В области информационной безопасности есть важная и необычайно увлекательная профессия пентестера, то есть специалиста по проникновению в компьютерные системы.
Чтобы работать пентестером, необходимо обладать хорошими техническими навыками, знать социальную инженерию, быть уверенной в себе личностью. Ведь задача нередко состоит в том, чтобы перехитрить некоторых очень опытных парней, обеспечивающих IT-защиту компании, а также предусмотреть хитрости других людей, которые захотят эту защиту обойти. Тут главное не перебарщивать. Иначе может произойти весьма неприятная ситуация.
Cloud4Y подготовил небольшой ликбез о работе пентестера, необходимых навыках и сертификатах.
С каждым днём растёт спрос на пентестеров (их иногда называют «этичными» или «белыми» хакерами, поскольку они нередко пытаются проникнуть в защищённые системы, чтобы устранить уязвимости, которые другие хакеры могут использовать в корыстных целях). По оценкам CybersecurityVentures.com, к 2021 году ущерб от киберпреступлений во всём мире достигнет 6 трлн долларов, а хакеры нанесут удар по таким организациям, как Target, Facebook, Equifax и даже правительственным учреждениям, таким как АНБ и Министерство внутренней безопасности.
Требуется тестировщик на проникновение
На карту поставлено так много, а уровень подготовки, необходимый для таких ключевых позиций в области информационной безопасности, настолько высок, что работодателям крайне сложно найти квалифицированных специалистов для заполнения растущего числа рабочих мест. Специалистов по кибербезопасности пугающе мало.
Это является одним из ключевых факторов, способствующих высокой зарплате профессиональных кибербезопасников. Например, на сайте CyberSeek.org, который предоставляет данные о спросе и предложении на рынке вакансий по кибербезопасности, приводится средняя зарплата пентестеров. Она составляет $102 000.
Что же должен делать пентестер, в чём его ценность? Основная цель тестирования — выявить слабые места в безопасности как систем, так и политик. Чтобы преуспеть в этих задачах, требуется множество навыков:
- Навыки кодинга, необходимые для проникновения в любую систему;
- Всестороннее знание компьютерной безопасности, включая криминалистику, системный анализ и многое другое;
- Понимание того, как хакеры используют человеческий фактор для получения несанкционированного доступа к защищенным системам;
- Чёткое понимание того, как нарушения компьютерной безопасности могут навредить бизнесу, включая финансовые и управленческие последствия;
- Исключительные навыки решения проблем;
- Коммуникативные навыки, чтобы использовать человеческий фактор при тестах;
- Навыки ясно и последовательно излагать свои мысли, чтобы документировать и делиться своими выводами.
Тестирование на проникновение обычно проводится с учетом особенностей конкретной организации и отрасли, в которой она работает. Некоторые отрасли, такие как здравоохранение и банковское дело, используют пентестеров для обеспечения соответствия отраслевым стандартам безопасности.
Для выявления потенциальных слепых зон, упущенных разработчиками системы, приложения или любого софта, обычно привлекают сторонние организации. Их сотрудники, те самые «этичные» хакеры, обладают опытом разработки, имеют хорошее образование и ряд сертификатов, необходимых кибербезопасникам. Некоторые пентестеры фактически являются бывшими хакерами. Но используют талант и навыки, чтобы помочь организациям защитить свои системы.
Чем занимается пентестер
Помимо обладания навыками, о которых мы сказали выше, пентестер должен уметь «мыслить как враг», чтобы бороться с полным спектром методов и стратегий, которые могут использовать хакеры, и предвидеть новые угрозы.
Если вы станете тестировщиком на проникновение, ваша работа, скорее всего, будет включать планирование и выполнение тестов, документирование ваших методологий, создание подробных отчетов о ваших результатах и, возможно, участие в разработке исправлений и улучшении протоколов безопасности.
В целом же можно упомянуть следующие рабочие обязанности:
- Проведение тестов на проникновение в компьютерные системы, сети и приложения
- Создание новых методов тестирования для выявления уязвимостей
- Выполнение оценки физической безопасности систем, серверов и других сетевых устройств, чтобы определить области, которые требуют физической защиты
- Определение методов и точек входа, которые злоумышленники могут использовать для использования уязвимостей или слабых мест
- Поиск слабых мест в общем программном обеспечении, веб-приложениях и проприетарных системах
- Исследование, оценка, документирование и обсуждение результатов с ИТ-командами и руководством
- Просмотр и предоставление отзыва об исправлениях в системе информационной безопасности
- Обновление и улучшение существующих служб безопасности, включая оборудование, программное обеспечение, политики и процедуры
- Определение области, где необходимы улучшения в обучении безопасности и осведомленности для пользователей
- Быть внимательным к корпоративным интересам при проведении тестирования (минимизация время простоя и потери производительности сотрудников)
- Быть в курсе последних вредоносных программ и угроз безопасности
Карьера пентестера
Будьте готовы к тому, что ваша работа будет приносить не только радость. Волнение, нервное напряжение, усталость — это нормальные явления при тестировании. Но операции вроде взлома компьютера ЦРУ из фильма «Миссия невыполнима» вам вряд ли грозят. А если и грозят, то что же? Так даже интереснее.
Наш совет всем, кто хочет построить карьеру пентестера, очень прост. Начните работать программистом или сисадмином, чтобы получить необходимые знания о том, как работают системы, и тогда обнаружение в них недостатков станет привычным делом, почти инстинктом. Практический опыт в данной области просто незаменим.
Также важно понимать, что тестирование на проникновение — это процесс, имеющий начало, середину и конец. Начало — это оценка системы, середина – самая весёлая часть, собственно взлом системы, и конец — документирование и передача результатов клиенту. Если вы не способны выполнить какой-либо этап, то вряд ли можно сказать, что вы будете хорошим пентестером.
Большая часть времени работа пентестера заключается в удалённом изучении системы, когда долгие часы проводятся за клавиатурой. Но работа может включать и поездки на рабочие места и объекты заказчика.
На LinkedIn есть множество вакансий тестировщиков на проникновения в самых разных компаниях:
длинный список
- Bank of America
- Blue Cross Blue Shield
- Booz Allen Hamilton
- JP Morgan Chase
- Hewlett Packard
- Amazon
- Verizon
- IBM
- Dell
- Capital One
- BAE Systems
- Sony
- Allstate
- eBay
- Deloitte
- Fidelity
- ADP
- E*Trade
- H&R Block
- Target
- Salesforce
- Microsoft
- Apple
- Uber
- Airbnb
- Raytheon
Так что спрос есть, перспективы — тоже. Кроме того, высокий спрос приводит к стремительному росту зарплаты главного сотрудника службы безопасности. В сфере кибербезопасности есть и другие специальности, имеющие много общего с тестированием на проникновение. Это аналитик по информационной безопасности, специалист по безопасности, аналитик, аудитор, инженер, архитектор и администратор. Многие компании к вышеперечисленным названиям добавляют термин «кибер» для обозначения соответствующей специализации.
Тестировщик на проникновения или оценщик уязвимостей
Отдельно хотим выделить ещё одну близкую по сути работу: работу оценщика уязвимостей. В чём разница? Если кратко, то вот:
Оценка уязвимостей предназначена для составления списка уязвимостей по приоритетам и, как правило, предназначена для клиентов, которые уже понимают, что находятся не там, где хотят быть, с точки зрения безопасности. Клиент уже знает, что у него есть проблемы, и ему просто нужна помощь в определении их приоритетов. Результатом оценки является приоритетный список обнаруженных уязвимостей (а часто и способы их устранения).
Тестирование на проникновение предназначено для достижения конкретной цели, имитации деятельности злоумышленника, и запрашивается клиентами, которые уже находятся на желаемом уровне безопасности. Типичной целью может быть доступ к содержимому ценной базы данных клиентов во внутренней сети или изменение записи в системе управления персоналом. Результатом теста на проникновение является отчёт о том, как была нарушена безопасность для достижения согласованной цели (а часто и способы устранения уязвимостей).
Ещё стоит напомнить о программах Bug Bounty, в которых также используются методы тестирования на проникновение. В подобных программах компании предлагают денежные вознаграждения «белым» хакерам, которые выявляют уязвимости или ошибки в собственных системах компании.
Одно из отличий заключается в том, что при тестировании на проникновение обычно ограниченное число специалистов ищет конкретные уязвимости, тогда как программы Bug Bounty предлагают участвовать любому количеству специалистов для поиска неопределенных уязвимостей. Кроме того, пентестерам, как правило, платят почасовую или годовую заработную плату, в то время как участники программы Bug Bounty работают по модели оплаты за результат, которая предлагает денежную компенсацию, соразмерную серьезности обнаруженной ошибки.
Как стать сертифицированным пентестером
Хотя практический опыт в тестировании на проникновение является важнейшим фактором, многие работодатели часто смотрят: а нет ли у кандидата отраслевых сертификатов в области «белого» взлома, пентестинга, IT-безопасности и пр. И порой выбирают тех, у кого эти сертификаты есть.
Вы тоже можете обзавестись такими документами. Мы даже список подготовили, куда обращаться:
- Сертифицированный этичный хакер (Certified Ethical Hacker CEH)
- Сертифицированный тестировщик на проникновения (Certified Penetration Tester CPT)
- Сертифицированный эксперт-тестировщик на проникновение (Certified Expert Penetration Tester CEPT)
- GIAC Сертифицированный тестировщик на проникновения (GIAC Certified Penetration Tester GPEN)
- Лицензированный тестировщик на проникновения (Licensed Penetration Tester LPT)
- Сертифицированный специалист по безопасности (Offensive Security Certified Professional OSCP)
- Сертифицированный тестировщик на проникновения для мобильных и веб-приложений (Certified Mobile and Web Application Penetration Tester CMWAPT)
- CompTIA PenTest+
Что ещё полезного можно почитать в блоге Cloud4Y
→ Путь искусственного интеллекта от фантастической идеи к научной отрасли
→ 4 способа сэкономить на бэкапах в облаке
→ Настраиваем top в GNU/Linux
→ Лето почти закончилось. Не утекших данных почти не осталось
→ IoT, туман и облака: поговорим про технологии?
Подписывайтесь на наш Telegram-канал, чтобы не пропустить очередную статью! Пишем не чаще двух раз в неделю и только по делу.
