5 Ways to Boost your Cybersecurity Career in 2024

The Cyber Mentor
22 Jan 202409:08

Summary

TLDRこの動画では、2024年におけるセキュリティエンジニアやペネトレーションテスターとしてキャリアを次のレベルに引き上げるために必要な5つのスキルについて説明しています。具体的には、クラウドコンピューティング、PowerShellスクリプティング、ソフトスキル、コンテナ、そして暗号通貨とブロックチェーンのセキュリティについて取り上げています。それぞれのスキルについて、なぜ重要なのか、どのように学習すべきかがわかりやすく解説されています。実践的なハンズオンだけでなく、これらの最新の技術的知識とスキルを身につけることで、競争の激しい分野で際立つことができると強調しています。

Takeaways

  • 🌐 クラウドのペネトレーションテストには、クラウドの権限、サービスの誤設定、API操作の知識が必要です。
  • 💻 PowerShellやスクリプティングのスキルは、Windowsの深い理解、.NETフレームワークへのアクセス、ステルス性、ポストエクスプロイトに役立ちます。
  • 🤝 ソフトスキル(コミュニケーション能力、チームワーク、プロジェクト管理能力など)は、技術者にとって非常に重要です。
  • 🐳 コンテナ技術(Docker、Kubernetes など)の理解は、モダンなアプリケーションデプロイメントとクラウドインフラストラクチャにおいて不可欠です。
  • 💰 ブロックチェーンとクリプトカレンシーのセキュリティ分野は成長分野であり、先を行くためにはこの分野の知識が必要です。
  • 📚 実践的な学習(プロジェクトベースの学習など)が、これらの新しいスキルを身につける上で非常に重要です。
  • 🔍 ドキュメントの参照や最新の研究動向のフォローは、常に最新の知識を維持するために欠かせません。
  • 🛠️ 適切なツールの使用(クラウドのペネトレーションテストツール、コンテナ関連ツールなど)が効率的な作業に役立ちます。
  • 🎯 ニッチな分野(ブロックチェーンセキュリティなど)に特化することで、競争力を高めることができます。
  • 🚀 これらの新しいスキルを身につけることで、ペネトレーションテスターやセキュリティエンジニアとしてのキャリアを次のレベルに押し上げることができます。

Q & A

  • クラウドペネトレーションテストにおいて、重要な知識や技術は何ですか?

    -クラウド環境における権限管理の仕組み、利用されているサービスとその潜在的な設定ミス、APIの利用、関連するペネトレーションテストツールの使用方法など、従来のネットワークベースのペネトレーションテストとは異なる知識が必要となります。

  • PowerShellの習得が推奨される理由は何ですか?

    -PowerShellはWindowsの深い理解につながり、.NETフレームワークにアクセスできるため、ステルス性と回避性、そして被害後の活動に役立ちます。また、PowerShellスクリプトを借用して自身のツールキットを拡張できるメリットもあります。

  • ソフトスキルとは具体的に何を指しますか?

    -ソフトスキルとは、他者と効果的かつ円滑にコミュニケーションをとる能力、チームワークを発揮する能力、プロジェクト・時間・リソース管理能力などが含まれます。技術力だけでなく、このようなスキルも重要視されています。

  • コンテナ技術の理解がなぜ重要なのですか?

    -コンテナはモダンなアプリケーションデプロイやクラウドインフラストラクチャの基盤となっており、セキュリティ強化と新たな脆弱性の両面があるため、適切なセキュリティ対策が求められます。コンテナの動作原理や構成、ベストプラクティスを理解する必要があります。

  • 暗号通貨・ブロックチェーンの分野でペネトレーションテストを行う際に必要な知識は何ですか?

    -ブロックチェーン技術の基本的な仕組み、スマートコントラクトとDecentralized Application(DApp)の詳細、ウォレットやエクスチェンジのセキュリティ、最新の研究開発動向など、この分野特有の知識が求められます。

  • クラウド環境でよく見られる脆弱性にはどのようなものがありますか?

    -サービスサイドリクエストフォージェリ、メタデータエンドポイント、S3の権限設定ミス、ソースコードやコンフィグファイル内の認証情報の流出などがよく見られます。

  • PowerShellを学習するために推奨されている書籍は何ですか?

    -「Powershell in a month of lunches」という書籍が紹介されています。この本はPowerShellスクリプトの記述方法だけでなく、PowerShellの視点から問題解決する方法や、困った時の参考資料の探し方なども教えてくれるそうです。

  • ソフトスキルを向上させるにはどのようなアプローチが推奨されますか?

    -自身の弱点を特定し、そこを改善したい点に焦点を当てる必要があります。プレゼンテーション力を伸ばしたければ手法を学び、タスク管理が課題ならタスク管理の書籍を読むなど、具体的な改善点を設定し、実践することが重要です。上司や同僚からフィードバックを受けることもスキルアップに役立ちます。

  • コンテナ環境でのペネトレーションテストではどのようなアプローチがとられますか?

    -コンテナイメージやコンフィグレーションを入念に検査し、脆弱性を特定する必要があります。また、適切なネットワークセグメンテーションが行われているか、秘密情報が適切に管理されているかもチェックする必要があります。

  • 暗号通貨・ブロックチェーンの分野に携わるペネトレーションテストの専門家になるメリットは何ですか?

    -この分野は発展が著しく、専門家の需要が高まっています。今から先行してスキルを身につけておけば、この有望で新しい分野での就職・キャリアアップのチャンスを得られる可能性が高くなります。

Outlines

00:00

🔑 セキュリティエンジニアとしての重要なスキル

この段落では、2024年に成功するためのペネトレーションテスターまたはセキュリティエンジニアに必要な5つのスキルについて説明しています。クラウド、PowerShell、ソフトスキル、コンテナ、暗号通貨/ブロックチェーンです。各分野の重要性、学習方法、関連するツールやリソースについて詳しく説明されています。これらのスキルを身につけることで、競争の激しい分野で差を付けられると強調されています。

05:03

🌐 コンテナとブロックチェーンの重要性

この段落は、コンテナとブロックチェーン/暗号通貨の分野に焦点を当てています。コンテナは現代のアプリケーションデプロイとクラウドインフラストラクチャの中核を成すものであり、セキュリティの強化と新たな脆弱性の両面があると説明されています。Docker、Kubernetes等のコンテナ技術の理解が不可欠です。一方、ブロックチェーンとクリプト分野の重要性が高まっており、スマートコントラクト、分散アプリ、ウォレットのセキュリティなどの知識が求められます。これらの分野の基礎を学び、最新の動向に注目することが推奨されています。

Mindmap

Keywords

💡クラウド

クラウドとは、インターネット上のリモートのデータセンターにあるコンピューティング資源を指します。このビデオでは、クラウド環境に対する侵入テストの重要性、クラウドサービスの権限設定やAPIの理解、クラウド特有の脆弱性(SSRF、メタデータエンドポイント、S3アクセス権限など)の把握が強調されています。クラウドは現代のITインフラストラクチャの中核であり、セキュリティエンジニアにはクラウドの知識が不可欠です。

💡PowerShell

PowerShellとは、Windowsオペレーティングシステムで使用されるタスク自動化とスクリプト記述のための構文です。このビデオでは、PowerShellのスクリプト作成能力がペネトレーションテストにおいて重要であると強調されています。PowerShellはWindows環境の深い理解を与え、ポストエクスプロイト作業や、ステルスと回避に役立ちます。ビデオではPowerShellスクリプト学習の書籍も紹介されています。

💡ソフトスキル

ソフトスキルとは、コミュニケーション能力、チームワーク、プレゼンテーション力などの対人スキルを指します。このビデオでは、技術的スキルに加えてソフトスキルの重要性が強調されています。効果的なコミュニケーションは、技術的詳細を説明したり他部門に要件を分かりやすく伝えるのに不可欠です。また、良いチームメンバーであることや、プロジェクト管理能力なども重要なソフトスキルとされています。

💡コンテナ

コンテナとは、アプリケーションを実行するための軽量で可搬性の高い実行環境です。このビデオでは、コンテナ技術の理解がモダンなアプリケーションのセキュリティにとって不可欠であることが述べられています。Docker、Kubernetes等のコンテナ技術の知識や、コンテナのベストプラクティス、脆弱性(コンテナエスケープ、レジストリ保護、秘密情報管理など)を把握することが重要です。ハンズオン形式でコンテナ環境を構築し、ペネトレーションテストを行うことが推奨されています。

💡暗号通貨/ブロックチェーン

暗号通貨とは、ブロックチェーン技術に基づく分散型デジタル通貨です。このビデオでは、暗号通貨やブロックチェーンの採用が進む中で、このテクノロジーのセキュリティを理解することが重要であると強調されています。スマートコントラクトの脆弱性、ウォレットやブロックチェーンネットワークの安全性など、この分野での専門家需要が高まっているとされています。暗号通貨・ブロックチェーンのセキュリティを学ぶには、まずその基礎技術から理解を深め、ハンズオン形式で脆弱性の検証などを行うことが推奨されています。

💡ペネトレーションテスト

ペネトレーションテストとは、ネットワークやアプリケーションに対して実際の攻撃を模して行う侵入テストの手法です。このビデオでは、クラウド環境やコンテナ環境、暗号通貨分野などでのペネトレーションテストに必要なスキルやツール、方法論について説明されています。ペネトレーションテストの目的は脆弱性を特定し、機密データの保護や適切な対策を助言することにあります。従来のネットワーク侵入テストに加え、近年ではWebアプリケーションのテストも重要視されています。

💡ハンズオン学習

ハンズオン学習とは、実際に実践的な作業を通して学ぶ手法です。このビデオでは、クラウド、コンテナ、暗号通貨などの新しい領域の学習にハンズオン形式が有効であると強調されています。実際の環境を構築し、設定ミスなどの脆弱性を意図的に作り出してから攻撃を試みることで、より深い理解が得られます。書籍や動画で概念を学んだ後に、プロジェクトベースの実践を行うことがペネトレーションテストの技術習得に重要とされています。

💡ツール

ペネトレーションテストでは、様々なツールが利用されます。このビデオでは、クラウド環境やコンテナ環境を攻撃するためのツールの習得が重要であると述べられています。一方で、ツールに頼り過ぎるのではなく、その根底にある原理や概念を理解することが大切です。ツールは手段に過ぎず、状況に応じて適切なツールを選択し、必要に応じてスクリプトの変更や新たなツールの作成ができるよう、基礎的な知識とスキルを身につける必要があります。

💡レポーティング

ペネトレーションテストの最終段階でレポーティングが行われます。このビデオでは、優れたペネトレーションテストであっても、適切なレポーティングがなされなければ無意味であると強調されています。レポートには発見された脆弱性、リスクの評価、対策の提言などが含まれ、効果的なコミュニケーション能力(ソフトスキル)が重要となります。レポーティングはペネトレーションテストにおける成否を決める重要な要素の一つです。

💡継続的学習

ITセキュリティの分野では、新しい技術や脅威が絶えず登場するため、継続的な学習が欠かせません。このビデオでは、クラウド、コンテナ、暗号通貨などの新しい領域について触れられており、これらの最新動向を常に把握し、自身のスキルを更新していく必要があることが強調されています。セキュリティエンジニアは、書籍や動画、ハンズオンプロジェクト、業界レポートなどを活用し、絶えず新しい知識とスキルを身に付けることが求められます。

Highlights

Need for knowledge of cloud permissions, services, misconfigurations, and tools to perform effective cloud penetration testing.

PowerShell skills are valuable for deeper Windows understanding, .NET access, stealth, post-exploitation, and script adaptation.

Soft skills like communication, collaboration, time management are crucial for technical roles.

Containers introduce new security challenges; understanding their architecture, orchestration, and proper configuration is essential.

Cryptocurrency and blockchain security is an emerging niche; understanding smart contracts, wallets, and decentralized apps is important.

Learning by doing through projects is recommended for cloud computing.

Borrowing and adapting existing PowerShell scripts can exponentially expand a pentester's toolkit.

Actively working on weaknesses and seeking feedback is key to improving soft skills.

Hands-on experience by setting up containerized environments and introducing misconfigurations is the best way to learn containers.

Keeping up with the latest research and development in the crypto and blockchain world is important.

Common cloud pentesting areas: SSRF, metadata endpoints, S3 permissions, credentials/keys in source code.

Effective pentesting reports are crucial, highlighting the importance of communication skills.

Container escapes, unsecured registries, and mishandling of sensitive data are common container security issues.

Smart contract vulnerabilities, exchange security, wallet security, and 51% attacks are threats in the crypto world.

Experimenting with creating and testing smart contracts is recommended for learning blockchain security.

Transcripts

play00:00

what are the skills you need Beyond

play00:01

practical Hands-On hacking to be a

play00:03

successful penetration tester or

play00:05

security engineer in 2024 and take your

play00:09

career to the next level I'm going to

play00:11

give you five things that you should

play00:13

learn and also share some resources on

play00:15

how to actually go about learning them

play00:17

these won't just expand your Knowledge

play00:19

and Skills but potentially set you apart

play00:21

from others putting your head in an

play00:23

increasingly competitive field if you're

play00:25

new to the channel then don't forget to

play00:27

like And subscribe and let's just geted

play00:30

that's it so first up we have the cloud

play00:32

and you might be thinking well a pentest

play00:34

is a pentest and I'll just deal with the

play00:37

cloud when I get to it after all it's

play00:39

just somebody else's computer right well

play00:42

whilst the goal might be similar to a

play00:44

traditional pent test I.E we want to

play00:45

find weaknesses and vulnerabilities and

play00:48

give actional remediation advice

play00:50

attacking Cloud environments requires

play00:52

knowledge of how Cloud permissions work

play00:54

what services are being used their

play00:56

potential misconfigurations and of

play00:58

course it doesn't help that new services

play00:59

and change ches are being pushed

play01:01

literally all the time so for cloud

play01:03

you're going to be spending a lot more

play01:05

time with apis and whilst you can learn

play01:07

a methodology to work with you'll likely

play01:10

be reading a lot of documentation on the

play01:12

Fly and of course there are cloud pen

play01:14

testing tools to help you achieve your

play01:15

goals but again that's another thing

play01:18

that we're going to have to get to grips

play01:19

with new tools some of the things you'll

play01:22

run into a lot in the cloud are service

play01:24

side request forgery metadata endpoints

play01:26

S3 permissions and of course credentials

play01:29

and keys in source code and

play01:31

configuration files and if you're

play01:33

thinking to yourself a lot of these

play01:34

things sound like web attacks rather

play01:36

than more traditional Network attacks

play01:38

then you'd be right and so if you're a

play01:40

network penetration tester it might be

play01:42

time to dust off those web skills so

play01:46

where should you go to learn about cloud

play01:48

computing well most major vendors have

play01:50

free training available so that's a

play01:52

great place if you're starting from zero

play01:54

and personally I tend to learn by doing

play01:56

so I have some sub projects sitting in

play01:59

AWS and I think unless you're starting

play02:01

from scratch Project based learning is

play02:03

definitely the way to go our next skill

play02:05

is Powershell but you could also add

play02:08

scripting here too the reason I want to

play02:10

put the argument forward for Powershell

play02:12

though is because it leads to a deeper

play02:14

understanding of Windows gives you

play02:15

access to the Net Framework and can help

play02:18

you with stealth and evasion and of

play02:20

course post

play02:22

exploitation I have to admit my power

play02:24

shell skills are not particularly strong

play02:26

but even a basic understanding can be

play02:28

really helpful during a

play02:30

pentest I personally originally learned

play02:32

from a book called Powershell in a month

play02:34

of lunches and when I checked last week

play02:37

there was an updated version published

play02:39

in

play02:40

2022 I really liked the way it taught

play02:42

you not just how to write Powershell

play02:44

scripts but how to solve problems from a

play02:46

Powershell perspective and also where to

play02:48

go and what to reference when you're

play02:50

stuck or if something is broken another

play02:53

real benefit of Powershell is that once

play02:55

you have a reasonable grasp of it you

play02:57

can start to borrow and adapt Scripts to

play02:59

suit your needs for example I used to

play03:02

take scripts from the Empire project and

play03:04

use them in certain situations this is a

play03:06

great way to exponentially expand your

play03:09

potential toolkit as a pentester and may

play03:12

open up new attack paths or options that

play03:14

you may not have previously explored I

play03:16

don't have much more to say on

play03:18

Powershell other than that so A short

play03:20

and sweet section I suppose so next up

play03:22

we have the dreaded word or phrase that

play03:24

gets thrown around a lot and that is

play03:27

soft skills but to me soft skills are

play03:30

really a measure of interacting

play03:31

effectively and harmoniously with other

play03:34

people and particularly for technical

play03:36

roles effective communication is vital

play03:39

it could be explaining technical details

play03:41

or it could be abstracting something to

play03:43

help another department understand your

play03:46

requirements soft skills do go beyond

play03:49

communication though being a good team

play03:51

member and collaborating effectively is

play03:53

often an important skill we need to

play03:55

master and managing projects time and

play03:58

resources whether they are your own own

play03:59

or your teams is also very important too

play04:03

so how can we improve our soft skills

play04:06

well to begin with we need to decide on

play04:08

what we really want to improve if you're

play04:10

not so good at presenting or public

play04:12

speaking then the Fineman technique can

play04:14

really help or if you're always jumping

play04:16

from task to task and fighting fires

play04:19

then pick up a book on techniques to

play04:21

better manage your tasks and time it

play04:24

comes down to finding things that you

play04:25

want to improve and actively doing

play04:28

things so that they can improve prove

play04:30

and if you can get meaningful feedback

play04:32

from a colleague or a mentor then you're

play04:34

going to be even more successful I was

play04:37

recently watching something about soft

play04:38

skills and it said hey you can be 10 out

play04:41

of 10 technically but if your

play04:43

communication skill is only three out of

play04:45

10 how do you think people will judge

play04:47

you and it's the same as a pentest a

play04:50

good pentest is only ever as good as its

play04:52

reports a pentest without a report is a

play04:55

complete waste of time unfortunately

play04:58

make sure you put a little bit of of

play04:59

time into improving your soft skills and

play05:02

filling in any weaknesses that you might

play05:04

have all right so now we have containers

play05:07

which have basically taken over the

play05:10

world and are now a fundamental part of

play05:12

modern application deployment and Cloud

play05:16

infrastructure they can both improve

play05:18

security and introduce new weaknesses

play05:21

into a system so getting containers

play05:23

right is a key part of the development

play05:26

life cycle and of course as security

play05:29

engineers and pentesters something that

play05:31

we also need to be familiar with

play05:34

containers provide an isolated

play05:36

environment for your application to run

play05:38

which can be a double-edged sword on one

play05:40

hand it offers enhanced security through

play05:42

isolation but on the other hand

play05:44

misconfigurations can lead to

play05:46

significant vulnerabilities some common

play05:48

issues that we do find are container

play05:50

escapes unsecured container Registries

play05:53

and the mishandling of sensitive data so

play05:56

when it comes to pentesting in a

play05:58

containerized environment you really

play05:59

need to understand the technology that

play06:01

you're working with so maybe it's Docker

play06:04

podman kubernetes whatever but you need

play06:07

to understand the security best

play06:08

practices and in this situation it's

play06:11

often critical to inspect the container

play06:14

images and configurations for

play06:16

vulnerabilities you also need to make

play06:18

sure that there's proper Network

play06:20

segmentation and that secrets are being

play06:22

managed appropriately personally I kind

play06:24

of learned Docker a little bit by doing

play06:26

at the start and then expanded my

play06:28

knowledge by doing more research or

play06:30

reading blog posts and documentation and

play06:33

if you're looking to deepen your

play06:34

knowledge of containers diving into the

play06:37

architecture of

play06:38

containerization understanding the

play06:39

orchestration within things like

play06:41

kubernetes and exploring the tools in a

play06:44

Hands-On way is definitely recommended

play06:46

and personally of course I think

play06:48

hands-on experience is key so setting up

play06:50

your own containerized environment and

play06:52

introducing misconfigurations and then

play06:54

trying to break it I think is the best

play06:56

way to learn I did a Docker 101 video a

play06:59

little while ago and so you can check

play07:02

that out if you're interested and want

play07:04

to get started let's talk next about an

play07:06

area that's been gaining immense

play07:08

traction and that is the world of

play07:10

cryptocurrency and blockchain security

play07:13

now I wouldn't usually recommend this to

play07:15

someone who is still looking to build

play07:17

their fundamental skills but if you want

play07:19

to get ahead or find a niche then it's

play07:22

definitely worth exploring with the

play07:24

increasing adoption of cryptocurrencies

play07:26

and the blockchain technology that

play07:27

powers them understanding security

play07:29

surrounding this technology is critical

play07:32

so blockchain technology records

play07:34

transactions across many many machines

play07:37

in a way that the records cannot be

play07:39

altered

play07:41

retroactively however this doesn't mean

play07:43

that they're immune to all security

play07:45

issues common threats include smart

play07:47

contract vulnerabilities exchange

play07:49

security wallet security and network

play07:52

level attacks like the 51% attack when

play07:55

pentesting in the crypto world it's

play07:57

crucial to understand how how blockchain

play08:00

actually works the specifics of smart

play08:02

contracts and decentralized applications

play08:05

or D apps you'll often be looking to

play08:08

identify vulnerabilities in daa

play08:10

interfaces and ensuring the security of

play08:12

crypto wallets and there is also a

play08:15

growing need for specialists in this

play08:17

field so getting ahead now can put you

play08:20

at the Forefront of an exciting and

play08:22

evolving industry so if you're looking

play08:25

to dive into this space then definitely

play08:27

start with the basics of blockchain tech

play08:29

technology and cryptocurrencies and

play08:31

explore the best practices of crypto

play08:34

exchanges and you can even experiment

play08:36

with creating and testing your own smart

play08:38

contracts and of course keeping up to

play08:40

dat with the latest research and

play08:42

development in terms of the crypto and

play08:44

blockchain world is important too so

play08:47

that's it for this video once again if

play08:49

you enjoyed it then don't forget to like

play08:52

And subscribe and of course if you have

play08:54

any questions then we live stream here

play08:56

on the Cyber Mentor YouTube channel

play08:58

every Tuesday Tuesday and Wednesday

play09:00

other than that you can always catch us

play09:02

on the Discord to share ideas and meet

play09:05

like-minded people catch you next time

Rate This

5.0 / 5 (0 votes)

Related Tags
キャリア向上ペネトレーションテストセキュリティスキル習得クラウドセキュリティPowerShellスクリプトソフトスキルコンテナセキュリティブロックチェーン暗号通貨
Do you need a summary in English?