Пентестер: професія етичного хакера

Стаття
Кібербезпека
Київ
0
10Guards
21 лютого 2022

Почнемо із базового поняття, що таке penetration test. Це імітація справжньої атаки хакера, з деякими обмеженнями. Ціль – знайти можливість отримання доступу до цінних активів компанії та/або людини (фінанси, цінна інформація тощо). Про відмінності пентесту від атак хакерів ви можете почитати тут. А поки що поговоримо предметніше про те, як все відбувається і хто ховається під білим капюшоном?

Отже, фахівець проводить розвідку, потім зламує один із елементів захисту, проникає та закріплюється в системі.

По суті, пентестер шукає та використовує вразливості IT-інфраструктури компанії, щоб виявити слабкі місця системи раніше, ніж будь-який кіберзловмисник захоче ними скористатися.

Що має вміти пентестер?

Допустимо, ви хочете влаштуватись пентестером у компанію або взяти спеціаліста на роботу. Якими базовими навичками повинен мати кандидат:

  • вміти писати код однією або кількома мовами програмування (Python, PHP, JavaScript тощо);
  • розуміють, як працюють браузери та здійснюється комунікація з сервером;
  • знати особливості мов програмування та типових помилок, яких можуть припуститися розробники;
  • розуміти бізнес-логіку та логіку роботи системи, бути здатним проводити аналіз для виявлення помилок, яких потенційно може припустити розробник;
  • розбиратися в системах Linux та Windows;
  • розбиратися в основних мережевих протоколах (HTTP, TCP, DNS)/мережевих службах (Proxy, VPN, AD);
  • мати навички використання софту для аудиту та експлуатації вразливостей, наприклад SqlMap, Nmap, Metasploit, Acunetix, Burp Suite та інше;
  • знати особливості роботи баз даних та основних CMS, способів захисту їх від атак;
  • мати гарні комунікативні навички та розуміти психологію дій хакерів;
  • мати досить високий рівень англійської.
     

Де навчають етичного хакерства?

Не обов'язково йти вчитися до університету, щоб стати пентестером, достатньо бажання та часу. Вся інформація відкрита і є багато можливостей для самостійного занурення. Також є різні пентест-лабораторії для навчання: Hackthebox, Root Me, Vuln Hub. Участь у таких симуляторах деякі компанії навіть виносять до списку обов'язкових навичок.

Якщо у вас немає бази, але є чітка мета, то за півроку можна освоїти всю необхідну інформацію і отримати початкову позицію. Але, як не круто, досвід у цій професії — першорядне. І справа навіть не в кількості років чи знайдених уразливостей. Важливо, як добре фахівець може працювати руками, які проекти вибирає та як про них розповідає.

Існує багато різних напрямків у пентесті: web, mobile, IT-інфраструктура, АСУ ТП та інші. Вам не обов'язково знатися на всьому. Виходячи зі своїх інтересів, на перших етапах, виберіть щось одне і копніть глибше.

Ключові складові професії

Творчість та вміння виходить за рамки

Ваша робота — знайти вразливість, навіть якщо доведеться вигадати спосіб, який нікому у світі ще не спадав на думку. Так що креатив і кмітливість доведеться виявляти часто. Наприклад, у рамках Red team проектів фахівці можуть зібрати власний пристрій на базі Raspberry Pi, встановивши модуль GSM. Потім використовувати його у проектах для організації непомітного віддаленого доступу у внутрішню мережу замовника.

Цікавість та азарт

Усі проекти унікальні. Це ніби щоразу проходиш новий квест, набиваєш окуляри і відточуєш навички у грі. Тому навряд чи хтось може сказати, що професія пентестера нудна.

Порушення правил

У своїй роботі пентестер діє рівно тими самими методами, як і хакер. Є лише одна відмінність, у нього на руках є «папірець», який це дозволяє. Цей ореол забороненості надає професії романтики та навіть легкого почуття винятковості.

Усвідомлення відповідальності

Бути на "світлій" стороні - це круто. Але не слід забувати, що почуття всевладдя безкарності можуть згодом зіграти з вами злий жарт. Вивчаючи особисті листування, вам може випадково потрапити надто особиста інформація або фінансове становище людини здатися надто привабливим та вразливим. "Опыт дає пентестеру практично безмежні можливості, і лише його моральні принципи визначають - чи він залишиться на світлій стороні захисників інформації або перейде на темний бік порушників закону".

Ситуація на ринку
 

Кваліфікований пентестер завжди буде затребуваним на ринку праці.
 

Технології проникають скрізь. У бізнесу з'являється дедалі більше інформаційних систем. Процес автоматизації глобалів. Зростає кількість цифрових продуктів, отже, і їх вразливостей. З'являється все більше новин про хакерські зломи. Компанії бояться репутаційних та фінансових збитків, вкладають більше грошей у кібербезпеку.

Водночас, уряд постійно модернізує закони про зберігання персональних даних, вимагаючи від бізнесу захищати їх належним чином.

Посилання

penetration testПентестер

Дивіться також

Топ-10 найбільш улюблених хакерами брендів Кібербезпека
Топ-10 найбільш улюблених хакерами брендів
8 лютого 2022
10 найбільших кібер-ризиків для бізнесу у 2022 Кримінал
10 найбільших кібер-ризиків для бізнесу у 2022
8 лютого 2022
Як створити по-справжньому надійний пароль: докладний посібник Кібербезпека
Як створити по-справжньому надійний пароль: докладний посібник
23 червня 2021