1

Пентестер: профессия этичного хакера

Начнем с базового понятия, что же такое penetration test. Это имитация реальной хакерской атаки, с некоторыми ограничениями. Цель — найти возможность получения доступа к ценным активам компании и/или человека (финансы, ценная информация и т.п.). Об отличиях пентеста от хакерских атак вы можете почитать тут. А пока поговорим предметнее о том, как всё происходит и кто скрывается под белым капюшоном?

Итак, специалист проводит разведку, затем взламывает один из элементов защиты, проникает и закрепляется в системе.

По сути, пентестер ищет и использует уязвимости IT-инфраструктуры компании, чтобы выявить слабые места системы раньше, чем какой-то киберзлоумышленник захочет ими воспользоваться.

 

Что должен уметь пентестер?

Допустим, вы хотите устроиться пентестером в компанию или взять специалиста к себе на работу. Какими базовыми навыками должен обладать кандидат:

 

  • уметь писать код на одном или нескольких языках программирования (Python, PHP, JavaScript и т.д.);
  • понимать, как работают браузеры и осуществляется коммуникация с сервером;
  • знать особенности языков программирования и типовых ошибок, которые могут допустить разработчики;
  • понимать бизнес-логики и логики работы системы, быть способным проводить анализ для выявления ошибок, которые потенциально может допустить разработчик;
  • разбираться в системах Linux и Windows;
  • разбираться в основных сетевых протоколах (HTTP, TCP, DNS) / сетевых службах (Proxy, VPN, AD);
  • иметь навыки использования софта для аудита и эксплуатации уязвимостей, например SqlMap, Nmap, Metasploit, Acunetix, Burp Suite и прочее;
  • знать особенности работы баз данных и основных CMS, способов защиты их от атак;
  • иметь хорошие коммуникативные навыки и понимать психологию действий хакеров;
  • иметь достаточно высокий уровень английского.

 

 

Где учат этическому хакерству?

Не обязательно идти учиться в университет, чтобы стать пентестером, достаточно желания и времени. Вся информация открыта и есть уйма возможностей для самостоятельного погружения. Также существуют различные пентест-лаборатории для обучения: Hackthebox, Root Me, Vuln Hub. Участие в таких симуляторах некоторые компании даже выносят в список обязательных навыков.

 

Если у вас нет базы, но есть четкая цель, то где-то за полгода можно освоить всю нужную информацию и получить начальную позицию. Но, как ни круты, опыт в этой профессии — первостепенное. И дело даже не в количестве лет или найденных уязвимостей. Важно, как хорошо специалист может работать руками, какие проекты выбирает и как о них рассказывает.

 

Существует много разных направлений в пентесте: web, mobile, IT-инфраструктура, АСУ ТП и прочие. Вам не обязательно разбираться во всём. Исходя из своих интересов, на первых этапах, выберите что-то одно и копните глубже.

 

 

Ключевые составляющие профессии

  • Творчество и умение выходить за рамки

Ваша работа — найти уязвимость, даже если придется придумать способ, который никому в мире ещё не приходил на ум. Так что креатив и смекалку придется проявлять часто. Например, в рамках Red team проектов специалисты могут собрать собственное устройство на базе Raspberry Pi, установив модуль GSM. Затем использовать его в проектах для организации незаметного удаленного доступа во внутреннюю сеть заказчика.

 

  • Любопытство и азарт

Все проекты уникальны. Это как будто ты каждый раз проходишь новый квест, набиваешь очки и оттачиваешь навыки в игре. Потому вряд ли кто-то может сказать, что профессия пентестера скучная.

 

  • Нарушение правил

В своей работе пентестер действует ровно теми же методами, что и хакер. Есть только одно отличие, у него на руках есть «бумажка», которая это разрешает. Этот ореол запретности придает профессии романтики и даже легкого чувства исключительности.

 

  • Осознание ответственности

Быть на «светлой» стороне – это круто. Но не стоит забывать, что чувства всевластия безнаказанности могут со временем сыграть с вами злую шутку. Изучая личные переписки, вам может случайно попасться слишком личная информация или финансовое положение человека показаться слишком привлекательным и уязвимым.  «Опыт дает пентестеру практически безграничные возможности, и только его нравственные принципы определяют — останется он на светлой стороне защитников информации или перейдёт на темную сторону нарушителей закона».

 

 

Ситуация на рынке

Квалифицированный пентестер всегда будет востребованным на рынке труда.

Технологии проникают везде. У бизнеса появляется всё больше информационных систем. Процесс автоматизации глобален. Растёт количество цифровых продуктов, а значит и их уязвимостей. Появляется всё больше новостей о хакерских взломах. Компании боятся репутационных и финансовых потерь, вкладывают больше денег в кибербезопасность.

Вместе с этим правительство постоянно модернизирует законы о хранении персональных данных, требуя от бизнеса защищать их должным образом.

 

Источник: Tproger

Related Posts

card__image

The true cost of ransomware: 78% of organizations suffer repeat sttacks after paying

Извините, этот текст доступен только на “Английский” и “Украинский”. For the sake of viewer convenience, the content is shown below in this site default language. You may click one of the links to switch the site language to another available language. There are many considerations when choosing whether to pay or not pay a ransom […]

card__image

Romantic AI Chatbots Don’t Have Your Privacy at Heart

Извините, этот текст доступен только на “Английский” и “Украинский”. For the sake of viewer convenience, the content is shown below in this site default language. You may click one of the links to switch the site language to another available language. Experts have warned users of AI-powered “relationship” chatbots that their data and privacy are […]

card__image

Cyber events top global business risk for 2024: Allianz Risk Barometer

Извините, этот текст доступен только на “Английский” и “Украинский”. For the sake of viewer convenience, the content is shown below in this site default language. You may click one of the links to switch the site language to another available language. In its latest Risk Barometer, Allianz reveals that cyber incidents have claimed the top […]

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *