Так что же делает пентестер и как им стать?
Что такое тестирование на проникновение?
Многие аспекты кибербезопасности требуют участия человека.
В конце концов, кибербезопасность – это проблема, ориентированная на человека, и она зависит от наличия людских ресурсов, которые могут понять, как думают плохие парни.
В мире кибербезопасности тестер на проникновение иногда приравнивают к этичному хакеру, потому что определенные аспекты работы требуют репликации того, что сделал бы реальный хакер.
Тестирование на проникновение, как дисциплина, чрезвычайно важная в общей стратегии безопасности организации.
Она используется для выявления проблем и уязвимостей в ИТ-системах, включая веб-приложения.
Как правило, используются автоматизированные инструменты, чтобы помочь в процессе поиска пробелов в безопасности ИТ-инфраструктуры организации.
Тем не менее, многие пентестеры (особенно опытные) используют ручные методы для расширения возможностей автоматизированных тестов.
Тестирование по существу имитирует, как киберпреступник будет использовать недостатки безопасности для атаки на инфраструктуру, чтобы получить доступ к данным и активам.
Как стать тестировщиком на проникновение
Роль пентестера требует большой ответственности.
На вас будут полагаться за широкие знания методов кибербезопасности, типов угроз и векторов атак.
Поскольку ландшафт кибербезопасности является одной из самых изменчивых и постоянно меняющихся отраслей на планете, вы должны быть готовы постоянно обновлять свои знания в этой области.
Это означает, что вы должны быть очень заинтересованы в кибербезопасности и готовы постоянно учиться.
Вам также необходимо уметь понимать ИТ-системы и сети на глубоком уровне.
Понимание протоколов связи также важно, поскольку именно это и может быть слабым местом в системе.
Это означает, что и возможность писать программный код также очень полезна.
Это может не быть абсолютно необходимым, и вам может не понадобиться быть очень продвинутым в этом вопросе, но иметь практическое знание языка скриптов, такого как Python, будет полезно.
С чего начать?
Если вы новичок или опытный ИТ-специалист, думающий о переходе на пентестинг, вам следует начать с прочтения этой темы.
Используйте статьи, учебники и руководства, и найдите видео по этой теме – не только о тестировании, но и об общих проблемах кибербезопасности по всем направлениям.
Есть также отличные блоги от гуру кибербезопасности, таких как Брюс Шнайер, и такие ресурсы, как блог Hacking Articles.
Таким образом, вы должны понимать:
- Кибербезопасность: методы, приемы, векторы, профили угроз и анатомия кибератак. Посетите сайт OWASP, чтобы узнать о кибербезопасности
- Оборудование и сети
- Операционные системы, базы данных
- Приложения, включая веб-приложения и API
- Анализ данных: по крайней мере, с точки зрения анализа проблем безопасности и представления решений
Получение большего количества практического опыта
В конечном счете, пентестинг является практическим предметом.
Все книги в мире и все видео YouTube о этичном хакерстве не подготовят вас к реальному пентесту.
Вы должны практиковаться.
Если вы зашли так далеко, очень высока вероятность того, что вы станете одним из тех людей, которые смогут легко внедрить вашу собственную систему мини-тестирования.
Используйте наборы инструментов для пентестирования, такие как Security Onion или Kali Linux, чтобы начать проводить свои собственные пентест практики.
Они предлагают инкапсулированный набор инструментов для пентеста, которые вы можете использовать, чтобы ощутить практический смысл пентеста.
Также ознакомьтесь со стандартом выполнения тестирования на проникновение (PTES), который является основой для тестирования на взлом.
Это может помочь вам работать в соответствии со стандартами работы и является хорошим общим советом в этой области.
Для выполнения многих работ вам необходимо полностью ознакомиться с этим стандартом, а также с OWASP.
Получение сертификата
Когда вы будете готовы, вы можете пройти курс для получения сертификата этичного хакинга, такого как Certified Ethical Hacker (CEH).
Это даст любому потенциальному работодателю доказательство того, что вы обладаете необходимыми знаниями в этой области и знаете, как его применять практически.
Также может быть полезно пройти сертификационные курсы по сетям и безопасности.
Пентест + сертификация является еще одним вариантом.
Идеально, чтобы предоставить вам ноу-хау в проведении тестирования на проникновение.
Роль и обязанности пентестера
Тестеры на проникновение, как правило, работают внутри организации или работают в группе безопасности.
Тестирование на проникновение – это не просто поиск недостатков в сетях и веб-приложениях.
Речь также идет о сообщении ваших выводов, как членам команды, так и руководству других отделов.
Могут быть различия в роли пентестера в разных секторах промышленности, но есть фундаментальные задачи, которые вы будете выполнять.
Они включают в себя:
- Тестирование сети и приложений для проверки общих уязвимостей в сети. Пентестер будет участвовать в разработке этих тестов или обновлении существующих. Вы должны будете знать, как внедрять и применять инструменты пентеста.
- Тесты физической безопасности, такие как проверка защиты серверов от не кибер-угроз (вандализм, климатические воздействия и т. д.)
- Аудит безопасности: это фундаментальный и постоянный аспект роли тестировщика на проникновение. От вас ожидают, что вы оцените безопасность данного процесса, протокола или системы. Вам также нужно будет составлять отчеты о проверках.
- Написание общих отчетов по безопасности и использование метрик из тестов для разработки стратегий безопасности
- Участие в проверке команды безопасности и политики безопасности: вам нужно будет иметь возможность общаться с вашей более широкой командой и помогать с проверкой политики безопасности.
Вероятно, по мере продвижения в вашей карьере вы обнаружите, что вас привлекут наставлять новых участников и тех, кто входит в группу безопасности.
Формирование хороших навыков общения определенно поможет вашей карьере.
Встаньте на путь тестов на проникновение
Когда вы будете готовы стать платным пентестером, вы должны начать подавать заявку на работу.
Объявления о тестировании на проникновение можно найти на обычных онлайн-порталах вакансий.
Более крупные организации иногда предлагают стажировки для тех, кто находится на ранних этапах своей карьеры.
Они могут быть не столь хорошо оплачиваемыми, но дают вам необходимый опыт, чтобы получить постоянную должность, часто в этой же компании.
Если вы посмотрите на один из крупных порталов вакансий, вы увидите множество доступных вакансий пентестеров.
Это карьера не для слабонервных, так как для того, чтобы делать это хорошо, требуется самоотдача.
Но если вы склонны охотиться за киберугрозами, это может быть исключительной карьерой именно для вас.