Tag: security professionals

Lezingen en lekken beste CV security professional

  door

We weten inmiddels dat we hackers, crackers en scriptkiddies niet met elkaar moeten verwarren (tenminste: dat is de mening van anderen, wat mij betreft gaat het nog steeds om de daad die gepleegd wordt, maar goed, dat terzijde).

De wereld van goede technische hackers en crackers is klein (scriptkiddies genoeg, dus die vallen buiten scope). Maar als je onderstaand bericht mag geloven dan zijn de beste hackers en crackers degene die inderdaad net wel of net niet over de schreef zijn gegaan.

Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller (bron).

Een oud gezegde is inderdaad: met boeven vang je boeven. Maar als we dat al te letterlijk gaan nemen dan moet iedere politieagent minimaal een strafblad hebben. Hoe kunnen ze anders boeven vangen? Nee, het gaat me toch wat te ver om mensen op te roepen om op zoek te gaan naar beveiligingslekken omdat dat het beste voor je CV is.

En nu komen ze weer in scope: de scriptkiddies. Met dit soort berichten roep je scriptkiddies op om maar vooral veel te testen, veel tooltjes te gebruiken en veel technische te pielen omdat dat de manier is om carrière te maken in de informatiebeveiligingswereld. Als we dat maar hard genoeg roepen dan zijn er genoeg scriptkiddies die van alles gaan proberen zonder te weten wat ze doen. Ze maken zo meer kapot dan ze lief is (hoewel ze zelf niet eens in de gaten zullen hebben wat ze doen).

Valt allemaal wel mee, toch? Nou, dat is maar te bezien. Veel scriptkiddies weten echt niet wat ze doen en als ze dat wel zouden weten dan zouden ze het wel laten (of in ieder geval een stuk slechter slapen ’s nachts). Stel dat een scriptkiddie weet in te breken in een systeem van een ziekenhuis. Voor hem misschien een leuke toevoeging aan zijn CV. Maar wat als hij zich er niet van bewust is dat hij ziektebeelden en patiëntgegevens per ongeluk door elkaar gooit?

Nee, om een goed CV als security professional te krijgen moet je een goede vooropleiding hebben en aantonen dat je de techniek door en door kent. Maar je hoeft mij niet uit te leggen welke inbraken je al allemaal gepleegd hebt. En natuurlijk wil je ook graag praktijkervaring opdoen, maar laten we daar dan goede testsystemen voor in het leven roepen en het security wereldje beter faciliteren.

Want waar gaat het anders heen met de wereld: moet een goede verslavingsdeskundige dan zelf verslaafd zijn geweest? Moet een psychiater zelf zo gek als een deur zijn? Moet een goede Gynaecoloog dan eerst zelf zwanger zijn geweest (helaas voor alle mannelijke Gynaecologen: jullie kunnen nooit goed zijn in je vak)? Moet een goede brandweerman dan eerst pyromaan zijn geweest? Nou ja, je begrijpt de strekking en kunt zelf vast ook nog wel wat voorbeelden verzinnen.

De 5 soorten security professionals

  door

Het is altijd leuk om te kijken of we categorieën aan kunnen brengen en of we iemand in zo’n hokje kunnen stoppen. Daarom halen we vandaag maar eens een bericht aan dat ons, security professionals, allemaal in dezelfde hokjes probeert te duwen. Lees het en kijk maar of je jezelf erin herkent.

Security professionals heb je in alle soorten en maten, maar volgens Shoaib Yousuf zijn er vijf typen die het vaakst voorkomen (bron).

  1. No Master
  2. By-The-Book Preacher
  3. Dinosaurus
  4. Technology-Solves-It-All
  5. Paranoid

Als ik het lijstje zo lees dan beloofd het weinig goed voor de professionals in ons vakgebied. En natuurlijk ken ik inderdaad collega’s die in een hokje te plaatsen zijn, maar gelukkig ken ik er veel meer die niet in deze hokjes passen. Nee, ik ken er ook een hoop die inderdaad gewoon logisch nadenken en hun bijdrage aan de organisatie waar ze voor werken willen leveren.

Eerlijk is eerlijk, ik herken mezelf niet zo goed in de genoemde categorieën, mocht jij jezelf er wel in herkennen dan ga ik er toch vanuit dat je die keuze bewust gemaakt hebt. Dan ben ikzelf natuurlijk reuze benieuwd waarom je voor die categorie gekozen hebt.

Maar goed, eerst een korte toelichting op de categorieën zodat je een keuze kunt maken:

  1. De “No Master”, iemand die alle initiatieven en ideeën in de naam van security afschiet. Deze personen vormen eerder een obstakel dan dat ze iets bijdragen.
  2. De ‘By-The-Book Preacher’. Iemand die de regeltjes tot het laatste detail opvolgt. “Je vindt honderden IT-security professionals die zo zijn. Er wordt niet naar de context gekeken, er wordt geen risico in kaart gebracht, het moet gebeuren omdat het boek of het beleid dit zo stelt”
  3. De ‘Dinosaurus’. Personen die alles al hebben meegemaakt en altijd een ‘FUD-verhaal’ vertellen om hun stelling kracht bij te zetten. “De dinosaurus is lastig te bestrijden, omdat ze alles al weten.”
  4. De “Technology-Solves-It-All” professionals. Mensen die denken dat technologie alles oplost.
  5. De “Paranoid” security professional. Volgens hem de gevaarlijkste en meest onzekere van alle security professionals.

In ieder geval kunnen we stellen dat het beeld dat men heeft van de security professionals niet erg rooskleurig is. Tijd om daar, met zijn allen een draai aan te geven. Doe je best en bewijs aan je omgeving dat je niet in een hokje te plaatsen bent.