_
Hauptmenu
News
Verwundbarkeitsdatenbank
Downloads
- Dokumente
- Software
- Filme
- Guides
Projekte
- Attack Tool Kit
- codEX
- ComInt
- Compupedia
- Computec Online Adventure
- eLearn
- Entropia
- httprecon
- Tractatus
Forum
Statistiken
- Webseite
Links
FAQ
Impressum

Willkommen 54.198.126.197

Online
Gäste: 8
Mitglieder: 0
Auf dieser Seite: 1
Mitglieder: 3376, neuestes ist wapistappoify

Follow us on Twitter
Follow us on Twitter

scip_Alerter
22.07.1422.07.14Cisco IOS XR NetFlow Processor Denial of Service
22.07.1422.07.14Mozilla Firefox/Thunderbird Sandbox SetupReplacementChannel() Use-After-Free erweiterte Rechte
22.07.1422.07.14Mozilla Firefox/Thunderbird SSL Certificate Common Name Handler AppendErrorTextMismatch() schwache Authentisierung
22.07.1422.07.14Mozilla Firefox/Thunderbird SSL Certificate Common Name Handler nsDNSService2.cpp schwache Authentisierung
22.07.1422.07.14Mozilla Firefox/Thunderbird SSL Certificate Common Name Handler TransportSecurityInfo.cpp schwache Authentisierung

Zeige aktuelle Schwachstellen

Schon gewusst, dass...
...Codierung nur in der klassischen Kryptografie Verwendung findet, in der einfache Substitutionen und Transpositionen auf einzelne Zeichen oder Zeichenpaare angewendet werden? In der modernen Kryptografie wird das Wort Chiffrierung verwendet.

Zeige alle Trivias (244 Total)

Zitat des Augenblicks (id 170)
"Hacken ist, wenn man das Wasser für das Fertigkartoffelpüree mit der Kaffeemaschine erhitzen kann." - Wau Holland (1951-2001), Mitbegründer des Chaos Computer Club

Zeige alle Zitate (246 Total)

An diesem Tag...
ID 678 1968: Geburtstag von Hans Heinrich Hübner
ID 190 2005: Der russische Spammer Vardan Kushnir wird mit eingeschlagenem Schädel tot aufgefunden

Zeige alle Einträge (711 Total)

Google Werbung

 
Sie sind zur Zeit nicht angemeldet und haben deshalb nur Gast-Privilegien. Einige Funktionen (z.B. Postings, Kommentare, Bewertungen, Statistiken) sind deshalb deaktiviert. Zudem ist für Gäste in einigen Bereichen Werbung geschaltet.

Melden Sie sich an und loggen Sie sich ein, um Zugriff auf sämtliche Bereiche zu erhalten.

Was macht eigentlich ein Security Consultant? (Montag, 2. Mai 2011 - 08:29:48)
[Marc's Blog] Stets wenn man jemanden kennenlernt, wird ein Gespräch früher oder später auf die Frage gelenkt, was man denn so arbeitet. Ich mag diese Frage eigentlich gar nicht, vor allem nicht im Rahmen einer total oberflächlichen Smalltalk-Konversation. Oftmals pflege ich lapidar zu sagen, dass ich "ein Informatiker" sei oder "mit Computern" zu tun habe. Manche Menschen sind von der Langweiligkeit, die diese Tätigkeiten vermuten lassen, abgeschreckt und verzichten auf weitere Fragen. Andere wiederum ergreifen die Möglichkeit und Fragen allerlei Dinge über ihre Windows- und Drucker-Probleme - Zwei Dinge, die mich so gar nicht interessieren.

Das Problem ist, dass ich nicht mit einem gängigen Ausdruck oder einem einzelnen Satz sagen kann, was ich arbeite. Welcher Nicht-Informatiker kann sich schon vorstellen, was ein IT Security Consultant tut oder ein Penetration Tester so macht? Ich müsste eine Vielzahl an Dingen erklären. Manchmal mache ich das, wenn ich merke, dass sich wirklich jemand dafür interessiert. Oftmals bleibe ich aber bei meiner ungeliebten und mit Gefahren verbundenen "Informatiker-Antwort".

Doch was ist denn nun ein Security Consultant genau? Was macht er den ganzen Tag? Wie der Begriff selbst vermuten lässt, ist er ein Berater (Consultant) in Sicherheitsfragen (Security). Eine beratende Tätigkeit ist in erster Linie mit viel Redearbeit verbunden. So wird man an Projekte und Meetings eingeladen, um im Hintergrund die Vorgänge zu studieren und seine Meinung kund zu tun. Soetwas wird dann als Second Opinion (Zweitmeinung) oder Coaching bezeichnet. In vielen Fällen studiert man Konzepte und Abläufe, hilft manchmal bei der Ausarbeitung, Etablierung, Prüfung und Überarbeitung dieser. Dies wird dann Concept Review bzw. Process Review genannt.

Mit Beratungsmandaten gehen aufgrund der gewünschten Nachhaltigkeit die Abgabe von Schriftdokumenten einher. In diesen Statements oder Reports werden die Arbeiten und ihre Resultate festgehalten. Dazu wird sich unterschiedlicher Stilmittel bedient. Einerseits können Berechnungen, Statistiken und Diagramme (z.B. Kuchendiagramme) verwendet werden. Zum Beispiel, um Trends und Benchmarkings aufzeigen zu können. Andererseits können Checklisten und Tabellen eingesetzt werden, um unterschiedliche Punkte festhalten zu können. Schlussendlich wird aber immer irgendwo ein Prosatext verwendet, um die Aussagen mit eigenen Worten festhalten zu können. Gerade bei technischen Dokumentationen werden dabei wissenschaftliche Stilmittel (z.B. Quellenangaben) eingesetzt. Und zur Auflockerung oder dem Gewähren eines besseren Verständnis werden Diagramme (z.B. Logikflussdiagramme), Zeichnungen (z.B. Netzwerkaufbau) und Screenshots verwendet.

In unserem Unternehmen ist jeder "technische Mitarbeiter" (nicht Mitglied des Management, Backoffice oder Verkauf) ein Security Consultant. Dabei hat jeder natürlich seinen Hintergrund und seine Vorlieben. Doch alle bei uns verfügen über ein gewisses Mass an technischem Knowhow bezüglich Betriebssystemen, Programmierung, Netzwerken und Sicherheitsmechanismen.

Wir pflegen oftmals Probleme zu lösen, die a) eine sehr hohe Komplexität aufweisen und b) von noch niemandem gelöst wurden. Ein effizientes Arbeiten in einem solchen Umfeld setzt sodann voraus, dass man die richtigen Werkzeuge einsetzen kann. Das Erstellen eigener Datenbanken oder das Entwickeln von Tools ist zentraler Bestandteil fast aller Projekte. Denn nur selten kann man auf umfangreiche verfügbare Lösungsmittel zurückgreifen, um den individuellen Anforderungen eines neuen Projekts gerecht zu werden. Geistige, strategische und technische Flexibilität sind also unabdingbare Voraussetzungen, um erfolgreich arbeiten zu können.

Es gibt Aspekte im Bereich der Informationssicherheit, die haben sich seit tausenden von Jahren nicht geändert (z.B. Prinzip mehrstufiger Sicherheit, Grundlagen der Kryptologie). Andere Aspekte sind einem sehr hohen Tempo in Bezug auf Änderungen und Weiterentwicklungen unterworfen (z.B. aktuelle Verwundbarkeiten und Exploits). Alle Mitarbeiter sind angehalten, sich stetig weiterzubilden. Hierzu werden jedem Zeit und Ressourcen eingeräumt. Das Lesen von Büchern, Artikeln, Blogs und Tweets zum Thema sind genauso wichtig, wie das Vorantreiben eigener Forschungen auf diesem Gebiet.

Lese/Schreibe Kommentar: 13 printer friendly

News Categories

1997-2012 © Marc Ruef: Alle Rechte vorbehalten - Kopieren erlaubt!

Render time: 0.1290 second(s).