Ciao
>2017-02-15 15:07 GMT+01:00 Kirys <ki...@neoteroi.org
<mailto:ki...@neoteroi.org>>:
*Giustamente dovrei essere più specifico, ma non è facile.**/Al momento
studio nella parte che trovo più avvincente per me che è l'analisi di
sicurezza (forse sbaglio nomenclatura) e pen testing./*
*/>/**Se in base a questi ambiti mi potete dare qualche ulteriore dritta
sarebbe ottimo.*
Se per analisi di sicurezza intendi SOC stuff, qui trovi qualcosa di
interessante
http://opensecuritytraining.info/Training.html
Se guardi http://opensecuritytraining.info/Flow.html in fondo, noterai
che hanno una school of SOC con un percorso di studio ben definito. Se
dopo quello vuoi approfondire malware analisys ti consiglio
https://www.amazon.it/Practical-Malware-Analysis-Hands-Dissecting/dp/1593272901/
Per pentester stuff
http://www.securitytube.net
guarda sotto megaprimer
Vivek ha anche una pentest accademy con corsi molto validi, ma devi
pagare un mensile o il corso, ecco alcuni link
http://www.pentesteracademy.com/
qui alcuni corsi
https://www.cybrary.it/coursecatalog/
https://www.elearnsecurity.com/course/
https://www.pluralsight.com/browse/information-cyber-security
ma tutto e' in base all'obiettivo che hai, che sembra molto vago.
Infatti anche pentest e' diviso per speciallizzazioni es. IoT, WiFI,
WebApp, Infrastructure, Mobile. Finche' non hai chiaro in che direzione
vuoi andare, non spendere soldi.
Non sottovalutare libri, costano meno dei corsi ma ti danno tanto se ti
eserciti con virtual machines (hai comunque bisogno di un lab virtuale),
te ne consiglio un paio che ritengo validi per iniziare:
https://www.amazon.it/Network-Security-Assessment-Know-Your/dp/149191095X/
https://www.amazon.it/Hacker-Playbook-Practical-Penetration-Testing/dp/1512214566/
https://www.amazon.it/Hacking-exposed-network-security-solution/dp/0071780289/
+ questo e' buono da avere sulla scrivania per una consultazione veloce
https://www.amazon.it/Rtfm-Red-Team-Field-Manual/dp/1494295504/
se vuoi specializzarti piu' su webapp
https://www.amazon.it/Hacking-exposed-applications-Joel-Scambray/dp/0071740643/
https://www.amazon.it/Tangled-Web-Securing-Modern-Applications/dp/1593273886/
Ho messo i link dei libri da Amazon, non per fare pubblicita', ma non
sono aggiornato su che siti in Italia vendono libri stranieri, dentro
hai l'ISBN per poi vedere dove prenderli, ma attento alle edizioni che
ho messo, quelle sono le ultime, trovi ancora le vecchie in giro
OSCP e' un ottimo consiglio che ti consiglio di valutare, ma rimani un
po' incastrato nel rinnovo mensile del laboratorio ed e' un investimento
in soldi e tempo che e' massiccio, devi scegliere in base alle tue
esigenze. Per imparare non devi per forza spendere cifre da capogiro,
con 25 euro di un libro, un po' di approfondimento sul web e tante ore
di lab su VMs i corsi belli te li fai.
Se vai su mobile, c'e' parecchio in rete, un po' meno per IoT, essendo
legato all'hardware, ma tanto e' legato a WiFi, quindi iniziare da li
non e' mai sbagliato.
Tutto dipende anche dagli skills da cui parti, se hai fatto developer
troverai piu' facile approcciare web app security, piuttosto di
infrastructure network security dove devi avere solide basi di TCP/IP,
routing e switching.... non sottovalutare prima di iniziare di essere
onesto con te stesso sulle basi che ti mancano. Meglio spendere piu'
tempo sulle basi che imparare zoppicando e moltiplicando le lacune....
my 2 cents
Se non mastichi inglese, onestamente mi arrendo perche' non seguo e non
sono aggiornato su cosa c'e' di disponibile ad oggi, son sicuro che
altri ti aiuteranno.... ma aggiungi Inglese alla lista degli skills.
*
**>Professionalmente direi che mi serve qualcosa utile per la
valutazione dei rischi ed eventualmente l'implementazione/valutazione di
contromisure (di processo e tecniche).*
Se vuoi andare da questo lato del cubo.... risk assessment o security
architecture? Penso tu intenda risk assessment, a quel punto sei su CISA
stuff, fatti un corso per CISA
https://www.cybrary.it/course/cisa/
se invece sei per security architecture, allora e' un altro paio di
maniche e bisogna che hai delle basi di architettura prima di
approcciare a quello (TOGAF, SABSA).
Finche' non ti metti in ordine la testa, ti consiglio di stare fermo, in
tre righe di mail sei andato in giro per tutto il negozio senza meta
(non so perche' ma ti sei dimenticato forensics)... decidi cosa sei
portato a fare in base agli skills che hai, che carriera vuoi fare, vedi
una job spec di un lavoro che vorresti fare e vedi cosa richiedono. In
base a quello disegna su misura un percorso di studio fai da te, con
degli obiettivi chiari e che abbiano senso. Non e' studiare per tre mesi
come un forsennato che ti ci porta, ma studiare sempre, poco alla volta
ed essere sicuro che hai capito quello che hai letto; non diventare un
altro raccoglitore di bollini che apre i libri solo per "certificazione
X" e dopo due giorni non si ricorda da che parte e' girato.
In bocca al lupo, ciao
On 21/02/17 05:00, ml+h...@sikurezza.org wrote:
Argomenti (messaggi dal 789 al 790):
[ml] Quali corsi per la sicurezza?
789 - Marco Ermini <marco.erm...@gmail.com>
[ml] Strane query DNS
790 - Marco Ermini <marco.erm...@gmail.com>
