Neuanfang/Wechsel zu Pentester

[Graustein]

Nabend, mal wieder ein Faden zur beruflichen Weiterbildung von mir.
Aber vorweg, nein es geht nicht um ein Studium, mit diesem Punkt habe ich abgeschlossen, da ich mich nicht 4-5 Jahre an so etwas fix binden will was ca 15h die Woche kostet bzw meine Zeit mit anderen Dingen verbringen will.
Trotzdem sind natürlich ein paar Stunden die Woche drin (Weiterbildung in der IT ist "Pflicht" und macht mir idR auch Spaß) und auch 10h oder mal 15h wenn denn der Zeitrahmen nicht so lange ist, zum Beispiel ein halbes Jahr.
Nun hab ich mir Gedanken gemacht 1. was kann man schaffen, 2. was interessiert mich und 3. was wird gebraucht, gerade auch in "meiner" Firma. 
Denn, da bin ich ehrlich, irgendwo als Junior anfangen und dann auf 30-40k Euro brutto zu verzichten (liege derzeit bei 85k) ist nicht drin und will ich auch nicht.
Mag vielleicht überheblich sein, aber gerade mit Familie würde ich auch eher mein Wohl hinten anstellen und dann lieber weiter im ungeliebten Job bleiben als woanders für deutlich weniger zu ackern.
Lange Reder kurzer Sinn:
Im gleichen Konzern gibt es eine Tochter, die macht IT Sicherheit und sucht immer Junior Pentester.
Ein Wechsel wäre ggf sogar möglich unter Beibehaltung es aktuellen Gehalts, wobei min. Gehalt bei ca 65.000 liegt, das wäre für 1-2 Jahre auch noch zu verschmerzen.
Meine 15 Jahre Betriebszugehörigkeit laufen weiter, meine bAV läuft weiter.
Pentesting interessiert mich (Hab etwas "rumgespielt" - klar ist das nicht professionell, aber es ist ein interessantes Thema und endlich mal wieder was herausforderdes und nicht Kunde xyz der nur zu blöd ist das Handbuch zu lesen und L1 der noch blöder ist und das Thema dann zu mir im L2 schiebt.)

Bleibt Punkt 1, was kann man schaffen.

Anbei mal die Fachlichen Anforderungen. Junior Pentester

• Studienabschluss in Informatik, Elektrotechnik, IT-Sicherheit oder einem vergleichbaren Studiengang
• Fundierte Kenntnisse im Penetration Testing (Soft- und Hardware) oder relevanten Schnittstellen (USB, Bluetooth, Wifi, Mobilfunk) sowie Erfahrung im Umgang mit gängigen Tools
• Darüber hinaus sind Spezialkenntnisse in den folgenden Bereichen hilfreich:

1. IT-Sicherheit & Kryptographie
2. Programmierung in C und Python und ggf. weiteren Sprachen (z.B. Assembler, Java)
3. Automobilelektronik und Bussysteme
4. Internet of Things (IoT)
5. Fundierte Hardwarekenntnisse
6. Penetration Testing von Backendsystemen (Server, Netzwerke)

Ich hab schon mit dem Personaler gesprochen, Studium ist wohl kein Muss.
Fundierte Kenntnisse in Pentesting, hab ich natürlich keine.
Mein Plan wäre, die nächsten 6 Monate mich ausgiebig mit folgendem zu beschäftigen:
Hack the Box -> noch kein Pro Zugang aber kostet mit 10-15 Pfund ja nicht die welt um das mal 2-3 Monate zu nutzen.
PentesterLab -> hab ich 3 Monate Zugang
PentesterAcadamy -> hab ich schon 1 Jahr Abo

evtl INE.com (wobei das recht teuer ist mit 49 Dollar im Monat bzw 499 im Jahr)

Jeglichen Inhalt dort durchzuarbeiten.
Gleichzeitig/Danach Kali Linux
Bei genug Grundlagen dann den OCSP angehen und ablegen (wird ne harte Nuss aber meiner Meinung machbar)
Mit dem im Sack sollte eine Bewerbung klappen.

Frage ans Forum, Meinungen, Verbesserungen, Anregungen, eigene Erfahrungen?
Tolle Webseiten, Bücher, usw die ich übersehen habe und man unbedingt mitnehmen muss?

 

 

 

 

[eneR]

vor 10 Stunden schrieb Graustein:

Ein Wechsel wäre ggf sogar möglich unter Beibehaltung es aktuellen Gehalts, wobei min. Gehalt bei ca 65.000 liegt, das wäre für 1-2 Jahre auch noch zu verschmerzen.

Wenn das klappt unter Beibehaltung des jetzigen Gehalts.. klingt nach Luxus. Wo kann man sich sonst beruflich komplett neu orientieren und trotz zumindest anfänglich nicht vorhandener Fachkenntnisse  fürstlich entlohnt werden? 

Aber was wenn du auf 65k runtergehst, wer sagt das du nach 1-2 Jahren wieder auf 85k bist?

Und warum überhaupt so einen wechsel? Keine Perspektive mehr auf der jetzigen Position?

[Maniska]

vor 22 Minuten schrieb eneR:

Und warum überhaupt so einen wechsel? Keine Perspektive mehr auf der jetzigen Position?

Wenn ich das noch richtig weiß, "Langeweile" im aktuellen Job, und keine Entwicklungsmöglichkeiten mehr.

[Graustein]

Normalerweise ist der Wechsel Gehaltsneutral.

Natürlich muss die neue Stelle das sich her geben, wenn ich jetzt als Pförtner anfangen geht das nicht. 
65k ist das Unterste Niveau für Einsteiger. Ob ich nach 2 Jahre wieder auf 85k bin keine Ahnung aber es wird auf jeden Fall hoch gehen.
Wenn es dann erstmal „nur“ 75k sind ist auch nicht tragisch ;-). Maximal gibt die Stelle als Senior um die 100.000 her. 
 

Warum Wechsel, ich entferne mich immer mehr von IT Themen und Technik. Der Support wird immer langweiliger, da die kniffligen Fälle ausbleiben und es immer mehr: Kunde ist halt zu doof, mach du mal, heißt. 
Die Kunden sind immer weniger geschult und haben auch immer weniger IT Wissen. 
Der Kunde zahlt dann zwar idR gutes Geld dafür,  aber das ist dann auf dem Niveau altem Opa sein Windows und Drucker einrichten. 
Dazu gibt es interne Streitigkeiten mit einer BU, wo nix zusammenpasst. Die meisten da sind nochmal ausgelagert und verdienen super wenig und finden daher keine Leute, die Software von denen ist so mies, keiner hat ein Plan, alle Entwickler hauen ab. Betrifft mich zwar nur am Rande aber immer wenn ich ein Case mit denen hab würd ich am liebsten gleich kündigen...
In meinem Team sind mittlerweile auch alle fähigen Leute weg, bis auf einen. Der Rest hat kein Plan von IT obwohl das unser tägliches Brot ist

will mich jetzt auch nicht als oberschlau darstellen, aber ich kann wenigstens Google benutzen 😂

Weiterentwicklung schwierig, wurde zwar letzte Woche gefragt ob ich Interesse an einer Stelle in unserer Abteilung (After Sales) habe wo der Kollege in Rente geht, aber das ist auch wieder ein Schritt weg von der IT. Da wäre ich dann zuständig als Service Projekt Leader. 
Heißt ich bin für bestimmte Produkte im After Sales verantwortlich was Reparaturen angeht, Ersatzteile, Schulung für den Support usw

klingt zwar auch ganz interessant aber ich weiß nicht...

[0x00]

BU?

[Rabber]

Wirklich hilfreiche Ratschläge kann ich Dir nicht bieten, aber ich drücke Dir die Daumen. Die Motivation klingt plausibel, die Dir gebotenen Möglichkeiten sind ein Luxus, welchen Du annehmen solltest und der Plan klingt erst einmal sinnvoll.

Da Du einen guten Draht zu dem Entscheider/HR-Menschen dort hast, würde ich dort direkt nachfragen, ob das Szenario für Dich infrage käme oder ob Du so nur Deine Zeit verschwendest. 

[Graustein]

vor 15 Minuten schrieb 0x00:

BU?

Business Unit

@Rabber

Danke, ja das ist ne große Chance.
Ich werde auf jeden Fall nochmal mit jemanden von der technischen Seite darüber reden.
Aber die Chancen liegen gut.

[KeeperOfCoffee]

Wünsche dir auf jeden Fall viel Glück. Evlt. kannst du hier ja währen der Monate ein paar Updates schreiben wie es so läuft. Wo willst du eigentlich genau hin, wenn du von "Pentesting" sprichst? (Red, Blue, Pruple)

Bearbeitet 12. Februar 2021 von KeeperOfCoffee

[Graustein]

Die Stelle sollte Red Team sein

 

Deine Aufgaben

• Durchführung von systematischen Penetrationstests, überwiegend im Automotive- und IoT-Umfeld
• Eigenständige Konzeption und Durchführung von Angriffen auf das Zielsystem, wobei die Angriffspfade Kommunikation, Soft- und Hardware mit einschließen
• Analyse, Interpretation und Dokumentation der Ergebnisse sowie Erarbeitung von Lösungsvorschlägen in Zusammenarbeit mit dem Kunden
• Erstellung von Tools zur Testautomatisierung und besseren Reproduzierbarkeit von bereits durchgeführten Angriffen
• Unterstützung der Entwicklung von Angriffen, Methoden und Tools im Gesamtbereich Security Testing (inkl. Functional Security Testing, Vulnerability Scanning und Fuzzing)

[TopSecurity]

Hi Graustein,

ich kann dir auch auf jeden Fall TryHackMe empfehlen, ich würde das sogar vor HackTheBox vorziehen. Es ist eine echt gute Seite, wo du auch direkt einen Lernpfad hast. Es gibt immer mal coole Challenges, wie etwa Advenct of Cyber 2 (TryHackMe | Advent of Cyber 2 [2020]). 

[Graustein]

Danke, werd ich mir anschauen.

[Wissenshungriger]

@Graustein

Du kommst aus München oder? Ich nämlich auch   

Ich habe einen ähnlichen Weg vor wie du.
Bin aktuell im 2nd Level Support und strebe eine Stelle als Junior Pentester an.
Allerdings ist für mich das Thema IoT nicht interessant und ich will mich auf den Bereich Web und Netzwerk fokussieren.
Insofern sind wir auch keine Konkurrenz wenn du dich auf den IoT-Bereich fokussieren willst 😉 

Die Stelle ist mit 65k schon sehr gut bezahlt als Junior.
Ich habe mit einer Firma gesprochen, die das als Dienstleistung anbietet, die zahlt so um die 50k für einen Einsteiger.

Gerne können wir uns auch persönlich austauschen wenn du Lust darauf hast.
Ich bin auch Mitglied in einer "Hackergruppe" und wir sind i.d.R. Donnerstag sowie Samstag aktiv.
Wir machen dann entweder HTB oder eine Maschine von Vulnhub. 

[TooMuchCoffeeMan]

Klingt nach idealen Voraussetzungen für einen Wechsel deines Aufgabengebietes. So eine Chance bietet sich wahrscheinlich nicht vielen Arbeitnehmern in unserem Berufsfeld.

Ich kann leider auch nur wenig Sinnvolles beisteuern. Als ich noch im IT Security Consulting gearbeitet habe, habe ich verschiedene kleinere Pentests begleitet und als Anfänger mitgearbeitet, aber eigentlich war das nicht mein Themenfeld. Dafür gab es eine eigene Abteilung im Unternehmen, die nichts anderes gemacht hat. Der Werdegang der Mitarbeiter dort war immer recht ähnlich, erst ein Studium der Informatik (evtl. mit Schwerpunkt IT Sicherheit) und danach Junior Pentester mit Learning on the Job, wie es im Consulting üblich ist. Nebenbei wurden die Leute natürlich intern und auch extern geschult. Mittelfristig wurden verschiedene Zertifizierungen angestrebt wie CEH (geschenkt) oder OSCP (nicht geschenkt), um dem Kunden die Leute besser "verkaufen" zu können.

Man kann viel theoretisches Wissen im Studium oder Selbststudium lernen, man kann sich auch viel in Sandkästen wie Hack the Box austoben um sich praktisches Wissen anzueignen. Aber am Ende des Tages lernst du einen neuen Beruf und fängst von vorne an. Beim Pentesting kommt es nicht nur auf Wissen an sondern auch auf Erfahrung. Und die bekommt man nur mit der Zeit, wenn man im Beruf arbeitet. Die Interpretation der Ergebnisse eines Pentests ist ein ganz eigenes Minenfeld. Feststellungen müssen mit Risiken assoziiert werden. Es reicht nicht dem Kunden einfach nur eine Liste von Vulnerabilities an den Kopf zu werfen. Als Pentester ist man auch zum Teil an der Remediation Phase beteiligt und muss lernen Ergebnisse entsprechend zu präsentieren, sei es in Wort oder Schrift.

Es ist ein spannendes Feld, kann aber bisweilen auch frustrierend sein, wenn der Kunde die Ergebnisse zwar anerkennt, aber trotzdem nichts unternehmen will. Ich wünsche dir jedenfalls viel Glück!

Bearbeitet 15. Februar 2021 von TooMuchCoffeeMan

[Graustein]

Ich hatte jetzt mit dem potenziellen Chef gesprochen, nur kurz aber die Aussage ist, man braucht nicht zwingend ein Studium, aber es sollten halt Kenntnisse da sein.
Da zu Hauptteil Pentesting im Automotive Bereich stattfindet ist es aber etwas schwieriger sich darauf vorzubereiten, so die Ansage.
Die meisten Tutorials und Webseiten gehen ja eher in Richtung Web/Netzwerk Pentesting.

Phyton sollte halt sitzen, ohne geht es nicht und sich im Automotive Bereich auskennen. OSCP schadet auch nicht.
Man gucke sich jeden Bewerber genau an und wenn man sieht, der kann sich in 1-2 Jahren einarbeiten und passt ins Team gebe man auch eine Chance.

[Rabber]

Das klingt zwar nicht perfekt, aber doch machbar. Wenn Du Dir sicher bist, dass dies der bessere Weg für Deine Zukunft ist, klingt das nach einem soliden Plan. Machen. 👍

[treffnix]

Stimme @Rabber zu, du scheinst seit geraumer Zeit mal wieder Abwechslung zu brauchen (wenn ich deine letzten Threads so lese), jetzt hast du eine sehr komfortable Möglichkeit dich "mal auszuprobieren" in einem neuen Bereich ohne zurück auf Junior Niveau zu fallen. Go for it!

[Kwaiken]

Hört sich nicht schlecht an. Viel Erfolg dabei.

In den letzten 20 Jahren kamen mir beim Pentesting ganz wenige Leute unter, die den Titel meiner Meinung nach vedient hätten. Die meisten beschränkten sich auf die Nutzung von tools wie OpenVAS und das Copy&Paste des automatisch erstellten Reports in das Word-Firmentemplate.

[vMensch]

vor 3 Stunden schrieb Kwaiken:

Hört sich nicht schlecht an. Viel Erfolg dabei.

In den letzten 20 Jahren kamen mir beim Pentesting ganz wenige Leute unter, die den Titel meiner Meinung nach vedient hätten. Die meisten beschränkten sich auf die Nutzung von tools wie OpenVAS und das Copy&Paste des automatisch erstellten Reports in das Word-Firmentemplate.

Solche automatisierten Schwachstellenscanner (OpenVAS, Nessus usw.) sollten eigentlich als Hilfe gesehen werden, um manuelle Tests erfolgreich durchzuführen. Es gibt leider viele Beratungsunternehmen, die den Auszug von den Scannern als Bericht verkaufen...

[TooMuchCoffeeMan]

Am 19.2.2021 um 08:47 schrieb Kwaiken:

Hört sich nicht schlecht an. Viel Erfolg dabei.

In den letzten 20 Jahren kamen mir beim Pentesting ganz wenige Leute unter, die den Titel meiner Meinung nach vedient hätten. Die meisten beschränkten sich auf die Nutzung von tools wie OpenVAS und das Copy&Paste des automatisch erstellten Reports in das Word-Firmentemplate.

 

Am 19.2.2021 um 12:50 schrieb vMensch:

Solche automatisierten Schwachstellenscanner (OpenVAS, Nessus usw.) sollten eigentlich als Hilfe gesehen werden, um manuelle Tests erfolgreich durchzuführen. Es gibt leider viele Beratungsunternehmen, die den Auszug von den Scannern als Bericht verkaufen...

Was man bei all der berechtigten Kritik nicht unerwähnt lassen sollte ist, dass die meisten Unternehmen nicht bereit sind Geld für einen Pentest in die Hand zu nehmen. Das Geschäft ist für die Beratungsunternehmen meist nur semi-rentabel und dient dazu einen Fuß in die Tür zu bekommen. Das Budget reicht auf Seiten der Pentester meistens nur für Anreise, kurzen Pentest, Erstellung eines möglichst aussagefähigen Berichts und das wars. Eigentlich wäre eine entsprechende Interpretation der Ergebnisse notwendig und die Pentester müssten zumindest teilweise an der Remediationphase beteiligt sein. Nicht jede Vulnerability die von einem Tool als kritisch eingestuft wird ist es in der Realität eines Unternehmens auch wirklich. Also müssen Vulnerabilities eigentlich im Kontext des Unternehmens gesondert mit Risiken asoziiert und bewertet werden. Nur Bezahlen will diesen Mehraufwand am Ende Niemand, also wird er auch nicht gemacht.

[Rabber]

Zumal es auch vom Anwendungsfall/Bedarf abhängt und eine Kostenfrage ist.

Bedarf: Ein von einem Profi durchgeführter Pentest mit einem der o. g. Tools kann und wird bei 90+ % der entwickelten Anwendungen oder konfigurierten Systeme Schwachstellen zutage fördern. Schwachstellen, die ohne diesen Test nicht aufgedeckt worden wären oder wenn, dann erst im Schadensfall.  Auch, wenn der Pentest theoretisch noch hätte tiefer gehen können, bringt bereits dieser oberflächliche Test einen Mehrwert.

Kostenfaktor: Security-Experten sind teuer und bereits ein oberflächlicher Test kann Tage bis Wochen in Anspruch nehmen. Dann hat der Kunde schnell fünfstellige Beträge in die Hand genommen und muss dann auch noch seine Mitarbeiter bezahlen, welche die Schwachstellen ausbügeln. Bei intensiven Tests sprechen wir all-in von sechsstelligen Beträgen. Das kann und will sich nicht jede Firma leisten.

Von daher verstehe ich Eure Kritik an oberflächlichen Pentests, möchte jedoch anmerken, dass diese schon ein Schritt nach vorne sind, verglichen mit vor 5 oder 10 Jahren, als diese noch so gut wie gar nicht durchgeführt wurden.

[Kwaiken]

vor 39 Minuten schrieb Rabber:

... bringt bereits dieser oberflächliche Test einen Mehrwert

Das muss ich Dir leider widerpsrechen, @Rabber. Zumindest meiner Erfahrung bieten aufgedeckte Schwachstellen per se keinen Mehrwert. Erst durch eine korrekte Risikoklassifizierung können Handlungsanweisungen daraus abgeleitet werden. Daher stimmte ich @TooMuchCoffeeMan hier zu:

vor einer Stunde schrieb TooMuchCoffeeMan:

Also müssen Vulnerabilities eigentlich im Kontext des Unternehmens gesondert mit Risiken asoziiert und bewertet werden.

Leider habt Ihr zwei jedoch mit einem Recht: 

vor 41 Minuten schrieb Rabber:

Kostenfaktor: Security-Experten sind teuer ...

 

vor einer Stunde schrieb TooMuchCoffeeMan:

... die meisten Unternehmen nicht bereit sind Geld für einen Pentest in die Hand zu nehmen.

So ist es leider. Für Sicherheit und Dokumentation ist nie Geld da. Bis es knallt.

Ich bleibe jedoch bei meiner Meinung, dass ein oberflächlich durchgeführter Pentest für den Kunden kaum einen Mehrwert bietet. Ein Tool laufen lassen, welches sich die CVEs aus einer Datenbank zieht und gegen IP adressen testet, deckt im besten Fall nur Versäumnisse beim Patching auf. Das kann man auch selbst machen und braucht keinen ausgebildeten Pentester für.

[Gooose]

vor 54 Minuten schrieb Rabber:

Ein von einem Profi durchgeführter Pentest mit einem der o. g. Tools kann und wird bei 90+ % der entwickelten Anwendungen oder konfigurierten Systeme Schwachstellen zutage fördern.

Das sind vielleicht auch Kandidaten, die man in eine Build Pipeline mit aufnehmen könnte. Zumindest die, die sich automatisieren lassen.

[pentester]

Am 22.2.2021 um 09:52 schrieb Kwaiken:

Ich bleibe jedoch bei meiner Meinung, dass ein oberflächlich durchgeführter Pentest für den Kunden kaum einen Mehrwert bietet. Ein Tool laufen lassen, welches sich die CVEs aus einer Datenbank zieht und gegen IP adressen testet, deckt im besten Fall nur Versäumnisse beim Patching auf. Das kann man auch selbst machen und braucht keinen ausgebildeten Pentester für.

Das ist kein Pentest, sondern ein VulnScan.

 

Am 19.2.2021 um 08:47 schrieb Kwaiken:

In den letzten 20 Jahren kamen mir beim Pentesting ganz wenige Leute unter, die den Titel meiner Meinung nach vedient hätten. Die meisten beschränkten sich auf die Nutzung von tools wie OpenVAS und das Copy&Paste des automatisch erstellten Reports in das Word-Firmentemplate.

Korrekt, sicherlich 80% am Markt arbeiten so. Erkennt man meistens daran, dass es sich um ein IT-Systemhaus oder um ein Beratungsunternehmen handelt, dass z.B. auch Datenschutz macht.

 

Am 11.2.2021 um 22:57 schrieb Graustein:

Anbei mal die Fachlichen Anforderungen. Junior Pentester

• Studienabschluss in Informatik, Elektrotechnik, IT-Sicherheit oder einem vergleichbaren Studiengang
• Fundierte Kenntnisse im Penetration Testing (Soft- und Hardware) oder relevanten Schnittstellen (USB, Bluetooth, Wifi, Mobilfunk) sowie Erfahrung im Umgang mit gängigen Tools
• Darüber hinaus sind Spezialkenntnisse in den folgenden Bereichen hilfreich:

1. IT-Sicherheit & Kryptographie
2. Programmierung in C und Python und ggf. weiteren Sprachen (z.B. Assembler, Java)
3. Automobilelektronik und Bussysteme
4. Internet of Things (IoT)
5. Fundierte Hardwarekenntnisse
6. Penetration Testing von Backendsystemen (Server, Netzwerke)

Ich hab schon mit dem Personaler gesprochen, Studium ist wohl kein Muss.
Fundierte Kenntnisse in Pentesting, hab ich natürlich keine.
Mein Plan wäre, die nächsten 6 Monate mich ausgiebig mit folgendem zu beschäftigen:
Hack the Box -> noch kein Pro Zugang aber kostet mit 10-15 Pfund ja nicht die welt um das mal 2-3 Monate zu nutzen.
PentesterLab -> hab ich 3 Monate Zugang
PentesterAcadamy -> hab ich schon 1 Jahr Abo

evtl INE.com (wobei das recht teuer ist mit 49 Dollar im Monat bzw 499 im Jahr)

Jeglichen Inhalt dort durchzuarbeiten.
Gleichzeitig/Danach Kali Linux
Bei genug Grundlagen dann den OCSP angehen und ablegen (wird ne harte Nuss aber meiner Meinung machbar)
Mit dem im Sack sollte eine Bewerbung klappen.

Frage ans Forum, Meinungen, Verbesserungen, Anregungen, eigene Erfahrungen?
Tolle Webseiten, Bücher, usw die ich übersehen habe und man unbedingt mitnehmen muss?

Ich finde ehrlich gesagt, dass sich das nach einem Plan anhört. Der klassische IT'ler, der sich Richtung Pentesting entwickelt, wird der bessere Pentester. Die große Herausforderung wird aber sein, relevante Praxiserfahrung nebenbei aufbauen zu können. Kali Linux braucht man nicht, ein normales Debian o.ä. reicht aus... bricht dann auch nicht beim nächsten Update gleich alles.  Der OSCP ist eine gute Richtung, den BACPP gibt es noch aus dem deutschsprachigen Raum. CEH & co und eigentlich vieles andere kann man direkt vergessen. Es gibt selbst Stellenanzeigen fürs Pentesting, die den CISSP vorschreiben... bei großen Firmen muss man aber irgendwie am Personaler vorbei, bis der eigentliche Ansprechpartner die Bewerbung bekommt - oder man geht zu kleineren Unternehmen. In Xing nach pentesting suchen und dort nach Firmen suchen, die kein HR-Personal haben.