Jobb som penetrasjonstester uten cybsec-bachelor, men med bakgrunn fra dataingeniør+IKT?

[nightowl]

Jeg er en late bloomer som aldri ser ut til å finne seg til rette etter fullførte utdanningsløp. Til nå har det vært 3 stk.

I årevis prøvde jeg å komme inn i moderne webutvikling. Problemet er at jeg hater hvordan dette faget har utviklet seg de siste 10 årene, med stadig flere jalla byggverktøy og biblioteker/rammeverk som har svært kort levetid. Hele webdevindustrien virker å være speednarkomane siden tempoet og entusiasmen er svært høy, til tross for at man lager noe som i mine øyne er middelmådig. Jeg mestrer React, Vue, git, node og noen få andre verktøy greit, men det er ikke nok. Og nå gidder jeg ikke (halvveis) å prøve å få webdevjobb lengre. Nok er nok.

Jeg har i stedet begynt å gruble på om pentesting/IT-sikkerhet kan være mer passe likevel: Før jeg gikk IKT og dataing. var det nettverk, hacking og cracking jeg var (lidenskapelig) opptatt av. Såpass at jeg begynte å studere C og assembly som 17-åring for å kunne skrive egne stack overflows en dag. Dette var på VGS hvor jeg raskt havnet på radaren til IKT-ansvarlige, fordi jeg ofte scannet for åpne porter på serverne. Senere fikk jeg jobb der som IKT-lærling.

Etter den tid ble fokuset flyttet til programmering. Hacking/cracking ble liksom litt glemt. Imidlertid viste dataing/systemutvikling seg å være kjipe greier. Jeg fikk aldri interessen for å lære/bruke designmønstre eller å bygge "riktig" arkitektur. Hele jobbeskrivelsen føltes som ei døll tvangstrøye. Så i stedet for å få jobb ble det bare masse kreative hobbyprosjekter (Android-apper og nettsider/SPAer) og endeløs halvhjertet jobbsøking. Attpåtil ble listene i jobbannonsene over idiotiske verktøy man måtte ha erfaring med, lengre og lengre. Til slutt var de helt urealistiske for min del. (Noe jeg burde innsett den gang og akseptert.)

En periode prøvde jeg også komme inn i lavnivåprogrammering, siden jeg allerede var godt forbi nybegynnerstadiet i C/C++. Jeg var på nippet til å anskaffe mikrokontrollere og nødvendig utstyr/programvare, men etter å ha lekt 1 uke med en arduino som hadde ligget i en skuff 1 år, så var jeg lei.

Hacking, cracking, nettverkssikkerhet, kryptering, Linux, osv. har jeg derimot alltid hatt stabil sterk interesse for. Så betyr det at jeg kanskje kan få en relevant jobb innenfor dette, om jeg leser meg grundig opp på temaet og blåser støv av gamle ferdigheter? Hvor skal jeg isåfall begynne for å raskest mulig komme i jobb? Jeg har av-og-på lest litt på det som er relevant i ISO27000-serien, om det hjelper. Men å bli konsulent som slavisk følger denne dokumentasjonen og krysser av bokser er ikke for meg.

Årevis med mer formell utdanning er ikke aktuelt, ellers skulle jeg gjerne gått cybsec-bachelor. Jeg har allerede studert studieplanen til NTNUs cybsec, men vet ikke helt hva jeg bør fokusere på. Som med alle studieløp ved høyskoler/universitet er det sikkert også her mye teoretisk tull & tøys som man faktisk ikke får så mye bruk for.

[tigerdyr]

42 minutes ago, nightowl said:

Hacking, cracking, nettverkssikkerhet, kryptering, Linux, osv. har jeg derimot alltid hatt stabil sterk interesse for. Så betyr det at jeg kanskje kan få en relevant jobb innenfor dette, om jeg leser meg grundig opp på temaet og blåser støv av gamle ferdigheter?

Det burde være fult mulig, men du kan like gjerne først som sist lære (og akseptere) at det er best å ha struktur på jobben, både for å kunne dokumentere hva du har gjort og hva som er testet. 

Har du snakket med nogen norske firmaer om hva de er ute etter i potensielle kandidater?  mnemonic i Oslo er ett av selskapene jeg vet tilbyr slike tjenester. 

[nightowl]

tigerdyr skrev (2 minutter siden):

men du kan like gjerne først som sist lære (og akseptere) at det er best å ha struktur på jobben, både for å kunne dokumentere hva du har gjort og hva som er testet.

Det vet jeg meget godt. Har jo hatt andre jobber.

[nightowl]

tigerdyr skrev (4 minutter siden):

Har du snakket med nogen norske firmaer om hva de er ute etter i potensielle kandidater?  mnemonic i Oslo er ett av selskapene jeg vet tilbyr slike tjenester. 

Kun lest jobbannonser og studieplaner.

[Gjest 4771c...9e5]

nightowl skrev (9 timer siden):

Jeg mestrer React, Vue, git, node og noen få andre verktøy greit, men det er ikke nok. Og nå gidder jeg ikke (halvveis) å prøve å få webdevjobb lengre. Nok er nok.

Det er mer enn nok. Selv om det kommer noe nytt FOTM betyr ikke det at industrien tar det i bruk eller at det slår ann. For at industri skal ta det i bruk er det gjerne testet i lengre tid for man ønsker ikke å risikere tapt omsetning. Det som faktisk taas i bruk er også ikke så drastisk annerledes fra noe annet at det er en smal sak å lære det som må læres.

Det at du tror du slipper unna å lære nye teknologier og holde deg oppdatert lover ikke godt for om du ønsker å gå inn mot pentesting og sikkerhet. Der må då absolutt være på toppen av det nye til enhver tid. Hvordan skal du penteste noe som bruker teknologi du ikke er kjent med? Hvordan vet du om nye svakheter om du ikke følger med på nyhetene som kommer?

Virker som du prøver å løpe unna problemene dine og skylde på at "dette" var ikke det rette når det egentlig er et større problem i bunn. Hjelper ikke putte plaster på et skuddsår.

Anonymous poster hash: 4771c...9e5

[nightowl]

Gjest 4771c...9e5 skrev (1 time siden):

Selv om det kommer noe nytt FOTM betyr ikke det at industrien tar det i bruk eller at det slår ann.

Anonymous poster hash: 4771c...9e5

Vel, det er ikke mitt inntrykk. Jeg syns stadig jeg leser / hører om noe nytt som er tatt i bruk. Altfor mange utviklere virker å kaste seg på nye (idiotiske) trender. IMHO. Det går såpass raskt at høgskoler/universitet ikke har nubbsjans på å henge med.

Gjest 4771c...9e5 skrev (1 time siden):

Det som faktisk taas i bruk er også ikke så drastisk annerledes fra noe annet at det er en smal sak å lære det som må læres.

Anonymous poster hash: 4771c...9e5

Jeg husker jeg leste det når jeg begynte å lære Angular 1. Også kom Angular 2. Senere når jeg hadde kommet godt inni klasser med React, gikk man plutselig vekk fra dette og over til funksjoner.

Gjest 4771c...9e5 skrev (1 time siden):

Det at du tror du slipper unna å lære nye teknologier og holde deg oppdatert lover ikke godt for om du ønsker å gå inn mot pentesting og sikkerhet.

Anonymous poster hash: 4771c...9e5

Har ingenting imot nye teknologier når denne faktisk kaster av seg noe. Det er tendensen til å stadig finne opp hjulet på nytt annethvert år jeg ikke har noe til overs for.

[tigerdyr]

9 minutes ago, nightowl said:

Det går såpass raskt at høgskoler/universitet ikke har nubbsjans på å henge med.

Der er lite som har endret seg de siste 30 årene om de bare fokuserte på å undervise i konseptene istedet for konkrete rammeverk.  Har du teorien på plass, kan du lære ethvert rammeverk og språk når eller hvis du faktisk trenger det. 

[Pop]

Kjenner meg igjen i mye av det du skriver, TS. I starten var interessene mye av det samme. Samtidig som jeg husket godt hvordan sikkerhet var (dvs manglet) tilbake i 1990. La det litt på hylla, gjorde unna vgs og 7 år på universitetet med fokus på sikkerhet, db, utvikling og nettverk. Og synes jobbmarkedet etter it-bobla sprakk i starten av 2002 ble helt tragisk. Det var kun enkle doer-jobber tilgjengelig og også der konkurrerte man med folk som hadde 15 års erfaring, mens jeg var nyutdannet. 

De siste årene er sikkerhet blitt mer og mer etterspurt. Der jeg jobber nå får vi ikke tak i nok folk. Men det kjekke er jo at jeg nå kan kombinere det jeg liker med den teoretiske bakgrunnen innen db, nettverk osv. Og der andre holder seg på kun overordnet nivå, f.eks arkitekturen, kan jeg samtidig bidra inn i mer detaljer og inkludere krav og føringer, før det sendes til respektive driftsavdelinger og "mekkerne".

Det ser ut til at du foretrekker de mer kreative jobbene, som virkelig trengs når det gjelder å bygge god sikkerhet. Kan du inkludere personvern også, stiller du enda sterkere. Om du trives like godt på rødt team som blått, har du mange muligheter (ikke velg en side, velg begge ). Og slik situasjonen innen IT nasjonalt og globalt ser ut til å utvikle seg nå, blir ikke sikkerhet mindre viktig fremover...

[nightowl]

Pop skrev (16 minutter siden):

Kan du inkludere personvern også, stiller du enda sterkere.

Sydde sammen en GDPR-startpakke (dokumentmaler, rutiner, lovverk, ..) for bedrifter et par år siden, så vil påstå jeg har grei innsikt i temaet. Nedturen kom når ingen var interessert i å kjøpe den, til tross for at de manglet "alt". 😄 Små bedrifter vil nok kun føye seg etter de har fått en liten smekk over fingrene. Jeg kunne sikkert forsøkt å selge inn denne pakka mer, men jeg har aldri vært en selgertype og noen av de ble bare sure/fornærmet når jeg påpekte at de manglet ditt og datt.

[Pop]

58 minutes ago, nightowl said:

Sydde sammen en GDPR-startpakke (dokumentmaler, rutiner, lovverk, ..) for bedrifter et par år siden, så vil påstå jeg har grei innsikt i temaet. Nedturen kom når ingen var interessert i å kjøpe den, til tross for at de manglet "alt". 😄 Små bedrifter vil nok kun føye seg etter de har fått en liten smekk over fingrene. Jeg kunne sikkert forsøkt å selge inn denne pakka mer, men jeg har aldri vært en selgertype og noen av de ble bare sure/fornærmet når jeg påpekte at de manglet ditt og datt.

Har vært en fast utfordring siden 2018 (og egentlig før det også for Personopplysningsloven var ikke SÅ annerledes før) og jo mindre de kan jo mindre skjønner de hva de trenger. Det gjelder ikke bare mellom virksomheter, men innad i samme, mellom ulike avdelinger til og med. Selv om akkurat samme opplæringsmateriell er tilgjengelig.

Og ja, noen lærer kun etter en smekk. Og med opp til 4% av omsetning i bot kan smekken bli vond.

[lshw]

Jeg jobber i et sikkerhetsselskap og vil si at en GDPR og personvernstilling er ganske langt unna kompetansen TS har. Der er det typisk krav om sikkerhets/juristutdanning og stor konkurranse blant søkere. Ikke akkurat noe man leser seg til uten å ta en grad. Det gjelder også for typiske GRC-stillinger (Governance, risk og compliance), der er det også mange med en bachelor eller master i delvise relevante utdanninger å konkurrere mot.

Pentesting har historisk sett vært stedet man kan få en jobb uten relevant utdanning. Problemet nå om dagen er at pentesting er veldig hot blant studenter og folk som ønsker seg over til sikkerhet. Man konkurrerer derfor mot mange og motiverte folk med og uten utdanning. For å skille seg ut å gjelder det å vise til sertifiseringer, github, gode resultater i CTFer osv. Hvis du vurderer nå om du skal lære mer om pentesting, så må du belage deg på mye intensiv læring på egen hånd over lengre tid før du kan bli aktuell for en jobb. Jeg kjenner ikke til noen som tar inn junior pentestere for å lære de i stor grad opp.

Et annet alternativ er jobb i SOC (Security Operations Center). Dette er er IT-sikkerhetsverden sine vaktsentraler der man overvåker kunder og ser etter mulige angrep i logger. Her bruker SOCene forskjellige verktøy og det er ikke forventet at man skal kunne alt som nyansatt. Det er konkurranse fra folk med sikkerhetsutdanninger, men kveld og nattarbeid gjør at mange ikke ønsker å jobbe på SOC over lang tid. Her kan det være muligheter om man tar sertifiseringer innenfor nettverk og/eller sikkerhet, og kan vise til forståelse for å holde seg oppdatert på trusselbildet med feks. github eller Twitter.

[nightowl]

lshw skrev (På 24.9.2022 den 12.12):

Hvis du vurderer nå om du skal lære mer om pentesting, så må du belage deg på mye intensiv læring på egen hånd over lengre tid før du kan bli aktuell for en jobb.

Det blir nok slik, ja. Og jeg er allerede godt igang. Har mye læringsmateriale (bøker og videoer) som jeg har begynt å gå igjennom. Mer enn nok for resten av året. Sist jeg holdt på med noe av dette (en sommerferie for noen år siden) var det crackme's det gikk i. Så jeg begynte repeteringen her. Det blir ganske bredt fokus til å begynne med.