Köszi a linket. Beszéltünk erről Bubee82-vel, de így nem kell megkeresnem.

https://www.coreinfinity.tech

Igen, mar az elso oldalon megtalaltam, konyvjelzozve van. Koszi

Ha már szóba került, technikai vonalon mennyire váltak szét a szakmák? Úgy értve, hogy mondjuk van ez a SOC analyst, van pentester, forensics, malware analysis, stb. Ezeket mennyire jellemző, hogy ugyanaz a személy csinálja?

Buliban hasznos! =]

Lesz még ilyen pay what you can kurzus is: [link] Az a baj, hogy nekem pont államvizsga és szakdolgozat védés közé esik, de lehet, hogy befizetek rá, és visszanézem később videoról.

Buliban hasznos! =]

Maximum nagyon kis cégnél van az, hogy aki a SOC-ba van beosztva, dolgozik pentesterként is.
Egyébként a SOC-ban is van blue meg red (jobb helyen purple meg még pár szín) team, meglehetősen eltérő feladatkörrel. Nyilván egész mást csinál és más szinten is van mondjuk egy SOC analyst vagy egy SOC architekt...
Egyébként nagyjából három területre szokták osztani az ITSEC-et: van a soft security: CISA és/vagy ISO 27001 LA, tehát az auditori vonal; aztán van a hard security: pentester, CEH vagy OSCP végzettséggel; és van a SOC. Persze ott vannak még mondjuk a tűzfalasok, de őket inkább az üzemeltetéshez szoktam sorolni. És persze némi átfedés lehetséges: egy SOC red team-ben dolgozó az tulajdonképpen etikus hacker, tehát végezhet pentesztet is ha éppen arra van szükség.
Természetesen tovább is lehet specializálódni: az infra sérülékenység vizsgálathoz leginkább üzemeltetői ismeretek kellenek (oprendszer, hálózat), míg mondjuk egy forráskód-elemzéshez nyilván (ex)fejlesztő kell...

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Köszi! Akkor ezek alapján is hosszú távon OSCP felé fogok orientálódni, már ha az EIV-en túl valami előrelépést teszek. Csinálok még annyi hülyeséget, hogy nem biztos, hogy belefér majd az időbe, de ami késik nem múlik.

[ Szerkesztve ]

Buliban hasznos! =]

Az oke, hogy szerinted igy. De az ellenjavalat kimaradt a hozzaszolasbol es a miert (vagy eppen miert ne). Ha megtenned, hogy megosztod a velemenyed, halas lennek.

Amugy azert SOC lett a kovetkeztetes, mert sh4d0w-nak azt mondtam, hogy nekem inkabb valami technikaibb aga a szakmanak lenne vonzo, pl. a forensics kifejezetten tetszene, de arra azt mondta, hogy eleg szopatos tud lenni.

Ahogy ertelmeztem, a SOC Analyst kicsit atfedesben van a forensics-el, de a lenyeg ott is az analizasa az eventeknek, adatoknak, osszerakni a dolgokat es atlatni a "kaoszon" stb. Szoval kell hozza boven agysejt.

Amit a masik hozzaszolasodban irtal arrol, hogy mely harom fo terulet van, na, ott pont jol latszik, hogy nekem nem a soft security valo, mert az kosz, de kihagyom (ilyesmi dolgokban mar volt reszem).

Szoval maradt a hard. Namost, sh4d0w elmondta tegnap kb. ugyanezeket, es meg hozzatette azt is, hogy nagyon arnyalt a kep abbol a szempontbol, hogy ki mit csinal, mert egyes helyzetekben vannak atfedesek. Ahogy te is irtad, lehet hogy egy SOC-os eppen Pentester is es forditva. Az biztos, hogy mindketto erdekel, es gyanitom, hogy el sem lehet nagyon kerulni, hogy egyik vagy masik teljesen kimaradjon az ember eletebol, ha mar ebben a szakmaban dolgozik.

Ha jol ertettem sh4d0w kollegat, akkor o is valami ilyen helyzetben van, de majd kijavit ha nem.

Szoval erdekelne a velemenyed a SOC-rol es hogy miert ne azt. Koszonom

[ Szerkesztve ]

Cégfüggő. Nálunk az Infosec "osztály" kb 10-15 különböző depratment, kb 2000 emberrel (ide nem értve a jogosultság-adminisztrációt).

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Forensics az inkább Incident response-hoz tartozik, a pentest nagyon technikai, ugyanakkor a SOC analyst szélesebb látószögű meló, level 3-nál a malware analysis is bejátszik azon túl, hogy manuálisan is képesnek kell lenned a korrelációra.

https://www.coreinfinity.tech

Nekem a SOC-ban az nem tetszik, hogy nincs túl sok időd egy-egy dolgot kivizsgálni. A pentest, forensics ilyen szempontból lazább.

Buliban hasznos! =]

Nálunk a forensics teljesen különválik az IS funkcióktól, egy teljesen független Investigative Services osztály végezhet csak (fizikai- vagy digital-) forsensics munkát (mivel ennek során hozzáférhetnek személyes és minősített személyes adatokhoz).

#313 inf3rno - pentest azt biztos nem ilyen. A megbízó időre fizet, kifejezetten stresszes és időben beszorított tevékenység. Forensics talán nem, de ott meg a nyomozás előrehaladása függ attól, hogy milyen gyorsan találsz meg valamit.

[ Szerkesztve ]

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

A pentest viszont ahogy ertettem, eleg korlatozott, repetitiv abbol a szempontbol, hogy elore definialt szempontok alapjan tortenik, aztan ha megvan a report, johet a kovetkezo ugyfel vagy akarmi, ugyanazon (vagy hasonlo) sema alapjan. Ha nem igy van, akkor majd valaki kijavit.

A SOC-ba pont az tetszik, hogy horizontalisan sokkal szelesebb, amit lefed a tevekenyseg.

sztanozs

Te mit javasolnal egyebkent, mely iranyt?

[ Szerkesztve ]

Ami szimpatikus. Ha bírod a bitbuherálást, akkor valami VA vagy SOC irányt (attól függően, hogy az offensive vagy defensive irány jön be jobban), ha nyomozósabb vagy, akkor digital forensics. Ha egyáltalán nem bírod (vagy amúgy bírod, csak nem szeretnéd csinálni) a technikai dolgokat, akkor valami IS Assessment, Risk Management (IS Officer) vagy Application Security irányba érdemes menni. Illetve határterület még a SIEM irány is, ahol (ha akarsz) lehet szkriptelgetni, meg regex parsereket hegeszteni, de nem muszáj.

JOGI NYILATKOZAT: A bejegyzéseim és hozzászólásaim a személyes véleményemet tükrözik; ezek nem tekinthetők a munkáltatóm hivatalos állásfoglalásának...

Ez nem igazán így van.
Általában minden cégnek van valami módszertana, ami alapján sérülékenység vizsgál (pentestet ne kerevjük, az egy kicsit mást jelent: legtöbbször sérülékenység vizsgálatot rendelnek).
Eleve nem lehet egyforma két meló: van külső és belső vizsgálat, black box, gray box, ritkábban white box. Lehet konfiguráció elemzés is, egyre többen rendelik. A vizsgálat lehet infra, webalkalmazás, mobil alkalmazás, vastag kliens stb., ezek hol markánsan, hol csak némileg térnek el egymástól.
Egy technikaibb beállítottságú embernek szvsz pont jobb mint a SOC: változatos azokon a helyeken, ami érdekes, ugyanakkor a módszertan megléte támpontot is ad olyan tényezőkben, amit fárasztó lehet negyvenharmadszor is meleg vízként feltalálni.
Pont hogy a SOC az ami repetitív, sok esetben uncsi tevékenység. Szerintem.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Szerintem a pentest, ami gépiesebb, pláne, ha sokadszorra is ugyanazt a rendszert teszteled.

https://www.coreinfinity.tech

Miért tesztelnéd sokadszorra ugyanazt a rendszert?
Mi szolgáltatásként nyújtjuk ezt a tevékenységet, ügyfeleknek. Hol X cég rendszerét teszteljük, hogy Y cégét, hol Z cégnél tesztelünk, sok esetben különböző teszteket (persze van negyedévente visszatérő projekt is, pontosabban csak volt, mert elvitte egy bizonyos cég a projektet - ahol csak négyig dolgoznak... ).
Az elmúlt szűk 4 évben teszteltünk (a teljesség igénye nélkül) hitelesítés szolgáltatói rendszert, távközlési szolgáltatóit (ráadásul volt LTE-450 is, ha ez mond valamit...), voltak készüléktesztek is, tévéműsor szavazás mobilappot, egyéb mobilappot, bradcast rendszereket (!), különböző dokumentumkezelő és számlázó rendszereket stb. Ez lenne unalmas?
Idehaza az etikus hackerek (megkockáztatom) 80%-a nem "belső" projekteken vesz részt...

[ Szerkesztve ]

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Talán nem fogalmaztam elég jól.

Ha egy cég belsős pentesterként alkalmaz, akkor évente újra és újra le fogják teszteltetni veled a saját rendszereiket és ez repetitív, unalmas.

Ha külső rendszereket tesztelsz, egy darabig jó, aztán rájössz, hogy nem ilyen lovat akartál.

https://www.coreinfinity.tech

Hát akkor megszívtam. De ott mégis van egy nagyjából előre megírt forgatókönyv, lehet tervezni, hogy mit hogyan fogunk tesztelni, és csak le kell darálni. A forensics és a SOC is olyan, hogy nagyon sokféle dolog előfordulhat, és mindegyiket nagyjából ismerni kell, hogy tovább tudjunk lépni, az idő meg szorít. Mondjuk a megfelelő képzéssel azokat is meg lehet csinálni, csak szerintem én nehezen viselném az állandó stresszt és kapkodást, ami azokkal jár.

Buliban hasznos! =]

Nos, nem vagyunk egyformák, az tény. Ugyanakkor továbbra sem értem, hogy ha a penteszt unalmas, akkor a SOC mitől nem az: ha belső SOC-ról beszélünk, akkor ugyanaz az N darab rendszer vonatkozásában kell riasztásokat kezelni, ráadásul a 14568. "Kínából toltak port scant" típusú jelzés kivizsgálása mitől nem unalmas, de inkább hagyjuk.
Kinek a pap, kinek a papné.

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

Jó, de azért valljuk be, hogy a legtöbb helyen a monoton szar alja munkával kezdesz bármit csinálsz, és csak utána engednek a kreatívabbakhoz, ha már bedolgoztad magad. Ezért nem nagyon akarok alkalmazottként dolgozni, mert néhány év monoton munka után felvágnám az ereimet, vagy fél évente állást váltanék.

[ Szerkesztve ]

Buliban hasznos! =]

Sziasztok,

idetévedtem én is, örülök neki hogy ennek is van már topikja, bár meglepő hogy "csak most" elég friss még, de jobb később, mint soha ugyebár

Nagyjából átfutottam az eddigi 300 kommentet, és látom épp a képzések a téma, így bátorkodom írni, mert jelenleg engem is ez foglalkoztat...

Ahogy olvasom, itt "3 csoportra" bontjátok a biztonságot, ebben az értelemben én akkor a "soft security" vonalat képviselem, láttam van itt iso27k auditor sgstől, én is ott voltam, nekem van dpo vizsgám is és pár kisebb itsec-es cert is még mellé.

A kérdésem vagy inkább beszélgetés indítóm az lenne, hogy hiába van auditor, meg dpo certem, 3-4 évnyi (tudom, lóf*sz) itsec hátterem is a kiber vonalról, még mindig úgy érzem hogy alig tudok valamit.
Úgy érzem, hogy ez egy olyan szakma, amiben nagyon sokat kell tanulni és még akkor is csak alig kapirgálod a tudás felszínét. Ami persze egyszerre jó, hisz mindig van hova fejlődni, viszont rossz is, mert mindig úgy érzem, hogy alig tudok valamit, miközben sorra gyűjtöm be a certeket.

Ahogy nézem a topikot alig van itt pár user még csak, de esetleg van köztetek Információbiztonságis, vagy adatvédelemis? ...mert ahogy olvasom a többség (az a maradék 2-3 user ) inkább kiberes (avagy ahogy ti mondanátok, hard security vonalat képviseli) és minél jobban próbálok a kiber felé tévedni, annál jobban taszít a szakma az a része, mert úgy érzem hetente új fogalmak jelennek meg és lehetetlen uptodate lenni.. viszont érzem, hogy az a jövő, illetve ennek ellenére, viszont valamilyen szinten meg szeretnék nyitni afelé is.

szerk.
szóval a "rövid" bevezető után...

1. egyetemi képzés
- Van itt olyan, aki esetleg csinálja az NKE-n a mester kiber szakot? (máshol nem igazán láttam ilyen területű szakot)
- Mi a véleményetek a (pl. BCE-n) (mester) gazdasági informatikus szakról? (főként a soft-sec IT tárgyak?)

2. való élet certek, nemzetközi piac
- Aki információbiztonságis, vagy adatvédelemis vonalon mozog, tudna javaslatot adni, hogy mely vizsgákat, certeket érdemes bezsebelni? (must és nice-to-have esetek is)

3. szakterület vélemény
Mi a véleményetek az alábbi "pozikról"? (bár ezek már kevésbé sec vonal)
- business analyst
- data analyst

[ Szerkesztve ]

A hard security az ilyen, ma is találkoztam olyan fogalommal, amiről még nem hallottam: dependency confusion. Ez ilyen, folyamatosan változó landscape.

Az analyst role-ok, amiket kérdeztél, nem security-sek, soft security cert (szerintem musthave): CISA.

https://www.coreinfinity.tech

Nekem is van DPO vizsgám, Gill and Murry, + NKE-n EIV képzés (meg pár kisebb, jellemzően 3-5 napos képzés; kiemelkedik közülük a 3 hetes rendszerbiztonsági felelős képzés (még anno Bólyai), ami mondjuk a minősített adatkezeléshez kapcsolódik). Plusz 4 évig voltam NAIH-nál bejelentett adatvédelmi felelős (az egész seregben hatan voltunk ilyenek; ebből három a szakmai irányításban dolgozott).
A kérdésekre válasz: nem hinném hogy megéri kis hazánkban MSC-t lerakni ezen a területen.
Ha soft security képzés, akkor én a CISA-CISM-CRISC vonalon indulnék el (főleg ha már megvan az ISO27K LA), tehát az ISACA-s vonalon (persze ha jól beszélni angol).
Esetleg, ha némi gépközelibb tudás is van, akkor később mehet a CISSP, ami nagy fless szerintem.
Egyébként meg a gyakorlatot semmi sem pótolja. El kell helyezkedni ezen a területen (lehetőleg nem egy állami intézmény elektronikus információbiztonsági felelőseként, bár eleinte abból is lehet tanulni - preferált egy tanácsadó cégnél seniorrá válni), aztán ha nem tetszik valami, akkor váltani (jah, és folyamatos önképzés).

"Bonyolult kérdésre egyszerű választ keresni helyénvaló, de ritkán célravezető megoldás" (Wayne Chapman)

köszönöm a választ mindkettőtöknek
az ISACA-s vonalnak mindenféleképp utánanézek mifán terem

1.
- Az Msc képzés offos részét megindokolnád kérlek? később azért szerintem hasznos lehet, még akár hazai pályán is, de főleg mondjuk nemzetközi pályán ahol a bsc kb 0 és az msc az "academy szint"...nem? Aztán persze lehet totál rosszul gondolom és szarnak rá és csak a certek kellenek meg az XP?

- az NKE EiV szakirányú továbbképzést ajánlod szakmailag? (soft securityhez) inkább msc mellett /helyett?
anno mikor néztem ezt akkor mintha úgy olvastam volna, ez inkább állami és önkormányzati szervekhez jó? A tananyag elég "lájtosnak" tűnik így elsőre (legalábbis nem szakma belépőknek és full e-learning?)
(( Oda mehetnek "civilek" is simán, vagy az is olyan szak még, hogy kell állami/rendvédelmi/katonai hátszél? ha jól látom csak a büntetlen előélet igazolása az előfeltétele ))

2.
Az utóbbi évben sokat gondolkoztam a hard security vonalon, de az hogy teljesen átmenjek hard securityre kizártnak tartom, ismerem a soc ot is, egy élmény de nem az én világom.. végül soft felé mentem, ami bejön de elgondolkodtam, hogy mi lenne ha amolyan hibrid szerepet próbálnék felvenni? de annak nem tudom mennyi értelme lenne.. mit gondoltok? Szerintem ez a szakma pont olyan ahol nincs sok helyük a hibrideknek, nem is láttam olyan pozit ami ilyen képességűt keresne, inkább vagy soft vagy hard

Én NKE EIV-et most csinálom, Egon meg már csinálta régebben. Páran mennek a kibermesterre tőlünk, én majd talán később. Amúgy nem most indult az a szak?

Szerintem a hard részéhez érdemes érteni a programozáshoz, különben nehezen értelmezhető sok dolog.

Certekre itt vannak a jelentősek:
[link]
Én csak a CISA, CISM és az ITIL certek, amiket hallottam sokszor az EIV-es képzés alatt, szóval gondolom azok javasoltak. Úgy nagyjából az a benyomásom, hogy érdemes ráállni egy vonalra, és abban képezni magad magas szintig, pl ITIL-nél master szintig vagy a másik vonalon CISM-ig. És nem kell mindegyikből profinak lenni, már ebből is meg lehet élni. Legalábbis úgy tűnt, de nem az én világom ez a szabványok meg audit.

A data analyst-re szerintem lesz/van igény, én legalábbis próbálom továbbképezni magam olyan irányba is, mert azt mondják, hogy az adat az új olaj. Mondjuk a GDPR-el beszopattak minket rendesen. Máshol kb. szabadon garázdálkodhatnak a cégek, és gyűjthetik az adatot a felhasználóktól, a mi kezünk meg meg van kötve, és ezért le fogunk maradni. Persze másik oldalról ez jó, hogy valamennyire próbálják védeni az embereket.

[ Szerkesztve ]

Buliban hasznos! =]

Tudnál valamit mondani arról, hogy az adatvédelmi felelős és az IBF között mi a különbség? Mármint az világos, hogy az IBF foglalkozik még az információs rendszerekkel, nem csak az adatokkal, de valamennyire része az IBF munkájának is, hogy pl adatvagyon leltárt meg ilyesmiket csináljon. Miért lett ez két szakma? Állítólag nem jó, ha valaki egy személyben csinálja a kettőt, de nem látom, hogy hol van itt az érdek ellentét...

Buliban hasznos! =]

EIV-hez annyi kell, hogy beszélj angolul és legyen diplomád (az hiszem MSc kell, BSc nem elég). Én pl biomérnökként mentem oda. Igaz a többsége jogász és infos, szóval kilógok a sorból végzettséggel, de már 12 évesen programoztam, és ilyen pályára is készültem, csak a felvételi félresiklott nálam.

Igen, elsősorban állami szervek, önkormányzatok IBF-jeit képzik ezen az EIV szakon. Valamit talán ér máshol is a papír, mert látják, hogy hozzá tudsz szólni a témához, de az ISACA-s dolgokkal sokkal többet érsz egy multi cégnél. Általában az EIV-et azok csinálják, akik már ebben dolgoznak, de nincs papírjuk, vagy akiknek azt mondta a szervezet, hogy te leszel az IBF-ünk, menj el képzésre. Pl én is az utóbbi miatt vagyok itt, a helyi önkormányzatnál én leszek az IBF, ha végzek, és sikerül megállapodni. Nekem hasznos azért is, mert jobban rálátok a security részre a programozásnál és üzemeltetésnél is, elég sokat adott, de valamennyire kezdő voltam.

A hibrid részéhez annyit tudok hozzászólni, hogy John Strand szerint nem lehet úgy jól auditálni, hogy lövésed sincsen, hogy a hard vonalat eszik vagy isszák.

[ Szerkesztve ]

Buliban hasznos! =]

dede a kiber mester most indul első évfolyam ha jól tudom

ezek a cisa-cism certek is olyanok, hogy pár évente ismételni kell?

szerk.:
a business/data analyst részével azért kezdtem el foglalkozni, mint ahogy te is írod, az új olaj, meghát adatvédelem, gdpr, stb. azért van valamilyen kapcsolat köztük, így ha a full sec vonal esetleg nem jönne be akkor talán átnyargalni oda, aztán kitudja... mindkettőben van pénz az tuti, de szerintem a sec-ben több lesz, így az még csak amolyan B terv

[ Szerkesztve ]

én most néztem az nke oldalát és ott alapképzés meg b2 kell az eiv szakirányú továbbképzéshez.. az msc követelményt hol olvastad?

Ez egesz jo es atlathato osszefoglalo a lehetseges utvonalakrol.

[ Szerkesztve ]

Azt tudom, hogy kellett diploma hozzá, nekem meg még osztatlan képzésből van. Ezek szerint a BSc is elég. Angolból alapfok kellett úgy emlékszem, de gyorsan megcsináltam egy középfokot, mert csak az volt elérhető.

Buliban hasznos! =]

Nem tudok semmit az ISACA certekről, csak azt, hogy vannak és divatosak. Várd meg, amíg a többiek megválaszolják.

Hát az adatvédelemhez szerintem nem kell a data analyst, az tök más.

Buliban hasznos! =]

Tudtok mondani olyan információ forrásokat, amiket sűrűn használtok, és beváltak az évek során? Pl IoC-hez, sebezhetőségekhez, hardeninghez, stb?

Buliban hasznos! =]

reddit, ars technica, bleeping computers, ycombinator, secure list - csak néhány, plusz a használt szoftverek sec advisory levlistek

https://www.coreinfinity.tech

Kicsit konkrétabban? A reddit azért elég nagy, az ars technikában meg a bleeping computersben meg a cikkek vagy a fórum?

Buliban hasznos! =]

Sh4dow kommentje mellé, pár praktikus alap dolog még:

NATIONAL VULNERABILITY DATABASE

Gyanús fájl scannelésére: Virustotal
(az eredmény megy az adatbázisba, semmi olyat ne tölts fel, amiben mások személyes adatai vannak, pl: óó megjött a DHL számla, na lássuk) millió ilyen site van, a tartalmasabbak reget kérnek majd keress rá másokra.

IP vagy domain keresésre: https://who.is
(Szerk.: levél estén küldő domainjét is megnézheted '@besteubuymyniBBa.com'

[ Szerkesztve ]

"Fuck the Kingsguard, fuck the city....Fuck the king!"

Köszi!

Buliban hasznos! =]

reddit cyber security thread, másik kettőnél mindegyik.

https://www.coreinfinity.tech

Oké, köszi!

Buliban hasznos! =]

Ha valakit erdekel a nagyagyuk kozul