"Lezingen en lekken beste CV security professional"
Wie als security professional aan de slag wil kan het beste naar beveiligingslekken opzoek gaan en lezingen tijdens grote conferenties geven. Dat adviseert de bekende Mac-hacker Charlie Miller. Miller werkte zelf vijf jaar voor het Amerikaanse National Security Agency (NSA). Hij kon nieuwe werkgevers echter niets vertellen over wat hij hier gedaan had. Het viel dan ook niet mee om een baan te krijgen.
Miller werkte aan zijn eigen vaardigheden en ontdekte verschillende beveiligingslekken. Zo won hij meerdere keren de Pwn2Own hackerwedstrijd via kwetsbaarheden in Safari. Toch adviseert hij beginnende security professionals om met webapplicatiebeveiliging te beginnen, aangezien daar het meeste werk is te vinden.
Daarnaast raadt hij beginners aan om zich niet blind op certificaten te staren. "Wat ik geleerd heb, is dat bij de dingen waar ik geinteresseerd in ben, certificeringen niet echt zinvol zijn om naar een baan te zoeken, behalve om te laten zien dat je de basis van het onderwerp begrijpt."
Kunstenaar
Miller stelt dat in de IT security diploma's en certificaten niet per definitie vaardigheden betekenen. "Alleen vaardigheden laten vaardigheden zien en het is lastig om vaardigheden te meten", aldus de Mac-hacker. Hij vergelijkt het met een kunstenaar of architect die een baan zoekt. "Het is minder belangrijk om te weten naar welke school die ging, dan de plannen en tekeningen die hij kan laten zien."
Dat was ook het probleem waar Miller tegen aanliep toen hij bij de NSA vertrok. "Ik had niets om aan te geven dat ik wist waar ik het over had." De beste manier om een CV op te bouwen is volgens hem het vinden van beveiligingslekken (CVE's) en het geven van lezingen. "Als ik een CV zie met een aantal indrukwekkende CVE's en een aantal lezingen op grote conferenties, trekt dat zeker mijn aandacht."
Dus als je niet kunt hacken, snap je niets van beveiliging...
En natuurlijk is een combinatie van diploma's / certificaten en vooral praktijkkennis / vaardigheden goed.
Maar dat geldt voor ieder vakgebied lijkt me, van timmerman t/m neurochirurg.
Ik kijk liever naar organisatie brede security implementaties.
Zal wel aan mij liggen...
Verder is het inderdaad wel zo dat vele "security experts" niet weten wat een heap of een stack is. Dat maakt het vrijwel onmogelijk om met echt inzicht technische risicobeoordelingen te kunnen doen. Men begrijpt domweg niet voldoende van de onderliggende techniek om zinnige uitspraken te kunnen doen. Alsof een kleermaker een autogordel laat ontwerpen terwijl deze niet de juiste SOORT kennis heeft van materialen waarmee je autogordels bouwt.
My two cents...
Ik kijk liever naar organisatie brede security implementaties.
Zal wel aan mij liggen...
Wel, security is dan ook een breed vakgebied.
In het segment (en niveau) waar Charlie Miller zit, vind ik zijn keuzes waar hij naar kijkt om iemand als peer te beoordelen goed gekozen.
"organisatie brede security implementatie" zegt in die hoek erg weinig, of is feitelijk zelfs een negatieve aanbeveling.
(gewoon, omdat je om ergens echt goed in te zijn er ook gewoon erg veel mee bezig moet zijn, en als je "organisatie brede implementaties" doet, blijft er echt te weinig tijd over je echt in applicatie lekken te verdiepen.
Overigens, "organisatie brede implementaties" kunnen ook goed of slecht gedaan worden, dus hoe maak jij die keuze als je een mening over iemand moet vormen ?
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.