image

"Bedrijven hebben moeite om ethische hackers te vinden"

donderdag 23 augustus 2018, 10:39 door Redactie, 20 reacties

Bedrijven hebben moeite om ethische hackers te vinden, zo stelt banenplatform Joblift aan de hand van eigen onderzoek. Een vacature voor een ethische hacker is gemiddeld na 60 dagen vervuld. Vijf dagen langer dan de gemiddelde vacature in de it-markt.

Vergeleken met de totale vacaturemarkt staan vacatures voor ethische hackers dertien dagen langer open dan de gemiddelde vacature, die 47 dagen openstaat. Ook lijkt er steeds meer vraag naar ethische hackers te komen. Dit jaar werden er 132 vacatures voor ethische hackers uitgeschreven, waarmee het aantal van heel vorig jaar bijna is geëvenaard. In 2017 ging het in totaal om 137 vacatures.

Volgens Joblift wordt in de vacaturebeschrijvingen voor ethische hackers de nadruk gelegd op communicatieve vaardigheden, omdat er vaak geadviseerd en gepresenteerd wordt. Daarnaast wordt in het merendeel van de vacatures om twee tot vijf jaar werkervaring in de it-sector gevraagd, naast een hbo-diploma in ict of informatiebeveiliging, of een universitaire opleiding in bijvoorbeeld informatica. Ook wordt er van ethische hackers veelal verwacht dat ze met minstens één programmeertaal zoals Ruby, Python of C uit de voeten kunnen. Ook wordt in nagenoeg elke vacature om een certificering gevraagd.

Reacties (20)
23-08-2018, 11:14 door Anoniem
Misschien moeten ze eens stoppen met het stellen van belachelijk eisen wanneer iemand zichzelf een ethisch hacker mag noemen. Mn voormalig detacheerder kwam dan aan met een hoop bullshit cursussen die er geen reet mee te maken hebben.
23-08-2018, 11:16 door Anoniem
Mischien te hoge eisen? (of vage)
Als ik CEH zie staan met een combinatie van universitaire opleiding vraag ik mij af wie dat geschreven heeft.

Hackers met communicatieve vaardigheden is ook z'n dooddoener.
Communicatie is waar de meesten wel aan kunnen werken.
23-08-2018, 11:40 door Anoniem
Advies en presentatie zou men wellicht ook beter kunnen laten doen door personen welke daar goed in zijn. In grote lijnen kan men vertellen wat er mis is en details kunnen in een losse sessie besproken worden met de techneuten/"hackers".

Zelf heb ik er ook een hekel aan (+ reizen) en schiet de vulnerability liever een bug bounty programma of bug tracker in. Ik zou dan ook sneller zoeken op "security tester" of "vulnerability researcher" maar die functies zijn natuurlijk ook niet helemaal gelijk aan ethical hacker.

Een progammeertaal kennen klinkt leuk maar hoe nuttig is het? Laat iemand met een programmeer achtergrond interne tooling ontwikkelen en code-reviews uitvoeren. Een netwerkbeheerder kan zich dan weer focussen op infrastuctuur vulnerabilities. Natuurlijk moet je altijd wel wat code kunnen lezen en kleine modificaties uitvoeren maar daar groei je wel in.
23-08-2018, 13:14 door Anoniem
Door Anoniem:Hackers met communicatieve vaardigheden is ook z'n dooddoener.
Communicatie is waar de meesten wel aan kunnen werken.

De meeste rapporten die ik zie van bedrijven met ethische hackers zijn ooit opgesteld door iemand (die er geen verstand van hacken had) en worden dan ingevuld door de hacker. Niets geen rapporten en presentaties.

Een ethische hacker werkt bovendien vaak in een team. Daar hoeft niet iedere hacker alle vaardigheden te hebben. Je wilt misschien juist niet dat de hacker de presentatie geeft. Laat hem doen waar hij het beste in is en zorg voor een communicatief vaardig leider, die de presentaties geeft en rapporten redactioneel afmaakt. De hacker kan dan eventueel nog altijd mee op bedrijfsbezoek voor lastige vragen, maar de domme vragen kunnen door de teamleider afgevangen worden. Die is vaak ook diplomatischer als die klant voor de vijfde keer hetzelfde vraagt op een iets andere manier.

Oja, als hij niet in een team werkt, zou ik zijn werk niet vertrouwen. Dat zie ik ook nog wel eens langskomen. Dan heeft de hacker Nessus gedraaid. De resultaten worden dan in verschillende hoofdstukken geplakt met informatie van de relevante CVE paginas erbij om het document maar extra dik te maken.

Peter
23-08-2018, 13:22 door Anoniem
Met duffe gesloten platformen zoals mac OS en windows zijn er ook niet zoveel hackers meer in de maak...

Wat hacken vroeger betekende is het nu meer iets "anders" en iets negatiefs... "ethical of whitehat hacker" sja...

net zo een vreemde term als "positieve discriminatie". Discriminatie is niet positief... slim, verwarrend en stigmatizerend.
23-08-2018, 13:48 door Anoniem
Misschien moeten ze eens stoppen met het stellen van belachelijk eisen wanneer iemand zichzelf een ethisch hacker mag noemen. Mn voormalig detacheerder kwam dan aan met een hoop bullshit cursussen die er geen reet mee te maken hebben.

Misschien is het wel volstrekt normaal om eisen te stellen aan nieuwe ingehuurde medewerkers. Of ze nou ethisch hacker zijn, of iets anders. En als je gaat werken bij een detacheerder is het redelijk common sense dat die detacheerder aan klanten moet aan kunnen tonen welke vaardigheden je hebt - anders nemen ze een andere kandidaat.

Ik zou zeggen, zorg dat je de papiertjes haalt. Of ga werken bij een vaste werkgever, die het niets uitmaakt. Maar gaan werken in de detachering, en dan gaan klagen over het feit dat je werkgevers aan klanten moet kunnen aantonen over wat voor kennis en vaardigheden jij beschikt, is redelijk lachwekkend. Dat is de aard van het vak.
23-08-2018, 13:51 door Anoniem
Een progammeertaal kennen klinkt leuk maar hoe nuttig is het? Laat iemand met een programmeer achtergrond interne tooling ontwikkelen en code-reviews uitvoeren.

Redelijk vitaal, om je werkzaamheden als ethisch hacker goed uit te kunnen voeren. Immers moet je als ethisch hacker tooling kunnen ontwikkelen, en code-reviews kunnen uitvoeren. Kan je dergelijke zaken niet, dan heb je een mooi label met bar weinig inhoud. Dat soort types zijn tool-tubbies.
23-08-2018, 15:10 door Anoniem
Omdat men ook niet weet wat ze moeten zoeken!

Als ik iets aangeef over OSCP dan weet 98% van de recruiters of hr figuren niet eens wat dat is.
23-08-2018, 17:01 door karma4
Meest basale en vermoedelijk problematische.... ethisch zijn.
24-08-2018, 09:01 door Anoniem
stuur gewoon je bestaande mensen op cursus.
24-08-2018, 11:04 door Anoniem
Oja, als hij niet in een team werkt, zou ik zijn werk niet vertrouwen. Dat zie ik ook nog wel eens langskomen. Dan heeft de hacker Nessus gedraaid.

LMFAO. Tool tubbies vindt je individueel en in groepsverband. Zelfde geldt voor ervaren pentesters / ethical hackers. De vraag of iemand in een team werkt, zegt vrij weinig over kennis, vaardigheden, en de vraag of men enkel Nessus draait.

Overigens kan je per definitie geen pentest doen met enkel een vulnerability scanner.
24-08-2018, 11:06 door Anoniem
stuur gewoon je bestaande mensen op cursus.

Om hun eigen vlees te keuren ? Sommige zaken wil je graag door een externe partij uit laten voeren.

Meest basale en vermoedelijk problematische.... ethisch zijn.

Wat is daar problematisch aan ? Op basis waarvan maak je deze opmerking ? Nog nooit problemen mee gehad.

Misdraag jij je soms als je werkt als ethical hacker / pentester ? Of houdt je je aan je opdracht omschrijving ?

Als je niet ethisch bent, houd je het niet lang vol, en dan kan je beter een andere baan zoeken.
24-08-2018, 11:07 door Anoniem
Als ik iets aangeef over OSCP dan weet 98% van de recruiters of hr figuren niet eens wat dat is.

Ach, de helft van de mensen met CEH, OSCP, LPT of soortgelijke certificaten heeft gewoon het examen uit het hoofd geleerd. Je zou eens moeten kijken hoeveel mensen slagen met een score van (praktisch) 100%.....
24-08-2018, 13:00 door Anoniem
Er zijn een stel kringloopwinkels in een grote studentenstad, waar ICT afgestudeerde ethische hackers -- met behoud van hun uitkering -- in de weer zijn om afstandse PCs en oude laptops te voorzien van GNU/Linux en BSD distro's.

Volgens de laatste telling zouden ze over de afgelopen 10 jaar een tienduizendtal machines onder handen hebben gehad. Die werden voorzien van Debian, Mint of Ubuntu. Met de meest uiteenlopende hardware en benodigde drivers.

In een aanzienlijk aantal gevallen ging het over Redhat, openSUSE installaties of zelf over OpenBSD voorzien van Gnome, omdat een student of professional, die wel meer te doen had, daar bij de kringloop expliciet om vroeg.

Dit tot veel plezier van talloze armzalige studenten, bejaarden, asielzoekers en bijstandsmoeders met hun kroost die op die manier toch redelijk veilig -- en spotgoedkoop -- met hun refurbished hardware het internet op kunnen gaan.

Op de vraag van sommige kringloop klanten of er ook "Windows?" op hun computer op gezet kan worden, is het standaard antwoord: "Ja, dat kan, maar daar hebben wij geen verstand van". Want, closed source.

Of: "Dat kan wel, maar dan zult u zelf de kosten van de nieuwe licentie daarvan ook moeten ophoesten" Vele klanten verkiezen daarna om aan de slag te gaan met GNU/Linux of een BSD systeem. Dan komen ze met veel plezier terug.

Voor de grap is er ooit een keer een NextSTEP en een OpenVMS machine afgeleverd bij een oudere man die in de AOW zit, die zijn hele leven als ICTer bij de spoorwegen had gewerkt. Een verzamelaar.
24-08-2018, 16:56 door johanw
Door Anoniem:Op de vraag van sommige kringloop klanten of er ook "Windows?" op hun computer op gezet kan worden, is het standaard antwoord: "Ja, dat kan, maar daar hebben wij geen verstand van". Want, closed source.

Of: "Dat kan wel, maar dan zult u zelf de kosten van de nieuwe licentie daarvan ook moeten ophoesten" Vele klanten verkiezen daarna om aan de slag te gaan met GNU/Linux of een BSD systeem. Dan komen ze met veel plezier terug.
Die klanten krijg ik dan, om er windows 7 The Pirate Bay edition op te zetten, want niemand buiten grote bedrijven geeft feitenlijk wat om licenties.
24-08-2018, 16:57 door johanw
Door Anoniem:
stuur gewoon je bestaande mensen op cursus.

Om hun eigen vlees te keuren ? Sommige zaken wil je graag door een externe partij uit laten voeren.
Dat heet "cover your ass", zodat als het fout loopt de manager naar iemand anders kan wijzen.
24-08-2018, 23:40 door karma4
Door Anoniem:
Meest basale en vermoedelijk problematische.... ethisch zijn.
..
Wat is daar problematisch aan ? Op basis waarvan maak je deze opmerking ? Nog nooit problemen mee gehad.
..

Ik zie het nodige en ben beroepsblind voor de gevoelige gegevens.
Ik zie echter de mensen die dat niet zijn, Mensen dier er lol in scheppen om een ander een loer te draaien. Dat zijn er best veel en die zitten dan achter de knoppen. Vandaar de opmerking dat juist het ethisch zijn wel het meest problematische is
Tja kijk eens wat onbevangen rond en luister eens wat ze zeggen en kijk wat meer wat ze doen.
Nee paranoïde wordt ik er gelukkig niet van, je ziet dat wel eens gebeuren.
25-08-2018, 17:56 door Anoniem
Door johanw:
Die klanten krijg ik dan, om er windows 7 The Pirate Bay edition op te zetten, want niemand buiten grote bedrijven geeft feitenlijk wat om licenties.

Die gasten die dat doen krijg ik dan, om er een advocaten bureau op te zetten. Eindgebruikers opschepen met een inherent onveilige, want een gekraakte, versie van Windows is niet alleen onethisch, het is illegaal.
27-08-2018, 11:34 door Anoniem
Misschien moeten ze eens fatsoenlijk gaan betalen.
27-08-2018, 16:28 door Anoniem
Die klanten krijg ik dan, om er windows 7 The Pirate Bay edition op te zetten, want niemand buiten grote bedrijven geeft feitenlijk wat om licenties.

Besef je wel dat jij zelf dan de wet overtreedt. Ik zou er niet aan beginnen.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.