Cómo prepararse para una carrera en Pen-Testing

14

Actualmente soy un estudiante de segundo año en el programa SRA: ICS (Cyber Security) de Penn State y en el programa IST: Dev. Mi objetivo es que cuando me gradúe pueda hacerme Pen-Tester. Busco consejos sobre cómo aprender a ser un mejor examinador de bolígrafos y profesional de seguridad.

Tengo algo de experiencia en programación pero no diría que estoy demasiado cómodo en nada. ¡Escucho Seguridad Ahora! Cada semana y asegúrate de que entiendo lo que están discutiendo. Me siento extremadamente cómodo enseñándome nuevas habilidades, simplemente no sé en qué debería trabajar.

Mi pregunta es la siguiente: ¿pueden los pentesters recomendar un plan de acción sólido sobre qué tecnologías / idiomas debería intentar aprender y cómo puedo aplicarlo? Pido disculpas si esta pregunta es demasiado vaga. Gracias por su tiempo y consideración.

    
pregunta Jesse 19.09.2012 - 03:47
fuente

2 respuestas

5

La prueba de la pluma es un tipo de consulta, y como cualquier tipo de consulta, gran parte de lo que es importante no es técnico, por lo que además de aprender algo de programación y especialmente de scripting (perl, python) me concentraría en aprender cómo Las empresas trabajan y cómo trabajar dentro de una. Tener una pluma que sabe cómo encontrar vulnerabilidades y explotarlas es una cosa, tener una persona que pueda pararse frente a los peces gordos y convencerlos de que le den a su empleador mucho dinero por sus servicios es algo muy raro y valioso. Obtener el primer trabajo será mucho más fácil si los empleadores ven a alguien a quien pueden asignar con un cliente.

Aprenda la terminología de negocios, las siglas, el ciclo de vida del desarrollo de software, cómo las empresas obtienen y gastan el presupuesto, y la estructura y el gobierno típicos de la empresa. Aprender habilidades de presentación. La prueba de la pluma es un buen lugar para comenzar, pero probablemente no quiera quedarse atascado allí ya que hay un bloqueo de antigüedad que nunca superará, así que querrá desarrollar sus habilidades de seguridad más allá de eso. No podrás convertirte en un experto en estas materias en una universidad; Gran parte de eso proviene de la experiencia, pero puedes aprender lo suficiente como para salir del resto del paquete.

    
respondido por el GdD 19.09.2012 - 10:21
fuente
4

Una carrera en la prueba de la pluma es una cosa rara. Por lo general, comienzas con una carrera en una empresa de consultoría de negocios y de alguna manera terminas en el equipo de seguridad. Además, las pruebas serias de la pluma a menudo tienen tanto que ver con la seguridad física y el cumplimiento de la política general como con el software. Mucho de lo que necesita aprender se aprende "en el trabajo", en un trabajo u otro.

Recomiendo encarecidamente que no se planee específicamente para una carrera en pruebas de lápiz y, en lugar de eso, me prepare para ser un gurú / oráculo de software y seguridad en cualquier empresa que viaje. Si realmente conoces tus cosas (no solo fingir), entonces tiendes a ser notado y destacado para un trabajo interesante. Si eso es lo que disfrutas, entonces eso es algo bueno. También se traduce en habilidades altamente comercializables para futuros conciertos. Es posible que las pequeñas empresas tengan menos trabajo interesante que hacer, pero tienes más posibilidades de ser elegido para hacerlo.

Como se sugiere, las habilidades de seguridad se adquieren a través de la experiencia en lugar de la ósmosis mental. La seguridad tiene que ver con el " gotcha " que no habrías atrapado a menos que hayas estado aquí antes, pero al otro lado de la cerca. Y hay muchas maneras (legales) de aprender el oficio. El código abierto es siempre un lugar útil para comenzar. Casi todo lo importante se puede obtener gratis una vez que tenga una computadora decente. Por ejemplo, las máquinas virtuales le permiten crear configuraciones de red complejas sin arrendar hardware.

Posiblemente lo más importante; Pase tiempo libre alrededor de personas que hacen cosas sobre las que quiere aprender. Personas con las que trabajas, por ejemplo. Sé amable y trata de ser útil, pero asegúrate de no molestarlos. Es increíble las habilidades útiles que puede adquirir si mantiene los oídos abiertos, y muchas personas solo quieren a alguien que los escuche. Además, las conexiones personales son el factor más importante a la hora de abrir puertas para un trabajo nuevo e interesante.

Usa tu tiempo libre para algo útil . Programación, lectura, piratería de hardware, etc. Hay una razón por la que no entras en este campo sin disfrutar de lo que haces: es porque no estarías aquí si pasas tu tiempo libre haciendo otra cosa.

En cuanto a los idiomas: C no es opcional, pero es un lugar terrible para comenzar. Es implacable e inútil y te deja caer directamente en el extremo profundo. Python es útil y simple, por lo que es una buena idea. Perl tampoco es opcional, aunque es un poco menos simple. Es importante entender .NET y Java, pero no es crítico que seas bueno programando para ellos. Una vez que sabes cómo programar, los nuevos idiomas son mucho más fáciles. Pero la programación requiere un tipo de pensamiento estructural abstracto que es muy difícil de aprender para algunas personas. La seguridad de TI en general tiende a tratar en gran medida con Linux / BSD, ya que la gente de TI generalmente los prefiere. Pero la seguridad corporativa generalmente trata en gran medida con Windows por razones que los antropólogos aún intentan comprender.

  

Como nota al margen, tome lo que escucha en SN con algo de grano de sal. Ciertamente es un espectáculo interesante principalmente porque Leo es extraordinariamente hábil en lo que hace. Pero Steve tiene tanta confianza cuando está equivocado como cuando está en lo correcto, y sus ideas y sugerencias están un poco descentradas. Todavía escucho las noticias principalmente porque las alternativas son muy dolorosas para los oídos y, de hecho, he contribuido con un porcentaje inusualmente grande de los "comentarios" que aparecen. Pero aún así, tenga en cuenta que la precisión solo es tan buena como la historia promedio del periódico: solo se da cuenta de dónde están los errores cuando ya conoce el tema. Y de vez en cuando me encuentro gritando " no no no " a mi computadora cuando lo escucho. Aunque es probable que no sea peor que tu oficial excéntrico promedio.

    
respondido por el tylerl 19.09.2012 - 11:41
fuente

Lea otras preguntas en las etiquetas