Интриговать людей заявлением «Я работаю хакером», защищать данные, деньги и репутацию компаний в сети — звучит как интересная профессия нового времени. Но о ней мало говорят открыто. Если труд разработчиков заметен окружающим, то существование пентестеров и их методы обеспечения защиты компаний обычно не афишируют.
Статья впервые была опубликована на Tproger.
Всё потому, что penetration test — это тест на проникновение, который ничем не отличается от вторжения злоумышленника. Специалист начинает разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе. Хакер ищет и использует уязвимости IT-инфраструктуры компании, чтобы скачать данные, получить доступ к финансам или документации. Пентестер делает то же самое, но только чтобы выявить слабые места системы раньше, чем злоумышленник захочет ими воспользоваться.
О проблемах не любят говорить публично, поэтому о профессии пентестера общественность знает мало. Название может быть разным: от «этичного хакера» до исследователя информационной безопасности. Но суть от этого не меняется: пентестер — это инженер и программист, который тестирует уязвимости информационных систем.
Профессия многим кажется непонятной, загадочной, но интересной. Она вызывает ассоциации с американскими фильмами и громкими новостями о масштабных взломах. Кажется, достаточно выучить пару трюков и научиться запускать автоматический сканер уязвимостей, чтобы называться пентестером, но на самом деле всё гораздо сложнее.
Меня зовут Александр Герасимов, я директор по информационной безопасности Awillix, и обо всех нюансах профессии расскажу ниже.
Почему растёт спрос на пентестеров?
Все знают о кадровом голоде в IT, но спрос на квалифицированных пентестеров в последние годы превышает все мыслимые границы. Технологии проникают везде. У бизнеса появляется всё больше информационных систем. Процесс автоматизации глобален. Растёт количество цифровых продуктов, а значит и их уязвимостей. Появляется всё больше новостей о хакерских взломах. Компании боятся репутационных и финансовых потерь, вкладывают больше денег в кибербезопасность.
Вместе с этим правительство постоянно модернизирует законы о хранении персональных данных, требуя от бизнеса защищать их должным образом.
Чтобы обнаружить уязвимости и обеспечить безопасность системы нужен серьезный уровень подготовки специалистов. Они должны мыслить как хакеры, кодить как разработчики, проводить анализ как инженеры. Кадров, обладающих необходимым набором компетенций — недостаточно, чтобы удовлетворить текущий спрос.
Навыки и их оплата
Если сравнивать зарплаты пентестеров и разработчиков, то джуны разработчики в среднем будут получать больше джунов пентестеров. При этом порог входа в профессию у пентестеров выше.
Кратко пробежимся по знаниям, которыми должен обладать кандидат в пентестеры:
умение писать код на одном, а лучше на нескольких скриптовых языках программирования. Например, Python, PHP или JavaScript;
навык извлечения данных из веб-страниц, понимание того, как работают браузеры и осуществляется коммуникация с сервером;
знание особенностей языков программирования и типовых ошибок, которые могут допустить разработчики;
понимание бизнес-логики и логики работы системы, способность проводить анализ для выявления ошибок, которые потенциально может допустить разработчик;
основы администрирования операционных систем Linux и Windows для проведения аудита безопасности, фильтрации трафика и других способов защиты от атак на сетевые сервисы;
понимание основных сетевых протоколов (HTTP, TCP, DNS) / сетевых служб (Proxy, VPN, AD);
знание компьютерной безопасности с разных сторон, включая криминалистику, системный анализ и многое другое;
навыки использования софта для аудита и эксплуатации уязвимостей, например SqlMap, Nmap, Metasploit, Acunetix, Burp Suite и прочее;
знание особенностей работы баз данных и основных CMS, способов защиты их от атак;
коммуникативные навыки и понимание того, как хакеры используют человеческий фактор для получения несанкционированного доступа к защищенным системам;
умение автоматизировать свою работу.
Все меняется с повышением грейда — топовые специалисты могут зарабатывать в несколько раз больше разработчиков, легко вести параллельные проекты или участвовать в Bug Bounty (программа, где люди могут получить признание и вознаграждение за нахождение ошибок).
Квалифицированный пентестер всегда будет востребованным на рынке труда, так как в этом узком профессиональном сообществе самый активный хантинг.
Как становяться пентестерами и кто считается профессионалом?
Чтобы научиться чему-то и прийти в профессию, достаточно желания и времени. Никогда ещё обучение в этой сфере не было таким доступным, как сейчас: вся информация открыта, много возможностей для самостоятельного погружения. Также существуют различные пентест-лаборатории для обучения: Hackthebox, Root Me, Vuln Hub.
Если задаться целью, можно хорошо прокачаться за полгода и получить начальную позицию. Но опыт в этой профессии — самое важное. Он выражается не годами работы и не количеством найденных уязвимостей, а в том, как хорошо специалист может работать руками, в его проектах, лексике и кейсах, о которых он может обстоятельно рассказать.
Есть разные направления пентестов: web, mobile, IT-инфраструктура, АСУ ТП и прочие. Каждый специалист может выбрать, в чем именно развиваться, исходя из своих интересов.
Существуют пентестеры, которые не умеют программировать, но разбираются в социотехнических тестированиях и анализе поведения пользователей. Есть те, кто проводит анализ кода и является не только ИБ-специалистом, но и разработчиком, причем кодит на многих языках сразу или с глубокой экспертизой в одном.
Все они оказываются в профессии по разным причинам. Кроме академического образования, многие приходят из соседних сфер, например, из системных администраторов. К примеру, у молодых специалистов часто входом в профессию становится увлечение CTF (командная игра с прикладными задачами). Начиная с решения простых задач и, переходя к более сложным, приходит понимание, из чего состоит мир кибербезопасности.
Источник: ctfnews
Прелести жизни пентестера
Есть четыре вещи, которые объединяют всех пентестеров, несмотря на разнообразность их задач. Это то, что заставляет непрерывно развиваться и узнавать новое, то, что не позволяет скучать, то, из-за чего все мы остаемся в профессии и ни на что её не променяем.
Творчество
В работе пентестера каждый день есть место творчеству, когда мы проводим ресерчи и исследования. Например, в рамках Red team проектов специалисты могут собрать собственное устройство на базе Raspberry Pi, установив модуль GSM. Затем использовать его в проектах для организации незаметного удаленного доступа во внутреннюю сеть заказчика.
Твоя работа — найти уязвимость, даже если придется придумать способ, который никому в мире ещё не приходил на ум. Для этого приходится проявлять весь свой креатив и смекалку.
Азарт
Каждый проект — квест по захвату данных и твой персональный вызов. У каждого пентестера есть азарт, когда он берётся за работу. Мы, пентестеры, обычно не страдаем выгоранием, потому что каждый опыт уникальный.
Известность и популярность
Вряд ли в других IT-профессиях можно резко проснуться знаменитым. Команде разработчиков нужно много лет трудится над одним продуктом, а пентестер может попасть, например, в зал славы Google, за один удачный проект.
Оружие пентестера — опыт, креатив и насмотренность. Он может ударить в одну точку и найти критическую уязвимость, о которой заговорят все.
Легитимные нарушения
Даже имея на руках договор, который разрешает попытку проникновения в чужую инфраструктуру, пентестер действует ровно теми же методами, что и хакер. Ореол запретности придает профессии романтики и даже легкого чувства исключительности.
О самом важном
Принимая решение попробовать себя в роли пентестера, нужно понимать, что в этой сфере игра идет «по-взрослому». Проводя пентесты, мы попадаем в 1000 почтовых ящиков и браузеров реальных живых людей, получаем доступ к истории и личной переписке, аккаунтам соцсетей, персональным и финансовым данным.
Чувства всевластия и безнаказанности — самые страшные враги пентестера. Можно было бы поставить этику и мораль на первое место в списке требований к профессии, но, так как лучше всего запоминается последнее из списка, этот пункт вынесен в заключение.
Опыт дает пентестеру практически безграничные возможности, и только его нравственные принципы определяют — останется он на светлой стороне защитников информации или перейдёт на темную сторону нарушителей закона.
Мы можем случайно узнать в переписке личную информацию, но этичные специалисты никогда не вставят в отчет взломанные пароли людей или другие чувствительные данные.
Резюме
Пентесты — это возможность легально атаковать системы безопасности, помогать бизнесу предотвращать кибератаки и стать востребованным IT-специалистом.
Кому подойдэт профессия этичного хакера:
Новичкам. Специалист по пентесту — отличный выбор для старта в IT. Фундамент и необходимые навыки, чтобы начать зарабатывать на пентесте, можно наработать самостоятельно или на онлайн-курсах.
Тестировщикам. Освойте пентесты в дополнение к своим базовым навыкам и научитесь находить и предвосхищать уязвимые места в различных digital-системах.
Системным администраторам. Знание пентестов позволит прокачать навыки в борьбе с кибератаками и повысить свою экспертность и ценность как специалиста.