VIl gerne arbejde med IT sikkerhed - hjælp!

Hvis du vil have noget, du kan sætte på dit CV og være bekendt at bede en arbejdsgiver betale dig for, så er der dels den hårde vej, at oparbejde nogle års erfaring med det som kuli i et sikkerhedsteam (og vær YDMYG - du ved INTET når du træder ind i denne verden!) - den anden, og nok mere tiltalende, når du allerede læser, kunne være at fortsætte med en CISSP. Her vil det ofte være i samarbejde med en arbejdsgiver, da den koster lidt mønter.

en it sikkerhedsekspert har erfaring med at programmere kryptering og hacke og cracke

Inden du går igang med at kigge på noget hvor du skal kaste penge afsted (det meste træningsmateriale er baseret på gratis viden), så kan du komme enormt langt ved blot at investere tid. Og tid skal du i den grad investere i (lige meget hvad, penge eller ej). Forvent en del år, men det behøver ikke være år uden du føler at du flytter dig eller har det sjovt imens. Hvis det har din interesse, så vil det meste du kommer til at læse/udføre undervejs samtidig være spændende.

Start med at bygge en god forståelse op for:
- Operativsystemer (primært Windows, Linux og hypervisors/virtualisering)
- Netværk
- Webapplikationer (herunder webservere)
Et godt sted at starte er at begynde at lege med det selv. Byg evt. dit eget LAB på lidt aflagt hardware.

Læs, lyt, se. Her et par gratis eksempler, der findes en del mere online:
- Cybrary: https://www.cybrary.it/
- SANS: http://www.cyberaces.org/courses/
- Homeland: https://ics-cert-training.inl.gov/learn
- Open security: http://opensecuritytraining.info/Training.html

Online træning:
- Overthewire: http://overthewire.org/
- Hack the box: https://www.hackthebox.eu/

Træning i eget LAB:
- Vulnhub: https://www.vulnhub.com/

Senere hen kan du overveje om du vil investere penge i træning (kan hjælpe på at finde det rigtige job) eller få en arbejdsgiver til det.
Eksempler på dette:
- CEH - Her får du stort set det hele gratis gennem det meste af ovenståend, skulle i så fald bare være for at have certificeringen. Er en entry level certificering (og i manges optik ikke pengene værd, hint).
- SANS - GWAPT, GPEN, GXPN. Tungere (og dyrere). Kræver god forståelse før man bør gå igang (især GXPN).
- OSCP - OSCP/OSCE. Tunge, ikke nær så dyre som SANS. Kræver en ret god forståelse/erfaring før man bør gå igang.

Og et godt råd hvis studiet tillader det: Find et relevant studiejob. Flere og flere konsulent og it-huse har trainee/junior stillinger med fokus på sikkerhed. Og ellers blot et hvor du lærer om infrastruktur eller hosting.
Og som nævnt ovenfor: Vær ydmyg. Start fra bunden.

CISSP som nævnt ovenfor er ikke en operationel certificering. Den er highlevel (men billig). Giver et teoretisk overblik. Ikke dårlig at have, men ikke den vej du vil gå hvis du vil lave sikkerhed på pentest/redteam niveau (som bestemt findes i Danmark). Skulle være for at tilføje mere teoretisk viden udover det praktiske.

Lige meget hvordan du går igang, så husk på at holde dig inden for alle love og retningslinjer. Det er essentielt for en pentester/sikkerheds-specialist at operere inden for loven (og det gælder både national og international). Begynd ikke at bruge din viden på andet end dine egne LABs eller dem online specifikt til det formål de er oprettet til. Der skal ikke meget til at ødelægge en karriere (noget så banalt som en scanning mod den "forkerte" host kan have et retsligt efterspil).

Når du nu er interesseret i IT sikkerhed, så er det meget naturligt at ville igang med området med det samme.

Men jeg vil mene at du bliver en langt bedre IT sikkerheds mand, hvis du får lidt generel erfaring først. 2-3 års erfaring med enten software udvikling (helst web applikationer) eller drift (helst med et vist netværks indhold).

Så vil din tilgang til IT sikkerhed nemlig ikke være "teoretisk" - du vil kende den virkelighed som IT sikekrheden skal inkorporeres i.

Og den rigtige virksomhed vil så også betale for dine IT sikkerheds kurser of certificeringer inden du overflyttes fra deres udviklings- eller drifts-afdeling til deres IT sikkerheds afdeling.

FEDE svar d'herre, mange tak!!

Jeg har købt nogle kurser på Udemy (70 kr pr styk, ved godt de ikke lærer en alt, men eftersom jeg starter helt fra bunden, er det bedre end ingenting!)

Jeg læser som sagt Datamatiker på første semester, og så er min plan, at læse op på IT sikkerhed ved siden af, især i ferierne.

Jeg overvejer at tage en professionsbachelor i IT sikkerhed ovenpå datamatiker uddannelsen, men er meget i tvivl om den er relevant nok - altså om de ting jeg lærer der, matcher behovet i den virkelige verden? Er det noget nogen her umiddelbart ved noget om?

https://www.eaaa.dk/videregaaende-uddannelser/professionsbachelor-som-overbygning/it-sikkerhed/

Endnu en gang, mange tak!!

Alt afhængig af om uddannelsen også har praktik, vil du få fra ren praktisk til begrænset teoretisk erfaring.
Og med operationel IT (herunder sikkerhed), så er det primært den praktiskte erfaring som tæller. Ikke at den teoretiske erfaring/viden ikke er vigtig, den er bare mere begrænset end den praktiske.
Derfor som Arne og jeg nævner, så skal den viden du får på studiet krydres med praktisk erfaring. Enten gennem praktik, studiejob eller eller rent arbejde uden studie (omend jeg nok ikke vil anbefale at vende studiet ryggen).

Jeg er lidt skeptisk overfor en uddannelse dedikeret til IT sikkerhed.

Jeg ser ikke emnet som egnet til specifik teoretisk uddannelse.

generel IT uddannelse -> generel IT erfaring -> IT sikkerheds kurser/certificeringer -> IT sikkerheds erfaring

er hvad jeg ser som den naturlige vej.

Når det er sagt, så er uddannelse generelt godt. Punktum.

Og kommer du ud og arbejder så er det tvivlsomt om du nogensinde får taget den bachelor.

Efterspørgslen efter IT sikkerheds folk er stor, så der vil altid (læs: i de nærmeste år) være et velbetalt job som vil "forhindre" dig i at tage den bachelor.

Har også hørt, mange tager den på deltid, i samarbejde med deres job.

Ren nysgerrighed, hvad tjener man ca som pentester/red team? Ved godt der er ENORM variation, men er det fx mere end folk der sidder og laver hjemmesider?

Det er ikke pengene der gør jeg vil arbejde med IT sikkerhed, det er interessen, men stadig lidt nysgerrig! :D

Jeg har ingen nyere erfaring med hverken efterspørgsel efter IT sikkerheds folk i Danmark eller generelt IT lønniveau i Danmark.

Men uden for landets grænser vil jeg opfatte det som normalt at IT sikkerhedsfolk får løn svarende til udviklere med 6-8 års mere erfaring.

Efterspørgselen efter IT sikkerheds folk er enorm. Og firmaer "stjæler" folk fra hinanden i stor stil.

Det med efterspørgelsen er et kæmpe plus - jeg har en søn og vil gerne have flere, så job sikkerhed er vigtigt!
Løn er som sagt ikke så vigtigt (men lidt sjovt, for jeg gik og overvejede andre uddannelser inden jeg valgte datamatiker, såsom sygeplejeske, og er vist en ret stor forskel i startløn jeg kan regne med :D ).

IT sikkerhed er noget man er god til når:

man kan hacke
kan man programmere virus killere
man kan fjerne kopibeskyttelse
man kan håndtere routere of firewalls og et en netværk haj
man kan lave en spam protection på en website
man kan identificere falske profiler
man kan spore og fange en hacker
man kan hacke nemid (det er pissenemt)
man kan programmere packer/cruncher/pryptering
man kan bryde kryptering

Er der en speciel rækkefølge det vil være bedst at starte læsningen i? Er der et emne, som er bedre at vide fra start, og så læse de andre i?

#11

Det var dog en besynderlig liste.

Der er ikke mange af dem som jeg finder relevante for IT sikkerheds folk.

Dem der tror at man kan bryde enhver kryptering skal nok tage et begynderkursus i kryptografi.

Og jeg undrer mig ogsaa over hvad der menes med "hacke nemid".