澳洲做入侵测试有前途吗

beanxyz

大家好，最近刚刚开始学习 BackTrack 5 的入侵测试课程, 然后上网学习了一遍教主的傻瓜课程，拿自己的电脑和邻居的无线网练了练手，心里比较犹豫要不要申请专门的vpn看实验课程。

本人干了3年的系统/网络管理员，感觉再这么做几年有下岗的危险，想学点不一样的。 群里有做类似入侵安全测试的童鞋吗，澳洲待遇和发展如何呢？觉得信息安全应该会越来越重要才对，我在seek上看了看 就业机会很少啊。

夜游神

关键要有客户源 您自己的买卖 还是计划给别人打工?

beanxyz

夜游神 发表于 2012-11-7 16:20
关键要有客户源 您自己的买卖 还是计划给别人打工?

刚开始肯定是打工吧，先学习别个的经验，熟悉一下市场。

夜游神

安全的确各种乱重要 然后有online business的都需要定期做这类检测的
只是澳洲市场 客户就那么几个 比较难抢客源 做这个利润爆高的
基本上 人家觉得你靠谱 来找你 你说啥价 就是啥价!!!

beanxyz

夜游神 发表于 2012-11-7 17:53
安全的确各种乱重要 然后有online business的都需要定期做这类检测的
只是澳洲市场 客户就那么几个 比较难 ...

谢谢指教！您知道市场上有哪些公司做这个做的比较好的吗？

ryu2011

弱弱的问一句，入侵测试是不是属于网络信息安全的范畴？最近在学信息安全管理(SIEM)方面的软件，不过不知道澳洲这里有多大的需求？

飞飞鱼

我这周刚接的一个单子,Revenue和Profit都很好的活.如果你要混这块,技术是踏脚石,比较肥美的部分是评估,咨询,建议.

借你这个帖子问下,到底有做这一块咨询服务的筒子吗?
单子主要就是对一个Application的Code做review,并评估Application IT环境里的流程,架构是否符合业内标准或者best practice,建议需要的网络,防火墙,流程安全各方面的改变.

明天就得和客户谈具体需求,下周一要和安全服务部门的头谈怎么分果果.
这块我基本不懂,江湖救急.......

Fernando

说起入侵测试，几年前做online shopping网站的时候找了个公司谈这个。然后我们忽然发现我们的系统里多了很多看上去像是测试的order，查了一下，就是那家测试公司自动建的单子

夜游神

http://en.wikipedia.org/wiki/Penetration_test

lingyang

做penetration好混也不好混。市场价格平平，大多数就是用工具做report照本宣科，有些是vendor的service部门做，每个vendor有自己的框架，有一套成熟的流程。这里面还分应用的测试，网络基础架构的测试。这行门槛低不过不太容易做深，做深了都是红客  做网络渗透的话LZ可以考虑选一个vendor主攻，系统应用渗透的话看看这几年的黑帽子大会应该能抓到方向。 做的好的是要做客户的security adviser，这个时候自己开个咨询公司。

说会LZ的问题，为啥工作机会少，其实做渗透测试一般都是一个大安全项目里面的一个要求，举个例子， 给NBN.Co做安全项目，渗透测试只是一个子项目，还有cyber attack，identity management 等等其他。 所以专门招人做渗透的就不多了。

beanxyz

lingyang 发表于 2012-11-8 22:16
做penetration好混也不好混。市场价格平平，大多数就是用工具做report照本宣科，有些是vendor的service部门 ...

哦哈 谢谢指点。我对pentest感兴趣的起因是自己公司的服务器最近2年被黑过两次，一次是系统补丁升级不及时，一次是防火墙设置有问题，每次都把我弄得焦头烂额。而且考虑到现在IT的趋势 外包啊，cloud等等，总觉得不管是技术支持还是程序员都有危机感，而且现在系统管理会的人太多了，基本上AD，DFS, Exchange, Citrix, Vmware，网络..基本的东西是个IT都知道，所以考虑转向其他IT领域，至少不是那种一抓一大把的领域。因为觉得安全问题嘛，以后会越来越重要，而且很多一般的system/network admin之类的都缺乏专业的安全知识，我本人所在的公司也有6000多人的国际公司，但是我就从来没看有人进行过端口扫描自检等等，最多就是设定个dmz zone，强化下权限管理，防火墙juniper 或者asa 设定些policy等等。lingyang，那你有啥好建议吗，如果从SYSTEM ADMIN跳到安全行业~

多谢了~

牵黄擎苍

单做penetration test我觉得路有点窄了，技术不扎实的话确实很难做深。
不过现在分工很细，会点防火墙，懂点SIEM都是可以有饭吃的。前面同学说的咨询，说到底这个是很多做安全的发展的方向，能吹的总是比能干的挣的多，但是并且所以这条路并不好走。

从SYSTEM ADMIN跳到安全行业，其实也算是跨度不小的，如果工作中有接触防火墙等安全方面的东西，不如先考虑考个相关的证书。在有经验的前提下，证书有时是起到满关键作用的。

楼主可以留意下sans里面的培训课程，未必建议去读毕竟很贵，但里面提到的很多东西都是很全面很新的，况且有很多免费的教程可以下载。

beanxyz

牵黄擎苍 发表于 2012-11-9 10:31
单做penetration test我觉得路有点窄了，技术不扎实的话确实很难做深。
不过现在分工很细，会点防火墙，懂 ...

谢谢你的回复哈，看来我有点过于乐观哈，刚刚看了看SANS的课程，分得很细啊，几十门课，一门就是3000大洋，自费实在耗不起啊。不过你说的也有道理，技术是关键呢，现在先学点基础的，现在自己公司系统练习练习。你知道悉尼这边有相关的volunteer的活吗，可以去帮忙啊学习什么的。

牵黄擎苍

volunteer不知道，但你可以订阅SANS, checkpoint, Cisco, Juniper等几大安全设备厂商或机构，他们经常有活动举办，新的产品和功能可以及时跟进。

lingyang

LZ如果真的想转行，我们公司有个junior的职位，在悉尼，感兴趣的话可以PM你，不是专做渗透测试不过如果又客户有项目的话就可以锻炼了。

飞飞鱼

lingyang,你们入侵测试的报价能给个不?

你们做source code review吗?

yolandalinz

metasploit？

seth_chen

入侵测试，不是在说我们公司么
不过我们的penetration test一般都要混合业务流量的，单纯的penetration test显示不出来仪表的长处
现在还有fuzzing test

lingyang

飞飞鱼 发表于 2012-11-9 15:49
lingyang,你们入侵测试的报价能给个不?

你们做source code review吗?

这个是我们service sales谈的价格， 最近的一个是$2000一天，半年的engagement,是对网络架构的remediation assessment, source code review不是我们公司的专长。

beanxyz

seth_chen 发表于 2012-11-11 10:24
入侵测试，不是在说我们公司么
不过我们的penetration test一般都要混合业务流量的，单纯的penetrat ...

能说说你是怎么开始你的职业生涯的吗

lingyang

seth_chen 发表于 2012-11-11 10:24
入侵测试，不是在说我们公司么
不过我们的penetration test一般都要混合业务流量的，单纯的penetrat ...

明年ciscolive还去吗？我的budget还没批下来呢

白先生

不好做。

seth_chen

lingyang 发表于 2012-11-11 16:03
明年ciscolive还去吗？我的budget还没批下来呢

应该会去吧，不过应该只参加部分了

飞飞鱼

lingyang 发表于 2012-11-11 14:57
这个是我们service sales谈的价格， 最近的一个是$2000一天，半年的engagement,是对网络架构的remediatio ...

这个价格是一个SME一天8小时的报价吗?

今天在客户那里开会,讨论requirement讨论的疯掉了.

lingyang

飞飞鱼 发表于 2012-11-12 17:53
这个价格是一个SME一天8小时的报价吗?

今天在客户那里开会,讨论requirement讨论的疯掉了.

是的是的， 按天算，正常工作时间就是8小时（包括午饭）。 呵呵是啊，就是吵架，

飞飞鱼

这个价格比我预计的要便宜不少.

Pen Test应该比Vulnerability Scan复杂,我这里后者的报价是8K左右.

Source Code review要从UK或者US调人过来On Site,费用就更高了.

再加上一个协调的PM要占去总时间的30%,hoho

lingyang

飞飞鱼 发表于 2012-11-13 08:38
这个价格比我预计的要便宜不少.

Pen Test应该比Vulnerability Scan复杂,我这里后者的报价是8K左右.

你说的是整个project的开销吧， 我说的2000一天只是想我这样的工程师的人头费。整个project多少钱我还真不知道， 不过我们公司做这种service不是很强， 和IBM比起来差距还有很大的

superblue

Pen Test不就是猜密码吗？？ 哈哈，上次经历过一次pen test,服务器 密码居然被人猜了出来，哈哈哈，服务器部门的工程师黑线一片一片啊。。。  

澳洲这种工作不多的，我们是服务商，很少有客户有这种要求。

beanxyz

lingyang 发表于 2012-11-13 09:40
你说的是整个project的开销吧， 我说的2000一天只是想我这样的工程师的人头费。整个project多少钱我还真 ...

  膜拜前辈高人~~~~~~~哇 一天2000~

lingyang

beanxyz 发表于 2012-11-13 14:06
膜拜前辈高人~~~~~~~哇 一天2000~

我就是拿死工资的小员工，大头都是公司赚了，