1

Pentester: The Profession Of Ethical Hacker

Ci spiace, ma questo articolo è disponibile soltanto in Russo e Ucraino. Per ragioni di convenienza del visitatore, il contenuto è mostrato sotto in una delle lingue alternative disponibili. Puoi cliccare su uno dei links per cambiare la lingua del sito in un’altra lingua disponibile.

Начнем с базового понятия, что же такое penetration test. Это имитация реальной хакерской атаки, с некоторыми ограничениями. Цель — найти возможность получения доступа к ценным активам компании и/или человека (финансы, ценная информация и т.п.). Об отличиях пентеста от хакерских атак вы можете почитать тут. А пока поговорим предметнее о том, как всё происходит и кто скрывается под белым капюшоном?

Итак, специалист проводит разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе.

По сути, пентестер ищет и использует уязвимости IT-инфраструктуры компании, чтобы выявить слабые места системы раньше, чем какой-то киберзлоумышленник захочет ими воспользоваться.

 

Что должен уметь пентестер?

Допустим, вы хотите устроиться пентестером в компанию или взять специалиста к себе на работу. Какими базовыми навыками должен обладать кандидат:

 

  • уметь писать код на одном или нескольких языках программирования (Python, PHP, JavaScript и т.д.);
  • понимать, как работают браузеры и осуществляется коммуникация с сервером;
  • знать особенности языков программирования и типовых ошибок, которые могут допустить разработчики;
  • понимать бизнес-логики и логики работы системы, быть способным проводить анализ для выявления ошибок, которые потенциально может допустить разработчик;
  • разбираться в системах Linux и Windows;
  • разбираться в основных сетевых протоколах (HTTP, TCP, DNS) / сетевых службах (Proxy, VPN, AD);
  • иметь навыки использования софта для аудита и эксплуатации уязвимостей, например SqlMap, Nmap, Metasploit, Acunetix, Burp Suite и прочее;
  • знать особенности работы баз данных и основных CMS, способов защиты их от атак;
  • иметь хорошие коммуникативные навыки и понимать психологию действий хакеров;
  • иметь достаточно высокий уровень английского.

 

 

Где учат этическому хакерству?

Не обязательно идти учиться в университет, чтобы стать пентестером, достаточно желания и времени. Вся информация открыта и есть уйма возможностей для самостоятельного погружения. Также существуют различные пентест-лаборатории для обучения: Hackthebox, Root Me, Vuln Hub. Участие в таких симуляторах некоторые компании даже выносят в список обязательных навыков.

 

Если у вас нет базы, но есть четкая цель, то где-то за полгода можно освоить всю нужную информацию и получить начальную позицию. Но, как ни круты, опыт в этой профессии — первостепенное. И дело даже не в количестве лет или найденных уязвимостей. Важно, как хорошо специалист может работать руками, какие проекты выбирает и как о них рассказывает.

 

Существует много разных направлений в пентесте: web, mobile, IT-инфраструктура, АСУ ТП и прочие. Вам не обязательно разбираться во всём. Исходя из своих интересов, на первых этапах, выберите что-то одно и копните глубже.

 

 

Ключевые составляющие профессии

  • Творчество и умение выходить за рамки

Ваша работа — найти уязвимость, даже если придется придумать способ, который никому в мире ещё не приходил на ум. Так что креатив и смекалку придется проявлять часто. Например, в рамках Red team проектов специалисты могут собрать собственное устройство на базе Raspberry Pi, установив модуль GSM. Затем использовать его в проектах для организации незаметного удаленного доступа во внутреннюю сеть заказчика.

 

  • Любопытство и азарт

Все проекты уникальны. Это как будто ты каждый раз проходишь новый квест, набиваешь очки и оттачиваешь навыки в игре. Потому вряд ли кто-то может сказать, что профессия пентестера скучная.

 

  • Нарушение правил

В своей работе пентестер действует ровно теми же методами, что и хакер. Есть только одно отличие, у него на руках есть «бумажка», которая это разрешает. Этот ореол запретности придает профессии романтики и даже легкого чувства исключительности.

 

  • Осознание ответственности

Быть на «светлой» стороне – это круто. Но не стоит забывать, что чувства всевластия безнаказанности могут со временем сыграть с вами злую шутку. Изучая личные переписки, вам может случайно попасться слишком личная информация или финансовое положение человека показаться слишком привлекательным и уязвимым.  «Опыт дает пентестеру практически безграничные возможности, и только его нравственные принципы определяют — останется он на светлой стороне защитников информации или перейдёт на темную сторону нарушителей закона».

 

 

Ситуация на рынке

Квалифицированный пентестер всегда будет востребованным на рынке труда.

Технологии проникают везде. У бизнеса появляется всё больше информационных систем. Процесс автоматизации глобален. Растёт количество цифровых продуктов, а значит и их уязвимостей. Появляется всё больше новостей о хакерских взломах. Компании боятся репутационных и финансовых потерь, вкладывают больше денег в кибербезопасность.

Вместе с этим правительство постоянно модернизирует законы о хранении персональных данных, требуя от бизнеса защищать их должным образом.

 

Источник: Tproger

Related Posts

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *