Search

Meer resultaten...

Generic filters
1
1
1
1
Jarno Baselier > Security > Hoe wordt je een Ethical Hacker?

Hoe wordt je een Ethical Hacker?


De laatste weken overstroomt mijn mailbox met vragen. Nu krijg ik altijd al aardig wat vragen maar op dit moment is er duidelijk een opmerkelijke trend. Er zijn heel erg veel vragen die gaan over opleidingsadvies. Jullie willen graag weten hoe je een ethical hacker wordt of hoe je een baan kunt vinden in de wondere wereld van de cybersecurity. Na zoveel mailtjes beantwoord te hebben heb ik besloten om toch een post te schrijven welke ik eigenlijk nooit heb wilde schrijven. Ik zal je hieronder uitleggen waarom en uiteraard (high-over) advies geven over hoe jij kunt toewerken naar een baan in de cybersecurity.

De reden dat ik deze post niet wilde schrijven is omdat de informatie vergankelijk is en dit mijn persoonlijke visie betreft. Ik wil daarom alvast een aantal statements maken:

  • Hier onderstaande adviezen zijn alleen gebaseerd op mijn ervaring en denkpatroon. Ik ben geen job coach.
  • Wandel je eigen weg, er zijn meerdere routes naar het eindpunt.
  • Deze informatie is vergankelijk en mijn visie kan t.z.t. veranderen.

Zo… dat gezegd hebbende moeten we het vooral gaan hebben over hoe je werkzaam kunt zijn/worden in de cybersecurity.

Het lijkt me zinvol om het beeld “cybersecurity” meer duiding te geven. Voor mij betekend het werkgebied: “cybersecurity” het volgende:

” Alle disciplines die nodig zijn om het digitale proces veilig te houden. “

Uit bovenstaande kun je het volgende halen. Cybersecurity is niet “één” vak. Binnen de cybersecurity zijn verschillende disciplines / vakgebieden. Deze onderverdeling is groter dan het gebruikelijke “red team VS blue team”. Denk hierbij aan o.a. data analysten, privacy-by-design, forensisch, security testers, baselining etc. En zelfs wanneer je kijkt naar 1 vakgebied zijn daarin ook weer verschillende professionalisaties. Cybersecurity omvat een divers werkgebied dus het is goed om te kijken waar je eigen wensen en krachten liggen zodat je kunt toewerken naar een goed gedefinieerd eindpunt.

Denk dus eerst goed na over wat je ECHT graag zou willen doen. Want pas dan kun je het belangrijkste naleven om werkzaam te gaan zijn binnen cybersecurity en dat is PASSIE. Passie is een noodzakelijk ingrediënt en dat kent een aantal redenen. De voornaamste reden is “studie”. Als security professional moet je erg veel brede en diepgaande kennis hebben van verschillende onderdelen binnen het digitale aspect en daarnaast zijn deze onderdelen dagelijks onderhevig aan verandering. Alleen passie maakt het mogelijk om bij te blijven leren. En dan bedoel ik niet alleen educatie en certificeringen maar ook het “uit interesse” verdiepen in bepaalde stof. Als security professional zul je vaak in je vrije tijd bezig zijn om aspecten verder uit te zoeken en wanneer je dat leuk vind en er de passie voor hebt dan maakt dat het toch echt een stuk makkelijker.

Wanner je passie hebt voor het vakgebied dan ben je er eigenlijk al. In dat geval weet ik zeker dat jij je weg wel gaat vinden!

Maar Jarno… heb je dan helemaal geen tips? Wat moet ik leren? Welke opleiding moet ik volgen? Hoe kan ik oefenen?

★ Interessant? Geef deze post een dikke “like” of deel hem op je eigen kanaal / social media. Alle beetjes helpen me! Ik zie je graag terug hier in onze NL InfoSec Discord server, bij een YouTube video of in een Twitch stream. ★

Laten we beginnen bij de opleiding. Als je nog jong bent en je weet dat je straks wilt gaan werken als security tester (penetration tester) dan is het zaak om een studie te volgen welke de skills die je nodig hebt voor deze job ondersteund en aanscherpt. Er is geen studie “security tester” maar er zijn voldoende opleidingen binnen het digitale domein. De beste penetration testers zijn vaak oud systeembeheerders. Dit komt omdat deze groep al diepgaande kennis heeft en weet hoe systemen met elkaar communiceren. Dat is de basis. Kies dus de juiste opleiding en wanneer je je diploma hebt kun je je aanvalsplan bijstellen. Zo zou je misschien een stage kunnen regelen bij een security bedrijf of binnen een security afdeling. Er is altijd kans dat je later in aanmerking komt voor een junior functie. Of misschien wil je eerst een tijdje als systeembeheerder gaan werken en je in de avonduren bijspijkeren.

Een belangrijke tip voor studenten die weten dat ze werkzaam willen zijn binnen cybersecurity is om je vrije tijd nuttig te besteden. Ook hierin komt het “passie” element weer terug. Uiteraard moet je gaan stappen, gamen en plezier hebben. Maar laten we eerlijk zijn, je hebt als student best wel wat vrije tijd. Deze kun je nuttig besteden door wederom aan de slag te gaan met het aanscherpen van diverse skills. Probeer deze vrije tijd nuttig te besteden want het verkort het pad naar het einddoel

Ook voor niet-studenten is eigenlijk hetzelfde advies van toepassing. Gebruik die vrije tijd nuttig. Vaak is deze vrije tijd veel beperkter maar kan deze toch nuttig besteed worden.

Ongeacht of je een opleiding in de ICT hebt gehad of niet, certificeringen zijn belangrijk. Zowel opleidingen als certificeringen “bewijzen” niet altijd wat iemand kan of hoe iemand werkt. Maar het niet hebben van certificeringen doet dit al helemaal niet. Daarnaast zijn ze absoluut noodzakelijk om door de selectieprocedures te komen. Certificeringen zijn nodig. Uiteraard afhankelijk van het gewenste einddoel kun je voor jezelf bepalen welke certificeringen het meest ideaal zijn. Mocht je “ethical hacker” willen worden dan zijn de volgende certificeringen zeker interessant. Onderstaande lijstje loopt van “instap, tot geavanceerd”:

  • compTIA Security+
  • CISSP
  • CEH (EC-Council)
  • CompTIA PenTest+
  • OSCP
  • GIAC GPEN
  • OSEP

Wanneer je dus van plan bent om certificeringen te halen dan zou je je huidige niveau kunnen spiegelen aan bovenstaande lijstje. Ben je een beginner of student dan is Security+ een mooie instap. Ben je heel wat jaren systeembeheerder dan zou je kunnen starten met PenTest+ of CEH. Maar buiten bovenstaande lijstje is het aan te raden, voor kennis en carrière om zoveel mogelijk certificeringen te pakken. Wanneer je je later gaat specialiseren dan kun je ook in die range weer certificaten halen.

En dan, wanneer je je studie gekozen hebt en/of je hebt de gewenste certificeringen gekozen dan komt het neer op het aanscherpen van skills. Certificeringen helpen je op weg. Maar met de juiste skillset begin je gegrond aan een certificeringstraject waardoor deze korter wordt en daarnaast zal een goede skillset je altijd tijdens je werkzaamheden ondersteunen en helpen. Jouw skills zijn jouw eigen aangescherpte Zwitserse zakmes. Met de juiste skills kun je snel en effectief werken. Er zijn 101 methoden om deze skills aan te scherpen. Voor mij helpt me om me te verdiepen in verschillende topics en om deze toe te passen in een testomgeving. Voor mij helpt ook het opschrijven van verschillende dingen enorm want dan onthoud ik ze beter. Dus hands-on oefenen. Maar wat ook een fantastische resource is voor het aanscherpen van skills is het spelen van zogenaamde CTF’s ofwel “Capture The Flags”. Er zijn vele platformen die tegenwoordig bewust vulnerable machines aanbieden die jij als gebruiker mag hacken. Elke machine kent zijn eigen uitdaging en dus ook zijn eigen leermomenten. Hoe meer CTF’s je speelt des te beter je skillset zal ontwikkelen. En dit is niet alleen voor security testers ofwel het traditionele “red team”. Er zijn ook diverse CTF challenges die zich richten op “blue team” skills en werkzaamheden. Er zijn zelfs events waarbij “red team” VS “blue team” skills worden getoetst. Want elke goede “blue teamer” moet beschikken over “red team” skills en visa versa.

Mijn advies is ook om jezelf te verdiepen in de topics die jij interessant vindt. Door hiermee aan de slag te gaan kom je vaak vanzelf in aanraking met andere topics waar je je vervolgens weer in kunt verdiepen. Wanneer je methodisch te werk wilt gaan zou ik aanraden om “ongeveer” de volgende volgorde aan te houden omdat deze het meest logisch is.

  • Windows (onderdelen / OS opbouw)
  • Linux (onderdelen / OS opbouw)
  • Windows Powershell
  • Linux Bash
  • Windows Powershell Scripting
  • Linux Powershell Scripting
  • HTML / PHP
  • Networking (hoe functioneert een netwerk en uit welke onderdelen bestaat het)
  • Networking Protocollen
  • Windows domeinen en domein onderdelen
  • Python Scripting
  • SQL / Database kennis
  • C / C++ scripting
  • Ken de Hacking Tool Toolkit
  • Hacking frameworks and techniques
  • Hardware kennis / hardware hacking
  • Cryptography

Bovenstaande lijst is een high-overview van skills en daar horen nog vele sub-skills onder. Zoals ik al gezegd had, een security tester moet gewoon beschikken over veel en diepgaande kennis. En naast deze kennis moet je op de hoogte blijven van de laatste ontwikkelingen binnen je vakgebied, aanvalsmethodes en algemene security ontwikkelingen.

Tenslotte vind ik het belangrijk dat we elkaar als “security testers” helpen om “skilled” te blijven. Deel je kennis dan ook met collega’s op de platformen die daarvoor bedoeld zijn. Vanuit dat oogpunt, of als er nog vragen zijn omtrent educatie / carrière wil ik je graag uitnodigen op onze “NL InfoSec” Discord Server (klik op het icoontje hier beneden of elders op de site). Hier kun je terecht met vragen en is kennisdeling ook meer dan welkom. Onze leuke community zal je van harte welkom heten!

Phishing / Spam Checker:
Have you received a strange mail and do you want to make a better assessment? Is it phishing or spam? Use my "CheckForPhishing" tool!
Check your email
Laatst geüploade video:
Bekijk de meest recente video hier of bekijk alle video's op mijn:
YouTube kanaal
Top