_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.198.139.30

Online
Gäste: 6
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3381, neuestes ist mL7eW4aD1r

Follow us on Twitter
Follow us on Twitter

scip_Alerter
22.08.1422.08.14PHP cdf_read_property_info() Denial of Service
21.08.1421.08.14Symantec PGP Desktop/Encryption Desktop Mail Compression Handler Denial of Service
21.08.1421.08.14PHP DNS TXT Record Handler dns_get_record() Segmentation Fault Pufferüberlauf
20.08.1420.08.14ESET Endpoint Security/Smart Security NIDS Filter EpFwNdis.sys erweiterte Rechte
20.08.1420.08.14Delphi XE/C++ Builder VCL library Pufferüberlauf

Zeige aktuelle Schwachstellen

Schon gewusst, dass...
...die Weiterentwicklung des Web Application Testing Tools Mini-Browser eingestellt und sämtliche offizielle Versionen vom Netz genommen wurden? Der Grund ist unklar.

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 246)
"Wenn man über nichts gescheites zu diskutieren weiss, streitet man halt über Betriebssysteme und Programmiersprachen." - Marc Ruef, 08. April 2007
Zeige alle Zitate (246 Total)

An diesem Tag...
ID 605 1923: Geburtstag von Edgar F. Codd
ID 341 1957: DEC wird gegründet
ID 112 1991: General Vadim Bakatin wird Vorsitzender des KGB
ID 709 2003: Jesus Oquendo veröffentlicht BRAT

Zeige alle Einträge (711 Total)

Google Werbung

 
Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.

Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten.

Was macht eigentlich ein Security Consultant? (Montag, 2. Mai 2011 - 08:29:48)
[Marc's Blog] Stets wenn man jemanden kennenlernt, wird ein Gespräch früher oder später auf die Frage gelenkt, was man denn so arbeitet. Ich mag diese Frage eigentlich gar nicht, vor allem nicht im Rahmen einer total oberflächlichen Smalltalk-Konversation. Oftmals pflege ich lapidar zu sagen, dass ich "ein Informatiker" sei oder "mit Computern" zu tun habe. Manche Menschen sind von der Langweiligkeit, die diese Tätigkeiten vermuten lassen, abgeschreckt und verzichten auf weitere Fragen. Andere wiederum ergreifen die Möglichkeit und Fragen allerlei Dinge über ihre Windows- und Drucker-Probleme - Zwei Dinge, die mich so gar nicht interessieren.

Das Problem ist, dass ich nicht mit einem gängigen Ausdruck oder einem einzelnen Satz sagen kann, was ich arbeite. Welcher Nicht-Informatiker kann sich schon vorstellen, was ein IT Security Consultant tut oder ein Penetration Tester so macht? Ich müsste eine Vielzahl an Dingen erklären. Manchmal mache ich das, wenn ich merke, dass sich wirklich jemand dafür interessiert. Oftmals bleibe ich aber bei meiner ungeliebten und mit Gefahren verbundenen "Informatiker-Antwort".

Doch was ist denn nun ein Security Consultant genau? Was macht er den ganzen Tag? Wie der Begriff selbst vermuten lässt, ist er ein Berater (Consultant) in Sicherheitsfragen (Security). Eine beratende Tätigkeit ist in erster Linie mit viel Redearbeit verbunden. So wird man an Projekte und Meetings eingeladen, um im Hintergrund die Vorgänge zu studieren und seine Meinung kund zu tun. Soetwas wird dann als Second Opinion (Zweitmeinung) oder Coaching bezeichnet. In vielen Fällen studiert man Konzepte und Abläufe, hilft manchmal bei der Ausarbeitung, Etablierung, Prüfung und Überarbeitung dieser. Dies wird dann Concept Review bzw. Process Review genannt.

Mit Beratungsmandaten gehen aufgrund der gewünschten Nachhaltigkeit die Abgabe von Schriftdokumenten einher. In diesen Statements oder Reports werden die Arbeiten und ihre Resultate festgehalten. Dazu wird sich unterschiedlicher Stilmittel bedient. Einerseits können Berechnungen, Statistiken und Diagramme (z.B. Kuchendiagramme) verwendet werden. Zum Beispiel, um Trends und Benchmarkings aufzeigen zu können. Andererseits können Checklisten und Tabellen eingesetzt werden, um unterschiedliche Punkte festhalten zu können. Schlussendlich wird aber immer irgendwo ein Prosatext verwendet, um die Aussagen mit eigenen Worten festhalten zu können. Gerade bei technischen Dokumentationen werden dabei wissenschaftliche Stilmittel (z.B. Quellenangaben) eingesetzt. Und zur Auflockerung oder dem Gewähren eines besseren Verständnis werden Diagramme (z.B. Logikflussdiagramme), Zeichnungen (z.B. Netzwerkaufbau) und Screenshots verwendet.

In unserem Unternehmen ist jeder "technische Mitarbeiter" (nicht Mitglied des Management, Backoffice oder Verkauf) ein Security Consultant. Dabei hat jeder natürlich seinen Hintergrund und seine Vorlieben. Doch alle bei uns verfügen über ein gewisses Mass an technischem Knowhow bezüglich Betriebssystemen, Programmierung, Netzwerken und Sicherheitsmechanismen.

Wir pflegen oftmals Probleme zu lösen, die a) eine sehr hohe Komplexität aufweisen und b) von noch niemandem gelöst wurden. Ein effizientes Arbeiten in einem solchen Umfeld setzt sodann voraus, dass man die richtigen Werkzeuge einsetzen kann. Das Erstellen eigener Datenbanken oder das Entwickeln von Tools ist zentraler Bestandteil fast aller Projekte. Denn nur selten kann man auf umfangreiche verfügbare Lösungsmittel zurückgreifen, um den individuellen Anforderungen eines neuen Projekts gerecht zu werden. Geistige, strategische und technische Flexibilität sind also unabdingbare Voraussetzungen, um erfolgreich arbeiten zu können.

Es gibt Aspekte im Bereich der Informationssicherheit, die haben sich seit tausenden von Jahren nicht geändert (z.B. Prinzip mehrstufiger Sicherheit, Grundlagen der Kryptologie). Andere Aspekte sind einem sehr hohen Tempo in Bezug auf Änderungen und Weiterentwicklungen unterworfen (z.B. aktuelle Verwundbarkeiten und Exploits). Alle Mitarbeiter sind angehalten, sich stetig weiterzubilden. Hierzu werden jedem Zeit und Ressourcen eingeräumt. Das Lesen von Büchern, Artikeln, Blogs und Tweets zum Thema sind genauso wichtig, wie das Vorantreiben eigener Forschungen auf diesem Gebiet.

Lese/Schreibe Kommentar: 13 printer friendly

News Categories

1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.1310 second(s).