Вернуться   RDot > Песочница/Sandbox > Оффтоп/Offtopic

Ответ
 
Опции темы Поиск в этой теме Опции просмотра
Старый 21.10.2013, 13:16   #1
<Gh0St>
 
Аватар для <Gh0St>
 
Регистрация: 22.03.2012
Сообщений: 75
Репутация: 19
Question Фирма по пентесту (техническая сторона)

Всем привет!
Сейчас проходим "Основы предпринимательской деятельности", нужно по какой-нибудь идее составить бизнес-план. Пасти коров или заниматься изготовлением кирпичей, желания нет. Хочется что-нибудь из сферы ИТ. И тут я задумался: "а почему бы не заняться пентестом?". У нас в городе уже есть фирмы по разработке ПО, сайтов, дизайнов и прочего, есть фирмы по обслуживанию компьютеров и периферийных устройств, но нет ни одной фирмы, которая занимается пентестом, т.е. ниша не занята.
Что ж, идея есть, можно бы заняться бизнес-планом. А там, в дальнейшем, как знать, может и правда фирму открою, а может и нет.
Но тут же заинтересовала техническая сторона вопроса. То, чем занимаюсь я и профессиональный пентест - разные вещи. Есть куча вопросов, но затрудняюсь всё разом сформулировать...

Подскажите, какие нужны аппаратные и программные средства, а так же познания для проведения проф пентеста?
Или же я всё утрирую и здесь можно обойтись простым ноутом с Kali ?
Нужно ли проходить обучение на пентестера, ради сертификата, покупать их дорогущие программы и т.д.? С сертификатом, конечно, солиднее, но я самоучка.
Благодарю.
__________________
- Про опыт говорят: "Мы так свои ошибки называем"
<Gh0St> вне форума   Ответить с цитированием
Старый 21.10.2013, 16:15   #2
lolka
 
Регистрация: 02.06.2013
Сообщений: 14
Репутация: 0
По умолчанию

<Gh0St> Опишу как это делается в РБ.
Наличие высшего образования, желательно технического. + Должен быть минимальный признанный сертификат, от той же циски ccnp (желательно security).
Как проводить пентесты с правильными отчетами, вполне доступно описано в любом руководстве к подготовке к гламурному сертификату cissp.
Да и не совсем понятно в какой теме пентест ты решил предлагать клиентам услуги (нетворк, веб, ось, физ. доступ и т.д.)
lolka вне форума   Ответить с цитированием
Старый 21.10.2013, 22:02   #3
chupakabra
 
Аватар для chupakabra
 
Регистрация: 09.12.2011
Сообщений: 47
Репутация: 5
По умолчанию

написал бы хоть страну. В УА нужна лицензия ДСТЗИ на деятельность в сфере информационной безопасности, другие какие-либо сертификаты не нужны (разве что щеголять ими перед заказчиком).
chupakabra вне форума   Ответить с цитированием
Старый 21.10.2013, 22:19   #4
HeartLESS
 
Регистрация: 25.04.2012
Сообщений: 101
Репутация: 31
По умолчанию

Хз, что там в информзащите по бумажкам надо было, но взяли туда с определенным набором знаний и без диплома (был на последнем курсе). Дали ноут с Виндой, на нем у меня завелся линукс и дальше было весело. В другой позитивной компании, куда я попал совсем недавно, вроде как есть (100% были) люди без образования =) И школота =) Но это не мешает им ломать все подряд.
HeartLESS вне форума   Ответить с цитированием
Старый 22.10.2013, 00:16   #5
BeLove
 
Аватар для BeLove
 
Регистрация: 30.11.2011
Сообщений: 7
Репутация: -1
По умолчанию

Два года работал пентестером в стартапе (США). Сейчас работаю в Digital Security (пентестер).
Сертификатов нет, даже специальность в универе была не инф. безопасность
Обычно крупные заказчики чаще просят методологию пентеста, что будет входить в проверку и т.п. (это когда я фрилансил) и никогда не спрашивали про сертификаты.
BeLove вне форума   Ответить с цитированием
Старый 22.10.2013, 00:20   #6
12309
 
Регистрация: 25.12.2011
Сообщений: 265
Репутация: 33
По умолчанию

потому что крупные заказчики знают, что сертификаты ничего не значат
12309 вне форума   Ответить с цитированием
Старый 22.10.2013, 09:07   #7
nicco
 
Регистрация: 01.01.2011
Сообщений: 45
Репутация: 3
По умолчанию

Сертификаты значат, поскольку встречают по одежке.
nicco вне форума   Ответить с цитированием
Старый 22.10.2013, 14:31   #8
M@ZAX@KEP
 
Аватар для M@ZAX@KEP
 
Регистрация: 24.07.2010
Сообщений: 139
Репутация: 5
По умолчанию

Цитата:
Сертификаты значат, поскольку встречают по одежке.
При том, надо заметить, что одёжка - это скорее опыт работы \ репутация фирмы \ отзывы клиентов, уже в самую последнюю очередь - сертификаты.
M@ZAX@KEP вне форума   Ответить с цитированием
Старый 22.10.2013, 15:56   #9
<Gh0St>
 
Аватар для <Gh0St>
 
Регистрация: 22.03.2012
Сообщений: 75
Репутация: 19
По умолчанию

Не ожидал, что мой скромный вопрос вызовет такую дискуссию. Всем спасибо за ответы.
Отвечаю на вопросы:

Цитата:
Сообщение от lolka Посмотреть сообщение
в какой теме пентест ты решил предлагать клиентам услуги (нетворк, веб, ось, физ. доступ и т.д.)
В идеале, собрать команду, где у каждого будет своя специализация, у кого веб, у кого ось, у кого физ доступ и соц инженерия, чтобы была возможность проведения комплексного пентеста.

Цитата:
Сообщение от chupakabra Посмотреть сообщение
написал бы хоть страну.
Россия

Цитата:
Сообщение от nicco Посмотреть сообщение
Сертификаты значат, поскольку встречают по одежке.
Читал статьи, видел разные мнения, в том числе, что главное знания и опыт, а "бумажка" служит лишь для подтверждения статуса и красоты.
Так же видел мнение, что западное направление в сфере ИБ нашей стране не подходит, с чем тоже можно согласиться.
Ещё со времён СССР у нас всё было своё, и всё это наше, как подготовка специалистов, так и техника, были лучше западных аналогов.
А сейчас предпочли отказаться от своего прошлого и тупо перенимать опыт запада, который не всегда нам подходит.
И пока мы будем подражать западу, а не развивать своё дело, мы всегда будем отстающими.
Но это всё лишь мои мысли.

Касаемо возможности работать пентестером не имея сертификатов и образования, это одно. Но вопрос заключается именно в том, чем должен обладать человек, который хочет быть не работником в сфере ИБ, а создать свою фирму и возглавить её. Руководитель - это лицо фирмы. Понятное дело, что тут и диплом и различные сертификаты пойдут на пользу, хотя бы лишь для того, чтобы "покрасоваться" перед клиентом и показать, что мы не какая-нибудь левая конторка, а серьёзная фирма с профессиональными и сертифицированными специалистами.
Но опять же, что толку от "бумажек", если нет знаний и опыта. И ещё было бы интересно подробнее узнать именно о технической стороне вопроса.

Благодарю.
__________________
- Про опыт говорят: "Мы так свои ошибки называем"
<Gh0St> вне форума   Ответить с цитированием
Старый 22.10.2013, 16:56   #10
Beched
 
Регистрация: 06.07.2010
Сообщений: 400
Репутация: 118
По умолчанию

В России рынок ИТ ещё слабо развит, поэтому рынок ИБ совсем тухлый, тем более в регионах.

Надо либо очень хорошо зарекомендовать себя перед малым и средним бизнесом, либо иметь связи и давать откаты крупному.

Для запуска своей конторы полноценной нужно много затрат. На фрилансе можно конечно заработать на хлеб, если повезёт, но стабильности ждать не стоит.
Beched вне форума   Ответить с цитированием
Ответ

Опции темы Поиск в этой теме
Поиск в этой теме:

Расширенный поиск
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.

Быстрый переход



Powered by vBulletin® Version 3.8.5
Copyright ©2000 - 2020, Jelsoft Enterprises Ltd. Перевод: zCarot