_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.159.156.181

Benutzername:

Passwort:


Cookies aktivieren

Bitte hier klicken für die Liste der Neuigkeiten

Online
Gäste: 8
Auf dieser Seite: 2
Mitglieder: 3382, neuestes ist Monfalcone

Follow us on Twitter
Follow us on Twitter

scip_Alerter
05.03.1505.03.15Cisco IOS/IOS XE Radius Denial of Service
05.03.1505.03.15Cisco IOS Autonomic Networking Message Handler erweiterte Rechte
05.03.1505.03.15Microsoft Windows Secure Channel schwache Verschlüsselung
05.03.1505.03.15Linux Foundation Xen Emulation Routine Information Disclosure
05.03.1505.03.15Linux Foundation Xen HYPERVISOR_xen_version Information Disclosure

Zeige aktuelle Schwachstellen

Schon gewusst, dass...
...das schweizer POLYCOM-Netz von der Bakom den Frequenzbereich 380 bis 400 MHz zugeteilt bekommen hat und die Daten in der Regel mit 128 bit verschlüsselt werden? Private Schlüssel für Kommunikationen im Direct Mode (DMO) bestehen aus vier Ziffern (10^4) und weisen von sich aus kein Ablaufdatum auf.

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 237)
"So kann also die Mathematik definiert werden als diejenige Wissenschaft, in der wir niemals das kennen, worüber wir sprechen, und niemals wissen, ob das, was wir sagen, wahr ist." - Bertrand Russell

Zeige alle Zitate (246 Total)

An diesem Tag...
ID 706 1992: Der Michaelangelo-Virus sollte angeblich alle infizierten Computer abstürzen lassen

Zeige alle Einträge (711 Total)

Google Werbung

 
Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.

Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten.

Was macht eigentlich ein Security Consultant? (Montag, 2. Mai 2011 - 08:29:48)
[Marc's Blog] Stets wenn man jemanden kennenlernt, wird ein Gespräch früher oder später auf die Frage gelenkt, was man denn so arbeitet. Ich mag diese Frage eigentlich gar nicht, vor allem nicht im Rahmen einer total oberflächlichen Smalltalk-Konversation. Oftmals pflege ich lapidar zu sagen, dass ich "ein Informatiker" sei oder "mit Computern" zu tun habe. Manche Menschen sind von der Langweiligkeit, die diese Tätigkeiten vermuten lassen, abgeschreckt und verzichten auf weitere Fragen. Andere wiederum ergreifen die Möglichkeit und Fragen allerlei Dinge über ihre Windows- und Drucker-Probleme - Zwei Dinge, die mich so gar nicht interessieren.

Das Problem ist, dass ich nicht mit einem gängigen Ausdruck oder einem einzelnen Satz sagen kann, was ich arbeite. Welcher Nicht-Informatiker kann sich schon vorstellen, was ein IT Security Consultant tut oder ein Penetration Tester so macht? Ich müsste eine Vielzahl an Dingen erklären. Manchmal mache ich das, wenn ich merke, dass sich wirklich jemand dafür interessiert. Oftmals bleibe ich aber bei meiner ungeliebten und mit Gefahren verbundenen "Informatiker-Antwort".

Doch was ist denn nun ein Security Consultant genau? Was macht er den ganzen Tag? Wie der Begriff selbst vermuten lässt, ist er ein Berater (Consultant) in Sicherheitsfragen (Security). Eine beratende Tätigkeit ist in erster Linie mit viel Redearbeit verbunden. So wird man an Projekte und Meetings eingeladen, um im Hintergrund die Vorgänge zu studieren und seine Meinung kund zu tun. Soetwas wird dann als Second Opinion (Zweitmeinung) oder Coaching bezeichnet. In vielen Fällen studiert man Konzepte und Abläufe, hilft manchmal bei der Ausarbeitung, Etablierung, Prüfung und Überarbeitung dieser. Dies wird dann Concept Review bzw. Process Review genannt.

Mit Beratungsmandaten gehen aufgrund der gewünschten Nachhaltigkeit die Abgabe von Schriftdokumenten einher. In diesen Statements oder Reports werden die Arbeiten und ihre Resultate festgehalten. Dazu wird sich unterschiedlicher Stilmittel bedient. Einerseits können Berechnungen, Statistiken und Diagramme (z.B. Kuchendiagramme) verwendet werden. Zum Beispiel, um Trends und Benchmarkings aufzeigen zu können. Andererseits können Checklisten und Tabellen eingesetzt werden, um unterschiedliche Punkte festhalten zu können. Schlussendlich wird aber immer irgendwo ein Prosatext verwendet, um die Aussagen mit eigenen Worten festhalten zu können. Gerade bei technischen Dokumentationen werden dabei wissenschaftliche Stilmittel (z.B. Quellenangaben) eingesetzt. Und zur Auflockerung oder dem Gewähren eines besseren Verständnis werden Diagramme (z.B. Logikflussdiagramme), Zeichnungen (z.B. Netzwerkaufbau) und Screenshots verwendet.

In unserem Unternehmen ist jeder "technische Mitarbeiter" (nicht Mitglied des Management, Backoffice oder Verkauf) ein Security Consultant. Dabei hat jeder natürlich seinen Hintergrund und seine Vorlieben. Doch alle bei uns verfügen über ein gewisses Mass an technischem Knowhow bezüglich Betriebssystemen, Programmierung, Netzwerken und Sicherheitsmechanismen.

Wir pflegen oftmals Probleme zu lösen, die a) eine sehr hohe Komplexität aufweisen und b) von noch niemandem gelöst wurden. Ein effizientes Arbeiten in einem solchen Umfeld setzt sodann voraus, dass man die richtigen Werkzeuge einsetzen kann. Das Erstellen eigener Datenbanken oder das Entwickeln von Tools ist zentraler Bestandteil fast aller Projekte. Denn nur selten kann man auf umfangreiche verfügbare Lösungsmittel zurückgreifen, um den individuellen Anforderungen eines neuen Projekts gerecht zu werden. Geistige, strategische und technische Flexibilität sind also unabdingbare Voraussetzungen, um erfolgreich arbeiten zu können.

Es gibt Aspekte im Bereich der Informationssicherheit, die haben sich seit tausenden von Jahren nicht geändert (z.B. Prinzip mehrstufiger Sicherheit, Grundlagen der Kryptologie). Andere Aspekte sind einem sehr hohen Tempo in Bezug auf Änderungen und Weiterentwicklungen unterworfen (z.B. aktuelle Verwundbarkeiten und Exploits). Alle Mitarbeiter sind angehalten, sich stetig weiterzubilden. Hierzu werden jedem Zeit und Ressourcen eingeräumt. Das Lesen von Büchern, Artikeln, Blogs und Tweets zum Thema sind genauso wichtig, wie das Vorantreiben eigener Forschungen auf diesem Gebiet.

Lese/Schreibe Kommentar: 13 printer friendly

News Categories

1997-2015 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.1200 second(s).