem kellett a CISSP gyakorlatokon szerzett tapasztalataimhoz nyúlnom. Soha. Ha bárki valaha a Bell-LaPadula modellre hivatkozik, verd be képét. Durván [Monty Python FTW :D].

Tégy szert némi Linux ismeretre! Ha már rendelkezel ilyennel, dolgozz tovább rajta. Azt vettem észre, hogy Linux és Unix operációs rendszereken dolgozni más gondolkodásmódot kíván mint a Microsoft környezetek, és ez a jó gondolkodásmód a biztonsággal foglalkozók számára. Heggeszthetsz, bütykölhetsz, szkriptelhetsz, és kipróbálhatsz új dolgokat, csupán az oprendszer alapvető ismeretére és egy kis script-fu-ra támaszkodva. A Microsoft nem ad lehetőséget erre, még ha feljövőben is van a PowerShell (ami egy remek cucc, félre ne értsetek). Mindkettőre szükséged van, de vannak olyanok, akik folyton kifogásokat keresnek, hogy miért nincs szükségük Linux ismeretekre, és ezt nem lehet a végtelenségig csinálni.

Olvass többet! Ha nem vagy hajlandó életed végig tanulni, szállj ki ebből a szakmából! Komolyan. Minden olyan gyorsan történik, és annyit kell tanulni, hogy nem engedheted meg, hogy ne szívd magadba folyamatosan a tudást. Az olyan bibliofileknek mint én, ez a terület tökéletes - mindig van mit olvasni és tanulni a biztonsággal kapcsolatban. És ne csak biztonsági témájú könyvekre gondolj! Olvass a hálózati vagy programfejlesztési újdonságokról stb. Minél többet tudsz, annál jobbá válsz.

Ti, akik a szabályzatok mögé rejtőztök:  szert tennétek némi műszaki ismeretre is? Még ha menedzser is vagy - én is többször voltam, és most is az vagyok - tudnod kell némi Kung-Fu-t, hogy elnyerd a műszaki emberek tiszteletét. Ha büszke vagy rá, hogy benyaltad Charles Cresson Wood "Információbiztonsági Szabályzatok Egyszerűen" című művét, jobb lennél könyvelőnek. Szét kell tudnod kapni egy csomagfejlécet és tudnod kell hardcore szkripteket írni? Nem. De nem is leszel több egyszerű papírtologatónál. A nem-technikai szakértők élettartamát 2-3 évre becsülöm, vagy még kevesebbre. 

Szokd meg, hogy emberek előtt írsz és beszélsz. Még ha ezek a képességek nem is illenek hozzád jelenleg, ez meg fog változni - és minél jobb vagy bennük, annál tovább fogsz jutni a karrierben. Valójában a legtöbb felvételről és előléptetésről szóló döntés alapja a személyiség és az emberekhez való hozzáállás, nem a műszaki ismeretek. Az emberek szemébe nézel, mikor azok beszélnek hozzád? El tudsz magyarázni egy biztonsági projekttervet üzleti nyelven, és felvázloni az előnyöket az egységvezetők számára, hogy azok tudják, miért költik a pénzt a) a projektre b) a te fizetésedre?

Néha kapcsold ki a számítógépedet! Tényleg! Nem, komolyan gondolom. Menj ki a levegőre! Fuss, mássz, sétálj! Töltsd az idődet a gyerekekkel és a családdal. Amikor visszamész a géphez, az összes idióta biztonsági próbléma ami arra vár hogy rádmásszon, mint Linus takarója, még mindig ott lesz. Megígérem. De frissebbnek érzed majd magad, és a tested meg fogja köszönni mindezt.

 

Címkék: gondolat

Kommentek:

A hozzászólások a vonatkozó jogszabályok  értelmében felhasználói tartalomnak minősülnek, értük a szolgáltatás technikai  üzemeltetője semmilyen felelősséget nem vállal, azokat nem ellenőrzi. Kifogás esetén forduljon a blog szerkesztőjéhez. Részletek a  Felhasználási feltételekben és az adatvédelmi tájékoztatóban.

Depth 2009.11.01. 13:08:04

Kár, hogy ez itt nem így van...

EQ · http://rycon.hu 2009.11.01. 19:39:42

mondja PZ a papírhekker CISSP-vel :) sörözés nem lesz vmikor?

buherator · http://buhera.blog.hu 2009.11.01. 21:14:27

@EQ: De, már agyalok lehetséges időpontokon, csak kicsit zűrösek a napjaim, ahogy az utóbbi időben általában :P Nov vége-dec eleje valószínű.

csabika25 2009.11.01. 21:15:50

Egyetértek a fentiekkel. A CISSP tananyagot én az egyetemen tanítottam elméleti alapnak, mert annak nagyon jó, lehet rá építkezni. De semmiképpen sem ez A bizonyítéka annak, hogy értesz bármihez is. Ld. még az én példámat.:) Ami meg a manager-teki dolgot illeti, végre jó lenne legalább magunk között tisztázni, hogy mi az a minimális technológiai elvárás, amitől a teki elismeri a managert. Ez az írás jó alap, de hiába tudok ennyit, PZ ettől még simán legyaláz.:)

EQ · http://rycon.hu 2009.11.02. 00:46:04

btw milw0rm-ről tud vki vmit? 1hónapja nem frissül :'(

Depth 2009.11.02. 21:28:10

Klasszikusbol
Winston Wolfe: "Na azért most még ne kezdjük el egymás faszát szopni"...vagy valami ilyesmi :D