¿Qué tan útil o beneficioso es participar en los concursos de CTF para mi carrera de seguridad?

7

Sí, ya hay algunos excelentes preguntas y respuestas sobre concursos de CTF en StackExhange Security. Pero antes de ir al agujero de los conejos para comparar todos los CTF que hay por ahí, tratar de encontrar un equipo al que unirse y viajar a una conferencia para participar en un concurso de CTF, me gustaría escuchar algunas opiniones sobre lo beneficioso que podría ser esto. para mi carrera

Una de mis principales preocupaciones es que quiero aprender habilidades reales de prueba de lápiz, no solo ahora para resolver acertijos ingeniosos de ofuscación de código y dividirme en servicios TCP imaginarios.

    
pregunta Luke Sheppard 20.08.2012 - 08:36
fuente

3 respuestas

8

Los CTF realmente son lo que los creas (como muchas otras cosas en la vida).

Conexión en red Nunca se sabe con quién está hablando en estos eventos o qué tipo de oportunidades surgen con las personas con las que está trabajando. Nunca se sabe quién notará sus habilidades en ese tipo de eventos. Puede iniciar una empresa con personas en su equipo de CTF o conocer a alguien que le ofrezca un excelente trabajo.

Cómo se ve : puse victorias para algunos de los CTF que he hecho en mi currículum (supongo que soy el diferente tipo de persona de seguridad que mencionó bethlakshmi :-)) y esto es casi siempre lo que me preguntan los posibles empleadores.

Por lo general, hacen preguntas como

1) ¿Qué hiciste para tu equipo?

2) ¿Alguna vez trabajaste con technology they want ?

Preguntas habituales de la entrevista, pero sinceramente desean escuchar acerca de la experiencia y pueden usarla como una forma de validar "Este tipo realmente sabe las cosas que figuran en su currículum".

Tus miedos También diría que romper servicios TCP imaginarios y rompecabezas divertidos es importante para ser un buen probador de lápiz. Las personas que tienen la habilidad para romper esos rompecabezas entienden no solo cómo hacer las pruebas con lápiz, sino también el "por qué funcionan las cosas" detrás de las pruebas con lápiz. Los posibles empleadores lo verán como más ansioso por resolver nuevos problemas, yada, yada.

Respuesta ¿Es para ti? Supongo que tendrás que probarlo. Puedo decirles que es una excelente manera de divertirse, hacer nuevos amigos y aprender más seguridad. Como mínimo, habrá personas en su equipo que ayudarán a que sus habilidades de prueba de la pluma crezcan. En mi opinión vale la pena. Para avanzar en tu carrera ... eso realmente depende de dónde está tu carrera hoy y dónde quieres que sea mañana.

    
respondido por el Rell3oT 20.08.2012 - 15:31
fuente
2

Puedo decir que nunca he visto a alguien con esto en su currículum, pero luego hay muchos tipos diferentes de personas de seguridad. He contratado personas del tipo de prueba de lápiz, es decir, personas que están más enfocadas en derribar el muro, no en construirlo más alto, pero principalmente mis equipos se han compuesto de constructores de muros y tipos de analistas, por lo que es un punto justo que No soy el mejor para preguntar, ya que mi trabajo rara vez implica reclutar a este grupo demográfico.

Pensaría que la combinación de la creación de redes sociales y la idea de romper las cosas sería útil, y que hacerlo de manera legal y sancionada es importante. Creo que hemos pasado los días en que romper un sistema corporativo al estilo de Kevin Mitnick va a ser todo menos un obstáculo, por lo que si está buscando una manera de conocer gente con intereses similares y obtener algunas manos a tiempo en esta área , Yo diría que es una buena cosa.

Diré que lo único que veo que falta es que los problemas de seguridad organizacional rara vez son tan simples como el aspecto técnico (más bien complicado). Vender su descubrimiento, explicarlo a la gerencia, documentarlo y demostrar que ha hecho toda la investigación que puede hacer es tan importante para un trabajo en esta área como las habilidades de prueba de la pluma en bruto ... y no estoy seguro de ninguna forma de El escenario de juego te llevará allí ...

    
respondido por el bethlakshmi 20.08.2012 - 15:23
fuente
2

En el Reino Unido, y ganar tracción en un par de otros países es la prueba CREST. Podría verse como una especie de captura de la bandera, pero con un entorno muy real y desafiante en el que se valora su capacidad para comprender y penetrar.

Ganar el certificado de prueba CREST es el estándar de pruebas de penetración más reconocido en el Reino Unido, por lo que definitivamente le ayudará a su CV en las pruebas de seguridad.

Para CTF en general, pueden ser vistos como un extra útil en tu CV, pero dependerá de a dónde quieras ir. No sería una de las primeras cosas que buscaría, pero podría ser un buen inicio de conversación.

    
respondido por el Rory Alsop 23.08.2012 - 17:54
fuente

Lea otras preguntas en las etiquetas