Ismail Özer nicht verfügbar bis 08.06.2020

Ismail Özer

Web & Netzwerk Penetrationstester / Security Consultant (ECSA) / Cloud Security Administrator

nicht verfügbar bis 08.06.2020
Profilbild von Ismail OEzer Web & Netzwerk Penetrationstester / Security Consultant (ECSA) / Cloud Security Administrator aus Duesseldorf
  • 40221 Düsseldorf Freelancer in
  • Abschluss: Wirtschaftsinformatik - Vertiefung: IT Management
  • Stunden-/Tagessatz: nicht angegeben
    Verhandelbar nach Projektumfang / Budget / Ort / Teamgröße etc.
  • Sprachkenntnisse: deutsch (Muttersprache) | englisch (gut) | spanisch (Grundkenntnisse)
  • Letztes Update: 25.05.2020
SCHLAGWORTE
PROFILBILD
Profilbild von Ismail OEzer Web & Netzwerk Penetrationstester / Security Consultant (ECSA) / Cloud Security Administrator aus Duesseldorf
SKILLS
Als Wirtschaftsinformatiker & Security Consultant bringe ich sowohl profunde Prozess-/Risikoanalyse und IT-Architektur Kenntnisse mit, als auch mehrjährige Projekterfahrung aus dem Bereich Administration, Entwicklung und Schwachstellen-Management, u.a. nach ISO 27001. Durch die Zertifizierung zum Ethical Hacker (CEH) und zum Security Analyst (ECSA) bin ich versiert im Umgang mit PenetrationstestsSicherheitslücken, Security IncidentsPatches und die Durchführung von Security Audits. Gute kommunikative Fähigkeiten, Durchsetzungsvermögen, analytisches Denken, Leistungsbereitschaft und offen für Verbesserungen zeichnen mich aus. Durch selbständiges und zielorientiertes Arbeiten bin ich es gewohnt auf strategischer, funktionaler und operativer Ebene zu arbeiten und komplexe Projekte mit unterschiedlichen Partnern und wechselnden Projektteams zu unterstützen bzw. zu leiten.

IT-Security Frameworks/Compliance: ISO 27001, NIST, BSI IT-Grundschutz, ISIS12, PCI-DSS, PKI, ITIL
Security Tools: Burp Suite, Nessus, Nmap, Metasploit, Splunk, Wireshark
Programmierung: C#, ASP.NET, Python, JavaScript, jQuery, AngularJS, Typo3 Flow, Telerik AJAX
Datenbanken: AWS EC2 & Redshift, PostgreSQL, Apache, MS SQL Server
Analytics & Management: Active Directory (AD), Power BI, MS SSRS, MS SSMS, MS Office, Jira, Confluence                                                                     
Zertifikate: Certified Ethical Hacker (CEH v10), Security Analyst (ECSA), Offensive Security Certified Professional (OSCP) (folgt)
Organisationen: BSI - Allianz für Cyber-Sicherheit (ACS)


Soft Skills
  • lösungsorientierte und gleichzeitig empathische Team- und Führungsfähigkeit
  • ausgeprägte selbstständige und zielorientierte Arbeitsweise
  • starke analytische Fähigkeiten und geistige Flexibilität
  • unternehmerisches und wirtschaftliches Denken, Planen und Handeln
  • loyales und authentisches Verhalten
  • reflektiert, offen und kritikfähig


Technical Skills

Penetrationtesting
routinierter Umgang mit Tools in den Bereichen:
• Information-Gathering & Durchführung von Blackbox Tests
• Portscanning & Service Identification 
• Target Profiling & Fingerprinting 
• MitM/Sniffing/Spoofing Attacks 
• Passwort-Cracking 
• Vulnerability Scannern & Exploit Frameworks 
• Service/Protokoll Fuzzing 
• ISO/OSI Netzwerk Protokollanalysen

Web-Applikationstesting
routinierter Umgang mit Webapplication-Security-Scannern zur Analyse von B2B/B2C-Webapplikationen (bspw. nach OWASP Top 10). Tiefgehende Erfahrung im Bereich XSS, CSRF, Injection Flaws, Privilege Escalation, Information Disclosure, Session-Management, restrict URL Access, Browser- und Serversecurity, Fuzzing, etc.

Netzwerkanalyse
Professioneller Umgang mit Traffic-Analyzern, gute Kenntnisse des ISO/OSI-Stacks

Netzwerksicherheit
Segregieren eines globalen Unternehmensnetzwerkes und Implementierung einer globalen Mobility & BYOD Strategie mit Hilfe von Endpoint Profiling und dynamischer Portsecurity (z.Bsp. Cisco ISE)

Operation Systems
routinierter Umgang mit verschiedenen Linux-Distributionen (Debian/Ubuntu, Arch-Linux, Qubes OS, Gentoo), Windows-Betriebssystemen, MacOSX, sowie Betriebssystem für mobile Geräte (iOS, Android)

Dokumentation & Reporting
TEX, LATEX, Markdown, Jira



PROJEKTHISTORIE
2016 bis heute  - Freelancer / Ethical Hacker / Cyber Security Consultant
Tätigkeitsschwerpunkte:
  • Beratung zum Thema IT & Cyber Security - Bedrohungen und Schutzmaßnahmen
  • Blackbox / Greybox / Vulnerability Tests
  • Durchführung komplexer Penetrationstests (extern, DMZ, intern)
  • Durchführung komplexer Webapplikationstests (extern, B2B, B2C)
  • IoT und Smart Home Security Audits
  • Automotive Security Penetration Testing
  • AV, HIDS, NIDS/IPS, Sandbox Evasion Checks
  • White Hat Audits
  • IT Security Review durch Nachtests / Vergleichstests / Turnustests
  • transparente Dokumentation mit Risikobewertung und Management Summary
  • Erforschung neuer Angriffsmethoden
  • etc.
Weitere Details siehe Projekthistorie


ZEITLICHE UND RÄUMLICHE VERFÜGBARKEIT
bevorzugter Einsatzort:
- Im Raum Düsseldorf / Köln (+100km) - 5 Tage / Woche

weitere Einsatzorte in Deutschland:
- bis zu 3 Tage vorort / 1-2 Tage remote 
PROJEKTHISTORIE
  • 05/2020 - 05/2020

    • Auf Anfrage
    • 1000-5000 Mitarbeiter
    • Banken und Finanzdienstleistungen
  • Cloud Security Consultant / Penetrationstester – Amazon Elastic Compute Cloud (EC2) - Düsseldorf
    • AWS Penetrationstest und Schwachstellenanalyse der aktuellen Instanz (E-mail Server) eines Unternehmens aus dem Bankwesen
    • Sicherheitsrelevante Analyse der Server Konfiguration
    • Minimierung des Wartungsaufwands und möglicher Angriffsmethoden
    • Threat und Security Level Analyse unter Berücksichtigung der aktuellen IT Architektur
    • Prüfung von Phishing-Attacken / schadhaften Email-Anhängen
    • Finales Report mit Findings / Best Practices mit Gegenmaßnahmen: Nutzung von (Daten)-Verschlüsselung, Umsetzung von Maßnahmen zur Einschränkung der Benutzerrechte („principle of least privilege“), Schließung bzw. Zugangseinschränkungen zu Ports / Services, Eingrenzung des IP- Adressbereichs auf eine kleine Teilmenge, Multi-Faktor Authentifizierung, etc.

  • 04/2020 - 05/2020

    • Auf Anfrage
    • 1000-5000 Mitarbeiter
    • Banken und Finanzdienstleistungen
  • Web & Netzwerk Penetrationstester
    • Analyse einzelner Funktionen einer Web Applikation unter der Rücksichtnahme der Top 10 Sicherheitsrisiken (OWASP) für Webanwendungen
    • Überprüfung der Netzwerkumgebung auf Fehlkonfigurationen
    • Schwachstellen Untersuchung der Server Infrastruktur
    • Überprüfung der Web Technologie auf Risiken, Update bzw. Patch Management
    • Input Validation und Sanitization
    • Einführung eines Authentifizierungsmechanismus (AD, X.509)
    • Umsetzung von Zugangsberechtigungen / Netzwerksicherheit
    • Trennung der Test-/Prod Umgebung, restriktiver Firewall Datenverkehr, Einschränkung des API Zugriffs

  • 10/2019 - 11/2019

    • k. A.
  • SIEM Analyst / Engineer– Splunk Enterprise & Splunk Cloud Düsseldorf, Deutschland
    • Administration, Monitoring und Reporting einer Splunk Lösung (Security Lab) eines mittelständischen Unternehmens aus der Finanzbranche

    • Weiterentwicklung von Alarm-Meldungen und vordefinierter Regeln bzw. Queries zum Zweck der Erhöhung der Entdeckungs-Warscheinlichkeit eines erfolgreichen Cyber-Angriffs

    • Analyse von einzelnen Incidents, Use Case Szenarien, Threat Hunting, Aufbau Firewall-Richtlinien

    • Härtung von Netzwerken / Systemen, Verbesserungen von Prozessketten


  • 06/2019 - 09/2019

    • Dentsu Aegis Network Germany GmbH
    • >10.000 Mitarbeiter
    • Medien und Verlage
  • AWS Cloud Administrator - DWH Redshift & Aginity - Düsseldorf
    • (Security) Administration eines umfangreichen Data Warehouse- Services unter AWS Redshift (Amazon Web Services) für ein globales Medienunternehmen

    • Konzeption, Datenmanagement und Entwicklung mit SQL

    • Erstellung von Business Reports unter Einsatz der unternehmensweiten AWS Cloud-Umgebung

    • Neuausrichtung auf strategischer und technologischer Ebene in Hinblick auf Prozess-Automatisierung und –Koordination

    • Details: Amazon Web Services, AWS Redshift Entwicklung, Visual Studio, Aginity, Cloud Security, Konfiguration, SQL-Queries, Report Design, ETL-Prozess, KPI Analysen, Requirements Engineering


  • 02/2017 - 01/2019

    • Gebr. Eickhoff Maschinenfabrik u. Eisengießerei GmbH
    • 1000-5000 Mitarbeiter
    • Industrie und Maschinenbau
  • Web App Dev & Web Security Consultant - ASP.NET C# - Bochum
    • Administration und Entwicklung eines Webportals für einen Maschinen-Hersteller (Industrieanlage)
    • API mit IFS FSM (Field Service Management), Frontend-Entwicklung unter Einsatz von Telerik Ajax
    • Datenbank-Entwicklung (Windows Server 2012, -16)
    • Web Security Auditing / Incident Management – Schwachstellenanalyse, Auffindung von Sicherheitslücken nach OWASP Top 10 & BSI IT Grundschutz
    • Einführung eines Update & Patch Managements
    • ​​​​​​​Teilmodernisierung der IT
    • Installation von Zertifikaten, Umsetzung der Schutzziele Vertraulichkeit, Integrität, Verfügbarkeit
    • Details: SQL-Queries, Schwachstellen Scans, Incident Management, Web Security Konfiguration (SQL Injection, XSS, Security Policies, Secure Authentication, Web App Firewall, etc.), Active Directory (AD), Datensicherheit, Software-Testing, Prozess- Analyse & -Modellierung, Prozess-Automatisierung, Workshops

  • 12/2018 - 12/2018

    • Auf Anfrage
    • 50-250 Mitarbeiter
    • Sonstiges
  • Web Application Penetrationstester / Security Assessment
    • Whitebox Penetrationstest – Untersuchung der Web Applikation nach Schwachstellen, u. a. in Hinblick auf die OWASP Top 10

    • Analyse der Webschnittstelle nach aktuellen Bedrohungen aus dem Internet

    • Details: Ethical Hacking, OWASP Top 10, Schwachstellen-Scans (Nessus), SQL Injection, Cross-Site Scripting (XSS), ARP Poisoning (MITM) – Attacken, Path Traversal, User Enumeration, Nmap, Security Konfiguration, Wireshark


  • 11/2018 - 11/2018

    • Auf Anfrage
    • 50-250 Mitarbeiter
    • Sonstiges
  • Cloud Penetrationstester – Linux
    • Interne Sicherheitsanalyse einer Cloud Umgebung nach Sicherheitslücken / Threat Hunting, Netzwerk- /System-Härtung

    • Untersuchung der Security Konfiguration, Compliance-Richtlinien und Zugriffskontrollen, Netzwerk

    • Exploitation / Ausnutzung einer Schwachstelle

    • Verringerung der Komplexität und des Wartungsaufwands des Systems durch Schließung von Services, Entfernung von unbenutzten Benutzerkonten unter Einsatz von straffen Systemrichtlinien

    • Details: WebDAV, SaaS, ownCloud, XSS, MITM, Threat Analyse


  • 04/2018 - 05/2018

    • Auf Anfrage
    • 10-50 Mitarbeiter
    • Sonstiges
  • Netzwerk Penetrationstester / Security Assessment– Windows Server 2016, Linux
    • Umfangreicher Netzwerk-Penetrationstest mehrerer Client/-Server für Windows und Linux Rechner
    • Auffindung von Sicherheitslücken / Schwachstellen in der Konfiguration, Analyse bzw. Erweiterung der Benutzerrechte, Patch/-Update Management
    • Maßnahmen: Einführung von ACLs (Zugangskontrollen, Firewall-Regeln), Autorisierungsmechanismen (Login-Funktionen), Konfiguration von Filterregeln, Limitierter IP-Adress bzw. Domänennamen, Einschränkung der Benutzerrechte, Schließung von Ports
    • Details: OSINT, Enumeration, Netzwerkscan, Privilege Escalation, Metasploit Exploitation, Remote Code Execution (RCE), Network Lateral Movement, Incidents, Reporting, Nessus / OWASP ZAP, Nmap, Burp Suite, Wireshark

  • 01/2016 - 01/2017

    • Gebr. Eickhoff Maschinenfabrik u. Eisengießerei GmbH
    • 1000-5000 Mitarbeiter
    • Industrie und Maschinenbau
  • IT Admin & Support - IFS FSM Rollout - Bochum
    • Einführung einer neuen Anwendung für den Service-Bereich bei einem Maschinenhersteller

    • Erhöhung der Effizienz und Komplexitätsreduktion im Service Management

    • Geschäftsprozessoptimierung / Digitalisierung der Abläufe

    • Details: IFS FSM Rollout (ERP-System), Konzeption und Analyse von Unternehmensreports mit MS Reporting Services (SSRS) & Power BI, Windows Server 2016, Projekt Koordination, agiles PM / Scrum, Datenmigration, Konfiguration der Windows Client-Server Architektur, Qualitäts-/Change Management, Prozess Unterstützung und Mitgestaltung in den verschiedenen Fachabteilungen


KONTAKTANFRAGE VERSENDEN

Nachricht:

Absenderdaten: