Jump to content
HateMyJob

Sfaturi de cariera in Cybersec

Recommended Posts

Salut ! 

 

Am mai avut vreo 2 conturi pe forum dar le-am uitat parolele. Vin si eu cu o rugaminte, sunt in cautare de niste sfaturi in legatura cu ce pasi sa urmez in viitor, de la niste oameni cu mai mult experienta de viata (astia sunteti voi). 

 

Incep cu ceva scurt despre mine, am 22 de ani, termin facultatea cu o diploma in "Computer Science" anul asta la inceputul verii daca totul merge bine la examene, am lucrat 1 an la McAfee ca si intern (nu am invatat foarte multe, bazele limbajelor de programare, baze de netwroking si security, sa joc ping-pong), si momentan lucrez full-time ca si Full Stack Developer (python, Django, JavaScript, React, docker stuff) la o companie din Londra (sunt in Romania momentan ca na, covid). 

Deci in astia 2 ani cat am lucrat am fost mai mult pe partea de development, ma pot adapta la orice limbaj de programare (python si Java sunt mai increzator), dar m-am cam plictisit si nu prea e exiting, mereu am fost pasionat de securitate cibernetica si vreau sa ma mut pe partea aceasta. 

 

Alta problema ar fi ca nu prea vreau sa ma intorc in strainatate, deci trebuie sa fie ceva sa pot face remote. (In Targu-Mures nu stiu daca sunt multe oportunitati). 

 

Nu stiu de unde sa incep sa fac aceasta tranzitie, skillset-ul cred ca il pot acumula in timp si pot gasi resurse, dar nu stiu pe ce ramura a securitatii ma pot duce (aici o scurta prezentare m-ar ajuta), daca imi trebuie certificari si spre care sa ma duc (de mentionat aici ca pentru certificari gen networking sau CEH pot fi sponzorizat si de compania unde lucrez momentan), si daca trebuie neaparat sa ma angajez la o firma care are program full remote sau daca pot face un fel de freelancing ? (ca si goal undeva la 1000€ pe luna mi-ar fi suficienti mie). 

 

In concluzie (ca la bac), cateva sfaturi despre ce reprezinta aceasta ramura de securitate cibernetica, cum imi pot incepe drumul spre ea si unde trebuie sa tintesc m-ar ajuta enorm. 

 

O zi buna in continuare ! 

Link to comment
Share on other sites

Salut, in mare eu vad securitatea ca avand 2 parti:

- defensive - Parte de monitorizare, raspuns la incidente si tot felul de astfel de lucruri

- offensive - Parte de penetration testing, red teaming

Mie desigur, mi se pare mai "fun", a doua parte, dar cred ca sunt mai multe locuri de munca referitor la prima. De asemenea, eu consider ca pentru offensive, ai nevoie de mai multe skill-uri, sa stii atat parte de defensive cat si de offensive, de exemplu sa poti face bypass la diferite mecanisme de securitate.

 

Ca certificare conteaza pe care ramura vrei sa mergi. De exemplu Comptia Security+ e un bun start pentru ambele deoarece pune niste baze cat de cat solide. Apoi, daca iti place partea de offensive, trebuie mai intai sa stii putina programare web. Apoi, nu CEH, e o mizerie ordinara, mergi catre OSCP dar nu e tocmai usor pentru persoane "noi". 

 

Nu stiu cum e treaba cu Remote, dar inca sunt sanse, dat fiind faptul ca e inca pandemie. Sugestia mea e sa cauti astfel de pozitii, iar daca nu gasesti sa te muti intrun oras mai mare. Clujul e un oras frumos, desi s-a mai aglomerat si scumpit, eu tot zic ca merita.

 

Documentatie gasesti o gramada referitoare la orice, inclusiv aici pe forum. Arunca o privire prin categoriile de Tutoriale engleza si Web security. Apoi, problema e ca fiecare firma are cerinte proprii. Daca iti place o firma, iti recomand sa iti petreci cateva zile inainte de interviu si sa inveti cam ce au ei nevoie. Chiar daca nu te accepta, acele cunostiinte raman acolo si sunt utile pe viitor. 

 

@tagheuer - Se poate sa existe, dar e dificil si implica multa munca. Ca solutie ar fi bug bounty, dar trebuie sa o faci la un nivel profi, sa intri in programe private si sa iti dedici mult timp pentru asta. Pe langa niste skill-uri bune. Altfel, nu am idee cum s-ar putea, ca freelancer ca nu cred ca arunca firmele zeci de mii de euro pe un Gigel cand se pot duce la o firma.

  • Thanks 1
  • Upvote 2
Link to comment
Share on other sites

9 hours ago, Nytro said:

Ca certificare conteaza pe care ramura vrei sa mergi. De exemplu Comptia Security+ e un bun start pentru ambele deoarece pune niste baze cat de cat solide. Apoi, daca iti place partea de offensive, trebuie mai intai sa stii putina programare web. Apoi, nu CEH, e o mizerie ordinara, mergi catre OSCP dar nu e tocmai usor pentru persoane "noi". 

Si eu tot pe partea de offensie as fi mai inclinat sa merg, ca un sfat, crezi ca e o idee buna sa raman pe pozitia de Full Stack dev momentan si sa lucrez spre obtinerea Comptia Security+ mai intai ? (dupa ce termin facultatea). 

 

Daca ar fi sa ma las de job si sa studiez full-time aceasta ramura, cu aproximatie, cam ce interval de timp crezi ca e rezonabil ca sa pot incepe sa scot si ceva bani ? (cat sa traiesc :))

 

Multumesc mult de raspuns. 

 

Link to comment
Share on other sites

Da, ramai si lucreaza pe ceea ce esti deja si in timpul liber invata lucruri noi. Comptia Security+ e doar o idee, contine niste lucruri OK, generale. Poti invata si ceva programare web ca sa intelegi vulnerabilitatile web cum trebuie. Eu iti recomand sa citesti Web Application Hacker's Handbook (2nd edition) pentru asta, e foarte ok pentru inceput. 

Depinde cat de repede inveti, poate dura de la 2-3 luni la cativa ani :D 

  • Upvote 1
Link to comment
Share on other sites

13 hours ago, tagheuer said:

Off-topic: Exista freelancerii pe partea de securitate cibernetica care fac cel putin 100k/year?

 

Sunt care fac si 1.000k/an. Chiar si un roman. Asta din bug bounty.

Din consultanta, iti trebuie un tarif orar de minim 50 EUR/USD pe ora (average), sa lucrezi echivalent cu un program obisnuit (40h/saptamana) si poti sa faci banii astia intr-un an. Din care mai platesti si taxele. Acum daca esti top, recunoscut, cu clienti stabili, recomandari, cred ca poti trece lejer de suma aia. 

  • Upvote 5
Link to comment
Share on other sites

2 hours ago, SirGod said:

 

Sunt care fac si 1.000k/an. Chiar si un roman. Asta din bug bounty.

Din consultanta, iti trebuie un tarif orar de minim 50 EUR/USD pe ora (average), sa lucrezi echivalent cu un program obisnuit (40h/saptamana) si poti sa faci banii astia intr-un an. Din care mai platesti si taxele. Acum daca esti top, recunoscut, cu clienti stabili, recomandari, cred ca poti trece lejer de suma aia. 

@SirGodAfara de Cosmin si Alex Birsan mai sunt romani?

Link to comment
Share on other sites

Acele venituri sunt "lifetime". 

 

"Besides the eight hackers passing the $1 million earnings milestone, twelve more hit $500,000 in lifetime earnings and 146 earned $100,000, up from 50 last year."

 

Nu stim exact cand au inceput. Exceptand acele cazuri cu 1 milion, daca ii luam pe ceilalti si ei fac asta de 5 ani atunci da, inseamna 100.000$+ pe an. Si sunt doar 12.

Sunt sanse mici in ziua de azi sa faci atat de multi bani din simplul motiv ca nu esti singurul care face asta. Daca iti dedici minim 8 ore pe zi, ai putea ajunge, dar bug bounty are si o parte negativa: lipsa stabilitatii financiare. E greu in practica. Recomand insa asta pe langa un job stabil. 

  • Thanks 1
  • Upvote 1
Link to comment
Share on other sites

1 hour ago, Nytro said:

Acele venituri sunt "lifetime". 

 

"Besides the eight hackers passing the $1 million earnings milestone, twelve more hit $500,000 in lifetime earnings and 146 earned $100,000, up from 50 last year."

 

Nu stim exact cand au inceput. Exceptand acele cazuri cu 1 milion, daca ii luam pe ceilalti si ei fac asta de 5 ani atunci da, inseamna 100.000$+ pe an. Si sunt doar 12.

Sunt sanse mici in ziua de azi sa faci atat de multi bani din simplul motiv ca nu esti singurul care face asta. Daca iti dedici minim 8 ore pe zi, ai putea ajunge, dar bug bounty are si o parte negativa: lipsa stabilitatii financiare. E greu in practica. Recomand insa asta pe langa un job stabil. 

Hmm, am mai vazut cazul lui @Nytrogen
desi rupe la ctf, nu prea are activitate pe hacker1.

@Nytro
tu stii mai bine, ca sunteti colegi.

  • Upvote 1
Link to comment
Share on other sites

Multumesc de raspunsuri ! Deci sa inteleg ca se poate face un venit si din bug bounty, numai ca nu este ceva sigur sau ceva constant ? Deci s-ar putea sa existe perioade cand nu castigi mai nimic si perioade cand castigi mai mult ? 

 

Aceste bug bountyuri, sunt de obicei organizate de companii pe o perioada de timp, sau pur si simplu incepi sa incerci sa gasesti vulnerabilitati in companii (fara sa faci exploit ? e legal asa ceva ? :)) ) si anunti ce ai gasit companiilor ? 

  • Upvote 1
Link to comment
Share on other sites

1 minute ago, HateMyJob said:

Multumesc de raspunsuri ! Deci sa inteleg ca se poate face un venit si din bug bounty, numai ca nu este ceva sigur sau ceva constant ? Deci s-ar putea sa existe perioade cand nu castigi mai nimic si perioade cand castigi mai mult ? 

 

Aceste bug bountyuri, sunt de obicei organizate de companii pe o perioada de timp, sau pur si simplu incepi sa incerci sa gasesti vulnerabilitati in companii (fara sa faci exploit ? e legal asa ceva ? :)) ) si anunti ce ai gasit companiilor ? 

Cauta pe hackerone si pe bugcrowd. Sectiunea programs.

  • Upvote 1
Link to comment
Share on other sites

4 hours ago, HateMyJob said:

Multumesc de raspunsuri ! Deci sa inteleg ca se poate face un venit si din bug bounty, numai ca nu este ceva sigur sau ceva constant ? Deci s-ar putea sa existe perioade cand nu castigi mai nimic si perioade cand castigi mai mult ? 

 

Aceste bug bountyuri, sunt de obicei organizate de companii pe o perioada de timp, sau pur si simplu incepi sa incerci sa gasesti vulnerabilitati in companii (fara sa faci exploit ? e legal asa ceva ? :)) ) si anunti ce ai gasit companiilor ? 

 

Bug bounty e ca si cum te-ai bate cu indienii pe upwork pe proiecte cu ubuntu. Nu mai bine inveti meserie si iti iei cateva mii lunar cu contracte si toate cele doar pe consultanta? Bagi cafea, vorbesti la telefon si dai email-uri. Sau te plimbi cu masina prin toata Europa pe la clienti.

  • Upvote 2
Link to comment
Share on other sites

10 hours ago, aelius said:

 

Bug bounty e ca si cum te-ai bate cu indienii pe upwork pe proiecte cu ubuntu. Nu mai bine inveti meserie si iti iei cateva mii lunar cu contracte si toate cele doar pe consultanta? Bagi cafea, vorbesti la telefon si dai email-uri. Sau te plimbi cu masina prin toata Europa pe la clienti.

Unde aplic ? Imi place sa ma plimb cu masina 

  • Haha 2
Link to comment
Share on other sites

Haha, toata lumea pe offensive, dar stim sa facem defensive? Tot info sec-ul e un IT bine facut si industria are nevoie de IT-isti buni carora sa le pese de sisteme, apoi avem nevoie de 'boots on the ground' pe partea de defensive, implementari sisteme, cloud implementari si cloud securitate, etc. Nu visati la bani buni daca nu aveti partea IT-ului bine cunoscuta cu vreo 10 ani de experienta minim, adica sa incepi de la helpdesk si sa urci pana la securitate dupa vreo 10 ani, nu amagiti oamenii ca fac burnout.

 

Pentru developeri e lucru mult si f bine platit pe partea de cloud: Google si AWS. Am vorbit cu un head hunter - $150k cu vreo 3 ani de experienta pe cloud si proiecte f faine, mai faine decat in offensive. Te mananca viermii pana stai o saptamana pe un pentest report.

  • Thanks 1
  • Upvote 3
Link to comment
Share on other sites

On 8/13/2021 at 2:50 PM, Kev said:

Cyber Forensics, pe langa hamburgeri si gogosi ai undeva la aproximativ 4.000 € lunar

Incident Response and Handling. Super fain. Nu numai ca trebuie sa intelegi tehnici offensive dar si defensive, apoi cautat in loguri pe Windows si Linux.

Link to comment
Share on other sites

On 4/27/2021 at 11:14 AM, HateMyJob said:

Si eu tot pe partea de offensie as fi mai inclinat sa merg, ca un sfat, crezi ca e o idee buna sa raman pe pozitia de Full Stack dev momentan si sa lucrez spre obtinerea Comptia Security+ mai intai ? (dupa ce termin facultatea). 

 

Daca ar fi sa ma las de job si sa studiez full-time aceasta ramura, cu aproximatie, cam ce interval de timp crezi ca e rezonabil ca sa pot incepe sa scot si ceva bani ? (cat sa traiesc :))

 

Multumesc mult de raspuns. 

 

renunta la ideea de comptia sec+...ai alte certs care sunt worth while :) 

Link to comment
Share on other sites

18 minutes ago, bio.sh said:

Te aduce pana la usa companiei si te face sa realizezi ca ti-ai aruncat banii pe geam in loc sa faci o certificare ca lumea :)) 

Esti sigur de asta?

Pentru unii e doar un job, nu-l fac din pasiune sau din dorinta de a fi guru-tehnici.

 

Vin, isi fac task'urile si pleaca acasa.

 

Tinand cont de criza de ITisti daca ai o certificare entry-level precum CompTIA Sec+, inseamna ca ai habar de cate ceva (macar de vocabularul tehnic). Firma o sa te bage intr-un training intensiv de 2 saptamani si dupa la munca.

 

Corporatiile pierd bani de la clienti daca nu au oameni asa ca le convine sa ia si oameni mai slabi pregatiti pentru a'i baga la munca.

 

Mai ales ca o persoana cat de cat decenta dpdv tehnic e mai usor sa fie tinuta in firma decat nu stiu ce guru-tehnic.

Edited by tjt
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.



×
×
  • Create New...