_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.226.7.15

Online
Gäste: 12
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3382, neuestes ist Monfalcone

Follow us on Twitter
Follow us on Twitter

scip_Alerter
28.10.1428.10.14BSD FTP Client HTTP Redirect Handler erweiterte Rechte
28.10.1428.10.14Linux Kernel SCTP Stack associola.c list_for_each_entry() Kernel Panic Denial of Service
27.10.1427.10.14Cisco ASR901 IPv4 Packet Handler Flooding Denial of Service
27.10.1427.10.14GNU wget FTP Handler Symlink erweiterte Rechte
27.10.1427.10.14Linux Kernel kvm_host.h Crash Denial of Service

Zeige aktuelle Schwachstellen

Schon gewusst, dass...
...in der Regel durch die IANA sowohl TCP als auch UDP einem Port zugeordnet wird, auch wenn eine entsprechende Implementierung des jeweiligen Protokolls nur wenig Sinn macht (z.B. HTTP auf udp/80).

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 119)
"Ich denke, dass es einen Weltmarkt für vielleicht fünf Computer gibt." - Thomas J. Watson, 1943

Zeige alle Zitate (246 Total)

An diesem Tag...
ID 689 1994: Thomas R. Nicely veröffentlicht den Berechnungsbug im Pentium Prozessor

Zeige alle Einträge (711 Total)

Google Werbung

 
Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.

Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten.

Was macht eigentlich ein Security Consultant? (Montag, 2. Mai 2011 - 08:29:48)
[Marc's Blog] Stets wenn man jemanden kennenlernt, wird ein Gespräch früher oder später auf die Frage gelenkt, was man denn so arbeitet. Ich mag diese Frage eigentlich gar nicht, vor allem nicht im Rahmen einer total oberflächlichen Smalltalk-Konversation. Oftmals pflege ich lapidar zu sagen, dass ich "ein Informatiker" sei oder "mit Computern" zu tun habe. Manche Menschen sind von der Langweiligkeit, die diese Tätigkeiten vermuten lassen, abgeschreckt und verzichten auf weitere Fragen. Andere wiederum ergreifen die Möglichkeit und Fragen allerlei Dinge über ihre Windows- und Drucker-Probleme - Zwei Dinge, die mich so gar nicht interessieren.

Das Problem ist, dass ich nicht mit einem gängigen Ausdruck oder einem einzelnen Satz sagen kann, was ich arbeite. Welcher Nicht-Informatiker kann sich schon vorstellen, was ein IT Security Consultant tut oder ein Penetration Tester so macht? Ich müsste eine Vielzahl an Dingen erklären. Manchmal mache ich das, wenn ich merke, dass sich wirklich jemand dafür interessiert. Oftmals bleibe ich aber bei meiner ungeliebten und mit Gefahren verbundenen "Informatiker-Antwort".

Doch was ist denn nun ein Security Consultant genau? Was macht er den ganzen Tag? Wie der Begriff selbst vermuten lässt, ist er ein Berater (Consultant) in Sicherheitsfragen (Security). Eine beratende Tätigkeit ist in erster Linie mit viel Redearbeit verbunden. So wird man an Projekte und Meetings eingeladen, um im Hintergrund die Vorgänge zu studieren und seine Meinung kund zu tun. Soetwas wird dann als Second Opinion (Zweitmeinung) oder Coaching bezeichnet. In vielen Fällen studiert man Konzepte und Abläufe, hilft manchmal bei der Ausarbeitung, Etablierung, Prüfung und Überarbeitung dieser. Dies wird dann Concept Review bzw. Process Review genannt.

Mit Beratungsmandaten gehen aufgrund der gewünschten Nachhaltigkeit die Abgabe von Schriftdokumenten einher. In diesen Statements oder Reports werden die Arbeiten und ihre Resultate festgehalten. Dazu wird sich unterschiedlicher Stilmittel bedient. Einerseits können Berechnungen, Statistiken und Diagramme (z.B. Kuchendiagramme) verwendet werden. Zum Beispiel, um Trends und Benchmarkings aufzeigen zu können. Andererseits können Checklisten und Tabellen eingesetzt werden, um unterschiedliche Punkte festhalten zu können. Schlussendlich wird aber immer irgendwo ein Prosatext verwendet, um die Aussagen mit eigenen Worten festhalten zu können. Gerade bei technischen Dokumentationen werden dabei wissenschaftliche Stilmittel (z.B. Quellenangaben) eingesetzt. Und zur Auflockerung oder dem Gewähren eines besseren Verständnis werden Diagramme (z.B. Logikflussdiagramme), Zeichnungen (z.B. Netzwerkaufbau) und Screenshots verwendet.

In unserem Unternehmen ist jeder "technische Mitarbeiter" (nicht Mitglied des Management, Backoffice oder Verkauf) ein Security Consultant. Dabei hat jeder natürlich seinen Hintergrund und seine Vorlieben. Doch alle bei uns verfügen über ein gewisses Mass an technischem Knowhow bezüglich Betriebssystemen, Programmierung, Netzwerken und Sicherheitsmechanismen.

Wir pflegen oftmals Probleme zu lösen, die a) eine sehr hohe Komplexität aufweisen und b) von noch niemandem gelöst wurden. Ein effizientes Arbeiten in einem solchen Umfeld setzt sodann voraus, dass man die richtigen Werkzeuge einsetzen kann. Das Erstellen eigener Datenbanken oder das Entwickeln von Tools ist zentraler Bestandteil fast aller Projekte. Denn nur selten kann man auf umfangreiche verfügbare Lösungsmittel zurückgreifen, um den individuellen Anforderungen eines neuen Projekts gerecht zu werden. Geistige, strategische und technische Flexibilität sind also unabdingbare Voraussetzungen, um erfolgreich arbeiten zu können.

Es gibt Aspekte im Bereich der Informationssicherheit, die haben sich seit tausenden von Jahren nicht geändert (z.B. Prinzip mehrstufiger Sicherheit, Grundlagen der Kryptologie). Andere Aspekte sind einem sehr hohen Tempo in Bezug auf Änderungen und Weiterentwicklungen unterworfen (z.B. aktuelle Verwundbarkeiten und Exploits). Alle Mitarbeiter sind angehalten, sich stetig weiterzubilden. Hierzu werden jedem Zeit und Ressourcen eingeräumt. Das Lesen von Büchern, Artikeln, Blogs und Tweets zum Thema sind genauso wichtig, wie das Vorantreiben eigener Forschungen auf diesem Gebiet.

Lese/Schreibe Kommentar: 13 printer friendly

News Categories

1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.1220 second(s).