CyberSecurity撸证

gifox

牵黄擎苍 发表于 2018-12-20 14:03
原来我预测不会通过关于加密数据共享给政府部门的法案，没想到还是通过了

不知道对安全行业有没有影响。 ...

这能有什么影响啊。政府能申请到法庭命令就给它呗。99.9%的企业不会被问到

GDPR就影响真是大了，影响到几乎所有在欧洲有分部或者和欧洲做生意的企业。不过条框和要求越多对于行业越好。目前行业最大的敌人是很多企业和管理者没有awareness . 不愿意往这方面投钱。

victor_cn

请教一下做安全的前辈，这个行业必需是citizen吗？还是PR也可以？

牵黄擎苍

gifox 发表于 2018-12-21 08:22
这能有什么影响啊。政府能申请到法庭命令就给它呗。99.9%的企业不会被问到

GDPR就影响真是大了，影响到 ...

澳洲这条法律和GDPR有点反着来
影响我觉得还是有，这条法律规定运营商在必要时候提供后门给政府，或者自愿提供解密数据给政府以供调查。

nz_engineer

victor_cn 发表于 2018-12-21 08:24
请教一下做安全的前辈，这个行业必需是citizen吗？还是PR也可以？

看是否是國家安全相關的公司 不光要求citizen還要通過security clearance 我聽一個做過的同事講 如果你出身在China/Iran這類國家 本身就是一種risky factor 不大可能通過

gifox

nz_engineer 发表于 2018-12-21 09:39
看是否是國家安全相關的公司 不光要求citizen還要通過security clearance 我聽一個做過的同事講 如果你出 ...

私人领域没有这些条框的。

gifox

牵黄擎苍 发表于 2018-12-21 09:33
澳洲这条法律和GDPR有点反着来
影响我觉得还是有，这条法律规定运营商在必要时候提供后门给政府，或者自 ...

也就自愿解密了。没有强制留后门一说，看条文就知道了

nz_engineer

gifox 发表于 2018-12-21 10:43
私人领域没有这些条框的。

還有像Boeing/Lockheed Martin這類公司也要求的 出生在中國的就別想進了

牵黄擎苍

gifox 发表于 2018-12-21 10:43
也就自愿解密了。没有强制留后门一说，看条文就知道了

allow the Director-General of Security or the head of an interception agency to issue a ‘ technical assistance notice ’ , requiring a designated communications provider to provide assistance that the decision maker is satisfied is reasonable, proportionate, practicable and technically feasible, and

就是要所谓的safety backdoor。

gifox

牵黄擎苍 发表于 2018-12-21 09:58
allow the Director-General of Security or the head of an interception agency to issue a ‘ technic ...

这怎么能算back door 呢？ 要求提供协助但是没要求一定要预留后门给政府用


解密是另外一回事，公司有一条master key 很正常

gifox

nz_engineer 发表于 2018-12-21 09:51
還有像Boeing/Lockheed Martin這類公司也要求的 出生在中國的就別想進了

这些是安全公司么？而且做安全的企业那么多，有点普遍意义才有代表性吧
同行华人很多，穆斯林也很多，伊朗叙利亚印尼...等等都合作过不少了

牵黄擎苍

gifox 发表于 2018-12-21 11:08
这怎么能算back door 呢？ 要求提供协助但是没要求一定要预留后门给政府用

又仔细看了一遍，没有后门要求哈哈

The Bill clearly provides that technical assistance notices and technical capability notices must not require providers to implement or build systemic weaknesses in forms of electronic protection (‘backdoors’) nor can they prevent providers from fixing an identified weakness or vulnerability.

牵黄擎苍

gifox 发表于 2018-12-21 08:22
这能有什么影响啊。政府能申请到法庭命令就给它呗。99.9%的企业不会被问到

GDPR就影响真是大了，影响到 ...

只花钱看不到直接效益，一般性企业也确实没必要投资在安全

gifox

牵黄擎苍 发表于 2018-12-21 11:01
只花钱看不到直接效益，一般性企业也确实没必要投资在安全

这是安全领域的一个问题，awareness, 它本身不产生效益。不出事时也的确没事。只是一出事就很大件事。像万豪， uber, yahoo,maersk一出事就对企业冲击很大很大。



所以各种政府政策和标准对于行业帮助挺大的。因为有了标准，大企业都要做audit看看是否符合新的安全标准，而通常在过程里面会发现很多问题。

不说red team这种水平的了，随便用一个security scanning service都会发现问题一大堆。

当然啦，要彻底整固，费用很高。几个M 也就能做一两个模块。

koyuu

所以cyber security的 business driver很大一部分是来自政府的法律法规。
合规这块也是一块大蛋糕

knovukna

victor_cn 发表于 2018-12-21 08:24
请教一下做安全的前辈，这个行业必需是citizen吗？还是PR也可以？

不需要, citizen你申请政府clearance NV1, NV2那些才用的.
个人感觉一般只有federal的政府机构才需要NV1, NV2, 州级的很少有需要的.

nz_engineer

knovukna 发表于 2018-12-21 14:56
不需要, citizen你申请政府clearance NV1, NV2那些才用的.
个人感觉一般只有federal的政府机构才需要NV1, ...

我Seek上看到要NV1 NV2的工種還蠻多的 比如Boeing招個C++ programmer也要過那個

knovukna

nz_engineer 发表于 2018-12-21 15:19
我Seek上看到要NV1 NV2的工種還蠻多的 比如Boeing招個C++ programmer也要過那個

因为Boeing这种都是和defence的contract，他招的人那肯定是要clearance才行。
code里留个exploit不是分分钟的事情

sandro0713

koyuu 发表于 2018-12-19 15:23
还有一点好处是 被outsource 到offshore的可能性基本为0。

我们公司的data security specialist就放在了菲律宾

gifox

sandro0713 发表于 2018-12-21 19:43
我们公司的data security specialist就放在了菲律宾

总有例外，而且一个两个人省不了钱的。

其它职务外包是整个团队和功能。

gifox

koyuu 发表于 2018-12-21 12:57
所以cyber security的 business driver很大一部分是来自政府的法律法规。
合规这块也是一块大蛋糕 ...

的确如此。
比如有不少企业拿着澳大利亚政府的IT 安保指引才去看看是不是关掉那些过时的cipher

BillyBlue

knovukna 发表于 2018-12-21 14:56
不需要, citizen你申请政府clearance NV1, NV2那些才用的.
个人感觉一般只有federal的政府机构才需要NV1, ...

还可能是PV，这个估计中国背景的难通过

牵黄擎苍

这篇写的挺好的

https://danielmiessler.com/blog/build-successful-infosec-career/

calvinlol

OSCP应该比CISSP 含金量高些吧。
最近准备开发转pentester，亚历山大。。。
澳洲很多cybersecurity company都水的一比。。之前公司pentest找的公司做的report简直惨不忍睹，完全是automation testing，然后各种复制粘贴。

audreamer

calvinlol 发表于 2019-1-7 22:56
OSCP应该比CISSP 含金量高些吧。
最近准备开发转pentester，亚历山大。。。
澳洲很多cybersecurity company ...

请问什么是pentester？

calvinlol

audreamer 发表于 2019-1-8 13:23
请问什么是pentester？

penetration tester

whoisit

gifox 发表于 2018-12-19 15:07
给你看这个。

这是刚刚才截图的。你上去那个网站可以看到一样的招聘启事

说的我也动心了，而且新加坡华人妹子也多吧，对象也好找，这么好咋没啥人移民新加坡呢，倒是有很多新加坡人在澳洲工作

YugaYuga

nkwd 发表于 2018-12-19 14:54
如果搞定了OSCP, 至少pentest算是入门了

搞定OSCP, pentest才算是入门？

gifox

whoisit 发表于 2019-1-8 17:37
说的我也动心了，而且新加坡华人妹子也多吧，对象也好找，这么好咋没啥人移民新加坡呢，倒是有很多新加坡 ...

因為忙，在新加坡工作能够不加班的公司已经不多了。在这些不加班多公司里面大家上班真是做做作到下班的。产出是在澳大利亚上班的2-3倍

xzjer

请问下各位。 如果要转行的话这个大概得读到什么层次才好找工作。Free TAFE 只有到Cert IV的

gifox

calvinlol 发表于 2019-1-7 21:56
OSCP应该比CISSP 含金量高些吧。
最近准备开发转pentester，亚历山大。。。
澳洲很多cybersecurity company ...

这样才好啊，轮到你做报告时也轻易交差了